[FUG-BR] FREEBSD + IPFW/PF + VLAN + BRIDGE + IPS/IDS MINI-HOWTO

[Aristeu Gil Alves Jr]

Talvez não tenha deixado claro alguns pontos do howto. Revisando aqui
vi já alguns erros de digitação que vou melhorar...

POR QUE USAR BRIDGE COM VLAN?

Usei para implementar, em FreeBSD, a mesma infra que os colegas
implementaram em linux, mostrado nas referencias
(ftp://ftp.registro.br/pub/gts/gts07/05-filtrobridges.pdf). Ali, vc
vai encontrar uma vasta listagem de motivações que não colocarei aqui.
Eu achei aquela apresentação muito legal, pois já possíuamos um switch
com VLAN, mas sem roving analysis, impossibilitando a copia de trafego
para a porta do IDS. Assim,
fazendo bridge entre VLANs, matamos dois problemas em um só.

Alem de substituir a necessidade da característica "Roving Analysis"
no switch, usei VLAN para fazer um controle de todo trafego no switch
de forma transparente, usando uma mesma infra-estrutura já utilizada,
e evitando completamente o acesso de um cliente ao outro sem passar
pelo filtro. Veja que as outras formas citadas, até agora, de
contornar o problema sem VLAN não impedem o acesso de um cliente ao
outro sem passar pelo filtro.

Logo, ao invés de encarecer a infra, como alguns falam, ela
infinitamente barateia a infra, depende muito de como vc vê a coisa.
Quanto sai um switch L3 com IDS ou IPS?

PQ COLOCAR PF NO SCRIPT?

Bom, eu pessoalmente uso direto o PF como firewall, gosto pessoal.
Botei lá pq meus filtros são todos em pf. :) Uso o ipfw apenas para
fazer o divert e fazer os filtros de MAC, se for o caso. Vc pode optar
qualquer um dos dois para fazer controle de banda. O documento não
está pronto, mas meu intuito não era colocar as regras ali, apenas
mostrar a possibilidade de atuar dessa forma. Tb quis mostrar a
configuração de bridge com if_bridge ao invés de
bridge (mostrado no handbook do freebsd), possibilitando a utilização
do pf com bridge, como ocorre no OpenBSD.

Outra coisa que passou despercebida é que falam que snort_inline não
funciona com bridge no freebsd, e, mesmo que meio capenga (mudando o
src MAC), dá pra fazer funcionar dessa forma.

Coloco mais algumas observações de possibilidades que vislumbro com isso:

1-Ligar um IP-MAC a uma localização física via filtro (vc pode filtrar
os acessos na entrada de cada VLAN-Porta com o ipfw)

2- Corretamente castradas as localizações/porta e correlacionado com
as respostas do IDS e com, possivelmente, um sistema 3D bem feito (ae
já é um luxo de cinema), vc pode dar com precisão e praticamente
instantaneamente (se a instalação fisica estiver intacta) o local
fisico da origem/destino de um ataque. Em redes como localização
fisica complexa seria interessante isso.


Enfim, elucubrações!
-- 
Aristeu Gil Alves Jr