[GTER] O que deve estar na fronteira externa de um ISP? Firewall + Roteador?

willian pires willian_pires at hotmail.com
Tue Mar 24 13:02:45 -03 2015 

Na borda nada.
Desvie via bgp o  "nexthop", roteamento de elementos que precisam de filtragem para um firewall local ai pode serbsd open ou free e linux também, concordo com um amigo que disse que tem que ser state-less, se a regras foremestáticas vc pode até utilizar acl em um switch v1910 que vai fazer muitas regras e não da lag no processamento, ainda mais se for em 1 só sentido.

Se vc ta tomando ataque do tipo udp packet len e bla bla bla, ai vc cai no freebsd com ipfw, mas na mesma lógicacaindo para um bsd router com isso.
Se vc ta tomando ataque da ordem de MPPS ai vc precisa de uma solução bridge com freebsd,NETMAP e placas de rede intel de 10Gb ou chelsio T4/T5.
Aqui eu uso uma solucao assim:
Zabbix tem o ip dos switches e roteadores da rede para monitoramento.Faço um sql que coleta todos os ips, e um script em perl que via snmp pega todos os ipsdaquele host, esse script alimenta um host com freebsd/openbgp que anuncia uma community aos meus routers de borda que devem desviar o trafego de entrada daqueles ips a um fw especifico, assim se um sw meu recebe tentativa de telnet snmp e etc ele ja vai para um fw onde eu filtro e tudo começa novamente.
Abraço.


> Date: Mon, 23 Mar 2015 12:11:47 -0300
> From: wilsonlopes00 at gmail.com
> To: gter at eng.registro.br
> Subject: Re: [GTER] O que deve estar na fronteira externa de um ISP? Firewall + Roteador?
> 
> Na borda fuja de controles stateful.
> 
> Em 21 de março de 2015 18:13, Osvaldo T Crispim Filho <osvaldotcf at gmail.com>
> escreveu:
> 
> > Então?
> > O melhor seria somente o pfSense (firewall e bgp) ou ele em bridge e o VyOS
> > pro BGP ?
> >
> > Em 21 de março de 2015 17:06, Fabiano Ribeiro <
> > fabiano.ribeiro at gerenciatec.com.br> escreveu:
> >
> > >      Dê uma olhada no datasheet da serverU por exemplo. Você vai
> > perceber a
> > > diferença de performance entre o freebsd e openbsd quando a necessidade é
> > > roteamento.
> > > Em 21/03/2015 16:22, "Paulo Henrique - BSDs Brasil" <
> > > paulo.rddck at bsd.com.br>
> > > escreveu:
> > >
> > > > Outro fator é que o firewall do OpenBSD ainda é mono-thread r não tem o
> > > > mesmo desempenho que o PF sobre FreeBSD ou mesmo o desempenho do IPFW
> > > >
> > > > A pilha de encaminhamento IP do FreeBSD é bem mais perfomatica.
> > > >
> > > > Não estou denegrindo o OpenBSD mais ele não é solução para roteamento
> > ou
> > > > filtragem de alto load.
> > > >
> > > > Att.
> > > > Enviado do meu smartphone Sony Xperia™
> > > >
> > > > ---- Bruno Cabral escreveu ----
> > > >
> > > > >Sim. Muito embora eu e outros prefiram filtros ativados por traps e
> > > > blackholes via bgp para os casos mais comuns
> > > > >
> > > > >Bem lembrado o tcp/25 e os filtros de smb da mico$oft. Adicionaria
> > dns e
> > > > ntp entrantes nessas regras
> > > > >
> > > > >!3runo
> > > > >
> > > > >> Date: Fri, 20 Mar 2015 15:04:51 -0300
> > > > >> From: osvaldotcf at gmail.com
> > > > >> To: gter at eng.registro.br
> > > > >> Subject: Re: [GTER] O que deve estar na fronteira externa de um ISP?
> > > > Firewall + Roteador?
> > > > >>
> > > > >> Não para os clientes, para o próprio sistema do provedor. Seria
> > > possível
> > > > >> proteger de ataque DDOS com o pfsense em Bridge?
> > > > >>
> > > > >> Em 20 de março de 2015 13:22, Bruno Cabral <bruno at openline.com.br>
> > > > escreveu:
> > > > >>
> > > > >> > "Sistema bom é aquele que você sabe usar".
> > > > >> >
> > > > >> > Se sua equipe domina Mikrotik e seus requisitos de banda são
> > baixos,
> > > > CCR é
> > > > >> > a primeira opção
> > > > >> >
> > > > >> > Se sua equipe tem disposição para aprender, Edgerouter (ou vyos
> > > > rodando em
> > > > >> > PC) vem em seguida, e logo após quagga (rodando em linux ou
> > freebsd)
> > > > ou
> > > > >> > openbgp (rodando em freebsd).
> > > > >> >
> > > > >> > Se seus requisitos de banda são elevados então Cisco (76xx, ASR)
> > ou
> > > > >> > Juniper (MX5) são opções lógicas.
> > > > >> >
> > > > >> > Provedor fazendo firewall na borda pros clientes? E o Marco Civil
> > > > permite
> > > > >> > isso?
> > > > >> >
> > > > >> > !3runo
> > > > >> >
> > > > >> > --
> > > > >> > Cursos e Consultoria BGP
> > > > >> >
> > > > >> > > Tenho um pequeno provedor de internet, não temos AS, BGB, etc
> > > > >> > > Estamos nos preparando para tanto.
> > > > >> > >
> > > > >> > > Gostaria de saber qual a prática correta hoje e quando tivermos
> > > > AS/BGB.
> > > > >> > > Firewall transparente e roteador?
> > > > >> > > pfSense transparente e VyOS é uma boa?
> > > > >> > > Apenas pfsense com OpenBGPd?
> > > > >> > >
> > > > >> > >              - Osvaldo T Crispim Filho -
> > > > >> >
> > > > >> >
> > > > >> > --
> > > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >> >
> > > > >>
> > > > >>
> > > > >>
> > > > >> --
> > > > >>              - Osvaldo T Crispim Filho -
> > > > >> --
> > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > >--
> > > > >gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> >              - Osvaldo T Crispim Filho -
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list