Concreto FW

Horst von Brand vonbrand en inf.utfsm.cl
Jue Ene 6 17:54:02 CLST 2005 

"celtita" <celtita en bonbon.net> dijo:
> Luego de leer los post sobre iptables vs *BSD, creo que lo mejor es
> hacer algo practico y no tanta cháchara barata.

Bien!

> Propongo realizar un set de pruebas para medir prácticamente PF,
> Iptables, IPFW y mostrar sus resultados en la forma más imparcial
> posible.

No hay gente que lo ha hecho? Para no repetirse el plato, digo...

Por lo demas, sospecho que es mucho mas importante el taman~o/complejidad
del archivo de reglas para una situacion dada que "rendimiento" (ya dije el
escualido tarrito que usamos por aca...)

[...]

> Kernel, reglas, metale módulos (PF no usa módulos porque un atacante lo
> primero que hará en Iptables será capturar los módulos y reemplazarlos
> por sus módulos rootkitiados,

Para poder instalar modulos hay que ser root. Y si el cracker se hizo root,
ya no hay nada que hacer.

>                               OpenBSD orientado a seguridad pero en
> serio) y preparamos un paquete de pruebas de stress de reglas, clientes,
> manejo de ancho de banda, NAT, etc. Propongan.

Proponer a lo ancho no tiene sentido. Mejor IMHO comparar conjuntos de
reglas para situaciones tipicas:

- Un tarro que hace de puerta a Internet de una red privada (PAT simple por
  una direccion dinamica) [Es lo que tengo en casa, es _1_ linea con
  Netfilter]

- El tipico caso de "3 zonas": Salida a Internet, area DMZ (con servidores
  p.ej. WWW y correo (SMTP hacia afuera y adentro, IMAP hacia adentro
  unicamente), conexiones desde "dentro" se permiten hacia afuera, pero
  nada de fuera hacia adentro (y no se permite SMTP directo hacia afuera).

- Alguna cosa mas exotica: Port forwarding a una maquina en la red privada
  (PAT o NAT con direcicon fija) como servidor WWW.

- Varias zonas, con reglas de que esta permitido entre zonas y que no (como
  p.ej. area de profes/staff vs laboratorios vs servidores, profes salen
  sin restriccion (salvo no SMTP directo), no se permiten mas que
  conexiones salientes; Labs no pueden entrar a profes (y no SMTP directo
  hacia afuera) el area de servidores conectada a Internet via un 2o tarro,
  que para el ejercicio no cuenta). Para mayor jolgorio area de Labs con
  direcciones privadas y NAT de salida a traves de 8 IPs.

[...]

> Yo Ofrezco un enlace y un tarrito, el enlace es de 256 (es del bueno,
> nada de adsl y cosas asincrónicas raras) y el tarrito es un Pentium 3 de
> 400 con 128 RAM y un HDD MAxtor de 1.2GB

Hummmm... alli no veras diferencias en rendimiento (salvo que tengas cientos
de miles de reglas).
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución BSD