[GTER] Statefull firewall em frente a servidores
Julio Arruda
jarruda-gter at jarruda.com
Tue Jan 12 14:55:33 -02 2010
On Jan 12, 2010, at 11:23 AM, Rubens Kuhl wrote:
>> O problema e' se eles se tornam um ponto-de-falha...
>> Eu sou a favor a sugestao do Roland, se alguem tem preocupacao, teste o mesmo..
>
> As maiores redes em tráfego Internet do país usam stateless e estão
> contentes com isso. Contribuem para essa percepção:
> - A solidez mostrada na última década dos stacks IP de hosts
> (curiosamente temos mais problemas em stacks de roteadores do que de
> hosts...)
Acho que problemas era que a superficie de ataque em hosts era vista como maior, e mais gente 'esgotando' este caminho primeiro :-)
Eu mesmo em varios planos de prova/aceitacao para deployments, tive que ter o texto alterado para dar a entender que a simulacao PODE ou nao derrubar a maquina de teste... Dependendo de quanta 'paulada' o cliente pode ter de simulacao de ataque..Tem casos em que o servidor de testes nao cai mais :-)..
> - Ser possível de forma stateless jogar fora diversas combinações de
> flags TCP inválidas ou indesejáveis (PSH, URG) deixando apenas
> possibilidades SYN/ACK/FIN/RST (e não todas as 16, apenas as válidas)
> em sistemas como o JunOS (set tcp-flags "syn|ack")
E' uma das mitigacoes defaults do TMS filtrar de cara algumas combinacoes invalidas mais obvias, "xmas tree" e TCP Null flags.. :-).
Quais seriam as ACLs padroes para IOS/IOS-XR e Junos para limpar estes 'galhos pequenos' ?
> - Poder se construir ACLs corretamente sem "any any established"
> - O risco decrescente de falhas de infra-estrutura da rede e o risco
> crescente de falhas de aplicação
>
> Agora, se numa determinada situação stateful firewall parece fazer
> sentido, nada impede uma solução stateless de perímetro (permit tcp
> any host xx eq 80 ; permit tcp host xx eq 80 any) combinada a uma
> regra stateful na própria máquina (iptables -A INPUT -i eth0 -p tcp
> --destination-port 80, eventualmente com mais requintes usando -m
> state). Isso mataria alguns resquícios de fragment reassembly onde
> stateless não tem toda a visão (mas ainda sim podem aplicar controles
> de vazão).
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list