Talvez não tenha deixado claro alguns pontos do howto. Revisando aqui vi já alguns erros de digitação que vou melhorar...
POR QUE USAR BRIDGE COM VLAN? Usei para implementar, em FreeBSD, a mesma infra que os colegas implementaram em linux, mostrado nas referencias (ftp://ftp.registro.br/pub/gts/gts07/05-filtrobridges.pdf). Ali, vc vai encontrar uma vasta listagem de motivações que não colocarei aqui. Eu achei aquela apresentação muito legal, pois já possíuamos um switch com VLAN, mas sem roving analysis, impossibilitando a copia de trafego para a porta do IDS. Assim, fazendo bridge entre VLANs, matamos dois problemas em um só. Alem de substituir a necessidade da característica "Roving Analysis" no switch, usei VLAN para fazer um controle de todo trafego no switch de forma transparente, usando uma mesma infra-estrutura já utilizada, e evitando completamente o acesso de um cliente ao outro sem passar pelo filtro. Veja que as outras formas citadas, até agora, de contornar o problema sem VLAN não impedem o acesso de um cliente ao outro sem passar pelo filtro. Logo, ao invés de encarecer a infra, como alguns falam, ela infinitamente barateia a infra, depende muito de como vc vê a coisa. Quanto sai um switch L3 com IDS ou IPS? PQ COLOCAR PF NO SCRIPT? Bom, eu pessoalmente uso direto o PF como firewall, gosto pessoal. Botei lá pq meus filtros são todos em pf. :) Uso o ipfw apenas para fazer o divert e fazer os filtros de MAC, se for o caso. Vc pode optar qualquer um dos dois para fazer controle de banda. O documento não está pronto, mas meu intuito não era colocar as regras ali, apenas mostrar a possibilidade de atuar dessa forma. Tb quis mostrar a configuração de bridge com if_bridge ao invés de bridge (mostrado no handbook do freebsd), possibilitando a utilização do pf com bridge, como ocorre no OpenBSD. Outra coisa que passou despercebida é que falam que snort_inline não funciona com bridge no freebsd, e, mesmo que meio capenga (mudando o src MAC), dá pra fazer funcionar dessa forma. Coloco mais algumas observações de possibilidades que vislumbro com isso: 1-Ligar um IP-MAC a uma localização física via filtro (vc pode filtrar os acessos na entrada de cada VLAN-Porta com o ipfw) 2- Corretamente castradas as localizações/porta e correlacionado com as respostas do IDS e com, possivelmente, um sistema 3D bem feito (ae já é um luxo de cinema), vc pode dar com precisão e praticamente instantaneamente (se a instalação fisica estiver intacta) o local fisico da origem/destino de um ataque. Em redes como localização fisica complexa seria interessante isso. Enfim, elucubrações! -- Aristeu Gil Alves Jr ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
