[GTER] RES: Statefull firewall em frente a servidores

Wagner Elias wagner.elias at gmail.com
Tue Jan 12 18:00:18 -02 2010


Era esta referência que eu tinha procurado. ;-)

2010/1/12 Anderson Grande <anderson.grande at bamo.com.br>:
> Boa tarde,
>
>    Acho que muitos problemas de DOS/DDOS, decorre também de muitos administradores deixarem toda a carga para inspeções stateful do firewall, ao invés de darem uma diminuída nessa carga fazendo alguns filtros stateless no roteador de borda.Agora existem os casos onde se tem muita carga, que se usam apenas os filtros stateless mas acompanhado de alguma outra ferramenta de segurança que nem o caso da Microsoft que já foi comentado anteriormente(http://blogs.technet.com/fcima/archive/2007/07/21/como-funciona-o-site-microsoft-com.aspx).
>    Sozinho stateless, creio que seja ineficaz nos dias de hoje.
>
> Anderson Grande
> Bamo Infra-Estrutura & Networking
>
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Henrique de Moraes Holschuh
> Enviada em: terça-feira, 12 de janeiro de 2010 15:40
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Statefull firewall em frente a servidores
>
> MARLON BORBA wrote:
>> Mas isso não torna a gerência trabalhosa, além de multiplicar os
>> possíveis pontos de falha?
>
> Sim. Acaba sendo necessário em alguns casos, porque os servidores *são*
> plataformas de ataque quando subvertidos.  Mas essas firewalls costumam
> ser bem mais simples que as firewalls centrais, e você pode montá-las
> baseadas em templates dependentes de quais serviços estão locados
> naquele servidor.
>
> O uso de ferramentas melhores para firewalls distribuídas facilitaria em
> muito.
>
> Agora, a grande pergunta é: stateful ou stateless em servidor final?  A
> stateful é *MUITO* mais fácil de configurar corretamente nesse caso, e a
> necessidade de aguentar um DoS direto contra os recursos da firewall
> stateful não é clara como em uma firewall de rede ou de borda...
>
> --
> Henrique de Moraes Holschuh <hmh at ima.sp.gov.br>
> IM@ - Informática de Municípios Associados
> Engenharia de Telecomunicações
> TEL +55-19-3755-6555/CEL +55-19-9293-9464
>
> Antes de imprimir, lembre-se de seu compromisso com o Meio Ambiente
> e do custo que você pode evitar.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Wagner Elias - OWASP Leader Project Brazil
------------------------------------------------------------------
Twitter: www.twitter.com/welias
Blog: http://wagnerelias.com
Profile: http://www.linkedin.com/in/wagnerelias



More information about the gter mailing list