[FUG-BR] RES: [OFF TOPIC] Re: The Internet's Biggest Security Hole

[Adalto Lima Moreira]

voces estao brincando
o carinha la ja falou, com um nome mais bonito, de por os pc convencionais
fazendo redundancia

2008/8/27 c0re dumped <ez.c0re em gmail.com>

> Se o PC que faz o roteamento da tua AS der um pau na rebinboca da
> parafuseta, qual o impacto que isso vai causar pros seus clientes ?


provavelmente um impacto muito grande
grande suficiente pra por sua corda no pescoço se voce nao tiver plano de
contingencia



> Vc
> vai arcar com prejuizo por eles ficarem sem acesso ?


alguem vai? normalmente grandes empresas pagam outras empresas pra se
responsabilizarem
se voce ou seu corpo tecnico nao tem responsabilidade suficiente...
faz terceirizacao de responsabilidade
contrata alguem...

Às vezes o barato sai caro.


concordo plenamente
alguem esta defendendo o uso de pcs convencionais por causa do preço?
outras vezes o caro sao ainda mais caro

quem tem que avaliar isso é o tomador de decisão
vejo cada dia mais, em todas reuniões do gter, mais e mais gente usando pc
comum com quagga,
e alguns mais espertos (sim, mais espertos, pq eh mais racil, mais seguro, e
tem melhor performance) usando openbgp ou openospf ao inves da suite quagga
inteira
e gente dentro do proprio nic-br tem sugerido e as vezes defendido isso

eu defendo por causa da facilidade expansao, nao apenas pelo custo
mas reconheco que o meu ambiente com freebsd e openbgp + openospf é muito,
ridiculamente
muito mais facil de upar pra sBGP do que um cisco ou juniper

bom pra empresa que eu atendo


> O que é difícil de entender é que alguem sempre tem que ficar com o
> (_*_) na reta, e é melhor que seja a fabricante do hardware do
> roteador que os técnicos de manutenção de computadores da empresa.


eu ja disse, se o time não tem expertise tecnica pra assumir a
responsabilidade
terceirize a responsabilidade
faz um contrato, coloque termos de responsabilidade, procure o o famoso SLA
que a gente aprende nos cursinhos gestão e no curso-intensivo pra virar CEO
resolver esse problema é tão fácil que se ensina a falar bonito e termos de
métrica de qualidade pra qualquer zé mané num curso online da FGV pra
"executivos de sucesso"

enfim, terceiriza a responsabilidade técnica que seu corpo de profissionais
não tem

sai mais barato do que tentar processar a cisco por falha de hardware
HA-HA-HA


>
> Há muitos, muitos fatores a serem considerados além de "custo de
> equipamento", por mais romântico e revolucionário que seja a idéia de
> subistituir um hardware cheio de ASICS por um genérico.


não é romantismo, é necessidade
coloca-se um PC com partes moveis convencional, com openbgp, usando um
segundo PC com eBGP, um repassando a tabela bgp pro outro, pra garantir
sincronia plena entre eles, e infia CARP nos 2 PC

se o hardware falhar, o outro assume, e vc nao perde tempo procurando
culpados
usa seu tempo procurando substituir o hardware falho
muito mais produtivo do que procurar cabeças pra cortar

se 2 spare servers não é garantia suficiente coloca 3
ainda assim são mais barato do que um cisco ou juniper de capacidade
equivalente

mas essa parte todos devem saber ja...


>
>
> Vejam bem, não estou dizendo que i386's vivem dando problema (antes
> que voem os primeiros flames), mas somente levantando situações que
> acontecem.


não está? mas deveria, pq i386 vivem dando problema... vida ultil baixissma
eu sempre sugiro hardware sem partes moveis


> No caso específico da questão "BIND x DJbdns", enquanto o BIND tiver
> suporte a DNSsec, pessoalmente prefiro ficar com ele, já que o
> problema não é da implementação A ou B, mas sim do protocolo DNS (por
> mais que tentem jogar a culpa em cima de uma única implementação).


o proprio daniel bernstein falou: não coloquei dnssec porque é falho; e
adivinha? ele tava certo; quando ficar pronto ele põe, enfim... enquanto
isso fiquem usando ai dnssec furado, quando ficar pronto e funcional eu
implemento, e poupo meu tempo