Re: Firewall, ahime' questo sconosciuto

On Tue, 6 Nov 2001, Raffaele Conte wrote:

> quali vantaggi ha OpenBSD, da questo punto di vista, rispetto a Linux e
> cosa intendi (Zen) quando parli di "certificazioni particolari"?

Come firewall OpenBSD ha storicamente adottato ipf, fino a quando Darren
Reed (autore di ipf) ha fatto pasticci con la licenza, facendo arrabbiare
Theo De Raadt (leader del team di OpenBSD) che ha deciso di toglierlo del
tutto dalla distribuzione ufficiale (ignoro per ora se l'abbia messo nei
ports o meno). Al momento l'ultima release stabile (2.9) contiene ancora
ipf, la current (che a Dicembre diverra' 3.0) utilizza invece pf
(http://benzedrine.cx), un nuovo packet filter sviluppato apposta per
OpenBSD.

Personalmente ho avuto modo di lavorare _molto_ con ipf, che reputo il
migliore firewall in assoluto (sicuramente nel mondo open-source, se ne
puo' parlare per il mondo closed-source, ma dipende molto dai requisiti
richiesti al firewall stesso). Per le features consulta l'apposito HOWTO
che trovi in rete (si tratta cmq di base di un packet filter con
capacita' di stateful inspection). Per un sample ruleset di base:
http://www.0xdeadbeef.eu.org/code/ipf.rules. Molto molto carino anche
per quanto riguarda le funzionalita' di PNAT (Port/Network Address
Translation).

Non ho ancora provato pf, che peraltro e' in rapido sviluppo, ma ne ho
sentito parlare molto bene da piu' di una persona. Le rules sono in
formato compatibile con ipf con alcuni enhancements (eliminazione del
concetto di "groups" in favore del meccanismo di "skip", piccole
differenze nel parser, etc.). Anche qui puoi consultare l'apposito HOWTO
in via di compilazione. In ogni caso tutti i firewalls (ipf compreso, ai
suoi tempi) sono caduti negli stessi bug quando erano giovani, percio'
aspetto ad utilizzarlo nei server in produzione... Particolari bestie
nere, come tutti saprete, l'handling del protocollo FTP e dei frammenti.

Per chi fosse interessato ad approfondire, sto preparando cmq una serie di
articoli sul firewalling per Linux&C (che seguira' quella attualmente in corso
sulle VPN), dove ho intenzione di introdurre l'argomento in modo abbastanza
approfondito, per poi passare ad analizzare separatamente che cosa Linux e
OpenBSD hanno da offrire.

#ifdef FLAME
Come box firewall consiglio OpenBSD (o cmq *BSD) piuttosto che Linux,
perche' ho avuto modo di apprezzare la sua superiorita' a livello di
networking, in particolare per quanto riguarda velocita', flessibilita' e
stabilita'. IPTables puo' essere cmq una valida alternativa; sicuramente
invece sconsiglio ipchains/ipfwadm.
#endif /* FLAME */

> Ancora una domanda, che non riguarda strettamente l'argomento firewall
> ma piu' in generale la sicurezza dei sistemi operativi (spero di non
> farvi rabbrividire:-). Oltre a OpenBSD ho sentito parlare sempre bene
> della famiglia BSD in generale, qualcuno di voi ha avuto modo di
> valutare Mac OS X, visto che ora anche lui e' uno unix di questa
> famiglia?

Mai provato. Ti basta cmq dare una scorsa all'archivio di Bugtraq
(http://www.securityfocus.com) per individuare subito una discreta quantita'
di bugs _terribili_ scoperti di recente per Mac OS X. Decisamente non una
buona opzione in termini di sicurezza (ma del resto e' un'architettura
mirata a fare da client, non pretendiamo troppo;).

:raptor
Antifork Research, Inc.                         @ Mediaservice.net Srl
http://www.0xdeadbeef.eu.org                    http://www.mediaservice.net



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List