Saudações, Respostas entre as duvidas.
Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro <f...@farribeiro.com.br <mailto:f...@farribeiro.com.br>> escreveu:
Olá boa tarde! Gostaria de experimentar umas destas duas soluções semi prontas. O laboratório em ambiente doméstico tem a intenção é somente roteamento. Na tentativa de simular ambiente corporativo, de preferência com serviços em equipamentos independentes e o ideal as maquinas não ter acesso direto a NET, passando por um proxy. Router <---> Proxy <---> Maquinas A utilidade do servidor proxy, além do cache, dá uma camada de segurança para os equipamento da rede? E quais vantagens utilizar o trafego direto. Vamos esclarecer alguns conceitos aqui.O BSDRP é destinado marjoritáriamente para aplicações de roteamento, embora possua o suporte de PF e IPFW ele é focado exclusivamente para roteamento com protocolos dinâmicos como BGP e OSPF. O PFSense embora cumpra perfeitamente o papel de roteador o foco do projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW para usar o WF2Q no enfileiramento. Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a seu critério.
Ficou meio complicado compreender se o seu ambiente é roteamento dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e datacenter ) ou é roteamento estático junto com nat ( o mais comum, empresas de segmentos de serviços normalmente não relacionados a TI ) , a partir daqui irei considerar o segundo cenário.
Recomendaria o PFSense pelos motivos abaixo.-> Gerenciamento de regras de filtragem através da web, gerenciar um arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, parece absurdo mais em ambientes corporativos a quantidade de regras cresce continuamente. -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o dumynet através do IPFW, contudo perde-se a facilidade da interface web. -> Ampliação com outras funcionalidades que em um ambiente corporativo nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado integrado com AD/Samba, controle de acesso dos usuários a internet, servidor cache DNS, relatórios de utilização da Internet e tudo isso gerenciável através da interface Web e não como normalmente era feito até 2008 quando os appliance começaram a se popularizarem e tudo tinha que ser através de edição direta do arquivo de configuração de cada aplicação, isso otimiza o tempo de uma forma incalculavel. -> Documentação e canais de ajuda já estão maduros para conseguir orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois não precisei de orientação ). -> Não é colocado como mais um software modinha de geek onde depois de alguns anos, as vezes meses, encerra o desenvolvimento deixando os usuários orfãos. -> Ótima compatibilidade com hardware modestos, frizo que hardware modestos não é sinonimo de hardware porcaria ( estarei explicando na outra duvida sua ).
Segunda duvida, relacionado a utilização de proxy.O Proxy http não é bem uma camada de segurança sentido internet -> intranet e sim o oposto, intranet -> internet, sua principal função é otimizar a entrega da informações que usam protocolos http/ftp ( exclusivamente ) e que não estejam criptografados, pode-se integrar o proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta ASF e se integrar ele com o squidguard/dansguard permitirá controlar melhor o que os funcionários da empresa poderá acessar e não esquece que para analisar como está o trafego há o sarg e o lightsquid com excelentes relatórios. O Proxy irá aumentar a sua segurança, depende claramente da forma que implantou, se foi só o proxy cache sem autenticação e sem integração com outras aplicações então não, ele será apenas um repositorio de informações constantemente acessadas mais proxima do usuário que a acessa. Por outro lado se usar ele junto com as demais ferramentas que indiquei acima ele se tornará um ótimo aliado no controle de informações que os funcionários acessa na internet, principalmente se usar o squidguard com uma politica padrão fechada, dá trabalho no inicio para configurar mais com o passar do tempo tende a diminuir as interações e os falsos/positivos.
Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego "cacheavel". Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito quanto a forma de operação com interceptação de trafego plain-text. Se a interceptação ou forward do trafego não é possivel implementar serviços de autenticação e filtragem de conteudo web.
Não é possivel a implantação/integração com recursos de IDS/IPS.Não permite a geração de relátorios operacionais com muitas informações relevantes.
E acho que mais algumas outras coisas que não recordo no momento.Quarta duvida, quanto a criação de um laboratorio de teste, nada que o virtulbox não de um jeito, e não precisa alocar mais do que 128Mb de ram para cada VM, eu mesmo tenho 4 VMs com ele cada uma com 128m de ram que uso como laboratorio. O Nilton Rizzo falou em um dos encontros da FUG-RJ sobre um projeto que já tem diversas imagens de O.S já prontas para baixar e importar no hipervisor ótimo para essa finalidade, infelizmente não recordo o nome do projeto e não consegui achar ele na net.
Tenho dúvida de um equipamento extremamente modesto para os dias atuais, um Pentium III 800Mhz, 256MB RAM e nic rtl8139/similar. Se for possível, eu vou fazer um teste de stress.Ok, irá rodar sim, muito bem por sinal só tem umas questões que precisa responder, são elas:
Quantos usuários terá por tras desse firewall/router ? Quanto de banda ele estará roteando ? Quais serviços estará rodando sobre essa maquina ?Quais o prejuizo caso esse equipamento venha a falhar as 12h do 5º dia util nos negócios da empresa ? A empresa pode arcar com o investimento de um hardware adequado para essa finalidade ? Os gestores da empresa compreendem o que é segurança da informação e qual o objetivo de tal investimento ou considera que é um custo operacional a implantação de uma solução dessa na rede ?
Esta considerando a redundância desse equipamento/função ?Quem será responsabilizado caso esse equipamento/função venha a dar problema e gerar prejuizo ( se for o TI começe a procurar outro emprego )?
Tenho mais algumas outras 500 perguntas quanto a isso, contudo creio que você já compreendeu :D !! E não use realtreko em roteador, ache umas 3Com ou então umas intel X100 mesmo que fast-ethernet, mais não use de forma alguma realtreko, principalmente as 8139 e 8169, irá lhe poupar muitas dores de cabeça, outras interface que não recomendo são broadcom, via e atlansic ( essa muitas vezes dá kernel panic )
Se você quer fazer um serviço profissional recomendo optar por um hardware tipo server-u L100, ele é barato, tem um excelente desempenho e um ótimo custo/benefinio, alem de ser homologado para PFSense, se for usar proxy cache solicite o orçamento com no minimo 1 HD, por padrão ele usa memoria flash.
Também gostaria de saber quais se estas customizações já estão otimizadas, recentemente vi um instituto americano que disponibilizou suas pesquisas de otimizações tanto de host quanto de NIC, no site http://fasterdata.es.net/Somente otimizações que justifiquem e não cause dores de cabeça para a maioria dos usuários são feitas, contudo até hoje não encontrei um ambiente onde fosse necessário customizar/otimizar um PFSense. Se utilizar o FreeBSD puro ai a historia muda e a otimização por parte do usuário é mandatória. Olhei os documentos do fasterdata.es.net por cima, mais valeu, está com data para dedicar-me a leitura deles, parece serem analises interessantes de aspectos em transmissão de dados.
No BSDRP poderia instalar um ntop ou ao menos SNMP, para Log e gráfico de banda.Só testei o BSDRP uma unica vez e nem foi profundamente, contudo hoje todo sistema operacional/appliance que se preze suporta o SNMP, bem provavel que o bsnmpd do FreeBSD já esteja incluso. Quanto ao ntop, há pacotes para o freebsd então creio que tenha disponivel também para BSDRP, se não tiver baixa o source e compila. Gráficos de banda, recomento a usar um zabbix ou nagios coletando as informações através de snmp e terá graficos bem mais detalhados e abrangentes. Para acompanhamento em tempo real dos recursos tem o sysstat, excelente ferramenta.
É muita dúvida para um assunto só... E acredito que tenho mais Tranquilo.-- Fábio Rodrigues Ribeiro
http://www.farribeiro.com.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ <http://www.fug.com.br/historico/html/freebsd/> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd <https://www.fug.com.br/mailman/listinfo/freebsd> Att. Paulo Henrique. -- :UNI><BSD: Paulo Henrique. UnixBSD Tecnologia Segurança em Tecnologia da Informação. Fone: (21) 3708-9388 Site: https://www.unixbsd.com.br
<<attachment: paulo_rddck.vcf>>
------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
