Concreto FW

[Carlos Manuel Duclos Vergara]

On Friday 07 January 2005 18:13, mandatory nothic wrote:
> para que hacer una prueba si todos los dias salen exploits para linux es
> algo que no se demuestra por que esta demostrado. el objetivo era testear
> cuan venfeiciosos son los jails en caso de ataques en fin lo del fw yo ya
> lo he testeado por años i claramente ipetables es una bazofia al lado de
> packet filter en openBSD 

!?
la idea de hacer una prueba me parece buena, lo que aun no se ha definido es 
que se quiere probar en un FW cuando sale la idea de probar una jaula para 
evitar exploits.... -><-
si se quiere probar un fw entonces para cada uno de los escenarios seria 
interesante medir por ejemplo el ancho de banda efectivo que resulta para 
cada una de las configuraciones descritas antes en algunas situaciones como:
1.- una conexion desde la red interna a un pc inmediatamente delante del fw
2.- la situacion inversa (solo cuando aplica)
3.- un ping flood interno y uno externo

lo de los exploits para linux es cierto para casi todos los so, recuerda que 
openbsd tiene un minimo conjunto de software que esta certificado y "libre" 
de exploits. Quizas seria interesante probar software que este en la 
distribucion de openbsd y sacado de ports para ver que sucede. Pero si se va 
a modificar un software, en realidad da lo mismo... habria que hacer un 
pequenno programa y correrlo en varias condiciones:
1.- libre como root
2.- libre setuid
3.- libre como usuario
4.- en jaula como root
5.- en jaula setuid
6.- en jaula como usuario

Ademas hacer lo mismo con unas cuantas distribuciones de linux con el mismo 
paquete de software, pero creo que el test de un software en particular se 
desvia bastante del objetivo de probar un FW


-- 
Carlos Manuel Duclos Vergara
carlos en embedded.cl
http://www.embedded.cl