[GTER] Statefull firewall em frente a servidores

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Tue Jan 12 13:40:49 -02 2010


Fernando Ulisses dos Santos escreveu:
> Ricardo,
> 
> Vou ter que discordar de você, existem N motivos para um firewall ajudar
> na segurança, na mesma thread, Robert Brockway elencou todos os que
> vieram na minha mente e mais alguns:
> http://mailman.nanog.org/pipermail/nanog/2010-January/016785.html
> 
> É muita ingenuidade ter um servidor sem firewall e acreditar estar
> seguro com todos os possíveis bugs, erros do administrador, portas
> abertas desnecessariamente. Só o fato de ser um único ponto de controle
> já justifica operacionalmente: menor custo.
> 
> Fernando Ulisses dos Santos

A thread é muito boa. Eu acompanho a opinião do Roland na nanog e
enquanto pouco contida, é tipicamente de uma pessoa de campo. Os
argumentos dele são completamente adequados, na minha opinião pessoal e
logico, dentro do dimensionamento de cenário que ele está acostumado.

Certamente o que o Roland menciona não se aplica a ambiente de médio
porte, onde alguns GB a mais de RAM permite ter um numero de states alto
suficiente para não ser exaurido em um DDoS antes da propria largura de
banda exaurir.

Concordo que statefull seja uma enorme buraco na armadura que expõe o
calcanhar. Por isso recentemente quando um famoso firewall open source
BSD transformou-se em "stateful por padrão" eu discuti com as pessoas
envolvidas implorando por uma sysctl ao menos que retornasse o
comportamento anterior. Pra mim o "keep state" implícito é tiro no pé.
Stateles e stateful não podem ser mutuamente exclusivos. Não em cenário
amplo.

Mas é importante enfatizar que a conversa na nanog não é sobre ter ou
não ter firewall. É ter ou não stateful.

Um dos funding request aberto no Projeto FreeBSD pelo Andre Oppermann
(slot pra Juniper) por exemplo, é pra (1) permitir o dimensionamento por
demanda das regras stateful, pra (2) impor limites globais de state-rate
e finalmente (3) criar um algorítimo de state-recycle que decida quando
excluir uma entrada da tabela em favor de uma nova recém iniciada,
quando novas entradas simplesmente não puderem mais ser criadas - e ser
mais seletivo antes de gerar o state, tratando por exemplo um syn sem
ack e o restante do 3-way handshake como stateless, gerando state de
fato só quando o handshake completar.

Não resolve, mas dificulta a exaustão da tabela de estado, e permite
evitar hard-limit no número de entradas na tabela. Isso so enfatiza o
meu entendimento supracitado que stateful e stateles não podem ser
mutuamente exclusivos. Mas concluir simplesmente que é melhor ficar sem
firewall do que com firewall, também não pode.

-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"




More information about the gter mailing list