[lacnog] LACNIC - Bloqueo del puerto 25 - Hogares

Nicolas Antoniello nantoniello en gmail.com
Mar Abr 11 12:19:55 -03 2023 

Hola Douglas... Yo en casa a menudo hago tests y laboratorios sobre correo
electrónico y envío correos con destino al puerto 25 desde servidores de
correo que ejecuto en máquinas virtuales en casa (y ninguno es con fines
maliciosos). Y asumo que varios de los que estamos en esta lista al menos
alguna vez requerimos hacer algo de esto.
Entiendo que eso dejaría de funcionar por ejemplo...

En un caso general y personalmente no estoy de acuerdo con ningún tipo de
bloqueo preventivo de puertos entrantes o salientes a ningún tipo de
cliente.
Creo que siempre deberían aplicarse otros métodos para filtrar que no
impliquen bloqueos de parte de los operadores a sus clientes.

Fraternos saludos,
Nico


El mar, 11 abr 2023 a la(s) 12:08, Douglas Fischer (fischerdouglas en gmail.com)
escribió:

> Creo que me he expresado de forma insuficientemente clara, y esto ha dado
> lugar a una mala interpretación.
> Pido desculpas.
>
> - El bloqueo del puerto 25 NO ES bloquear el tráfico ENTRANTE con destino
> al puerto 25 de las direciones IPs de los suscriptores del ISP.
> - Bloqueo del puerto 25 ES bloquear todo el tráfico DE SALIDA de las
> direciones IPs de los suscriptores del ISP que tengan como destino el
> puerto TCP/25 de cualquier IP en Internet, EXCEPTO las IPs de sus
> suscriptores que se sabe que están definidas como servidores de correo
> electrónico.
>
> - El bloqueo del puerto 25 NO ESTÁ restringido a IPv4, ya sea con
> direcciones IPv4 públicas o direcciones IPv4 CGNAT.
> - El bloqueo del puerto 25 DEBE implementarse tanto en el protocolo IPv4
> como en el protocolo IPv6.
> P.D.: Este es un error frecuente que veo que sucede aquí en Brasil... Los
> colegas olvidan que tienen que lidiar con la seguridad de IPv6 de la misma
> manera que tienen que lidiar con la seguridad de IPv4.
>
> - El bloqueo del puerto 25 NO ES aplicado en el firewall Statefull (no es
> necesario). Las reglas de firewall stateless son suficientemente efectivas
> para cumplir esta función.
> En otras palabras: no necesita un hardware Statefull Firewall para
> realizar esta acción. Estas reglas se pueden aplicar en B-RAS/BNG, en un
> Switch-Router L3 o en un BGP Border común.
>
> Em ter., 11 de abr. de 2023 às 10:23, Javier Galvez vía LACNOG <
> lacnog en lacnic.net> escreveu:
>
>> Desde mi humilde punto de vista...
>>
>> 1) NO se tiene que OBLIGAR al ISP a bloquear el puerto 25
>>
>> 2) los ISP's que provean servicios "domesticos" ya sea con NAT CG-NAT o
>> alguna forma identificable a usuarios finales domesticos (gpon adsl)
>> tendrian que bloquear totalmente a esos usuarios... ahora bien si por algun
>> ERROR proveen el mismo servicio "domestico" a grandes corporaciones, quiza
>> "invitar" a esas grandes corporaciones/gobierno a migrar a servicios donde
>> el puerto 25 SI este abierto.
>>
>> 3) los servicios ONLINE, DIA, BGP IP TRANSIT no tienen que tener filtrado
>> el puerto 25 ya que son de transito y se supone que el usuario de estos
>> servicios administrara adecuadamente sus servidores
>>
>> Salu2,
>>
>> Javier Galvez Funes
>>
>> *Latin America and Caribbean Region Network Operators Group
>> <lacnog en lacnic.net <lacnog en lacnic.net>> on April 11, 2023 at 09:13 -0300
>> wrote:*
>> Douglas, buenos días.
>>
>> Como estas?
>>
>> Creo que como punto de partida, este es un tema que podrías llevar al
>> grupo Antiabuse de LACNOG, coordinado por Lucimara. Allí encontrarás
>> suficientes argumentos sobre la relevancia de implementar algo así o si en
>> las actuales circunstancias no resulta de gran provecho. En caso de tener
>> un feedback positivo, de ahí puede salir una buena práctica; trabajada y
>> divulgada desde el grupo BCOP de LACNOG, que tu diriges. Si se considera
>> relevante el tema, también pueden presentar algún trabajo en la
>> convocatoria de LACNOG2023, a realizarse en el mes de octubre.
>>
>> Saludos,
>> Jorge
>>
>>
>>
>>
>> *De: *LACNOG <lacnog-bounces en lacnic.net> en nombre de Douglas Fischer <
>> fischerdouglas en gmail.com>
>> *Responder a: *Latin America and Caribbean Region Network Operators
>> Group <lacnog en lacnic.net>
>> *Fecha: *martes, 11 de abril de 2023, 4:52 a. m.
>> *Para: *Latin America and Caribbean Region Network Operators Group <
>> lacnog en lacnic.net>
>> *Asunto: *[lacnog] LACNIC - Bloqueo del puerto 25 - Hogares
>>
>>
>>
>> ¿Tiene sentido crear una campaña para implementar el bloqueo del puerto
>> 25 para los operadores de red cubiertos por LACNIC?
>>
>> ¿Si no, porque no?
>>
>> En caso afirmativo, ¿cómo iniciarlo?
>>
>> P.D.: Si por casualidad estoy hablando de cosas que ya son temas
>> agotados, pido disculpas.
>>
>>
>>
>>
>> --
>>
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>>
>> _______________________________________________ LACNOG mailing list
>> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar
>> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20230411/0c80bc67/attachment-0001.htm>

Más información sobre la lista de distribución LACNOG