[FUG-BR] BSDRP ou pfsense

Segunda Março 7 00:43:09 BRT 2016

Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu:
> Saudações,
>
> Respostas entre as duvidas.
>
> Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro
> <fug em farribeiro.com.br <mailto:fug em farribeiro.com.br>> escreveu:
>
>     Olá boa tarde!
>
>     Gostaria de experimentar umas destas duas soluções semi prontas. O
>     laboratório em ambiente doméstico tem a intenção é somente roteamento.
>     Na tentativa de simular ambiente corporativo, de preferência com
>     serviços em equipamentos independentes e o ideal as maquinas não ter
>     acesso direto a NET, passando por um proxy.
>
>     Router <---> Proxy <---> Maquinas
>
>     A utilidade do servidor proxy, além do cache, dá uma camada de
> segurança
>     para os equipamento da rede? E quais vantagens utilizar o trafego
>     direto.
>
>
> Vamos esclarecer alguns conceitos aqui.
> O BSDRP é destinado marjoritáriamente para aplicações de roteamento,
> embora possua o suporte de PF e IPFW ele é focado exclusivamente para
> roteamento com protocolos dinâmicos como BGP e OSPF.

Então poderia usar Masquerade/NAT com o BSDRP?

> O PFSense embora cumpra perfeitamente o papel de roteador o foco do
> projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW
> para usar o WF2Q no enfileiramento.

O que realmente seria o dummynet, seria Masquerade/NAT, o que também é o
mesmo que tem estes roteadores bagatela, alias... gostaria muito, até
pedi para um da comunidade dos embarcados se ele consegue o pfsense num
modem Datacom da telefonica, o branquelo :P.

> Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para
> funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a
> seu critério.
>
> Ficou meio complicado compreender se o seu ambiente é roteamento
> dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e
> datacenter ) ou é roteamento estático junto com nat ( o mais comum,
> empresas de segmentos de serviços normalmente não relacionados a TI ) ,
> a partir daqui irei considerar o segundo cenário.

Ficou muito... eu sei que raramente irei me aprofundar nestes protocolos
de roteamento que você falou aí em cima e será mais NAT, embora que no
meu ambiente corporativo já tenha pessoal altamente preparados e
responsáveis gerenciando a rede e não teria tal necessidade, então fico
somente no service desk. Somente para conhecimento.

Deu a entender que o BSDRP parece mais interessante para forward de
pacotes

>
> Recomendaria o PFSense pelos motivos abaixo.
> -> Gerenciamento de regras de filtragem através da web, gerenciar um
> arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante,
> parece absurdo mais em ambientes corporativos a quantidade de regras
> cresce continuamente.

Isso ainda, nem vou chegar a experimentar... muito menos em um cisco

> -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o
> dumynet através do IPFW, contudo perde-se a facilidade da interface web.
> -> Ampliação com outras funcionalidades que em um ambiente corporativo
> nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado
> integrado com AD/Samba, controle de acesso dos usuários a internet,
> servidor cache DNS, relatórios de utilização da Internet e tudo isso
> gerenciável através da interface Web e não como normalmente era feito
> até 2008 quando os appliance começaram a se popularizarem e tudo tinha
> que ser através de edição direta do arquivo de configuração de cada
> aplicação, isso otimiza o tempo de uma forma incalculavel.

O que me faz ter um pouco de paranoia, é ter um dashboard monitorando
tudo :D Se deu erro no log... pisca na tela do dashboard

> -> Documentação e canais de ajuda já estão maduros para conseguir
> orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois
> não precisei de orientação ).
> -> Não é colocado como mais um software modinha de geek onde depois de
> alguns anos, as vezes meses,  encerra o desenvolvimento deixando os
> usuários orfãos.

Acha que o BSDRP, seu projeto pode não sobreviver?

> -> Ótima compatibilidade com hardware modestos, frizo que hardware
> modestos não é sinonimo de hardware porcaria ( estarei explicando na
> outra duvida sua ).

O que seria um hardware porcaria, por sinal?

