[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Shorewall x Firestarter x Firewall Builder

André Carezia wrote:


On Wed, 05 Jan 2005 21:12:51 -0200, Marcos wrote:


Por exemplo, vc colocou regras para fazer log de SPOOFING interno?


O Firewall Builder tem um "ajudante" para começar, e já inclui essas
regras. Mas o bloqueio de pacotes destinados a faixas privadas
(RFC1918), por exemplo, você precisa acrescentar.


Por isso é interessante ter ou algum entendido do assunto, ou então usar uma
ferramenta escrita pelo entendido. Como tudo nessa vida, nada que com um
pouco de estudo não se aprenda, mas alguém aqui arriscaria pedir pra qquer
um mexer na fechadura da sua casa ou carro (por mais simples que seja o
mecanismo)? Ela pode ser a única garantia de que ninguem vai entrar no seu
'território', então ela tem que funcionar bem.


ou ataques smurfs (flood de ICMP_ECHO), ou mesmo SYN_FLOOD? Isso sem
contar um sem-número de violações que podem existir nos cabeçalhos IP
e TCP (Xmas, null, etc). Apesar de não  ser essencial, é o firewall o
responsável por detectar tais problemas...


Não necessariamente. Talvez seja melhor usar um sistema de detecção de
invasão (IDS) como o Snort para cuidar disso.


Eu nao conheco muito bem o funcionamento de IDS - mas até onde eu sei, o D é
de Detection, e eu estou falando de Protection. O meu objetivo era (no texto
acima) de não deixar essas porcarias entrarem na sua rede.
Claro que um IDS vai oferecer uma visão muito mais ampla e clara da
situação, mas ele vai exigir muitos mais recursos (tando de HW qto de SW).
Ai entra o famoso 'trade-off': a relação custo/benefício compensa a
'ralação' na hora de configurar um IDS?


[...]
Um outro ponto que ninguem citou ainda foi em relação aos log
analiser; parte fundamental de qquer firewall mais sério. No caso do
Debian, eu acho o logcheck muito bom e fácil de configurar.


Realmente, mas o "fwlogwatch" sintetiza melhor os eventos diários do
Netfilter. E possui uma interface Web para visualização em tempo real.


O logwatch manda resumos horários para o admin (se houver algo a ser dito,
claro), e no caso de alguma coisa importante, manda um e-mail exclusivo, no
momento.
Dizem que o melhor é o swatch - pois ele fica o tempo todo monitorando os
logs e a cada 'match' das regras ele manda um e-mail.

Eu nao conheco esse 'fwlogwatch'; apesar de não ter encontrando nenhum
modelo de relatorio na web, ele pareceu bem avaliado. No caso, uso o
logcheck pq meu firewall tem uma deficiencia séria: CPU power.

Mas uma coisa que realmente não é interessante é ter um servidor web num
firewall. Firewall sério é pra ser firewall e pronto.


--
Marcos Lazarini
Reply to: