[GTER] Statefull firewall em frente a servidores

Julio Arruda jarruda-gter at jarruda.com
Tue Jan 12 13:18:37 -02 2010


Uma coisa....Eu trabalho com o Roland la desta thread, e enquanto ele pode parecer 'radical' (acredite, internamente ele tem o mesmo tipo de postura :-), nao se pode dizer que ele NAO e' consistente), ele certamente tem muita experiencia com isto tudo.

Eu pessoalmente ja vi FWs caindo em DDoS, e pessoas que frequentam esta lista certamente viram o mesmo.
Ja vi SLB caindo com DDoS, idem para outras pessoas aqui nesta lista.
Se trata de entender as limitacoes, e os cenarios de uso.

PS: E ate onde entendo, na regiao, ainda nao tivemos ataques de 40Gbps :-) (que se diga de passagem, no caso da Coreia, nao foram ataques de muita banda..)

PS2: Eu trabalho na Arbor (como o Roland), portanto, usem um pouco de 'sal' na minha opiniao..


On Jan 12, 2010, at 10:10 AM, Gustavo Campos wrote:

> Todos os que você citou são tratados com suficiente eficiência por um
> firewall stateless (ou acl, ou whatever).
> 
> A questão eu não acho que é sim ou não firewall, mas o fato de
> statefull ser tiro de canhão pra matar andorinha.
> 
> 2010/1/12 Fernando Ulisses dos Santos <fernando at bluesolutions.com.br>:
>> Ricardo,
>> 
>> Vou ter que discordar de você, existem N motivos para um firewall ajudar na
>> segurança, na mesma thread, Robert Brockway elencou todos os que vieram na
>> minha mente e mais alguns:
>> http://mailman.nanog.org/pipermail/nanog/2010-January/016785.html
>> 
>> É muita ingenuidade ter um servidor sem firewall e acreditar estar seguro
>> com todos os possíveis bugs, erros do administrador, portas abertas
>> desnecessariamente. Só o fato de ser um único ponto de controle já justifica
>> operacionalmente: menor custo.
>> 
>> Fernando Ulisses dos Santos
>> 
>> 
>> 
>> 
>> Em 12-01-2010 00:10, Ricardo Rodrigues escreveu:
>>> 
>>> Está havendo uma discussão interessante na lista NANOG sobre a colocação
>>> ou
>>> não de firewall statefull em frente a servidores. O link da thread é
>>> http://mailman.nanog.org/pipermail/nanog/2010-January/016752.html, caso
>>> alguém queira acompanhar.
>>> 
>>> Quando se fala em segurança, a primeira palavra que vem à mente é
>>> Firewall.
>>> A segunda é IPS. Mas em várias situações, o que se observa é que estes
>>> equipamentos acabam por agravar um ataque D/DOS ou mesmo uma sobrecarga do
>>> sistema devido à tabela de estados mantida pelo firewall statefull. Pode
>>> parecer estranho, mas em várias situações situações pode-se (e deve-se)
>>> aumentar a segurança retirando-se o firewall statefull e colocando regras
>>> stateless (ACL, por exemplo).
>>> 
>>> Abs,
>>> Ricardo
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> 
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> 
> 
> 
> -- 
> Gustavo Campos
> Sistemas de Informação - UFMG
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list