[GTER] Statefull firewall em frente a servidores

Artur Renato Araujo da Silva artur at css.com.br
Tue Jan 12 15:35:35 -02 2010 

Existe uma outra linha de pensamento, que em *alguns casos* pode fazer muito sentido, que é trocar o firewall de rede por um firewall local nos servidores. Logicamente, levando em consideração o problemas de administração, escalabilidade,  etc.

Artur


-------------- next part --------------


On Jan 12, 2010, at 3:00 PM, Wagner Elias wrote:

> Oi Renato,
> 
> está visão é muito comum e completamente equivocada na minha humilde opinião:
> 
> "Só vejo gente falar que não gosta de firewall na frente da rede
> porque é um ponto de falha.. OK, adicione CARP e adicione mais
> servidores até atender a redundância desejada!"
> 
> Uma análise e definição equivocada de arquitetura pode levar a
> aquisição de muito mais recursos que o necessário, aumentando o custo,
> complexidade e mão de obra para administração sem necessidade.
> 
> E esta thread é claramente uma discussão de qual a melhor solução
> levando em consideração seu custo benefício. Sim, você pode ter um
> bocado de máquina parrudas e segurar um stateful, mas para que isto se
> você não precisa? Concordo com as observações do Rubens e Nelson,
> stateful tem muitos recursos, mas estes recursos em muitas situações
> não são necessários.
> 
> Abs.
> 
> 2010/1/12 Renato Frederick <frederick at dahype.org>:
>> Ótima discussão!
>> 
>>> Certamente o que o Roland menciona não se aplica a ambiente de médio
>>> porte, onde alguns GB a mais de RAM permite ter um numero de states alto
>>> suficiente para não ser exaurido em um DDoS antes da propria largura de
>>> banda exaurir.
>> 
>> concordo com você.
>>> 
>>> Concordo que statefull seja uma enorme buraco na armadura que expõe o
>>> calcanhar. Por isso recentemente quando um famoso firewall open source
>>> BSD transformou-se em "stateful por padrão" eu discuti com as pessoas
>>> envolvidas implorando por uma sysctl ao menos que retornasse o
>>> comportamento anterior. Pra mim o "keep state" implícito é tiro no pé.
>>> Stateles e stateful não podem ser mutuamente exclusivos. Não em cenário
>>> amplo.
>>> 
>> 
>> Já vi cenários infestados por esta "onda" de ameaças zumbis  na qual teve
>> muito deste firewall citado emcima de hardware modesto não dar conta, Da
>> mesma maneira que já vi muito firewall montado manualmente com regras do
>> tipo "ipfw allow tcp from $rede_interna 1024-65535 to any 1-1023 keep-state"
>> Uma solução paliativa até passarem antivirus e etc foi transformar isto em
>> 
>> ipfw allow tcp from $rede_interna 1024-65535 to any 1-1023
>> ipfw allow tcp from amu 1-1023 to $rede_interna
>> 
>> 
>> 
>>> Mas é importante enfatizar que a conversa na nanog não é sobre ter ou
>>> não ter firewall. É ter ou não stateful.
>> 
>> Exatamente, há cenários que o statefull não vai atender ou vai atender a um
>> custo de hardware muito grande.
>> 
>> 
>>> 
>>> Não resolve, mas dificulta a exaustão da tabela de estado, e permite
>>> evitar hard-limit no número de entradas na tabela. Isso so enfatiza o
>>> meu entendimento supracitado que stateful e stateles não podem ser
>>> mutuamente exclusivos. Mas concluir simplesmente que é melhor ficar sem
>>> firewall do que com firewall, também não pode.
>>> 
>> 
>> Só vejo gente falar que não gosta de firewall na frente da rede porque é um
>> ponto de falha.. OK, adicione CARP e adicione mais servidores até atender a
>> redundância desejada!
>> 
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> 
> 
> 
> -- 
> Wagner Elias - OWASP Leader Project Brazil
> ------------------------------------------------------------------
> Twitter: www.twitter.com/welias
> Blog: http://wagnerelias.com
> Profile: http://www.linkedin.com/in/wagnerelias
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list