[GTER] RES: Statefull firewall em frente a servidores

Anderson Grande anderson.grande at bamo.com.br
Tue Jan 12 17:56:30 -02 2010 

Boa tarde,

    Acho que muitos problemas de DOS/DDOS, decorre também de muitos administradores deixarem toda a carga para inspeções stateful do firewall, ao invés de darem uma diminuída nessa carga fazendo alguns filtros stateless no roteador de borda.Agora existem os casos onde se tem muita carga, que se usam apenas os filtros stateless mas acompanhado de alguma outra ferramenta de segurança que nem o caso da Microsoft que já foi comentado anteriormente(http://blogs.technet.com/fcima/archive/2007/07/21/como-funciona-o-site-microsoft-com.aspx).
    Sozinho stateless, creio que seja ineficaz nos dias de hoje.

Anderson Grande
Bamo Infra-Estrutura & Networking


-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Henrique de Moraes Holschuh
Enviada em: terça-feira, 12 de janeiro de 2010 15:40
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Statefull firewall em frente a servidores

MARLON BORBA wrote:
> Mas isso não torna a gerência trabalhosa, além de multiplicar os
> possíveis pontos de falha?

Sim. Acaba sendo necessário em alguns casos, porque os servidores *são*
plataformas de ataque quando subvertidos.  Mas essas firewalls costumam
ser bem mais simples que as firewalls centrais, e você pode montá-las
baseadas em templates dependentes de quais serviços estão locados
naquele servidor.

O uso de ferramentas melhores para firewalls distribuídas facilitaria em
muito.

Agora, a grande pergunta é: stateful ou stateless em servidor final?  A
stateful é *MUITO* mais fácil de configurar corretamente nesse caso, e a
necessidade de aguentar um DoS direto contra os recursos da firewall
stateful não é clara como em uma firewall de rede ou de borda...

--
Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
IM@ - Informática de Municípios Associados
Engenharia de Telecomunicações
TEL +55-19-3755-6555/CEL +55-19-9293-9464

Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
e do custo que você pode evitar.
--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list