[GTER] FreeBSD + OpenBGPD

Patrick Tracanelli eksffa at freebsdbrasil.com.br
Mon Jun 25 14:30:17 -03 2012 

Em 23/06/2012, às 13:05, Marcelo B. escreveu:

> Luiz Henrique, eu uso esse cenario aqui, e uso as seguintes tecnicas:
> 
> Na LAN CARP.
> Na WAN, sempre duas sessoes BGP, uma em cada router, com "set prepend-self
> 2" no backup.
> Firewall, pf + pfsync.
> 
> O unico problema desse cenario e o firewall statefull. Em um ataque tem
> grandes chances de capotar,
> como ja aconteceu algumas vezes. Por isso estou buscando outra solucao.

Usar firewall stateful na sua primeira camada de proteção (firewall 1) já é tiro no pé. Na borda então é suicídio declarado. Essa prática já tirou do ar Credicard, Visa Europa, tribunais de justiça aqui da terrinha, agências militares, sites de governo, e até um grande gateway de pagamento tupiniquim em pleno dia das mães.

Os anonymous, lulzsec e demais grupos que webLOICs da vida agradecem a facilidade em estourar seu limite de states. Isso quando não é o consumo autêntico que estoura.

Em Janeiro de 2010 teve uma discussão muito interessante sobre o assunto, na lista NANOG numa thread chamada "I don't need no stinking firewall!" inicada pelo Brian Johson da DRN e esbugalhada pelo Roland da Arbor Networks. Sugiro fortemente a leitura crítica da thread... em Dezembro do mesmo ano a "teoria" se mostrou prática na Operação Payback dos Anymous contra a VISA.

Essa prática (stateful em borda, em tier1 e afins) facilita a des-estabilização da Segurança da Informação sob a visão mais simplista, a da ISO 17799 onde o D (Disponibilidade) da tríade CID torna-se tão frágil que uma criança munida de fping2, hping, slowloris e outras ferramentas simples, se torna uma ameaça.

O curioso é que todos os "portes" de negócio, de pequenas empresas a grandes provedores de conteúdo, de escolinhas municipais a grandes orgãos federais, todos tem histórico de ter enfrentado esse problema... que é conhecido, óbvio, simples, intuitivo... no entanto todos continuam errando igual. Isso porque as melhores práticas já documentam desde a Rainbow Series da NSA sugestões sobre como atuar... desde a década de 80.

Old times. Old school. Old mistakes...

--
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 at sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

More information about the gter mailing list