[GTER] FreeBSD + OpenBGPD

Neerlan Amorim neerlan at gmail.com
Tue Jun 26 19:38:53 -03 2012


Patrick,

Já tive este problema com firewall statefull.

Em 25 de junho de 2012 13:30, Patrick Tracanelli <
eksffa at freebsdbrasil.com.br> escreveu:

>
> Em 23/06/2012, às 13:05, Marcelo B. escreveu:
>
> > Luiz Henrique, eu uso esse cenario aqui, e uso as seguintes tecnicas:
> >
> > Na LAN CARP.
> > Na WAN, sempre duas sessoes BGP, uma em cada router, com "set
> prepend-self
> > 2" no backup.
> > Firewall, pf + pfsync.
> >
> > O unico problema desse cenario e o firewall statefull. Em um ataque tem
> > grandes chances de capotar,
> > como ja aconteceu algumas vezes. Por isso estou buscando outra solucao.
>
> Usar firewall stateful na sua primeira camada de proteção (firewall 1) já
> é tiro no pé. Na borda então é suicídio declarado. Essa prática já tirou do
> ar Credicard, Visa Europa, tribunais de justiça aqui da terrinha, agências
> militares, sites de governo, e até um grande gateway de pagamento
> tupiniquim em pleno dia das mães.
>
> Os anonymous, lulzsec e demais grupos que webLOICs da vida agradecem a
> facilidade em estourar seu limite de states. Isso quando não é o consumo
> autêntico que estoura.
>
> Em Janeiro de 2010 teve uma discussão muito interessante sobre o assunto,
> na lista NANOG numa thread chamada "I don't need no stinking firewall!"
> inicada pelo Brian Johson da DRN e esbugalhada pelo Roland da Arbor
> Networks. Sugiro fortemente a leitura crítica da thread... em Dezembro do
> mesmo ano a "teoria" se mostrou prática na Operação Payback dos Anymous
> contra a VISA.
>
> Essa prática (stateful em borda, em tier1 e afins) facilita a
> des-estabilização da Segurança da Informação sob a visão mais simplista, a
> da ISO 17799 onde o D (Disponibilidade) da tríade CID torna-se tão frágil
> que uma criança munida de fping2, hping, slowloris e outras ferramentas
> simples, se torna uma ameaça.
>
> O curioso é que todos os "portes" de negócio, de pequenas empresas a
> grandes provedores de conteúdo, de escolinhas municipais a grandes orgãos
> federais, todos tem histórico de ter enfrentado esse problema... que é
> conhecido, óbvio, simples, intuitivo... no entanto todos continuam errando
> igual. Isso porque as melhores práticas já documentam desde a Rainbow
> Series da NSA sugestões sobre como atuar... desde a década de 80.
>
> Old times. Old school. Old mistakes...
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 at sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Neerlan Amorim



More information about the gter mailing list