Alguns produtos da watchdog faz este serviço muito bem e você pode instalar o pfsense ou outro BSD nele também hoje em dia existem soluções baratas da tp-link e d-link
Enviado do Outlook Mobile. Sim, também funciona com o Gmail. On Sun, Mar 6, 2016 at 6:12 PM -0800, "Fábio Rodrigues Ribeiro" <f...@farribeiro.com.br> wrote: Em 06-Mar-16 22:08, Paulo Henrique - BSDs Brasil escreveu: > Saudações, > > Respostas entre as duvidas. > > Em 6 de março de 2016 16:53, Fábio Rodrigues Ribeiro > <f...@farribeiro.com.br <mailto:f...@farribeiro.com.br>> escreveu: > > Olá boa tarde! > > Gostaria de experimentar umas destas duas soluções semi prontas. O > laboratório em ambiente doméstico tem a intenção é somente roteamento. > Na tentativa de simular ambiente corporativo, de preferência com > serviços em equipamentos independentes e o ideal as maquinas não ter > acesso direto a NET, passando por um proxy. > > Router <---> Proxy <---> Maquinas > > A utilidade do servidor proxy, além do cache, dá uma camada de > segurança > para os equipamento da rede? E quais vantagens utilizar o trafego > direto. > > > Vamos esclarecer alguns conceitos aqui. > O BSDRP é destinado marjoritáriamente para aplicações de roteamento, > embora possua o suporte de PF e IPFW ele é focado exclusivamente para > roteamento com protocolos dinâmicos como BGP e OSPF. > O PFSense embora cumpra perfeitamente o papel de roteador o foco do > projeto é firewall com PF onde pode se usar o dumynet junto com o IPFW > para usar o WF2Q no enfileiramento. > Em resumo BSDRP é otimizado para roteamento e PFSense otimizado para > funções de firewall, ambos podem fazer o papel que deseja ? sim, fica a > seu critério. > > Ficou meio complicado compreender se o seu ambiente é roteamento > dinâmico ( BGP ou OSPF, normalmente usado em carrier, provedores e > datacenter ) ou é roteamento estático junto com nat ( o mais comum, > empresas de segmentos de serviços normalmente não relacionados a TI ) , > a partir daqui irei considerar o segundo cenário. > > Recomendaria o PFSense pelos motivos abaixo. > -> Gerenciamento de regras de filtragem através da web, gerenciar um > arquivo de 1000 a 2000 regras na CLI tendem a ser um pouco frustante, > parece absurdo mais em ambientes corporativos a quantidade de regras > cresce continuamente. > -> Suporte a enfileiramente de trafégo utilizando o Altq, pode se usar o > dumynet através do IPFW, contudo perde-se a facilidade da interface web. > -> Ampliação com outras funcionalidades que em um ambiente corporativo > nos dias atuais são requeridas como IDS/IPS, proxy http/ftp autenticado > integrado com AD/Samba, controle de acesso dos usuários a internet, > servidor cache DNS, relatórios de utilização da Internet e tudo isso > gerenciável através da interface Web e não como normalmente era feito > até 2008 quando os appliance começaram a se popularizarem e tudo tinha > que ser através de edição direta do arquivo de configuração de cada > aplicação, isso otimiza o tempo de uma forma incalculavel. > -> Documentação e canais de ajuda já estão maduros para conseguir > orientar ou ajudar a resolver um problema ( não sei quanto ao BSDRP pois > não precisei de orientação ). > -> Não é colocado como mais um software modinha de geek onde depois de > alguns anos, as vezes meses, encerra o desenvolvimento deixando os > usuários orfãos. > -> Ótima compatibilidade com hardware modestos, frizo que hardware > modestos não é sinonimo de hardware porcaria ( estarei explicando na > outra duvida sua ). > > Segunda duvida, relacionado a utilização de proxy. > O Proxy http não é bem uma camada de segurança sentido internet -> > intranet e sim o oposto, intranet -> internet, sua principal função é > otimizar a entrega da informações que usam protocolos http/ftp ( > exclusivamente ) e que não estejam criptografados, pode-se integrar o > proxy com um anti-virus ( amavis ) e ai você terá uma ótima ferramenta > ASF e se integrar ele com o squidguard/dansguard permitirá controlar > melhor o que os funcionários da empresa poderá acessar e não esquece que > para analisar como está o trafego há o sarg e o lightsquid com > excelentes relatórios. > O Proxy irá aumentar a sua segurança, depende claramente da forma que > implantou, se foi só o proxy cache sem autenticação e sem integração com > outras aplicações então não, ele será apenas um repositorio de > informações constantemente acessadas mais proxima do usuário que a > acessa. Por outro lado se usar ele junto com as demais ferramentas que > indiquei acima ele se tornará um ótimo aliado no controle de informações > que os funcionários acessa na internet, principalmente se usar o > squidguard com uma politica padrão fechada, dá trabalho no inicio para > configurar mais com o passar do tempo tende a diminuir as interações e > os falsos/positivos. > > Terceira duvida, quanto a utiliza o trafego sem interceptação de trafego > "cacheavel". > Alem de garantir a comunicação fim-a-fim que é proposto pelo protocolo > IP e diminuir a dor de cabeça com protocolos como o SIP e o FTP não há > nenhuma vantagem a mais, na verdade as desvantagens sobrepõem