[GTER] Statefull firewall em frente a servidores

Tue Jan 12 14:07:05 -02 2010

Esta thread é bem interessante e adoro quando situações típicas são
questionadas, pois a maioria tem como um único preceito: "tem que ter
firewall".

Existem n situações onde não é necessário um firewall, porque ter um
se ele será só mais um ponto de falha? Um exemplo é um site com muito
acesso. (Existe um paper da Microsoft falando sobre o microsoft.com e
ele não tem nenhum tipo de firewall, as restrições são feitas direto
no host Infelizmente em um pesquisa rápida não encontrei).

Eu sei que a discussão é sobre ter ou não um stateful, a mesma questão
deve ser levantada. Por que manter estados se o serviço
disponibilizado não demanda tal recurso? É aquela velha história, pra
que deixar um firewall fazer todo processamento se uma triagem na
borda pode matar as requisições.

Abs.

2010/1/12 Julio Arruda <jarruda-gter at jarruda.com>:
>
> On Jan 12, 2010, at 10:41 AM, MARLON BORBA wrote:
>
>> Pessoalmente entendo impossível mitigar ataques de DDoS sem a
>> participação do "upstream"; ou seja, a "infra" do cliente, por si
>> própria, não é mais o bastante. Isso quer dizer que os "firewalls",
>
> Depende do tipo de DDoS, este ultimo ano teve uma incidencia tambem de 'slowloris' e parentes, onde o ataque nao era tao grande, so que 'ardiloso'...E clientes colocaram scrubbers 'tambem' do lado deles, para ter mais controle..
>
>> isoladamente, não contribuem para evitá-los ou para terminá-los, e
>> portanto a postura do seu colega é, sob essa ótica, aceitável.
>
> Por ai, so que como eles discutem, vai convencer quem comprou um deles 'para DDoS', como a panaceia..
>
>>
>> No entanto, NÃO acho que o abandono dos "stateful firewalls" (com um L
>> só, ou com dois?!) seja uma boa idéia. Eles foram úteis para simplificar
>> a criação de regras (até porque eliminaram o processo manual de criá-las
>> para a ida e para a volta do tráfego). O fato de os ladrões disporem de
>> pés-de-cabra não significa que as fechaduras e as portas devam ser
>> jogadas fora.
>
> O problema e'  se eles se tornam um ponto-de-falha...
> Eu sou a favor a sugestao do Roland, se alguem tem preocupacao, teste o mesmo..
>
>>
>>
>>
>>>>> Em 12/1/2010 às 13:18, Julio Arruda <jarruda-gter at jarruda.com>
>> gravou:
>>
>> [...]
>>
>>> Eu pessoalmente ja vi FWs caindo em DDoS, e pessoas que frequentam
>> esta
>>> lista certamente viram o mesmo.
>>> Ja vi SLB caindo com DDoS, idem para outras pessoas aqui nesta
>> lista.
>>> Se trata de entender as limitacoes, e os cenarios de uso.
>>
>> [...]
>>
>> --
>>
>> Abraços,
>>
>> Marlon Borba, CISSP, APC DataCenter Associate
>> Técnico Judiciário · Segurança da Informação
>> IPv6 Evangelist · Moreq-Jus Evangelist
>> Comissão Local de Resposta a Incidentes - CLRI
>> TRF 3 Região
>> (11) 3012-1581
>> --
>> Follow me on Twitter!
>> twitter.com/mborba
>> --
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias