[MASOCH-L] Firewall de perímetro - distribuído

Douglas Fischer fischerdouglas at gmail.com
Thu Jan 9 11:09:57 -03 2014


Acho que não Lucas...

Pelo que eu entendi, ele tem a estrutura distribuída.
Ex.: - Um link BGP e um firewall com uma operadora "A" em Cascavel,
     - Um link BGP e um firewall com outra operadora "B" em Curitiba.
     - Uma estrutura própria de interconexão dos diversos sites deles.

     - Deixando as rotas se estabelecerem organicamente,
           Uma conexão entre o client "CÁ" em Guarapuava
            e server "LÁ" em Miami pode ser assimétrica.
          - "CÁ" para "LÁ" vai pela operadora "A" em Cascavel
          - "LÁ" para "CÁ" vem pela operadora "B" em Curitiba.

- O Firewall de Cascavel faz a inspeção de tráfego e pega o SYN enviado
pelo client "CÁ", e deixa a conexão half-open.

- O Firewall de Curitiba faz a inspeção e pega o ACK que veio do server
"LÁ", porém dropa ele, pois não tem na tabela statefull a conexão half-open
que deveria existir.

 Nisso:
  - O client "CÁ" fica reenviando o SYN, gerando várias conexões
  half-open que sera removidas da tabela stateful por time-out.
  - E o server "LÁ" vai ficar respondendo com ACKs que seráo
  dropados.


Para isso, os dois(três, dez...) firewall tem que ficar trocando
notificações de status de conexão.

A mesma lógica vale:
 - No encerramento de conexões,
 - E em inspeções avançadas de Tráfego Ex.:
   - FTP
   - SIP ou H323, para abrir a porta negociada para o RTP






Em 9 de janeiro de 2014 09:09, Lucas Willian Bocchi
<lucas.bocchi at gmail.com>escreveu:

> Meus 50 centavos (que deveria ter vindo na mensagem anterior) é se
> você não pode usar uma abordagem com CARP. Se for assim, BSD ou Linux
> vão te atender muito bem.
> Mikrotik não sei se tem essa solução.
> Sophos faz mas é proprietário.
>
> Em 9 de janeiro de 2014 09:02, Douglas Fischer
> <fischerdouglas at gmail.com> escreveu:
> > Não sei se é o foco, mas se não me engano, existe uma feature de
> statefull
> > no Zone-Based-Firewall do IOS(Cisco Router).
> >
> > Certa feita, fiz um LAB com 2x2651 usando isso. Mas o foco era diferente:
> >  - Redundância e escalabilidade.
> >  - Usei EIGRP com load-balance em cima e embaixo.
> >
> >
> > Me lembro de ter visto algo nos release notes do IOS XR sobre uma feature
> > melhorada para isso.
> >
> >
> >
> > Em 8 de janeiro de 2014 16:51, Contato - NBINFO <contato at nbinfo.inf.br
> >escreveu:
> >
> >> Boa tarde
> >>
> >>
> >> Situação:
> >>
> >> Vários nós de roteamento de entrada e saídas, rodando o serviço de
> >> firewall em cada nó, lembrando que o trafego pode sair por qualquer nó
> bem
> >> como voltar.
> >>
> >> Necessidade manter o status das conexões, de forma a responder como se
> >> fosse um único firewall.
> >>
> >>
> >> Cenário atual:
> >>
> >> Atualmente eu forço o trafego para cada nó.
> >>
> >>
> >> Necessidade:
> >>
> >> Alguma forma de automatizar a atuação dos firewall de modo a trabalharem
> >> de forma distribuída mas unificada.
> >>
> >>
> >> Obs.:  Pode ser montada uma rede de gerencia exclusiva para a atuação
> >> segura dos firewall.
> >>
> >>     Att.
> >>
> >>     Moises Ceratti
> >>
> >>
> >>
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >>
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the masoch-l mailing list