Concreto FW
Horst von Brand
vonbrand en inf.utfsm.cl
Jue Ene 6 17:54:02 CLST 2005
"celtita" <celtita en bonbon.net> dijo:
> Luego de leer los post sobre iptables vs *BSD, creo que lo mejor es
> hacer algo practico y no tanta cháchara barata.
Bien!
> Propongo realizar un set de pruebas para medir prácticamente PF,
> Iptables, IPFW y mostrar sus resultados en la forma más imparcial
> posible.
No hay gente que lo ha hecho? Para no repetirse el plato, digo...
Por lo demas, sospecho que es mucho mas importante el taman~o/complejidad
del archivo de reglas para una situacion dada que "rendimiento" (ya dije el
escualido tarrito que usamos por aca...)
[...]
> Kernel, reglas, metale módulos (PF no usa módulos porque un atacante lo
> primero que hará en Iptables será capturar los módulos y reemplazarlos
> por sus módulos rootkitiados,
Para poder instalar modulos hay que ser root. Y si el cracker se hizo root,
ya no hay nada que hacer.
> OpenBSD orientado a seguridad pero en
> serio) y preparamos un paquete de pruebas de stress de reglas, clientes,
> manejo de ancho de banda, NAT, etc. Propongan.
Proponer a lo ancho no tiene sentido. Mejor IMHO comparar conjuntos de
reglas para situaciones tipicas:
- Un tarro que hace de puerta a Internet de una red privada (PAT simple por
una direccion dinamica) [Es lo que tengo en casa, es _1_ linea con
Netfilter]
- El tipico caso de "3 zonas": Salida a Internet, area DMZ (con servidores
p.ej. WWW y correo (SMTP hacia afuera y adentro, IMAP hacia adentro
unicamente), conexiones desde "dentro" se permiten hacia afuera, pero
nada de fuera hacia adentro (y no se permite SMTP directo hacia afuera).
- Alguna cosa mas exotica: Port forwarding a una maquina en la red privada
(PAT o NAT con direcicon fija) como servidor WWW.
- Varias zonas, con reglas de que esta permitido entre zonas y que no (como
p.ej. area de profes/staff vs laboratorios vs servidores, profes salen
sin restriccion (salvo no SMTP directo), no se permiten mas que
conexiones salientes; Labs no pueden entrar a profes (y no SMTP directo
hacia afuera) el area de servidores conectada a Internet via un 2o tarro,
que para el ejercicio no cuenta). Para mayor jolgorio area de Labs con
direcciones privadas y NAT de salida a traves de 8 IPs.
[...]
> Yo Ofrezco un enlace y un tarrito, el enlace es de 256 (es del bueno,
> nada de adsl y cosas asincrónicas raras) y el tarrito es un Pentium 3 de
> 400 con 128 RAM y un HDD MAxtor de 1.2GB
Hummmm... alli no veras diferencias en rendimiento (salvo que tengas cientos
de miles de reglas).
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria +56 32 654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 797513
Más información sobre la lista de distribución BSD