[GTER] Statefull firewall em frente a servidores
Rubens Kuhl
rubensk at gmail.com
Tue Jan 12 14:23:53 -02 2010
> O problema e' se eles se tornam um ponto-de-falha...
> Eu sou a favor a sugestao do Roland, se alguem tem preocupacao, teste o mesmo..
As maiores redes em tráfego Internet do país usam stateless e estão
contentes com isso. Contribuem para essa percepção:
- A solidez mostrada na última década dos stacks IP de hosts
(curiosamente temos mais problemas em stacks de roteadores do que de
hosts...)
- Ser possível de forma stateless jogar fora diversas combinações de
flags TCP inválidas ou indesejáveis (PSH, URG) deixando apenas
possibilidades SYN/ACK/FIN/RST (e não todas as 16, apenas as válidas)
em sistemas como o JunOS (set tcp-flags "syn|ack")
- Poder se construir ACLs corretamente sem "any any established"
- O risco decrescente de falhas de infra-estrutura da rede e o risco
crescente de falhas de aplicação
Agora, se numa determinada situação stateful firewall parece fazer
sentido, nada impede uma solução stateless de perímetro (permit tcp
any host xx eq 80 ; permit tcp host xx eq 80 any) combinada a uma
regra stateful na própria máquina (iptables -A INPUT -i eth0 -p tcp
--destination-port 80, eventualmente com mais requintes usando -m
state). Isso mataria alguns resquícios de fragment reassembly onde
stateless não tem toda a visão (mas ainda sim podem aplicar controles
de vazão).
Rubens
More information about the gter
mailing list