Názor k článku Za hranice síťařského desatera od Desetník - > Stavovy firewall na border routeru. Uh. To...

> Stavovy firewall na border routeru. Uh. To snizi propustnost tak 10x a navic se to velmi snadno DOSi.

No jasně, protože firewall dělá víc věcí, než jen hází pakety z rozhraní na rozhraní. Ale proto taky musíš mít firewall jehož propustnost >= kapacitě linky.

> Blokujeme zlou IP - no to jiste. Na jednu utocici IP adresu zvysoka dlabeme ta nebude ani videt na grafech trafiku.

Samozřejmě, že pokud s někým nechceme komunikovat, tak ho musíme zablokovat. Mimochodem, ve statistikách vidět půjde, směrovače v NetFlow to zachytí. A jaká je tedy Leninova best-practice při blokaci?

> Nainstalujeme si nejakou sracku do BGP aby nekdo jiny rozhodoval o tom co blokujeme. No to urcite. Kdo bude platit penale ze SLA kdyz to zablokuje neco co nema?

Komu to právo blokace dáš, ten ho bude mít. Když ho nebudeš chtít někomu ze svého týmu předat, tak ho nepředáš. Co tohle je za argument?

> Blokovat nekoho kdo skenuje. Neskenuji nahodou lidi z cizich decoy adres, jelikoz to nmap umi?

Skenování je jedním z projevů některých malware. Když PC uředníka sítě Tvé firmy bude skenovat, tak to bude divné, ne?

D.