[GTER] Statefull firewall em frente a servidores
Julio Arruda
jarruda-gter at jarruda.com
Tue Jan 12 14:00:08 -02 2010
On Jan 12, 2010, at 10:41 AM, MARLON BORBA wrote:
> Pessoalmente entendo impossível mitigar ataques de DDoS sem a
> participação do "upstream"; ou seja, a "infra" do cliente, por si
> própria, não é mais o bastante. Isso quer dizer que os "firewalls",
Depende do tipo de DDoS, este ultimo ano teve uma incidencia tambem de 'slowloris' e parentes, onde o ataque nao era tao grande, so que 'ardiloso'...E clientes colocaram scrubbers 'tambem' do lado deles, para ter mais controle..
> isoladamente, não contribuem para evitá-los ou para terminá-los, e
> portanto a postura do seu colega é, sob essa ótica, aceitável.
Por ai, so que como eles discutem, vai convencer quem comprou um deles 'para DDoS', como a panaceia..
>
> No entanto, NÃO acho que o abandono dos "stateful firewalls" (com um L
> só, ou com dois?!) seja uma boa idéia. Eles foram úteis para simplificar
> a criação de regras (até porque eliminaram o processo manual de criá-las
> para a ida e para a volta do tráfego). O fato de os ladrões disporem de
> pés-de-cabra não significa que as fechaduras e as portas devam ser
> jogadas fora.
O problema e' se eles se tornam um ponto-de-falha...
Eu sou a favor a sugestao do Roland, se alguem tem preocupacao, teste o mesmo..
>
>
>
>>>> Em 12/1/2010 às 13:18, Julio Arruda <jarruda-gter at jarruda.com>
> gravou:
>
> [...]
>
>> Eu pessoalmente ja vi FWs caindo em DDoS, e pessoas que frequentam
> esta
>> lista certamente viram o mesmo.
>> Ja vi SLB caindo com DDoS, idem para outras pessoas aqui nesta
> lista.
>> Se trata de entender as limitacoes, e os cenarios de uso.
>
> [...]
>
> --
>
> Abraços,
>
> Marlon Borba, CISSP, APC DataCenter Associate
> Técnico Judiciário · Segurança da Informação
> IPv6 Evangelist · Moreq-Jus Evangelist
> Comissão Local de Resposta a Incidentes - CLRI
> TRF 3 Região
> (11) 3012-1581
> --
> Follow me on Twitter!
> twitter.com/mborba
> --
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list