[FUG-BR] BSDRP ou pfsense
Fábio Rodrigues Ribeiro
fug em farribeiro.com.br
Domingo Março 6 23:12:43 BRT 2016
Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu:
> Saudações,
>
> Respostas entre as duvidas.
>
> Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro
> <fug em farribeiro.com.br <mailto:fug em farribeiro.com.br>> escreveu:
>
> Olá boa tarde!
>
> Gostaria de experimentar umas destas duas soluções semi prontas. O
> laboratório em ambiente doméstico tem a intenção é somente roteamento.
> Na tentativa de simular ambiente corporativo, de preferência com
> serviços em equipamentos independentes e o ideal as maquinas não ter
> acesso direto a NET, passando por um proxy.
>
> Router <---> Proxy <---> Maquinas
>
> A utilidade do servidor proxy, além do cache, dá uma camada de
> segurança
> para os equipamento da rede? E quais vantagens utilizar o trafego
> direto.
>
>
> Vamos esclarecer alguns conceitos aqui.
> O BSDRP é destinado marjoritáriamente para aplicações de roteamento,
> embora possua o suporte de PF e IPFW ele é focado exclusivamente para
> roteamento com protocolos dinâmicos como BGP e OSPF.
> O PFSense embora cumpra perfeitamente o papel de roteador o foco do
> projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW
> para usar o WF2Q no enfileiramento.
> Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para
> funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a
> seu critério.
>
> Ficou meio complicado compreender se o seu ambiente é roteamento
> dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e
> datacenter ) ou é roteamento estático junto com nat ( o mais comum,
> empresas de segmentos de serviços normalmente não relacionados a TI ) ,
> a partir daqui irei considerar o segundo cenário.
>
> Recomendaria o PFSense pelos motivos abaixo.
> -> Gerenciamento de regras de filtragem através da web, gerenciar um
> arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante,
> parece absurdo mais em ambientes corporativos a quantidade de regras
> cresce continuamente.
> -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o
> dumynet através do IPFW, contudo perde-se a facilidade da interface web.
> -> Ampliação com outras funcionalidades que em um ambiente corporativo
> nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado
> integrado com AD/Samba, controle de acesso dos usuários a internet,
> servidor cache DNS, relatórios de utilização da Internet e tudo isso
> gerenciável através da interface Web e não como normalmente era feito
> até 2008 quando os appliance começaram a se popularizarem e tudo tinha
> que ser através de edição direta do arquivo de configuração de cada
> aplicação, isso otimiza o tempo de uma forma incalculavel.
> -> Documentação e canais de ajuda já estão maduros para conseguir
> orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois
> não precisei de orientação ).
> -> Não é colocado como mais um software modinha de geek onde depois de
> alguns anos, as vezes meses, encerra o desenvolvimento deixando os
> usuários orfãos.
> -> Ótima compatibilidade com hardware modestos, frizo que hardware
> modestos não é sinonimo de hardware porcaria ( estarei explicando na
> outra duvida sua ).
>
> Segunda duvida, relacionado a utilização de proxy.
> O Proxy http não é bem uma camada de segurança sentido internet ->
> intranet e sim o oposto, intranet -> internet, sua principal função é
> otimizar a entrega da informações que usam protocolos http/ftp (
> exclusivamente ) e que não estejam criptografados, pode-se integrar o
> proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta
> ASF e se integrar ele com o squidguard/dansguard permitirá controlar
> melhor o que os funcionários da empresa poderá acessar e não esquece que
> para analisar como está o trafego há o sarg e o lightsquid com
> excelentes relatórios.
> O Proxy irá aumentar a sua segurança, depende claramente da forma que
> implantou, se foi só o proxy cache sem autenticação e sem integração com
> outras aplicações então não, ele será apenas um repositorio de
> informações constantemente acessadas mais proxima do usuário que a
> acessa. Por outro lado se usar ele junto com as demais ferramentas que
> indiquei acima ele se tornará um ótimo aliado no controle de informações
> que os funcionários acessa na internet, principalmente se usar o
> squidguard com uma politica padrão fechada, dá trabalho no inicio para
> configurar mais com o passar do tempo tende a diminuir as interações e
> os falsos/positivos.
>
> Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego
> "cacheavel".
> Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo
> IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há
> nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito
> quanto a forma de operação com interceptação de trafego plain-text.
> Se a interceptação ou forward do trafego não é possivel implementar
> serviços de autenticação e filtragem de conteudo web.
> Não é possivel a implantação/integração com recursos de IDS/IPS.
> Não permite a geração de relátorios operacionais com muitas informações
> relevantes.
> E acho que mais algumas outras coisas que não recordo no momento.
>
> Quarta duvida, quanto a criação de um laboratorio de teste, nada que o
> virtulbox não de um jeito, e não precisa alocar mais do que 128Mb de ram
> para cada VM, eu mesmo tenho 4 VMs com ele cada uma com 128m de ram que
> uso como laboratorio.
> O Nilton Rizzo falou em um dos encontros da FUG-RJ sobre um projeto que
> já tem diversas imagens de O.S já prontas para baixar e importar no
> hipervisor ótimo para essa finalidade, infelizmente não recordo o nome
> do projeto e não consegui achar ele na net.
>
>
>
> Tenho dúvida de um equipamento extremamente modesto para os dias
> atuais,
> um Pentium III 800Mhz, 256MB RAM e nic rtl8139/similar. Se for
> possível,
> eu vou fazer um teste de stress.
>
>
> Ok, irá rodar sim, muito bem por sinal só tem umas questões que precisa
> responder, são elas:
> Quantos usuários terá por tras desse firewall/router ?
> Quanto de banda ele estará roteando ?
> Quais serviços estará rodando sobre essa maquina ?
> Quais o prejuizo caso esse equipamento venha a falhar as 12h do 5º dia
> util nos negócios da empresa ?
> A empresa pode arcar com o investimento de um hardware adequado para
> essa finalidade ?
> Os gestores da empresa compreendem o que é segurança da informação e
> qual o objetivo de tal investimento ou considera que é um custo
> operacional a implantação de uma solução dessa na rede ?
> Esta considerando a redundância desse equipamento/função ?
> Quem será responsabilizado caso esse equipamento/função venha a dar
> problema e gerar prejuizo ( se for o TI começe a procurar outro emprego )?
>
> Tenho mais algumas outras 500 perguntas quanto a isso, contudo creio que
> você já compreendeu :D !!
> E não use realtreko em roteador, ache umas 3Com ou então umas intel X100
> mesmo que fast-ethernet, mais não use de forma alguma realtreko,
> principalmente as 8139 e 8169, irá lhe poupar muitas dores de cabeça,
> outras interface que não recomendo são broadcom, via e atlansic ( essa
> muitas vezes dá kernel panic )
>
> Se você quer fazer um serviço profissional recomendo optar por um
> hardware tipo server-u L100, ele é barato, tem um excelente desempenho e
> um ótimo custo/benefinio, alem de ser homologado para PFSense, se for
> usar proxy cache solicite o orçamento com no minimo 1 HD, por padrão ele
> usa memoria flash.
>
>
> Também gostaria de saber quais se estas customizações já estão
> otimizadas, recentemente vi um instituto americano que disponibilizou
> suas pesquisas de otimizações tanto de host quanto de NIC, no site
> http://fasterdata.es.net/
>
>
> Somente otimizações que justifiquem e não cause dores de cabeça para a
> maioria dos usuários são feitas, contudo até hoje não encontrei um
> ambiente onde fosse necessário customizar/otimizar um PFSense.
> Se utilizar o FreeBSD puro ai a historia muda e a otimização por parte
> do usuário é mandatória.
> Olhei os documentos do fasterdata.es.net por cima, mais valeu, está com
> data para dedicar-me a leitura deles, parece serem analises
> interessantes de aspectos em transmissão de dados.
>
>
> No BSDRP poderia instalar um ntop ou ao menos SNMP, para Log e gráfico
> de banda.
>
> Só testei o BSDRP uma unica vez e nem foi profundamente, contudo hoje
> todo sistema operacional/appliance que se preze suporta o SNMP, bem
> provavel que o bsnmpd do FreeBSD já esteja incluso.
> Quanto ao ntop, há pacotes para o freebsd então creio que tenha
> disponivel também para BSDRP, se não tiver baixa o source e compila.
> Gráficos de banda, recomento a usar um zabbix ou nagios coletando as
> informações através de snmp e terá graficos bem mais detalhados e
> abrangentes.
> Para acompanhamento em tempo real dos recursos tem o sysstat, excelente
> ferramenta.
>
>
> É muita dúvida para um assunto só... E acredito que tenho mais
>
>
> Tranquilo.
>
>
> -- Fábio Rodrigues Ribeiro
> http://www.farribeiro.com.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> <http://www.fug.com.br/historico/html/freebsd/>
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> <https://www.fug.com.br/mailman/listinfo/freebsd>
>
>
> Att. Paulo Henrique.
>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Primeiramente... eu vou demorar algumas décadas para assimilar tanta
informações! Improvavelmente terá uma tréplica.
O objetivo era fazer algo mais profissional no meu ambiente doméstico
e de quebra aprender mais sobre networking, já que sai muito cru do
curso da Cisco R&S 5.0 pois tenho habilidades mais para devOps, mais
para developer que sysadmin. Mas tenho muita vontade de espremer para
ver o que tem de interessante nestes seus argumentos.
--
Fábio Rodrigues Ribeiro
http://www.farribeiro.com.br
Mais detalhes sobre a lista de discussão freebsd