[lacnog] LACNIC - Bloqueo del puerto 25 - Hogares

Douglas Fischer fischerdouglas en gmail.com
Mar Abr 11 12:35:15 -03 2023 

Hola nico. ¡Gracias por la respuesta!

De tu discurso me vienen a la mente 2 puntos...

1- Tú y yo, y ciertamente más del 50% de los que se suscriben a esta lista
no pueden ser clasificados como usuarios comunes. ¿Estás de acuerdo?

2- Opt-Out.
No soy un indexador de RFC estándar de IEEE como algunos de nuestros
colegas que recuerdan casi todos los números de RFC de la cabeza.
Pero muchos de las RFC/Standards hacen recomendaciones de buenas prácticas
y se basan en la posibilidad de que el usuario final pueda elegir
libremente no estar entre los bloqueados.

Para operacionalizar el punto 2 existen infinitas metodologías.
Desde cosas un poco más elaboradas como un B-RAS que acepta AV-Pairs Radius
en el que se especifican excepciones a las reglas de Firewall.
Hasta una simples separación en pools de IP cubiertos o no por estas reglas
stateless, y asignando el cliente a este o aquel grupo.

Em ter., 11 de abr. de 2023 às 12:20, Nicolas Antoniello <
nantoniello en gmail.com> escreveu:

> Hola Douglas... Yo en casa a menudo hago tests y laboratorios sobre correo
> electrónico y envío correos con destino al puerto 25 desde servidores de
> correo que ejecuto en máquinas virtuales en casa (y ninguno es con fines
> maliciosos). Y asumo que varios de los que estamos en esta lista al menos
> alguna vez requerimos hacer algo de esto.
> Entiendo que eso dejaría de funcionar por ejemplo...
>
> En un caso general y personalmente no estoy de acuerdo con ningún tipo de
> bloqueo preventivo de puertos entrantes o salientes a ningún tipo de
> cliente.
> Creo que siempre deberían aplicarse otros métodos para filtrar que no
> impliquen bloqueos de parte de los operadores a sus clientes.
>
> Fraternos saludos,
> Nico
>
>
> El mar, 11 abr 2023 a la(s) 12:08, Douglas Fischer (
> fischerdouglas en gmail.com) escribió:
>
>> Creo que me he expresado de forma insuficientemente clara, y esto ha dado
>> lugar a una mala interpretación.
>> Pido desculpas.
>>
>> - El bloqueo del puerto 25 NO ES bloquear el tráfico ENTRANTE con destino
>> al puerto 25 de las direciones IPs de los suscriptores del ISP.
>> - Bloqueo del puerto 25 ES bloquear todo el tráfico DE SALIDA de las
>> direciones IPs de los suscriptores del ISP que tengan como destino el
>> puerto TCP/25 de cualquier IP en Internet, EXCEPTO las IPs de sus
>> suscriptores que se sabe que están definidas como servidores de correo
>> electrónico.
>>
>> - El bloqueo del puerto 25 NO ESTÁ restringido a IPv4, ya sea con
>> direcciones IPv4 públicas o direcciones IPv4 CGNAT.
>> - El bloqueo del puerto 25 DEBE implementarse tanto en el protocolo IPv4
>> como en el protocolo IPv6.
>> P.D.: Este es un error frecuente que veo que sucede aquí en Brasil... Los
>> colegas olvidan que tienen que lidiar con la seguridad de IPv6 de la misma
>> manera que tienen que lidiar con la seguridad de IPv4.
>>
>> - El bloqueo del puerto 25 NO ES aplicado en el firewall Statefull (no es
>> necesario). Las reglas de firewall stateless son suficientemente efectivas
>> para cumplir esta función.
>> En otras palabras: no necesita un hardware Statefull Firewall para
>> realizar esta acción. Estas reglas se pueden aplicar en B-RAS/BNG, en un
>> Switch-Router L3 o en un BGP Border común.
>>
>> Em ter., 11 de abr. de 2023 às 10:23, Javier Galvez vía LACNOG <
>> lacnog en lacnic.net> escreveu:
>>
>>> Desde mi humilde punto de vista...
>>>
>>> 1) NO se tiene que OBLIGAR al ISP a bloquear el puerto 25
>>>
>>> 2) los ISP's que provean servicios "domesticos" ya sea con NAT CG-NAT o
>>> alguna forma identificable a usuarios finales domesticos (gpon adsl)
>>> tendrian que bloquear totalmente a esos usuarios... ahora bien si por algun
>>> ERROR proveen el mismo servicio "domestico" a grandes corporaciones, quiza
>>> "invitar" a esas grandes corporaciones/gobierno a migrar a servicios donde
>>> el puerto 25 SI este abierto.
>>>
>>> 3) los servicios ONLINE, DIA, BGP IP TRANSIT no tienen que tener
>>> filtrado el puerto 25 ya que son de transito y se supone que el usuario de
>>> estos servicios administrara adecuadamente sus servidores
>>>
>>> Salu2,
>>>
>>> Javier Galvez Funes
>>>
>>> *Latin America and Caribbean Region Network Operators Group
>>> <lacnog en lacnic.net <lacnog en lacnic.net>> on April 11, 2023 at 09:13 -0300
>>> wrote:*
>>> Douglas, buenos días.
>>>
>>> Como estas?
>>>
>>> Creo que como punto de partida, este es un tema que podrías llevar al
>>> grupo Antiabuse de LACNOG, coordinado por Lucimara. Allí encontrarás
>>> suficientes argumentos sobre la relevancia de implementar algo así o si en
>>> las actuales circunstancias no resulta de gran provecho. En caso de tener
>>> un feedback positivo, de ahí puede salir una buena práctica; trabajada y
>>> divulgada desde el grupo BCOP de LACNOG, que tu diriges. Si se considera
>>> relevante el tema, también pueden presentar algún trabajo en la
>>> convocatoria de LACNOG2023, a realizarse en el mes de octubre.
>>>
>>> Saludos,
>>> Jorge
>>>
>>>
>>>
>>>
>>> *De: *LACNOG <lacnog-bounces en lacnic.net> en nombre de Douglas Fischer <
>>> fischerdouglas en gmail.com>
>>> *Responder a: *Latin America and Caribbean Region Network Operators
>>> Group <lacnog en lacnic.net>
>>> *Fecha: *martes, 11 de abril de 2023, 4:52 a. m.
>>> *Para: *Latin America and Caribbean Region Network Operators Group <
>>> lacnog en lacnic.net>
>>> *Asunto: *[lacnog] LACNIC - Bloqueo del puerto 25 - Hogares
>>>
>>>
>>>
>>> ¿Tiene sentido crear una campaña para implementar el bloqueo del puerto
>>> 25 para los operadores de red cubiertos por LACNIC?
>>>
>>> ¿Si no, porque no?
>>>
>>> En caso afirmativo, ¿cómo iniciarlo?
>>>
>>> P.D.: Si por casualidad estoy hablando de cosas que ya son temas
>>> agotados, pido disculpas.
>>>
>>>
>>>
>>>
>>> --
>>>
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>>
>>> _______________________________________________ LACNOG mailing list
>>> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar
>>> suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>>
>>> _______________________________________________
>>> LACNOG mailing list
>>> LACNOG en lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/lacnog
>>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>>
>>
>>
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20230411/06dfeda5/attachment-0001.htm>

Más información sobre la lista de distribución LACNOG