[lacnog] LACNIC - Bloqueo del puerto 25 - Hogares
Douglas Fischer
fischerdouglas en gmail.com
Mar Abr 11 12:08:11 -03 2023
Creo que me he expresado de forma insuficientemente clara, y esto ha dado
lugar a una mala interpretación.
Pido desculpas.
- El bloqueo del puerto 25 NO ES bloquear el tráfico ENTRANTE con destino
al puerto 25 de las direciones IPs de los suscriptores del ISP.
- Bloqueo del puerto 25 ES bloquear todo el tráfico DE SALIDA de las
direciones IPs de los suscriptores del ISP que tengan como destino el
puerto TCP/25 de cualquier IP en Internet, EXCEPTO las IPs de sus
suscriptores que se sabe que están definidas como servidores de correo
electrónico.
- El bloqueo del puerto 25 NO ESTÁ restringido a IPv4, ya sea con
direcciones IPv4 públicas o direcciones IPv4 CGNAT.
- El bloqueo del puerto 25 DEBE implementarse tanto en el protocolo IPv4
como en el protocolo IPv6.
P.D.: Este es un error frecuente que veo que sucede aquí en Brasil... Los
colegas olvidan que tienen que lidiar con la seguridad de IPv6 de la misma
manera que tienen que lidiar con la seguridad de IPv4.
- El bloqueo del puerto 25 NO ES aplicado en el firewall Statefull (no es
necesario). Las reglas de firewall stateless son suficientemente efectivas
para cumplir esta función.
En otras palabras: no necesita un hardware Statefull Firewall para realizar
esta acción. Estas reglas se pueden aplicar en B-RAS/BNG, en un
Switch-Router L3 o en un BGP Border común.
Em ter., 11 de abr. de 2023 às 10:23, Javier Galvez vía LACNOG <
lacnog en lacnic.net> escreveu:
> Desde mi humilde punto de vista...
>
> 1) NO se tiene que OBLIGAR al ISP a bloquear el puerto 25
>
> 2) los ISP's que provean servicios "domesticos" ya sea con NAT CG-NAT o
> alguna forma identificable a usuarios finales domesticos (gpon adsl)
> tendrian que bloquear totalmente a esos usuarios... ahora bien si por algun
> ERROR proveen el mismo servicio "domestico" a grandes corporaciones, quiza
> "invitar" a esas grandes corporaciones/gobierno a migrar a servicios donde
> el puerto 25 SI este abierto.
>
> 3) los servicios ONLINE, DIA, BGP IP TRANSIT no tienen que tener filtrado
> el puerto 25 ya que son de transito y se supone que el usuario de estos
> servicios administrara adecuadamente sus servidores
>
> Salu2,
>
> Javier Galvez Funes
>
> *Latin America and Caribbean Region Network Operators Group
> <lacnog en lacnic.net <lacnog en lacnic.net>> on April 11, 2023 at 09:13 -0300
> wrote:*
> Douglas, buenos días.
>
> Como estas?
>
> Creo que como punto de partida, este es un tema que podrías llevar al
> grupo Antiabuse de LACNOG, coordinado por Lucimara. Allí encontrarás
> suficientes argumentos sobre la relevancia de implementar algo así o si en
> las actuales circunstancias no resulta de gran provecho. En caso de tener
> un feedback positivo, de ahí puede salir una buena práctica; trabajada y
> divulgada desde el grupo BCOP de LACNOG, que tu diriges. Si se considera
> relevante el tema, también pueden presentar algún trabajo en la
> convocatoria de LACNOG2023, a realizarse en el mes de octubre.
>
> Saludos,
> Jorge
>
>
>
>
> *De: *LACNOG <lacnog-bounces en lacnic.net> en nombre de Douglas Fischer <
> fischerdouglas en gmail.com>
> *Responder a: *Latin America and Caribbean Region Network Operators Group
> <lacnog en lacnic.net>
> *Fecha: *martes, 11 de abril de 2023, 4:52 a. m.
> *Para: *Latin America and Caribbean Region Network Operators Group <
> lacnog en lacnic.net>
> *Asunto: *[lacnog] LACNIC - Bloqueo del puerto 25 - Hogares
>
>
>
> ¿Tiene sentido crear una campaña para implementar el bloqueo del puerto 25
> para los operadores de red cubiertos por LACNIC?
>
> ¿Si no, porque no?
>
> En caso afirmativo, ¿cómo iniciarlo?
>
> P.D.: Si por casualidad estoy hablando de cosas que ya son temas agotados,
> pido disculpas.
>
>
>
>
> --
>
> Douglas Fernando Fischer
> Engº de Controle e Automação
>
> _______________________________________________ LACNOG mailing list
> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar
> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20230411/62c17605/attachment.htm>
Más información sobre la lista de distribución LACNOG