>
> Segunda duvida, relacionado a utilização de proxy.
> O Proxy http não é bem uma camada de segurança sentido internet ->
> intranet e sim o oposto, intranet -> internet, sua principal função é
> otimizar a entrega da informações que usam protocolos http/ftp (
> exclusivamente ) e que não estejam criptografados, pode-se integrar o
> proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta
> ASF e se integrar ele com o squidguard/dansguard permitirá controlar
> melhor o que os funcionários da empresa poderá acessar e não esquece que
> para analisar como está o trafego há o sarg e o lightsquid com
> excelentes relatórios.

Embora todo mundo usa Squid, estou de olho e experimentando o
http://trafficserver.apache.org e na VM tem se mostrado excepcional
e como o Yahoo usa muito ele, tá no ports. Uso em modo cache, só.
Ver se tem algum plugin semelhante ao squid e de preferência com AD

Fora isso, não sei que dá, no meu ambiente corporativo tem um proxy
mas do outro lado da MPLS, queria implementar um cache para não ter
que viajar pela rede e retornar, mas teria que autenticar no AD
ou trabalhasse como espelho.

> O Proxy irá aumentar a sua segurança, depende claramente da forma que
> implantou, se foi só o proxy cache sem autenticação e sem integração com
> outras aplicações então não, ele será apenas um repositorio de
> informações constantemente acessadas mais proxima do usuário que a
> acessa. Por outro lado se usar ele junto com as demais ferramentas que
> indiquei acima ele se tornará um ótimo aliado no controle de informações
> que os funcionários acessa na internet, principalmente se usar o
> squidguard com uma politica padrão fechada, dá trabalho no inicio para
> configurar mais com o passar do tempo tende a diminuir as interações e
> os falsos/positivos.

Por enquanto estou na base da pirâmide, só no cache

>
> Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego
> "cacheavel".
> Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo
> IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há
> nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito
> quanto a forma de operação com interceptação de trafego plain-text.

Os esquema do proxy, poderia não funcionar com protocolos mais comuns
em ambiente doméstico como o bittorrent?

> Se a interceptação ou forward do trafego não é possivel implementar
> serviços de autenticação e filtragem de conteudo web.
> Não é possivel a implantação/integração com recursos de IDS/IPS.
> Não permite a geração de relátorios operacionais com muitas informações
> relevantes.

Acredito que com ntop é possível, não é?

> E acho que mais algumas outras coisas que não recordo no momento.
>

Já tá bão demais :D

> Quarta duvida, quanto a criação de um laboratorio de teste, nada que o
> virtulbox não de um jeito, e não precisa alocar mais do que 128Mb de ram
> para cada VM, eu mesmo tenho 4 VMs com ele cada uma com 128m de ram que
> uso como laboratorio.

As minhas VMs, tem o padrão que o VMware aloca, e estão no meu notebook.

> O Nilton Rizzo falou em um dos encontros da FUG-RJ sobre um projeto que
> já tem diversas imagens de O.S já prontas para baixar e importar no
> hipervisor ótimo para essa finalidade, infelizmente não recordo o nome
> do projeto e não consegui achar ele na net.
>
>
>
>     Tenho dúvida de um equipamento extremamente modesto para os dias
> atuais,
>     um Pentium III 800Mhz, 256MB RAM e nic rtl8139/similar. Se for
> possível,
>     eu vou fazer um teste de stress.
>
>
> Ok, irá rodar sim, muito bem por sinal só tem umas questões que precisa
> responder, são elas:

Estas perguntas... sim o levantamento, já cansou até aqui... vou tentar 
responder :P

> Quantos usuários terá por tras desse firewall/router ?

10

> Quanto de banda ele estará roteando ?

4Mbits

> Quais serviços estará rodando sobre essa maquina ?

De preferência somente o pfsense, fazendo forward de pacotes

> Quais o prejuizo caso esse equipamento venha a falhar as 12h do 5º dia
> util nos negócios da empresa ?

Tá em casa... então tá nada tranquilo :P Caiu o facebook! Pior que o
chefe eu tenho que aturar.

> A empresa pode arcar com o investimento de um hardware adequado para
> essa finalidade ?

