[GTER] Sugestão Roteador

Douglas Fischer fischerdouglas at gmail.com
Thu Jun 9 08:26:39 -03 2022 

Chegou para mim privadamente um questionamento sobre esse thread de e-mail
que achei interessante e pertinente compartilhar com os demais colegas.
Vou responder à pergunta no grupo, mas sem mencionar o colega que trouxe
ela.

<email_privado>
Bom dia

Tudo bem?
Eu li sua resposta sobre a dúvida levantada.
Fiquei muito curioso sobre.

Você já fez isso sobre Palo Alto, Fortinet ou Checkpoint? Só citei os
maiores de mercado.
Se sim poderia comentar mais sobre?
Nesse cenário também já usou SD-Wan?

Não seria um único ponto de falha em caso de um ddos? Ter as duas funções
na mesma caixa.
Penso isso por causa da estabilidade do BGP.
Se precisar reiniciar uma caixa vai o firewall e o bgp junto.
Até as sessões subirem na outra caixa e as rotas serem recebidas vai
demorar algum tempo.
Estando em caixas separadas (bgp e firewall) pelo menos tenho a
estabilidade do BGP.

A ideia aqui é aprender por isso mandei as perguntas.
</email_privado>


Sim, já fiz! E certamente outros colegas aqui nessa missiva também já
fizeram.

Fiz com Cisco(ainda no saudoso ASA), com Fortinet, com Juniper(inclusive
para um pequeno ISP), e também com Checkpoint.

Sobre o ponto único de falha
------------------------
Se tiver apenas 1 BGP e apenas 1 Firewall, não se tem dois pontos únicos de
falha em série?
A sugestão é unificar as funcionalidades na mesma camada física, mas
duplicar (alta disponibilidade) as caixas dessa camada física.
Em dinheiros, isso fica bem parecido.

Vale ressaltar que isso provavelmente não fica financeiramente viável para
ISPs, pois os volumes de tráfego são muito altos e tornariam as caixas
muito altas.
Mas para um Corporativo/Enterprise é muito interessante.
Usei muito em Universidades.

Sobre o SD-WAN
------------------
É importante não misturar isso com o BORDER-BGP. São coisas diferentes!
Num desenho bem-feito, a funcionalidade de BORDER-BGP vai estar separada do
firewall, e aquela virtual interface que vai do Firewall pro BORDER-BGP vai
ser apenas mais um provedor de rota default para a funcionalidade de
Firewall.
Se for adicionar um outro link de Internet que não seja Trânsito BGP (um
dos baratinhos), é abaixo do container de BGP e acima do Firewall que isso
vai entrar...
E nisso, quem vai fazer o SD-WAN vai ser o container que faz a
funcionalidade de Firewall.
Também já usei isso muito em Universidades, e em 2 instituições bancárias.

Sobre o DDoS.
------------------
Que tipo de DDoS estamos falando?
- Se for um volumétrico, não importa se vai ser Firewall ou Router, ou
qualquer outra coisa...
Certamente o que vai saturar vai(ão) ser o(s) link(s) que vem do(s)
fornecedor(es) de trânsito.
- Se for um DDoS de aplicação, aí entra a capacidade de Deep Inspection,
Web Application Firewall, e etc...
Imagino que sua preocupação seja mais:
"A funcionalidade de Firewall ser comprometida se a caixa estiver saturada
quando um ataque DDoS estiver chegando na parte BGP?"
Aí depende! Se for uma solução exclusivamente Software Based, e sem as
reservas de recursos para a funcionalidades específicas, CERTAMENTE VAI DAR
MERDA.
(Mikroitikinianos vão chorar...)
Aí depende! Se for uma solução exclusivamente Software Based, onde existe
uma parte Hardware-Based, e affinity (ou cgroups) para o controle dos
hardwares based...
(Checkpoint, acho que é um exemplo que cabe aqui... Mas os BareMetal da A10
também, e muitos outros.)
E a parte de configuração não tiver nenhuma gambiarra porca... É bem
provável que a funcionalidade de Border-BGP se cague todo, mas o firewall
em si siga funcionando.

