[GTER] Statefull firewall em frente a servidores
Henrique de Moraes Holschuh
henrique.holschuh at ima.sp.gov.br
Tue Jan 12 17:27:19 -02 2010
Nelson Murilo wrote:
> Na verdade stateful inspection faz (bem) mais do que eliminar necessidade
> de criacao de regras de retorno.
Sim, e é aí que mora o perigo.
Não se usa stateful como a primeira defesa, ela é a pior escolha
possível contra DDoS, DoS, e ataques sofisticados *contra a firewall em si*.
Uma firewall stateful precisa ser protegida por camadas stateless. E
precisa ser dimensionada cuidadosamente, já que demanda recursos e esta
demanda de recursos _está_ sobre controle indireto do atacante.
Note que nada impede que uma mesma caixa (ou sistema operacional, etc)
tenha camadas stateless, com um núcleo stateful devidamente protegido
pelas camadas stateless. Entretanto, o tal núcleo stateful SEMPRE será
um risco a mais.
--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464
Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
More information about the gter
mailing list