[FUG-BR] RES: [OFF TOPIC] Re: The Internet's Biggest Security Hole

[Adalto Lima Moreira]

vou evitar o mesmo tom nas respostas por respeito aos demais leitores dessa
lista

eu deixei claro sobre a necessidade plena de redundancia da solução pois o
hardware é menos confiável, um kernel mal atualizado ou não testado ou ainda
qualquer outro problema, é um problema anulado por uma redundancia bem feita

você nao pensa em sair atualizando tudo, spare e principal

1 - sem testar antes
2 - substituindo o spare pelo mesmo kernel novo antes de homologar o
ambiente

espera?
não seria responsabilidade suficiente
basta instaurar um procedimento interno de QAS

sobre o uso em grande escala, concordo sim, confesso, não é meu ambiente,
usar duzias, centenas ou milhares de roteadores com bgp, realmente não é meu
ambiente, eu gerencio apenas 4 bordas bgp, e algumas dezenas de roteadores
em clientes, mas nesses não tem bgp

sobre o custo, vou facilitar entendimento
não penso apenas em custo, meu fator de decisão foi escalabilidade
porque meu ambiente cresce dinamicamente, e para eu crescer em poder de
processamento ou interfaces de conectividade, ou se resolver colocar TSO nas
interfaces não preciso sair encomendando hardware específico, vou na
distribuidora e pego

custo pesou sim pra facilitar a redundância
antes era um desejo, proibitivo com cisco
depois quando decidimos optar por i386 tornou-se necessário
e dado o baixo custo, tornou-se mais que possivel, altamente viavel

depois disso tenho, ha 14 meses, downtime 0 dos roteadores
o downtime da rede não é 0 por problema em meio físico

peço desculpa a você e todos da lista que se sentiram ofendidos com a forma
não sutil que coloquei minhas opiniões, não insinuei propositalmente nada
sobre a competencia de cada um

se insinuo é sobre a competencia de tomadores de decisão, mas se vocês o
forem
me faz feliz ver que temos exceções, afinal um tomador de decisão
participando de uma lista
como essa aqui é no mínimo, muito raro
pelo que sei tem o sérgio da mitsubishi, alguns amigos de brasilia e os
carinhas da embrapa

mas não importa
importa que, exceto a implantação em larga escala
usar hardware de proposito geral mesmo que soekris ou mesmo outras
abordagens

eu uso Axiontek, pra ser preciso, essa board:

http://www.axiomtek.com/products/ListProduct.asp?ptype1=0&ptype2=0&ptype3=8

é basicamente uma board tipica para automação industrial
é hardware pra serviço pesado
conheço a linha manufactuing deles

confio 10 vezes mais do que o que vejo dentro de um chassis da cisco
confio 10 vezes mais no freebsd do que no IOS ou CatOS

mas homologo tudo internamente antes de por em campo

de novo peço desculpas aos que possam ter se sentido ofendidos com meu
e-mail
não era a intenção atacar ninguém, mas sim apontar onde eu acho que falta
um pouco de coragem

para mim, aberto não é só o código, são as ideias e também a forma como
enxergo
meu ambiente de trabalho

e não aceito pagar um carro popular por um equipamento, que de fato me
atenderá hoje
mas não sei no ano seguinte, ou antes. como sou eu quem decido, homologo e
crio, posso tomar essa decisão, e sim meu ambiente é crítico, trabalho em
uma operadora de última milha, daquelas que vai buscar solução de fibra
mono-modo de melhor relação custo/beneficio simplesmente porque sei que se
não diminuir o TCO vai inviabilizar o projeto do cliente, que pagará a mesma
coisa tendo menos, optando por uma MPLS via rádio ou equivalente

não só meu roteamento é livre de hardware caixa-preta ou software
proprietário e obrigações de licença, meus conversores Auto-MDIX também,
simplesmente porque fazer o cliente pagar 3 mil dólares por um trendnet
menor que um switch de 8 portas inviabiliza o projeto para ele, exatamente
como um cisco/juniper pra full routing com QoS/VPN/Telefonia também
inviabiliza
fico feliz de encontrar soluções melhores e mais baratas, baseadas em
hardware teoricamente comum, afinal um Celeron Core 2 Duo eu encontro fácil
em qualquer lugar

