[FUG-BR] BSDRP ou pfsense
Fábio Rodrigues Ribeiro
fug em farribeiro.com.br
Segunda Março 7 00:45:47 BRT 2016
Em 07-Mar-16 00:37, vitorhugo60 em hotmail.com escreveu:
>
>
> Alguns produtos da watchdog faz este serviço muito bem e você pode instalar o pfsense ou outro BSD nele também hoje em dia existem soluções baratas da tp-link e d-link
>
>
> Enviado do Outlook Mobile. Sim, também funciona com o Gmail.
>
>
>
>
>
>
> On Sun, Mar 6, 2016 at 6:12 PM -0800, "Fábio Rodrigues Ribeiro" <fug em farribeiro.com.br> wrote:
>
>
>
>
>
> Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu:
>> Saudações,
>>
>> Respostas entre as duvidas.
>>
>> Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro
>> <fug em farribeiro.com.br <mailto:fug em farribeiro.com.br>> escreveu:
>>
>> Olá boa tarde!
>>
>> Gostaria de experimentar umas destas duas soluções semi prontas. O
>> laboratório em ambiente doméstico tem a intenção é somente roteamento.
>> Na tentativa de simular ambiente corporativo, de preferência com
>> serviços em equipamentos independentes e o ideal as maquinas não ter
>> acesso direto a NET, passando por um proxy.
>>
>> Router <---> Proxy <---> Maquinas
>>
>> A utilidade do servidor proxy, além do cache, dá uma camada de
>> segurança
>> para os equipamento da rede? E quais vantagens utilizar o trafego
>> direto.
>>
>>
>> Vamos esclarecer alguns conceitos aqui.
>> O BSDRP é destinado marjoritáriamente para aplicações de roteamento,
>> embora possua o suporte de PF e IPFW ele é focado exclusivamente para
>> roteamento com protocolos dinâmicos como BGP e OSPF.
>> O PFSense embora cumpra perfeitamente o papel de roteador o foco do
>> projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW
>> para usar o WF2Q no enfileiramento.
>> Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para
>> funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a
>> seu critério.
>>
>> Ficou meio complicado compreender se o seu ambiente é roteamento
>> dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e
>> datacenter ) ou é roteamento estático junto com nat ( o mais comum,
>> empresas de segmentos de serviços normalmente não relacionados a TI ) ,
>> a partir daqui irei considerar o segundo cenário.
>>
>> Recomendaria o PFSense pelos motivos abaixo.
>> -> Gerenciamento de regras de filtragem através da web, gerenciar um
>> arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante,
>> parece absurdo mais em ambientes corporativos a quantidade de regras
>> cresce continuamente.
>> -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o
>> dumynet através do IPFW, contudo perde-se a facilidade da interface web.
>> -> Ampliação com outras funcionalidades que em um ambiente corporativo
>> nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado
>> integrado com AD/Samba, controle de acesso dos usuários a internet,
>> servidor cache DNS, relatórios de utilização da Internet e tudo isso
>> gerenciável através da interface Web e não como normalmente era feito
>> até 2008 quando os appliance começaram a se popularizarem e tudo tinha
>> que ser através de edição direta do arquivo de configuração de cada
>> aplicação, isso otimiza o tempo de uma forma incalculavel.
>> -> Documentação e canais de ajuda já estão maduros para conseguir
>> orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois
>> não precisei de orientação ).
>> -> Não é colocado como mais um software modinha de geek onde depois de
>> alguns anos, as vezes meses, encerra o desenvolvimento deixando os
>> usuários orfãos.
>> -> Ótima compatibilidade com hardware modestos, frizo que hardware
>> modestos não é sinonimo de hardware porcaria ( estarei explicando na
>> outra duvida sua ).
>>
>> Segunda duvida, relacionado a utilização de proxy.
>> O Proxy http não é bem uma camada de segurança sentido internet ->
>> intranet e sim o oposto, intranet -> internet, sua principal função é
>> otimizar a entrega da informações que usam protocolos http/ftp (
>> exclusivamente ) e que não estejam criptografados, pode-se integrar o
>> proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta
>> ASF e se integrar ele com o squidguard/dansguard permitirá controlar
>> melhor o que os funcionários da empresa poderá acessar e não esquece que
>> para analisar como está o trafego há o sarg e o lightsquid com
>> excelentes relatórios.
>> O Proxy irá aumentar a sua segurança, depende claramente da forma que
>> implantou, se foi só o proxy cache sem autenticação e sem integração com
>> outras aplicações então não, ele será apenas um repositorio de
>> informações constantemente acessadas mais proxima do usuário que a
>> acessa. Por outro lado se usar ele junto com as demais ferramentas que
>> indiquei acima ele se tornará um ótimo aliado no controle de informações
>> que os funcionários acessa na internet, principalmente se usar o
>> squidguard com uma politica padrão fechada, dá trabalho no inicio para
>> configurar mais com o passar do tempo tende a diminuir as interações e
>> os falsos/positivos.
>>
>> Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego
>> "cacheavel".
>> Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo
>> IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há
>> nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito
>> quanto a forma de operação com interceptação de trafego plain-text.
>> Se a interceptação ou forward do trafego não é possivel implementar
>> serviços de autenticação e filtragem de conteudo web.
>> Não é possivel a implantação/integração com recursos de IDS/IPS.
>> Não permite a geração de relátorios operacionais com muitas informações
>> relevantes.
>> E acho que mais algumas outras coisas que não recordo no momento.
