[FUG-BR] BSDRP ou pfsense

Paulo Henrique - BSDs Brasil paulo.rddck em bsd.com.br
Domingo Março 6 22:08:44 BRT 2016 

Saudações,

Respostas entre as duvidas.

Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro 
<fug em farribeiro.com.br <mailto:fug em farribeiro.com.br>> escreveu:

    Olá boa tarde!

    Gostaria de experimentar umas destas duas soluções semi prontas. O
    laboratório em ambiente doméstico tem a intenção é somente roteamento.
    Na tentativa de simular ambiente corporativo, de preferência com
    serviços em equipamentos independentes e o ideal as maquinas não ter
    acesso direto a NET, passando por um proxy.

    Router <---> Proxy <---> Maquinas

    A utilidade do servidor proxy, além do cache, dá uma camada de segurança
    para os equipamento da rede? E quais vantagens utilizar o trafego
    direto.


Vamos esclarecer alguns conceitos aqui.
O BSDRP é destinado marjoritáriamente para aplicações de roteamento, 
embora possua o suporte de PF e IPFW ele é focado exclusivamente para 
roteamento com protocolos dinâmicos como BGP e OSPF.
O PFSense embora cumpra perfeitamente o papel de roteador o foco do 
projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW 
para usar o WF2Q no enfileiramento.
Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para 
funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a 
seu critério.

Ficou meio complicado compreender se o seu ambiente é roteamento 
dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e 
datacenter ) ou é roteamento estático junto com nat ( o mais comum, 
empresas de segmentos de serviços normalmente não relacionados a TI ) , 
a partir daqui irei considerar o segundo cenário.

Recomendaria o PFSense pelos motivos abaixo.
-> Gerenciamento de regras de filtragem através da web, gerenciar um 
arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, 
parece absurdo mais em ambientes corporativos a quantidade de regras 
cresce continuamente.
-> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o 
dumynet através do IPFW, contudo perde-se a facilidade da interface web.
-> Ampliação com outras funcionalidades que em um ambiente corporativo 
nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado 
integrado com AD/Samba, controle de acesso dos usuários a internet, 
servidor cache DNS, relatórios de utilização da Internet e tudo isso 
gerenciável através da interface Web e não como normalmente era feito 
até 2008 quando os appliance começaram a se popularizarem e tudo tinha 
que ser através de edição direta do arquivo de configuração de cada 
aplicação, isso otimiza o tempo de uma forma incalculavel.
-> Documentação e canais de ajuda já estão maduros para conseguir 
orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois 
não precisei de orientação ).
-> Não é colocado como mais um software modinha de geek onde depois de 
alguns anos, as vezes meses,  encerra o desenvolvimento deixando os 
usuários orfãos.
-> Ótima compatibilidade com hardware modestos, frizo que hardware 
modestos não é sinonimo de hardware porcaria ( estarei explicando na 
outra duvida sua ).

Segunda duvida, relacionado a utilização de proxy.
O Proxy http não é bem uma camada de segurança sentido internet -> 
intranet e sim o oposto, intranet -> internet, sua principal função é 
otimizar a entrega da informações que usam protocolos http/ftp ( 
exclusivamente ) e que não estejam criptografados, pode-se integrar o 
proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta 
ASF e se integrar ele com o squidguard/dansguard permitirá controlar 
melhor o que os funcionários da empresa poderá acessar e não esquece que 
para analisar como está o trafego há o sarg e o lightsquid com 
excelentes relatórios.
O Proxy irá aumentar a sua segurança, depende claramente da forma que 
implantou, se foi só o proxy cache sem autenticação e sem integração com 
outras aplicações então não, ele será apenas um repositorio de 
informações constantemente acessadas mais proxima do usuário que a 
acessa. Por outro lado se usar ele junto com as demais ferramentas que 
indiquei acima ele se tornará um ótimo aliado no controle de informações 
que os funcionários acessa na internet, principalmente se usar o 
squidguard com uma politica padrão fechada, dá trabalho no inicio para 
configurar mais com o passar do tempo tende a diminuir as interações e 
os falsos/positivos.

Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego 
"cacheavel".
Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo 
IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há 
nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito 
quanto a forma de operação com interceptação de trafego plain-text.
Se a interceptação ou forward do trafego não é possivel implementar 
serviços de autenticação e filtragem de conteudo web.
Não é possivel a implantação/integração com recursos de IDS/IPS.
Não permite a geração de relátorios operacionais com muitas informações 
relevantes.
E acho que mais algumas outras coisas que não recordo no momento.