meu SLA é alto
o perfil de quem eu atendo é governo, mas tenho clientes como seguradoras,
cooperativas de crédito, e empresas de saúde
que dependem de last mile comigo pra aprovar negócios, liberações e até
mesmo exames clínicos
se cair, meu SLA faz com que eu pague trinta vezes mais, por fração de 15
minutos de indisponibilidade
nunca ter uma caixa-preta cisco me faria ter deixado de pagar 1 centavo de
SLA

e como eu disse, se alguém não quiser assumir responsabilidades,
terceirize-as
o grupo algar ou subs adoram vender responsabilidade, bem como (e eu diria
ainda mais) a eletronet

mas eu reconheço que não é o mais fácil sair de cisco,
requer boa vontade, coragem, e sim, pessoal técnico muito bem capacitado
mas garanto que com essa combinação, é muito mais que viável


2008/8/29 c0re dumped <ez.c0re em gmail.com>

> Caro Chuck Norris, vou tentar pincelar algumas observações. Sei que
> não sou digno de dirigir-me a Vossa pessoa, mas permita que esse
> humilde admin "menos esperto" expresse-se nestas linhas.
>
> > alguem vai? normalmente grandes empresas pagam outras empresas pra se
> > responsabilizarem
> > se voce ou seu corpo tecnico nao tem responsabilidade suficiente...
> > faz terceirizacao de responsabilidade
> > contrata alguem...
>
> Bem, não sei como é na tua empresa, mas aqui nosso SLA exige uma
> disponibilidade de 99% e caso a Operadora não atenda, é uma multa bem
> salgada, que já foi aplicada algumas vezes em cima deles. Mas talvez
> vc consiga contrato diferente com seus clientes, te isentando de
> multa, caso não atenda SLA... vai saber né...
>
> > concordo plenamente
> > alguem esta defendendo o uso de pcs convencionais por causa do preço?
> > outras vezes o caro sao ainda mais caro
>
> Não, não... a idéia trocar um roteador de dezenas de milhares de reais
> por uma i386 que custaria no máximo uns 10k, não tem nada a ver com o
> preço. Nada.
>
> > quem tem que avaliar isso é o tomador de decisão
>
> Justamente o que eu escrevi.
>
> > vejo cada dia mais, em todas reuniões do gter, mais e mais gente usando
> pc
> > comum com quagga,
> > e alguns mais espertos (sim, mais espertos, pq eh mais racil, mais
> seguro, e
> > tem melhor performance) usando openbgp ou openospf ao inves da suite
> quagga
> > inteira
> > e gente dentro do proprio nic-br tem sugerido e as vezes defendido isso
>
> Deixa eu adivinhar, vc é um dos "espertos" e os outros com hardwre
> Cisco, Juniper, etc são os "menos espertos", né ? OK.
>
> > eu defendo por causa da facilidade expansao, nao apenas pelo custo
>
> Engraçado, lá atrás vc fala que ninguem tá defendendo uso de
> arquitetura i386 por causa do custo. Agora é "não apenas pelo custo".
> O que é afinal ?
>
> > mas reconheco que o meu ambiente com freebsd e openbgp + openospf é
> muito,
> > ridiculamente
> > muito mais facil de upar pra sBGP do que um cisco ou juniper
> >
> > bom pra empresa que eu atendo
>
> Esse é o ponto, Chuck. Bom pra SUA empresa e/ou pra empresa que vc
> atende. Será que seria bom pra BrT, pra Oi, pra Telemar, pra um banco
> do Brasil, pra um Brasdesco ? Cada caso é um caso.
>
> > eu ja disse, se o time não tem expertise tecnica pra assumir a
> > responsabilidade
> > terceirize a responsabilidade
> > faz um contrato, coloque termos de responsabilidade, procure o o famoso
> SLA
> > que a gente aprende nos cursinhos gestão e no curso-intensivo pra virar
> CEO
> > resolver esse problema é tão fácil que se ensina a falar bonito e termos
> de
> > métrica de qualidade pra qualquer zé mané num curso online da FGV pra
> > "executivos de sucesso"
> >
> > enfim, terceiriza a responsabilidade técnica que seu corpo de
> profissionais
> > não tem
>
