[GTER] Melhor pratica para firewall de borda

Paulo Henrique paulo.rddck at bsd.com.br
Tue Mar 14 12:33:19 -03 2017


Primeiro, irá variar do tamanho do seu ambiente e objetivo do mesmo, se
você é ISP e possui volumetria de trafego exorbitante, > 2mpps e 5Gb/s,
então precisará trabalhar com varias soluções em paralelo a caixa BGP
evitando o maximo o consumo de processamento da mesma, Ex:

Intrusão não direcionada a caixa.
DDoS = coletagem por flow ou port mirror da WAN, tratamento do trafego
sobre blackhole, aqui vai ter que gastar com hardware e software adicional
e dependendo da operadora com o serviço de firewall deles, que nada mais é
do que o suporte a blackhole, que deveria ser obrigadorio para interconexão
de ASN, mas a maioria das operadoras tupiniquim so liberam sobre
contratação de serviço a parte.

Intrusão direcionada a caixa.
Portscanner, Brute force =Ignore, coloca regras em input permitindo o
acesso a caixa apenas de um range da LAN, de preferencia em um IP não
roteavel pela internet ( RFC1918 ), a segurança dependerá do trio ( Rede
Permitida, usuario conhecido e senha ), pode até usar um TACACS ou um
Radius com dois fatores de autenticação, não precisará se preocupar com
custo, todas as caixas fazem o basico, para intrusão direcionada exaurir a
capacidade de processamento de uma RE é quase impraticavel e o custo para
manter uma tentativa de intrusão direcionada a um router é proibitivo, DDoS
por exaustão de recursos demanda muito mais processamento de quem está
originando a intrusão do que pela defesa.

Quanto a rede de servidores, firewall statefull, rede de servidores
distinta da rede de core, e nat não é segurança para servidores, é dor de
cabeça, qualquer firewall descente aceita integração com IPS/IDS, use isso
para tratar trafego originado da sua rede de acesso e gerencia, só aceita
da internet o que realmente depende da internet o restante é drop from any
to any que não teve como origem da conexão a sua rede de servidores, uma
observação, embora é moda colocar tudo sobre virtualização, serviços que se
requer comunicação aberta tendo como a Internet como origem devem ficar
separados, lembro de ter lido uma tentativa de intrusão na rede da Apache
Fundation, exaurir o recursos de alocação de conexão TCP de um httpd/imap
ou outro serviço com o intuito de gerar DoS sobre a aplicação é facil e
lidar com esse tipo de DoS é mais complicado.

Se tratando de firewall para lidar com ataques direcionados aos seus
clientes, Marco civil proibe o tratamento de tal trafego, então não
interfira ou poderá ter problemas judiciais, a menos que seu contrato
permite tal interceptação/analise de informação acima do L3.

Para ambientes corporativos, onde a volumetria de dados é baixo ( não
ultrapassa 1Gb/s de comutação L3 ) então poderá usar firewall
statefull/bridge com soluções open-source ou mesmo pagas, como o seu
objetivo é segurança de serviços de TI não será problema justificar um
investimento de 350 mil reais um um firewall descente como Palo Alto ou
mesmo o investimento por parte da empresa em uns 5 ou 6 cursos de segurança
de perímetro usando open-source alem de que por se baixa quantidade de
informação a contratação de firewall DDoS com o seu transito é mais em
conta para previnir o DDoS, deixando a caixa BGP lidar com todos os demais
conexões.
No duro, seria basicamente as mesmas recomendações para o firewall de
servidores de um ISP, e a sua rede corporativa de acesso dos usuarios para
a ser tratada de forma ativa com as mesmas preocupações que a sua rede de
servidores.

Em ambiente corporativo quanto mais delimita e definido o serviço ou
alcance do serviço menor será o problema de implantar o firewall, mesmo com
politica de saida default allow any to any para os usuarios internos, a
politica de default drop to internet to localnet ainda deve ser mantida.

Não sou especialista de segurança, contudo esse seria o meio de menor custo
para lidar com tais requerimentos de segurança quanto a filtragem de
datagramas.
Evitar filtragem no core no caso do ISP ou limitar filtragem na borda no
caso de rede corporativa de pequeno médio porte.
Sou fã de tecnologia opensource, então se tiver hardware sobrando, no duro,
tenda descolar o custei de cursos em ferramentas como BRO NMS, Snort,
Suricata, caso o seu ambiente seja corporativo, para ISP ferramentas de
filtragem não estão ainda no mesmo patamar que as proprietárias,
principalmente para volumetria de trafego superior a 2mpps, mais por
questões de desempenho de hardware do que pelo software em si.

Att.

Em 14 de março de 2017 11:40, Leonardo Amaral - Listas <
listas at leonardoamaral.com.br> escreveu:

> Em 14 de março de 2017 10:52, Luiz Fernando Mizael Meier <
> lfmmeier at gmail.com
> > escreveu:
>
> > O pior do fastpath é ele simplesmente "bypassar" as suas queues.
> >
>
> Mesmo em borda?
>
>
>
> [image: --]
>
> Leonardo Amaral
> [image: https://]about.me/leonardo.amaral
> <https://about.me/leonardo.amaral?promo=email_sig&utm_
> source=email_sig&utm_medium=email_sig&utm_campaign=external_links>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
:UNI><BSD:
Paulo Henrique.
Fone: (21) 37089388.



More information about the gter mailing list