[GTER] Statefull firewall em frente a servidores

Wagner Elias wagner.elias at gmail.com
Tue Jan 12 15:00:16 -02 2010


Oi Renato,

está visão é muito comum e completamente equivocada na minha humilde opinião:

"Só vejo gente falar que não gosta de firewall na frente da rede
porque é um ponto de falha.. OK, adicione CARP e adicione mais
servidores até atender a redundância desejada!"

Uma análise e definição equivocada de arquitetura pode levar a
aquisição de muito mais recursos que o necessário, aumentando o custo,
complexidade e mão de obra para administração sem necessidade.

E esta thread é claramente uma discussão de qual a melhor solução
levando em consideração seu custo benefício. Sim, você pode ter um
bocado de máquina parrudas e segurar um stateful, mas para que isto se
você não precisa? Concordo com as observações do Rubens e Nelson,
stateful tem muitos recursos, mas estes recursos em muitas situações
não são necessários.

Abs.

2010/1/12 Renato Frederick <frederick at dahype.org>:
> Ótima discussão!
>
>> Certamente o que o Roland menciona não se aplica a ambiente de médio
>> porte, onde alguns GB a mais de RAM permite ter um numero de states alto
>> suficiente para não ser exaurido em um DDoS antes da propria largura de
>> banda exaurir.
>
> concordo com você.
>>
>> Concordo que statefull seja uma enorme buraco na armadura que expõe o
>> calcanhar. Por isso recentemente quando um famoso firewall open source
>> BSD transformou-se em "stateful por padrão" eu discuti com as pessoas
>> envolvidas implorando por uma sysctl ao menos que retornasse o
>> comportamento anterior. Pra mim o "keep state" implícito é tiro no pé.
>> Stateles e stateful não podem ser mutuamente exclusivos. Não em cenário
>> amplo.
>>
>
> Já vi cenários infestados por esta "onda" de ameaças zumbis  na qual teve
> muito deste firewall citado emcima de hardware modesto não dar conta, Da
> mesma maneira que já vi muito firewall montado manualmente com regras do
> tipo "ipfw allow tcp from $rede_interna 1024-65535 to any 1-1023 keep-state"
> Uma solução paliativa até passarem antivirus e etc foi transformar isto em
>
> ipfw allow tcp from $rede_interna 1024-65535 to any 1-1023
> ipfw allow tcp from amu 1-1023 to $rede_interna
>
>
>
>> Mas é importante enfatizar que a conversa na nanog não é sobre ter ou
>> não ter firewall. É ter ou não stateful.
>
> Exatamente, há cenários que o statefull não vai atender ou vai atender a um
> custo de hardware muito grande.
>
>
>>
>> Não resolve, mas dificulta a exaustão da tabela de estado, e permite
>> evitar hard-limit no número de entradas na tabela. Isso so enfatiza o
>> meu entendimento supracitado que stateful e stateles não podem ser
>> mutuamente exclusivos. Mas concluir simplesmente que é melhor ficar sem
>> firewall do que com firewall, também não pode.
>>
>
> Só vejo gente falar que não gosta de firewall na frente da rede porque é um
> ponto de falha.. OK, adicione CARP e adicione mais servidores até atender a
> redundância desejada!
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias



More information about the gter mailing list