Crise econômica, crise economica... :S quando vou ter dinheiro para
comprar um cisco, mas como o dolar tá alto, nem um mikrotik.
Vai o Pentium pé de chinelo. :D

> Os gestores da empresa compreendem o que é segurança da informação e
> qual o objetivo de tal investimento ou considera que é um custo
> operacional a implantação de uma solução dessa na rede ?

Vou levar pro lado do meu ambiente corporativo esta questão...
Os caras são nóias no quesito SI, mas quebrar um cadeado
a segurança vai ao brejo

> Esta considerando a redundância desse equipamento/função ?

Esta também eu vou levar pro lado do meu ambiente corporativo...
Queimou, sistema parou, tudo bem... coloca o backup já que não tem HA

> Quem será responsabilizado caso esse equipamento/função venha a dar
> problema e gerar prejuizo ( se for o TI começe a procurar outro emprego )?

Tem que ser a faxineira... que enroscou o cabo na vassoura! :P

>
> Tenho mais algumas outras 500 perguntas quanto a isso, contudo creio que
> você já compreendeu :D !!

Isso termina antes de eu morrer?

> E não use realtreko em roteador, ache umas 3Com ou então umas intel X100
> mesmo que fast-ethernet, mais não use de forma alguma realtreko,
> principalmente as 8139 e 8169, irá lhe poupar muitas dores de cabeça,
> outras interface que não recomendo são broadcom, via e atlansic ( essa
> muitas vezes dá kernel panic )
>

Legal a recomendação... mas vou fazer isso com um desktop velho, então
irei aguentar o treco. :D

> Se você quer fazer um serviço profissional recomendo optar por um
> hardware tipo server-u L100, ele é barato, tem um excelente desempenho e
> um ótimo custo/benefinio, alem de ser homologado para PFSense, se for
> usar proxy cache solicite o orçamento com no minimo 1 HD, por padrão ele
> usa memoria flash.
>

Eu já tenho isso em mente se fosse recomendar para um comercio, mas
seria complicado, pois muitos donos desconhecem a vantagem de ter um
equipamento destes.

>
>     Também gostaria de saber quais se estas customizações já estão
>     otimizadas, recentemente vi um instituto americano que disponibilizou
>     suas pesquisas de otimizações tanto de host quanto de NIC, no site
>     http://fasterdata.es.net/
>
>
> Somente otimizações que justifiquem e não cause dores de cabeça para a
> maioria dos usuários são feitas, contudo até hoje não encontrei um
> ambiente onde fosse necessário customizar/otimizar um PFSense.
> Se utilizar o FreeBSD puro ai a historia muda e a otimização por parte
> do usuário é mandatória.
> Olhei os documentos do fasterdata.es.net por cima, mais valeu, está com
> data para dedicar-me a leitura deles, parece serem analises
> interessantes de aspectos em transmissão de dados.

Que bom que gostou...
>
>
>     No BSDRP poderia instalar um ntop ou ao menos SNMP, para Log e gráfico
>     de banda.
>
> Só testei o BSDRP uma unica vez e nem foi profundamente, contudo hoje
> todo sistema operacional/appliance que se preze suporta o SNMP, bem
> provavel que o bsnmpd do FreeBSD já esteja incluso.
> Quanto ao ntop, há pacotes para o freebsd então creio que tenha
> disponivel também para BSDRP, se não tiver baixa o source e compila.
> Gráficos de banda, recomento a usar um zabbix ou nagios coletando as
> informações através de snmp e terá  graficos bem mais detalhados e
> abrangentes.
> Para acompanhamento em tempo real dos recursos tem o sysstat, excelente
> ferramenta.
>

Só do fato fazer o serviço bem feito, já tá valendo ;)

>
>     É muita dúvida para um assunto só... E acredito que tenho mais
>
>
> Tranquilo.
>
>
>     --    Fábio Rodrigues Ribeiro
>     http://www.farribeiro.com.br
>     -------------------------
>     Histórico: http://www.fug.com.br/historico/html/freebsd/
>     <http://www.fug.com.br/historico/html/freebsd/>
>     Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>     <https://www.fug.com.br/mailman/listinfo/freebsd>
>
>
> Att. Paulo Henrique.
>
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

-- 
Fábio Rodrigues Ribeiro
http://www.farribeiro.com.br