[GTER] Transparent Mode vs. NAT Mode

Rubens Kuhl rubensk at gmail.com
Tue Oct 5 14:15:05 -03 2010 

Seria interessante ver o que esse fornecedor que tão fortemente
defende modo NAT vai fazer com IPv6.

Quanto a IPv4, usar ou não NAT ser mais ou menos seguro vai estar num
escopo diferente do dispositivo de filtragem de borda, que são as
políticas e aplicações. Na minha experiência pessoal com aplicações
críticas em ambiente de alto tráfego, não dá para confiar isso só a um
dispositivo de filtragem de borda... algo que é natural que o
fornecedor tente convencer você a fazer, pois isso tornaria sua rede
mais dependente do produto dele, mas que vai contra o interesse da sua
organização.

E em se tendo cobertura múltipla dos níveis de risco, não é o
conhecimento de um IP que vai expor sua rede.

Você já resgatou a discussão stateless x stateful, mas eu vou deixar
mais um para você pensar: mesmo em stateful, os dispositivos de nome
comercial firewall não tem exclusividade. Dispositivos de
balanceamento de carga também característica stateful (dependendo de
produto e modo de operação), e pode adicionar controle stateful ao mix
de segurança sem a inclusão de um "stateful firewall", com a vantagem
de serem dispositivos normalmente orientados a alto tráfego.


Rubens



2010/10/5 Gustavo Moreira <listas at milenar.net>:
> Senhores,
>
> Há alguns meses houve uma discussão muito interessante aqui na lista sobre
> dois modos de operação de FWs: stateful ou stateless.
>
> Agora, após umas conversas com um fornecedor, estabeleceu-se uma discussão
> sobre qual método é mais seguro (ou menos inseguro) para um FW operar: modo
> NAT ou transparente, e também qual consumiria menos hardware. Não obtivemos
> uma resposta satisfatória/definitiva deste fornecedor, pois todos os
> argumentos (eles defendem fortemente o modo NAT) pareciam não se adequar ao
> meu ambiente -- tenho um tráfego considerável (ontem tivemos picos de
> 1.4Gbps, além de anunciarmos um /20).
>
> Alguém conhece um estudo "público" que compara ambas as soluções?
>
> Obrigado.
>
> Gustavo M.
>
> --
> "Há uma ingenuidade na mentira que é o indício da boa fé" - F. Nietzsche.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list