[FUG-BR] RES: RES: [OFF TOPIC] Re: The Internet's Biggest Security Hole

Marcelo Veriato Lima marcelo_veriato em sicredi.com.br
Quarta Agosto 27 23:34:57 BRT 2008 

   Renato Frederick wrote:

Exatamente meu ponto de vista.

Custo do hardware + Suporte 24x7 do Hardware + Custo do analista UNIX para
instalar BGP + Suporte 24x7 do Analista UNIX.. talvez fique bem próximo do
custo de comprar uma  solução "fechada" na "caixa" de um fabricante.

Tem também outros fatores, padronização do parque de ativos, gerenciamento
remoto,  estatísticas integradas(uma suíte netflow por exemplo), redundância
de controladoras, de fontes, ventilação...

Sobre o DNS, mais um pra listinha de "inseguro por design" hehehehe :)






-----Mensagem original-----
De: [1]freebsd-bounces em fug.com.br [[2]mailto:freebsd-bounces em fug.com.br] Em
nome de c0re dumped
Enviada em: quarta-feira, 27 de agosto de 2008 18:03
Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
[3]<freebsd em fug.com.br>
Assunto: Re: [FUG-BR] RES: [OFF TOPIC] Re: The Internet's Biggest
Security Hole

Se o PC que faz o roteamento da tua AS der um pau na rebinboca da
parafuseta, qual o impacto que isso vai causar pros seus clientes ? Vc
vai arcar com prejuizo por eles ficarem sem acesso ?

Às vezes o barato sai caro.

O que é difícil de entender é que alguem sempre tem que ficar com o
(_*_) na reta, e é melhor que seja a fabricante do hardware do
roteador que os técnicos de manutenção de computadores da empresa.

Há muitos, muitos fatores a serem considerados além de "custo de
equipamento", por mais romântico e revolucionário que seja a idéia de
subistituir um hardware cheio de ASICS por um genérico.

Vejam bem, não estou dizendo que i386's vivem dando problema (antes
que voem os primeiros flames), mas somente levantando situações que
acontecem.

No caso específico da questão "BIND x DJbdns", enquanto o BIND tiver
suporte a DNSsec, pessoalmente prefiro ficar com ele, já que o
problema não é da implementação A ou B, mas sim do protocolo DNS (por
mais que tentem jogar a culpa em cima de uma única implementação).

just my 2 cents.

[]'s

--
[4]http://www.webcrunchers.com/crunch/

[5]http://www.myspace.com/whippersnappermusic
[6]http://www.purevolume.com/whippersnapper
-------------------------
Histórico: [7]http://www.fug.com.br/historico/html/freebsd/
Sair da lista: [8]https://www.fug.com.br/mailman/listinfo/freebsd

-------------------------
Histórico: [9]http://www.fug.com.br/historico/html/freebsd/
Sair da lista: [10]https://www.fug.com.br/mailman/listinfo/freebsd


   Boa noite senhores, apoio o uso de software em máquinas tanto que ja
   utilizei FreeBSD fazendo full-routing BGP e este segurou a bronca por
   vários anos mas ainda não é possível implementar nem a metade o poder
   de um switch/router, seja cisco, juniper ou outro forte no mercado,
   normalmente operadoras e/ou grandes empresas não colocam um Cisco 6500
   ou um Juniper M-Series apenas para o BGP (no caso desta thread) e
   concordo que seria um desperdício de dinheiro pagar 200k por um
   roteador apenas para fazer um função que poderia ser feita via software
   com a mesma performance, incorpora-se muitas outras funcionalides no
   mesmo chassi, QoS com trocentas classes, swithing, routing,
   load-balance, mpls, bgp entre tantas outras tecnologias.
   Ja passei por diversos problemas onde somente o fabricante conseguiu
   resolver, bugs dos mais diversos tipos, graças ao suporte os problemas
   foram sanados em tempo hábil (cerca de 90% dos casos), chego a ficar
   espantado quando abro um tac com algum fabricante e me retornam em 3
   minutos com a solução. Um detalhe muito importante e que muitas pessoas
   questionam, como pode uma empresa que fabrica equipamentos para telecom
   e fatura bilhões por ano pode ter tantos bugs? A resposta na minha
   visão é que uma infinidade de features são implementatas e como nada é
   perfeito, normalmente tem um bug que outro sendo bem modesto, as vezes
   podendo parar uma operadora como no caso da Telefonica, onde segundo
   colegas dizem que um roteador que era para ser utilizado em um lab foi
   conectado na rede em Sorocaba e propagou ISIS para todo lado, não sei
   se é verdade ou não, pelo menos na mídia não saiu isso, enfim, o que o
   c0re dumped falou é a mais pura verdade, se não for um descuido ou
   mesmo falta de conhecimento do administrador do equipamento, quem vai
   ficar com o (_*_) na reta não serei eu e sim o fabricante.
   Abraços
   Detalhe, a cisco já esta utilizando o kernel linux no NX-OS, software
   que roda na plataforma Nexus.
--
Marcelo Veriato Lima
Analista de Redes e Telecomunicações Senior
Administração de Infra-estrutura de TI
Confederação SICREDI - Porto Alegre
+55 (51) 3358-8355
[11]http://www.sicredi.com.br

As informacoes contidas neste e-mail e anexos podem ser confidenciais e privileg
iadas, protegidas por sigilo legal. Qualquer forma de utilizacao deste documento
 depende de autorizacao do emissor, sujeito as penalidades cabiveis. O emissor u
tiliza o recurso somente para fins profissionais, eximindo o empregador de respo
nsabilidades por uso pessoal ou improprio. Se esta mensagem foi recebida por eng
ano, o conteudo deve ser apagado e o remetente avisado imediatamente, atraves de
 resposta a este e-mail.

References

   1. mailto:freebsd-bounces em fug.com.br
   2. mailto:freebsd-bounces em fug.com.br
   3. mailto:freebsd em fug.com.br
   4. http://www.webcrunchers.com/crunch/
   5. http://www.myspace.com/whippersnappermusic
   6. http://www.purevolume.com/whippersnapper
   7. http://www.fug.com.br/historico/html/freebsd/
   8. https://www.fug.com.br/mailman/listinfo/freebsd
   9. http://www.fug.com.br/historico/html/freebsd/
  10. https://www.fug.com.br/mailman/listinfo/freebsd
  11. http://www.sicredi.com.br/

Mais detalhes sobre a lista de discussão freebsd