> Novamente cada caso é um caso. Antes de tentar insinuar incapacidade
> técnica de A ou B, vc deveria tentar analisar outros fatores como por
> exemplo, tamanho da empresa, capilaridade da rede, etc. Chuck, veja
> bem, onde trabalho temos mais de 600 roteadores espalhados pelo
> Brasil. Tira da MPLS, troca tudo por PC e terceiriza. Simples... Chuck
> Norris solution's... pra SUA empresa essa abordagem vai funcionar...
> para empresa onde trabalho, não. Definitivamente.
>
> Eu sei que vc "é o cara" o bonzão e tudo mais, desculpe-me se "minha
> equipe técnica" não tem as mesmas qualificações que vc, o "one man
> army", o fodão da Internet, o guerreiro dos teclados, mas a vida é
> assim. Um dia ainda chegamos perto do teu nível de conhecimento.
>
> > sai mais barato do que tentar processar a cisco por falha de hardware
> > HA-HA-HA
>
> É melhor do que seus cliente te multarem pq o novo kernel instalado na
> ultima atualização do OS travou por incompatinilidade com o periferico
> XYZ  e deixou teu cliente sem acesso à nada. Mas provavelmente os SLAs
> que vc impoe aos seus clientes devem te isentar de multa.
>
> > não é romantismo, é necessidade
> > coloca-se um PC com partes moveis convencional, com openbgp, usando um
> > segundo PC com eBGP, um repassando a tabela bgp pro outro, pra garantir
> > sincronia plena entre eles, e infia CARP nos 2 PC
>
> "Necessidade" pra quem ? De novo o mesmo ponto: o que é bom pra uns
> pode não ser bom pra outros. Usar PCs MACs, PS2s, Celulares,
> Torradeiras ou qq outra coisa como dispositivo de roteamento, que
> seja. Mas ficar proclamando aos quatro cantos que quem não é adepto da
> solução é "menos esperto" de quem é adepto, é generalização burra. SEU
> ambiente, não é igual ao MEU ambiente, SUAS necessidades, não iguais
> as MINHAS.
>
> > se o hardware falhar, o outro assume, e vc nao perde tempo procurando
> > culpados
> > usa seu tempo procurando substituir o hardware falho
> > muito mais produtivo do que procurar cabeças pra cortar
> >
> > se 2 spare servers não é garantia suficiente coloca 3
> > ainda assim são mais barato do que um cisco ou juniper de capacidade
> > equivalente
> >
> > mas essa parte todos devem saber ja...
>
> Eu por exemplo sabia, mas não acreditava. Mas uma afirmação dessas
> saindo do teclado do proprio Chuck Norris em pessoa, agora voiu levar
> isso bem a sério.
>
> > o proprio daniel bernstein falou: não coloquei dnssec porque é falho; e
> > adivinha? ele tava certo; quando ficar pronto ele põe, enfim... enquanto
> > isso fiquem usando ai dnssec furado, quando ficar pronto e funcional eu
> > implemento, e poupo meu tempo
>
> Se o Daniel Berstein falar que pular da ponte é legal, provavelmente
> vc será um dos que vai fazer isso assim que ele disser.
>
> Mas "esperto", me diga, qual a falha no DNSSec é comparável a essa
> última no DNS que foi re-re-re-descoberta recentemente ? É melhor
> continuar usando DNS que pode ter a mesmissima falha explorada não é
> mesmo ? (seja no Bind ou no DJBdns).
>
> "O proprio daniel bernstein falou.." Falar até papagaio fala...
>
> Finalizando, me perdoe por dirigir-me a uma entidade superior como vc,
> mas precisava escrever essas linhas. No mais, tente entender que
> existem diferentes empresas e diferentes necessidades, mas vc, como
> mega-master-blaster-super-fodao que é, já devia saber disso antes
> mesmo de aprender a andar.
>
> Aos demais da lista, me perdoem, pelo descamabamento do tópico, mas
> não é todo dia que se pode falar com Chuck Norris via FUG-BR.
>
> --
> http://www.webcrunchers.com/crunch/
>
> http://www.myspace.com/whippersnappermusic
> http://www.purevolume.com/whippersnapper
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>