>>
>> Quarta duvida, quanto a criação de um laboratorio de teste, nada que o
>> virtulbox não de um jeito, e não precisa alocar mais do que 128Mb de ram
>> para cada VM, eu mesmo tenho 4 VMs com ele cada uma com 128m de ram que
>> uso como laboratorio.
>> O Nilton Rizzo falou em um dos encontros da FUG-RJ sobre um projeto que
>> já tem diversas imagens de O.S já prontas para baixar e importar no
>> hipervisor ótimo para essa finalidade, infelizmente não recordo o nome
>> do projeto e não consegui achar ele na net.
>>
>>
>>
>> Tenho dúvida de um equipamento extremamente modesto para os dias
>> atuais,
>> um Pentium III 800Mhz, 256MB RAM e nic rtl8139/similar. Se for
>> possível,
>> eu vou fazer um teste de stress.
>>
>>
>> Ok, irá rodar sim, muito bem por sinal só tem umas questões que precisa
>> responder, são elas:
>> Quantos usuários terá por tras desse firewall/router ?
>> Quanto de banda ele estará roteando ?
>> Quais serviços estará rodando sobre essa maquina ?
>> Quais o prejuizo caso esse equipamento venha a falhar as 12h do 5º dia
>> util nos negócios da empresa ?
>> A empresa pode arcar com o investimento de um hardware adequado para
>> essa finalidade ?
>> Os gestores da empresa compreendem o que é segurança da informação e
>> qual o objetivo de tal investimento ou considera que é um custo
>> operacional a implantação de uma solução dessa na rede ?
>> Esta considerando a redundância desse equipamento/função ?
>> Quem será responsabilizado caso esse equipamento/função venha a dar
>> problema e gerar prejuizo ( se for o TI começe a procurar outro emprego )?
>>
>> Tenho mais algumas outras 500 perguntas quanto a isso, contudo creio que
>> você já compreendeu :D !!
>> E não use realtreko em roteador, ache umas 3Com ou então umas intel X100
>> mesmo que fast-ethernet, mais não use de forma alguma realtreko,
>> principalmente as 8139 e 8169, irá lhe poupar muitas dores de cabeça,
>> outras interface que não recomendo são broadcom, via e atlansic ( essa
>> muitas vezes dá kernel panic )
>>
>> Se você quer fazer um serviço profissional recomendo optar por um
>> hardware tipo server-u L100, ele é barato, tem um excelente desempenho e
>> um ótimo custo/benefinio, alem de ser homologado para PFSense, se for
>> usar proxy cache solicite o orçamento com no minimo 1 HD, por padrão ele
>> usa memoria flash.
>>
>>
>> Também gostaria de saber quais se estas customizações já estão
>> otimizadas, recentemente vi um instituto americano que disponibilizou
>> suas pesquisas de otimizações tanto de host quanto de NIC, no site
>> http://fasterdata.es.net/
>>
>>
>> Somente otimizações que justifiquem e não cause dores de cabeça para a
>> maioria dos usuários são feitas, contudo até hoje não encontrei um
>> ambiente onde fosse necessário customizar/otimizar um PFSense.
>> Se utilizar o FreeBSD puro ai a historia muda e a otimização por parte
>> do usuário é mandatória.
>> Olhei os documentos do fasterdata.es.net por cima, mais valeu, está com
>> data para dedicar-me a leitura deles, parece serem analises
>> interessantes de aspectos em transmissão de dados.
>>
>>
>> No BSDRP poderia instalar um ntop ou ao menos SNMP, para Log e gráfico
>> de banda.
>>
>> Só testei o BSDRP uma unica vez e nem foi profundamente, contudo hoje
>> todo sistema operacional/appliance que se preze suporta o SNMP, bem
>> provavel que o bsnmpd do FreeBSD já esteja incluso.
>> Quanto ao ntop, há pacotes para o freebsd então creio que tenha
>> disponivel também para BSDRP, se não tiver baixa o source e compila.
>> Gráficos de banda, recomento a usar um zabbix ou nagios coletando as
>> informações através de snmp e terá graficos bem mais detalhados e
>> abrangentes.
>> Para acompanhamento em tempo real dos recursos tem o sysstat, excelente
>> ferramenta.
>>
>>
>> É muita dúvida para um assunto só... E acredito que tenho mais
>>
>>
>> Tranquilo.
>>
>>
>> -- Fábio Rodrigues Ribeiro
>> http://www.farribeiro.com.br
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> <http://www.fug.com.br/historico/html/freebsd/>
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> <https://www.fug.com.br/mailman/listinfo/freebsd>
>>
>>
>> Att. Paulo Henrique.
>>
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
> Primeiramente... eu vou demorar algumas décadas para assimilar tanta
> informações! Improvavelmente terá uma tréplica.
>
> O objetivo era fazer algo mais profissional no meu ambiente doméstico
> e de quebra aprender mais sobre networking, já que sai muito cru do
> curso da Cisco R&S 5.0 pois tenho habilidades mais para devOps, mais
> para developer que sysadmin. Mas tenho muita vontade de espremer para
> ver o que tem de interessante nestes seus argumentos.
>
> --
> Fábio Rodrigues Ribeiro
> http://www.farribeiro.com.br
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
É para casa amigo, para brincar um pouco... ganhar um pouco de "massa
muscular" na cabeça ;) Valeu a recomendação
--
Fábio Rodrigues Ribeiro
http://www.farribeiro.com.br
Mais detalhes sobre a lista de discussão freebsd