Quarta duvida, quanto a criação de um laboratorio de teste, nada que o 
virtulbox não de um jeito, e não precisa alocar mais do que 128Mb de ram 
para cada VM, eu mesmo tenho 4 VMs com ele cada uma com 128m de ram que 
uso como laboratorio.
O Nilton Rizzo falou em um dos encontros da FUG-RJ sobre um projeto que 
já tem diversas imagens de O.S já prontas para baixar e importar no 
hipervisor ótimo para essa finalidade, infelizmente não recordo o nome 
do projeto e não consegui achar ele na net.



    Tenho dúvida de um equipamento extremamente modesto para os dias atuais,
    um Pentium III 800Mhz, 256MB RAM e nic rtl8139/similar. Se for possível,
    eu vou fazer um teste de stress.


Ok, irá rodar sim, muito bem por sinal só tem umas questões que precisa 
responder, são elas:
Quantos usuários terá por tras desse firewall/router ?
Quanto de banda ele estará roteando ?
Quais serviços estará rodando sobre essa maquina ?
Quais o prejuizo caso esse equipamento venha a falhar as 12h do 5º dia 
util nos negócios da empresa ?
A empresa pode arcar com o investimento de um hardware adequado para 
essa finalidade ?
Os gestores da empresa compreendem o que é segurança da informação e 
qual o objetivo de tal investimento ou considera que é um custo 
operacional a implantação de uma solução dessa na rede ?
Esta considerando a redundância desse equipamento/função ?
Quem será responsabilizado caso esse equipamento/função venha a dar 
problema e gerar prejuizo ( se for o TI começe a procurar outro emprego )?

Tenho mais algumas outras 500 perguntas quanto a isso, contudo creio que 
você já compreendeu :D !!
E não use realtreko em roteador, ache umas 3Com ou então umas intel X100 
mesmo que fast-ethernet, mais não use de forma alguma realtreko, 
principalmente as 8139 e 8169, irá lhe poupar muitas dores de cabeça, 
outras interface que não recomendo são broadcom, via e atlansic ( essa 
muitas vezes dá kernel panic )

Se você quer fazer um serviço profissional recomendo optar por um 
hardware tipo server-u L100, ele é barato, tem um excelente desempenho e 
um ótimo custo/benefinio, alem de ser homologado para PFSense, se for 
usar proxy cache solicite o orçamento com no minimo 1 HD, por padrão ele 
usa memoria flash.


    Também gostaria de saber quais se estas customizações já estão
    otimizadas, recentemente vi um instituto americano que disponibilizou
    suas pesquisas de otimizações tanto de host quanto de NIC, no site
    http://fasterdata.es.net/


Somente otimizações que justifiquem e não cause dores de cabeça para a 
maioria dos usuários são feitas, contudo até hoje não encontrei um 
ambiente onde fosse necessário customizar/otimizar um PFSense.
Se utilizar o FreeBSD puro ai a historia muda e a otimização por parte 
do usuário é mandatória.
Olhei os documentos do fasterdata.es.net por cima, mais valeu, está com 
data para dedicar-me a leitura deles, parece serem analises 
interessantes de aspectos em transmissão de dados.


    No BSDRP poderia instalar um ntop ou ao menos SNMP, para Log e gráfico
    de banda.

Só testei o BSDRP uma unica vez e nem foi profundamente, contudo hoje 
todo sistema operacional/appliance que se preze suporta o SNMP, bem 
provavel que o bsnmpd do FreeBSD já esteja incluso.
Quanto ao ntop, há pacotes para o freebsd então creio que tenha 
disponivel também para BSDRP, se não tiver baixa o source e compila.
Gráficos de banda, recomento a usar um zabbix ou nagios coletando as 
informações através de snmp e terá  graficos bem mais detalhados e 
abrangentes.
Para acompanhamento em tempo real dos recursos tem o sysstat, excelente 
ferramenta.


    É muita dúvida para um assunto só... E acredito que tenho mais


Tranquilo.


    -- 
    Fábio Rodrigues Ribeiro
    http://www.farribeiro.com.br
    -------------------------
    Histórico: http://www.fug.com.br/historico/html/freebsd/
    <http://www.fug.com.br/historico/html/freebsd/>
    Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
    <https://www.fug.com.br/mailman/listinfo/freebsd>


Att. Paulo Henrique.

-- 
:UNI><BSD:

Paulo Henrique.
UnixBSD Tecnologia
Segurança em Tecnologia da Informação.
Fone: (21) 3708-9388
Site: https://www.unixbsd.com.br

-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: paulo_rddck.vcf
Tipo: text/x-vcard
Tamanho: 212 bytes
Descrição: não disponível
URL: <http://www.fug.com.br/historico/html/freebsd/attachments/20160306/a1a5a795/attachment.vcf>

Mais detalhes sobre a lista de discussão freebsd