[GTER] Statefull firewall em frente a servidores

[Julio Arruda]

On Jan 12, 2010, at 10:41 AM, MARLON BORBA wrote:

> Pessoalmente entendo impossível mitigar ataques de DDoS sem a
> participação do "upstream"; ou seja, a "infra" do cliente, por si
> própria, não é mais o bastante. Isso quer dizer que os "firewalls",

Depende do tipo de DDoS, este ultimo ano teve uma incidencia tambem de 'slowloris' e parentes, onde o ataque nao era tao grande, so que 'ardiloso'...E clientes colocaram scrubbers 'tambem' do lado deles, para ter mais controle..

> isoladamente, não contribuem para evitá-los ou para terminá-los, e
> portanto a postura do seu colega é, sob essa ótica, aceitável.

Por ai, so que como eles discutem, vai convencer quem comprou um deles 'para DDoS', como a panaceia..

> 
> No entanto, NÃO acho que o abandono dos "stateful firewalls" (com um L
> só, ou com dois?!) seja uma boa idéia. Eles foram úteis para simplificar
> a criação de regras (até porque eliminaram o processo manual de criá-las
> para a ida e para a volta do tráfego). O fato de os ladrões disporem de
> pés-de-cabra não significa que as fechaduras e as portas devam ser
> jogadas fora.

O problema e'  se eles se tornam um ponto-de-falha...
Eu sou a favor a sugestao do Roland, se alguem tem preocupacao, teste o mesmo..

> 
> 
> 
>>>> Em 12/1/2010 às 13:18, Julio Arruda <jarruda-gter at jarruda.com>
> gravou:
> 
> [...]
> 
>> Eu pessoalmente ja vi FWs caindo em DDoS, e pessoas que frequentam
> esta 
>> lista certamente viram o mesmo.
>> Ja vi SLB caindo com DDoS, idem para outras pessoas aqui nesta
> lista.
>> Se trata de entender as limitacoes, e os cenarios de uso.
> 
> [...]
> 
> -- 
> 
> Abraços,
> 
> Marlon Borba, CISSP, APC DataCenter Associate
> Técnico Judiciário · Segurança da Informação
> IPv6 Evangelist · Moreq-Jus Evangelist
> Comissão Local de Resposta a Incidentes - CLRI
> TRF 3 Região
> (11) 3012-1581
> --
> Follow me on Twitter!
> twitter.com/mborba
> --
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter