Marcio, pelo menos em meu ponto de vista a utilzacao de ferramentas vai de acordo com a necessidade, eu jamais irei associar que so porque a ferramenta e uma "caixa fechada" o profissional que a utiliza nao tem capacidade. Um appliance leva diversas caracteristicas especificas, que fazem melhorar o seu desempenho, principalmente no que dita a parte de hardware.
Entrei aqui na lista de discussao do HLBR, nao porque acho o melhor software (IPS) do planeta, mas porque achei o software interessante, bem util e aposto que ao mesmo tempo que atende a necessidade de muita gente, tambem pode nao atender a necessidade de outros, um bom profissional e aquele que sabe adequar as necessidades do cliente, seja implantando um FreeBSD ou implantando um appliance que custou "alguns dolares". E so um ponto de vista, nao irei mais responder aos email desta thread pois o foco HLBR ja se perdeu. Mas Marcio, qualquer coisa pode me adicionar no Google Talk, terei o maior prazer de conversar contigo e continuar o debate amistosamente. -- ======================================== Marcos Aurelio Rodrigues (DEiGrAtiA-33) <[EMAIL PROTECTED]> CCNA, MCSO Mirabilia laudo semprer, Dei ======================================== 2008/2/15 mantunes <[EMAIL PROTECTED]>: > Vc participa da lista [snort-br], então não irei comentar sobre quando > vc > fala em rodar o snort em um link 10gbps. La terá as respostas. > > Até a cisco irá colocar o seu IOS baseado em FreeBSD, o que faz > um applicance ser melhor do que uma S.O que ele próprio ? > > Sinceramente não vejo significado. Há não ser falta de mão de obra > especializada. > Como já vi em diversas empresas e orgaos federais. > > Esse é o meu ponto de vista, saliento que não sou nada contra, porém acho > que os applicance limita a capacidade de trabalho, não posso implementar > nada > até que eles faça as modificações quase sempre cobrando muito caro. > > > Em 15/02/08, Marcos Aurelio Rodrigues <[EMAIL PROTECTED]> escreveu: > > > Cara, que tipo de appliance voce esta falando? > > > > Acho que no minimo voce esta sendo bem radical, e tudo questao de > > analisar a necessidade, voce quer comparar uma maquina com SO convencional a > > um appliance? Entao voce poderia fazer um SO rodar a mesma capacidade de um > > Appliance como temos alguns do mercado (Por exemplo a da empresa que faz > > aquele software do porquinho), talvez poderia..mas a que custo seria isso?. > > > > Limitar a capacidade de pensar. Acho que ser radical, faz agente limitar > > a nossa capacidade de pensamento. > > > > > > Voce seria capaz de rodar um snort a 10gbps? Com a mesma capacidade do > > appliance da empresa do porquinho? > > > > > > > > Desculpe o "Jaba" e citar o snort na lista, mas acho que veio ao caso > > como um exemplo. > > > > -- > > ======================================== > > Marcos Aurelio Rodrigues (DEiGrAtiA-33) > > <[EMAIL PROTECTED]> > > CCNA, MCSO > > Mirabilia laudo semprer, Dei > > ======================================== > > > > 2008/2/15 mantunes <[EMAIL PROTECTED]>: > > > > > Acontece que appliances tambem é hadware e se falhar.. ?? não vai > > > ficar indisponivel ?? applicances é um S.O com uma mascara somente. > > > Se vc colocar um maquina robusta e de marca, certamente não terá > > > problemas por vários e vários anos.. agora colocar uma maquina usada > > > e ainda montada.. é certamente é melhor comprar comprimidos para dor > > > de > > > cabeça, de preferência Doflex. > > > > > > Tenho experiência com alguns e certamente trocaria por uma maquina e > > > um > > > bom sistema operacional de preferência BSD. Para mim appliances é para > > > administradores que não gosta de ter trabalho e alem do mais limita muito > > > a > > > minha capacidade de pensar. Creio que > > > a sua auditoria é um desses.. > > > > > > Em 15/02/08, Hugo Rebello <[EMAIL PROTECTED]> escreveu: > > > > > > > A falha está em deixar a comunicação externa indisponível, no meu > > > > caso aqui na empresa, deixar o acesso aos sistemas Internacionais fora > > > > do ar > > > > caso a máquina com a bridge configurada saia do ar, seja desligada ou > > > > perca > > > > a configuração da bridge. > > > > > > > > Esse é um ponto de falha apontado pela auditoria. Existem alguns > > > > appliances que trabalham como IPS que não possuem essa falha, caso > > > > aconteça > > > > algum problema com o software ele virá um dispositivo que trabalha na > > > > camada > > > > 2 e a comunicação com o gateway não para. > > > > > > > > > > > > Em 14/02/08, mantunes <[EMAIL PROTECTED]> escreveu: > > > > > > > > > > Não entendi sua colocação em dizer "considero bridge como um > > > > > ponto de falha que deve ser descartado em um BCP" > > > > > > > > > > Onde está a falha ?? tem como explicar ?? > > > > > > > > > > Em 14/02/08, Hugo Rebello <[EMAIL PROTECTED]> escreveu: > > > > > > > > > > > > Pedro, > > > > > > > > > > > > Deixa eu explicar porque eu falei sobre o espelhamento de > > > > > > portas. > > > > > > > > > > > > Eu utilizo hoje um appliance da FaceTime chamado RTGuardian, ele > > > > > > é responsável pelo bloqueio de Spyware/Trojan, P2P, IM e filtro de > > > > > > URL(não > > > > > > como um proxy) > > > > > > > > > > > > Ele analisa e bloqueia todo o tráfego direcionado para o meu > > > > > > gateway, mas não trabalha como bridge, considero bridge como um > > > > > > ponto de > > > > > > falha que deve ser descartado em um BCP, a não ser que ele se torne > > > > > > um > > > > > > dispositivo da camada 2 caso aconteça algum problema com o software > > > > > > gerenciador, então não existirá impacto. > > > > > > > > > > > > A porta do switch conectado no RTGuardian é o "destination" no > > > > > > espelhamento de portas, e a porta do switch conectado no roteador > > > > > > gateway é > > > > > > o "source" desse mesmo espelhamento. Com isso todo o tráfego de > > > > > > spyware, P2P > > > > > > e IM é bloqueado antes de alcançar a Internet. > > > > > > > > > > > > Abs., > > > > > > Hugo > > > > > > > > > > > > > > > > > > > > > > > > Em 13/02/08, pedroarthur.jedi <[EMAIL PROTECTED]> escreveu: > > > > > > > > > > > > > > --- Em [email protected] <hlbr%40yahoogrupos.com.br>, > > > > > > > "Hugo Rebello" <[EMAIL PROTECTED]> > > > > > > > > Vou instalar agora o HLBR e gostaria de saber se existe > > > > > > > > algum problema em compartilhar com outro software, como o > > > > > > > Cacti. > > > > > > > > > > > > > > Você pode utilizar uma interface de gerenciamento para isso. > > > > > > > No caso > > > > > > > você teria as interfaces que participam da bridge e uma > > > > > > > interface > > > > > > > adicional para administraçãp. > > > > > > > > > > > > > > > Outra dúvida é, já que ele trabalha na camada 2, não há > > > > > > > problema > > > > > > > > de espelhar no switch a porta do meu roteador gateway com a > > > > > > > > porta desse servidor, certo? Ele vai capturar todos os > > > > > > > pacotes né ? > > > > > > > > > > > > > > Se eu entendi direito, você pretende conectar o HLBR a um > > > > > > > switch e > > > > > > > espelhar as outras portas para ele. é isso? Se for, esse não é > > > > > > > o uso > > > > > > > correto do HLBR. O HLBR é um Sistema de Prevenção de Intrusão > > > > > > > (SPI). > > > > > > > SPI's são elementos ativos na rede: analisam pacotes e tomam > > > > > > > decisões > > > > > > > acerca do mesmo. Então, eles devem estar entre os elementos de > > > > > > > rede > > > > > > > que se deseja protejer. Ex: > > > > > > > > > > > > > > | Internet | <==> | Roteador | <==> | HLBR | <==> | Servidor | > > > > > > > > > > > > > > Acho que o que você pretende implementar é um Sistema de > > > > > > > Detecção de > > > > > > > Prevenção, tal como Snort. Eles sim devem ser posicionados de > > > > > > > forma > > > > > > > paralela com a rede de forma a somente analisar os pacotes e > > > > > > > emitirem > > > > > > > alertas mas, de nenhuma forma, tem a capacidade de deter um > > > > > > > ataque (o > > > > > > > hlbr tem). > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > Marcio Antunes > > > > > Powered by FreeBSD > > > > > ================================== > > > > > * Windows: "Where do you want to go tomorrow?" > > > > > * Linux: "Where do you want to go today?" > > > > > * FreeBSD: "Are you, guys, comming or what?" > > > > > > > > > > > > > > > > > > > > > > > -- > > > Marcio Antunes > > > Powered by FreeBSD > > > ================================== > > > * Windows: "Where do you want to go tomorrow?" > > > * Linux: "Where do you want to go today?" > > > * FreeBSD: "Are you, guys, comming or what?" > > > > > > > > > > > > > > > > -- > Marcio Antunes > Powered by FreeBSD > ================================== > * Windows: "Where do you want to go tomorrow?" > * Linux: "Where do you want to go today?" > * FreeBSD: "Are you, guys, comming or what?" > >
