Patrick Tracanelli escreveu:
Sobre a estrategia de "seguranca" defendida, convenhamos, é enrolar o
rabo e sentar em cima pra tentar esconder. Colocar um gateway falso
pra evitar proliferacao de vírus ehahuauha em primeiro lugar não
deveria haver vírus, em segundo lugar se tem, não deveria assumir uma
posicão que o virus vai ficar la tentando se propagar, ele sera
eliminado ASAP. Faz favor. Outro ponto nada a ve, e que nada impede a
adocao de um DNS a parte. Mas de novo, ter um "dns pros virus" e
deixar o proxy ser o unico a usar o DNS autentico me parece de novo o
caminho totalmente oposto da seguranca.
Olá Patrick!
Muito boa, como sempre, sua explicação sobre os outros pontos.
Interessante saber que as ameaças sabem mais como usar a pilha tcp/ip do
Windows do que programas lícitos. Eu mesmo já tive problema com alguns
programas Windows que usavam JAVA, porque não pegavam a conf. do
navegador, tinha que sair máquina e máquina e colocar na mão :(
Sobre o ponto acima, foi exatamente o ponto que mais discordei :-)
Acho que é, como alguém falou nos comentários deste site que li,
"inventar uma solução complicada para algo simples"!
Eu costumo trabalhar do jeito que você comentou, se há como interferir
no equipamento final(Um AD, com GPO, empresa), faço uma GPO com ativação
de proxy para tudo e um belo "deny from $rede_interna to any", liberando
eventualmente alguma porta específica. Costumo fazer a regra de nat
permitindo any to any, mas tem gente que faz 1 regra de nat para cada
porta. Não gosto disto porque no firewall de borda(considerando que
atrás dele tenha um proxy/nat) vai ficar no log ips internos que
tentaram fazer o roteamento sem passar pelo NAT.
Porém, tem empresa que é mais permissiva, ou tem colaboradores que usam
a internet eficientemente, estas normalmente fecho portas bem conhecidas
como 135-139, etc, etc e o gestor fica monitorando, quem eventualmente
comete abuso leva puxão de orelha.
Agora, quando é um hotspot, ou um ISP, é proxy transparente com squid ou
interceptação de todo tráfego e jogando para um equipamento de cache. A
ideia de sempre usar proxy transparente sempre aparece em meus
diagramas, já tenho até o esboço salvo como padrão, 2 links internet ->
cluster pfsense com carp -> servidor proxy transparente -> rede interna ;)
Obrigado pela sua atenção, mais conteúdo prá enriquecer a lista!
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