Sobre reiniciar uma caixa
------------------------------
Antes de mais nada, a pergunta de advogado do diabo:
E se fosse uma caixa de BORDER-BGP em série com uma caixa de Firewall?
Como seria o impacto disso para os serviços internos?
Sendo duas caixas físicas em paralelo, e sendo um cenário de H.A. bem
desenhado para que isso seja possível, você pode sim jogar as funções que
estão ativas duma caixa para a outra e reiniciar a primeira (para atualizar
por exemplo), sem perder conectividade.


Em ter., 7 de jun. de 2022 às 18:03, Douglas Fischer <
fischerdouglas at gmail.com> escreveu:

> Pelo jeito não trata-se de Internet Service Provider, certo?
> Provavelmente Corporativo com altos níveis de criticidade na operação,
> confere?
>
> Se for isso mesmo, quase que certamente não vai precisa de mais de 10-20
> Gbps nos próximos 5 anos nesse cenário...
>
> VAI DE FIREWALL de alta performance!
> Algum firewall que esteja com especificação de segurar a bronca de 10 Gbps
> com pacotes de 56 bytes com todas as inspeções ativadas...
> (Firewall que tem especificação de 10Gbps mas que não conta que é medido
> com pacotes de 1500Bytes é coisa de gente meias verdades)
>
> Algum Firewall que tenha suporte a
> Container/VirtualSystem/LogicalSystem/VDom/Context ou o nome equivalente
> nesse fabricante.
> (Aí você deixa um Container de cara pro BGP com pouca filtragem, e outro
> Container cuidando das LANs)
>
> Algum Firewall que já inclua por 5 anos subscrição de serviços e
> atualizações.
> (Assim você evita a masturbação mental de ficar lutando contra mudanças
> que mudam todos os dias na internet e configuração malucas.)
> (Não, OpenDNS e similares não vai fazer a mesma coisa que esse tipo de
> firewall de inspeção profunda e Next Generation.)
>
>
> Se for isso mesmo que mencionei(corporativo e não ISP), provavelmente terá
> a camada do BGP e a camada do Firewall.
> Concentrando o dinheiro gastos nas duas camadas, você usa a(s) mesma(s)
> caixa(s) pra fazer as duas coisas, e separa isso logicamente na(s) caixa(s).
> Derrepente, ao invés de 1(um) BGP e 1(um) Firewall, com o mesmo dinheiro
> você coloca duas caixas e H.A.
>
> Mas não esqueça de olhar BEM certinho as especificações de memória, FIB,
> RIB, regras, capacidade de inspeção, e etc...
>
> Em ter., 7 de jun. de 2022 às 17:44, André Luiz Honório de Jesus via gter <
> gter at eng.registro.br> escreveu:
>
>> Boa tarde,
>> Eu tenho um AS e dois links de 200MB e gostaria de uma sugestão de marca
>> e modelo de roteadores.
>> Os recursos que eu gostaria são: BGP parcial, balanceamento de link e HA.
>>
>> André Luiz Honório de Jesus
>> Tecnologia da Informação
>> CSC - Grupo Curimbaba
>> Tel. +55 (35) 3729-7768
>> www.grupocurimbaba.com.br<
>> https://nam10.safelinks.protection.outlook.com/?url=https%3A%2F%2Fhes32-ctp.trendmicro.com%2Fwis%2Fclicktime%2Fv1%2Fquery%3Furl%3Dhttp%253a%252f%252fwww.grupocurimbaba.com.br%26umid%3D0c78b6a7-10ef-49e2-81b4-2d1c1c026768%26auth%3D8e1fed64e64e7af70ebad5570aaead8306c9a97c-5161f642f8efd7900c85fa42e2741e11be3a1b82&data=04%7C01%7Candre.jesus%40grupocurimbaba.com.br%7C8a7f73793d2e440a8e3208d95065e0e6%7C6c8a4580118a449bb1998ca7aaafe1d1%7C0%7C0%7C637629220792831147%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=bMnNtckhoRxCmQ57Zr8d5mgQ2wnggek3ICt4bXbCmvI%3D&reserved=0
>> >
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>


-- 
Douglas Fernando Fischer
Engº de Controle e Automação

More information about the gter mailing list