e muito > quanto a forma de operação com interceptação de trafego plain-text. > Se a interceptação ou forward do trafego não é possivel implementar > serviços de autenticação e filtragem de conteudo web. > Não é possivel a implantação/integração com recursos de IDS/IPS. > Não permite a geração de relátorios operacionais com muitas informações > relevantes. > E acho que mais algumas outras coisas que não recordo no momento. > > Quarta duvida, quanto a criação de um laboratorio de teste, nada que o > virtulbox não de um jeito, e não precisa alocar mais do que 128Mb de ram > para cada VM, eu mesmo tenho 4 VMs com ele cada uma com 128m de ram que > uso como laboratorio. > O Nilton Rizzo falou em um dos encontros da FUG-RJ sobre um projeto que > já tem diversas imagens de O.S já prontas para baixar e importar no > hipervisor ótimo para essa finalidade, infelizmente não recordo o nome > do projeto e não consegui achar ele na net. > > > > Tenho dúvida de um equipamento extremamente modesto para os dias > atuais, > um Pentium III 800Mhz, 256MB RAM e nic rtl8139/similar. Se for > possível, > eu vou fazer um teste de stress. > > > Ok, irá rodar sim, muito bem por sinal só tem umas questões que precisa > responder, são elas: > Quantos usuários terá por tras desse firewall/router ? > Quanto de banda ele estará roteando ? > Quais serviços estará rodando sobre essa maquina ? > Quais o prejuizo caso esse equipamento venha a falhar as 12h do 5º dia > util nos negócios da empresa ? > A empresa pode arcar com o investimento de um hardware adequado para > essa finalidade ? > Os gestores da empresa compreendem o que é segurança da informação e > qual o objetivo de tal investimento ou considera que é um custo > operacional a implantação de uma solução dessa na rede ? > Esta considerando a redundância desse equipamento/função ? > Quem será responsabilizado caso esse equipamento/função venha a dar > problema e gerar prejuizo ( se for o TI começe a procurar outro emprego )? > > Tenho mais algumas outras 500 perguntas quanto a isso, contudo creio que > você já compreendeu :D !! > E não use realtreko em roteador, ache umas 3Com ou então umas intel X100 > mesmo que fast-ethernet, mais não use de forma alguma realtreko, > principalmente as 8139 e 8169, irá lhe poupar muitas dores de cabeça, > outras interface que não recomendo são broadcom, via e atlansic ( essa > muitas vezes dá kernel panic ) > > Se você quer fazer um serviço profissional recomendo optar por um > hardware tipo server-u L100, ele é barato, tem um excelente desempenho e > um ótimo custo/benefinio, alem de ser homologado para PFSense, se for > usar proxy cache solicite o orçamento com no minimo 1 HD, por padrão ele > usa memoria flash. > > > Também gostaria de saber quais se estas customizações já estão > otimizadas, recentemente vi um instituto americano que disponibilizou > suas pesquisas de otimizações tanto de host quanto de NIC, no site > http://fasterdata.es.net/ > > > Somente otimizações que justifiquem e não cause dores de cabeça para a > maioria dos usuários são feitas, contudo até hoje não encontrei um > ambiente onde fosse necessário customizar/otimizar um PFSense. > Se utilizar o FreeBSD puro ai a historia muda e a otimização por parte > do usuário é mandatória. > Olhei os documentos do fasterdata.es.net por cima, mais valeu, está com > data para dedicar-me a leitura deles, parece serem analises > interessantes de aspectos em transmissão de dados. > > > No BSDRP poderia instalar um ntop ou ao menos SNMP, para Log e gráfico > de banda. > > Só testei o BSDRP uma unica vez e nem foi profundamente, contudo hoje > todo sistema operacional/appliance que se preze suporta o SNMP, bem > provavel que o bsnmpd do FreeBSD já esteja incluso. > Quanto ao ntop, há pacotes para o freebsd então creio que tenha > disponivel também para BSDRP, se não tiver baixa o source e compila. > Gráficos de banda, recomento a usar um zabbix ou nagios coletando as > informações através de snmp e terá graficos bem mais detalhados e > abrangentes. > Para acompanhamento em tempo real dos recursos tem o sysstat, excelente > ferramenta. > > > É muita dúvida para um assunto só... E acredito que tenho mais > > > Tranquilo. > > > -- Fábio Rodrigues Ribeiro > http://www.farribeiro.com.br > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > <http://www.fug.com.br/historico/html/freebsd/> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > <https://www.fug.com.br/mailman/listinfo/freebsd> > > > Att. Paulo Henrique. > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Primeiramente... eu vou demorar algumas décadas para assimilar tanta informações! Improvavelmente terá uma tréplica. O objetivo era fazer algo mais profissional no meu ambiente doméstico e de quebra aprender mais sobre networking, já que sai muito cru do curso da Cisco R&S 5.0 pois tenho habilidades mais para devOps, mais para developer que sysadmin. Mas tenho muita vontade de espremer para ver o que tem de interessante nestes seus argumentos. -- Fábio Rodrigues Ribeiro http://www.farribeiro.com.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
