RN3DCX Опубликовано 9 января, 2017 (изменено) · Жалоба Навеяно ранее созданными темами, об атаках на сетИ, на различные сервисы и хомяковые устройства. И вот хотелось бы собрать в этой теме, лучшую практику блокировки все различного зла, на доступе и на бордюре. Вот собственно первая редакция: На доступе: порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900 На бордюре: Сети: 10.0.0.0 0.255.255.255 127.0.0.0 0.255.255.255 169.254.0.0 0.0.255.255 172.16.0.0 0.15.255.255 192.168.0.0 0.0.255.255 224.0.0.0 15.255.255.255 240.0.0.0 15.255.255.255 порты: 53 на приход с UPlink'a P.S. Буду благодарен всем, кто не полениться и дополнит данный список! Изменено 9 января, 2017 пользователем RN3DCX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 января, 2017 · Жалоба Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор. Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 января, 2017 · Жалоба Если ресурс белых адресов позволяет не иметь нат, то оно к лучшему. Попроще немного с сормом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
artplanet Опубликовано 9 января, 2017 · Жалоба у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика. deny ip 91.214.68.0/22 any deny ip 185.97.252.0/22 any deny ip 80.87.204.0/24 any deny ip 80.87.207.0/24 any deny ip 224.0.0.0/3 any deny ip 0.0.0.0/8 any deny ip 10.0.0.0/8 any deny ip 127.0.0.0/8 any deny ip 192.168.0.0/16 any deny ip 100.64.0.0/10 any deny ip 172.16.0.0/12 any deny ip 198.18.0.0/15 any permit ip any any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 января, 2017 · Жалоба Вот собственно первая редакция: На доступе: порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900 +2869, 3587, 5357, 5358 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 9 января, 2017 · Жалоба Если ресурс белых адресов позволяет не иметь нат, то оно к лучшему. Попроще немного с сормом. Если правильно выбрать точку съема, то и так сойдёт. Выдавание белого IP каждому клиенту динамически из пула - это еще больший геморрой. Пул рано или поздно залетит в блэклисты, целиком. Так что - проще статиком ip пользователю выдавать, за деньги, и себе и для всякой орд. у нас первым делом в ACL на входе блокирует входящие пакеты с наших же сетей, а потом с тех сетей с который не может быть входящего трафика. Ну стандартые acl для bgp нетранзитных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Morbid Опубликовано 9 января, 2017 · Жалоба мы еще 111 udp (PORTMAP) тоже усилители юзаються Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 9 января, 2017 · Жалоба Это слишком КО :) Если у клиентов нет внешнего доступа к ним, то еще и ssh, и http, ну и smtp/pop3. И обязательно snmp. Это дефаулт асл для людей с реальниками. Кому чего своё надо открыть - пусть попросит. Если задаться вопросом, а зачем клиенту реальник ? Мои ответы - просмотр видеонаблюдения, в основном для ИП. Только редкие имеют свои сервера - к ним и тариф особый, и отношения. Частники берут реальник - в основном пацаны, для рейтинга в торрентах или для игрушек. Потом плачутся, что их забанили, и просят новый реальник :) Выделение реальника - у меня стало очень платным с тех пор. Нормальные юрлица иногда имеют нормальных сисадминов, способных обьяснить и мне и своей бухгалтерии, почему платить за реальник надо. Ненормальные школяры убеждают свою бухгалтерию, и торрентуют нахаляву. Да, надо было сразу указать, что данная тема включает в себя выдачу белых IP. YuryD, сдесь вы правы, что среднестатистическому хомяку пофиг как его выпускают в мир. NAT не NAT, VK и ОК работают, порнушка качается, казалось бы что еще нужно! Реалники по сути нужен тем, кто делает что возмездное в интернете, а это по сути юрики законспирируешиеся под физиков, чтоб получить дешевый тариф с белым IP. Итого, скажу за себя, да бы у всех расклад разный. Сорм нынче в цене. Проще белые IP выдавать, чем в ипотеку вступить, с этим СОРМом. Карусель и белых IP самое оно. А чтоб пул в блэк листы не попали, нужно в первую очередь создать пару заградительных линий. Что как раз соответствует данной теме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 9 января, 2017 (изменено) · Жалоба Вы это, когда сервисы блочите хотя бы 1-2 линию ТП в курсе держите. А то был недавно прецедент с одним из "местныхмегапровайдеров": юрлицо среднего размера поднимали свой почтовик для домена, а почта не ходила. IP-белый, "чистый". ТП провайдера в две линии пела "у нас всё хорошо", а штатный админ юрлица день-два получал люлей за якобы криворукость. Пока не пригласили меня как "внешнего консультанта" и не стали дотошно рыть со всех сторон в т.ч. извне. Когда взяли на зад "главного" админа у провайдера, он признался "Ну да tcp 25,110 всем блочим с прошлого месяца. Завтра пришлите письмо на бумаге или скан, послезавтра открою если успею". Почему ТП была не в курсе "нововведений" - вопрос административный. Изменено 9 января, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ancient Опубликовано 9 января, 2017 · Жалоба ну штатный админ юрлица не зря люлей получал раз даже nmap запустить не смог Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 10 января, 2017 (изменено) · Жалоба Ancient, ужас ситуации в том, что он еще до меня нашел косяк с закрытыми портами, но парню никто не верил. Тем более, техподдержка провайдера клятвенно заверяла, что "никаких ограничений на доступ к службам нет", "мы ничего не фильтруем" и "вышлите подробности на e-mail help@... ". Меня потому и позвали, что админ конторы и техподдержка провайдера "уперлись лбами". Клиент видит факт. Техподдержка о "нововведениях" ни ухом ни рылом. Изменено 10 января, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 10 января, 2017 · Жалоба Вот собственно первая редакция: На доступе: порты: 21, 23, 123, 137, 138, 139, 161, 162, 445, 1900 +2869, 3587, 5357, 5358 Мож тогда и заодно: UDP 3540 - PNRP UDP 3702 - WS-Discovery UDP 5355 - LLMNR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 11 января, 2017 · Жалоба Из сегодняшних сканов: + UDP 520 - RIP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба Зафиксировано было внутри сети или из мира прилетело? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 11 января, 2017 · Жалоба Зафиксировано было внутри сети или из мира прилетело? Из внешки, конечно: Jan 11 11:25:32 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.XXX(520), 1 packet Jan 11 11:31:17 YEKT: %SEC-6-IPACCESSLOGP: list XXX-LAN-OUT denied udp 213.202.221.90(59194) -> XXX.XXX.XXX.YYY(520), 1 packet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
basterik Опубликовано 11 января, 2017 · Жалоба Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба Это вы с позиции хомяка или оператора? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
basterik Опубликовано 11 января, 2017 (изменено) · Жалоба А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете. Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас. Изменено 11 января, 2017 пользователем basterik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба Пообрывал бы руки, этим самостийным инженерам провайдеров, которые фильтруют порты на белых IP Вы не поверите, еще есть и привела которые режут длину пакета. За это наверное уже расстрел! А есть разница? есть услуга, которая дает возможность быть участником сети Internet, а Вы с одной стороны ее продаете, а с другой ограничиваете. Действительно, вам же для работы в сети Internet, эти порты обязательно нужны! Не подскажите для каких целей? Если хотите защитить свою сеть, почитайте о типах атак, выберете от которых хотите защититься, и уверяю Вас, уже давно все придуманно за Вас. Подобными не несущими смыла фразами тут каждый 2-й бросается... Приведите факты, ссылки на ликбез? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
basterik Опубликовано 11 января, 2017 · Жалоба Вы не поверите, еще есть и привела которые режут длину пакета. За это наверное уже расстрел! Вот за резку Ethernet фреймов, действительно надо расстреливать. Не подскажите для каких целей? Я не спрашиваю Вас, куда Вы тратите мои деньги, а Вы не интересуйтесь как я пользуюсь Вашей услугой. Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах. Приведите факты, ссылки на ликбез? https://ru.wikipedia.org/wiki/%D0%A3%D0%B4%D0%B0%D0%BB%D1%91%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 11 января, 2017 · Жалоба Приведите факты, ссылки на ликбез? https://ru.wikipedia.org/wiki/%D0%A3%D0%B4%D0%B0%D0%BB%D1%91%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D0%B0%D1%82%D0%B0%D0%BA%D0%B8 Само то для изучения диванными хомячками и приходящими эникеями. :-) Желающие могут протестировать предложение прочитать это на первом попавшемся владельце выставленного голой жопой в интернет кетайского видеорегистратора. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 11 января, 2017 · Жалоба .... А в чем проблема ? Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 11 января, 2017 · Жалоба Я и так позволяю Вам не резервировать под меня полосу в Ваших внешних каналах. Всё, что Вы можете себе позволить, описано в Вашем договоре, либо в приложении к оному. ПЫСЫ. Кейн 2? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 11 января, 2017 · Жалоба А в чем проблема ? Антарктику не открою, но еще раз повторюсь, основная проблема это увеличении трафика + бесполезная нагрузка на железо. Если хомяку сломали роутер (ну или просто роутер по дефолту рекурсивные запросы разрешает со всего интернета и давно член ботнета), то что делать ? И именно в этой теме я и ищу пути решения подобных ситуаций. Но пока благодаря молчунам, тема не особо развивается.... P.S. Спасибо тем, кто уже внес вклад, поделившись опытом! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 января, 2017 · Жалоба Не подскажите для каких целей? А вы с какой целью интересуетесь? В смысле работает - не трож. Я же уже писал - делайте рейтлимит на входящие пакеты из инета на порты которые используются для амплификации: 53, 123. Накой хер резать остальное, если оно и вам не мешает и вас никто не просил? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...