Re: Firewall, ahime' questo sconosciuto

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: Re: Firewall, ahime' questo sconosciuto
Mittente: Marco Ivaldi
Data: 8 Nov 2001 17:36:54 -0000

On Wed, 7 Nov 2001, Zen wrote:

> Quando parli di "velocita' e stabilita'" maggiori al livello di networking
> cosa intendi esattamente?
> La velocita' la posso anche capire: lo stack tcp di *BSD magari e' scritto
> meglio, e quindi c'e' meno latenza tra le schede e per processare i pacchetti
> ed eventuali ACL.
> Ma la stabilita' non e' da imputare completamente al SO?

Con il termine "stabilita'" intendevo esprimere principalmente due cose:

1) A livello di firewall, ipf e' piu' solido e stabile di iptables, se non
per il fatto che e' in giro da molto piu' tempo.

2) A livello di kernel (ed in particolare di stack TCP/IP), i sistemi *BSD
sono stati storicamente molto meno soggetti a DoS o a problemi vari di
Linux. OpenBSD, in particolare, presta molto interesse alla stabilita'
intesa in termini di sicurezza. Linux, forse un po' troppo spesso
ultimamente, si trasportare dalle innovazioni perdendo di vista la solidita'.
E' inoltre innegabile che il codice di Linux sia molto piu' disordinato di
quello di *BSD, che invece e' organizzato in modo molto lineare (non ho
mai spulciato i srcs del kernel 2.4, pero', la mia affermazione si basa
sulla mia esperienza su 2.0/2.2). Queste sono ovviamente opinioni del
tutto personali, non voglio scatenare alcuna guerra di religione, percio'
considero il thread chiuso qui, per quanto mi riguarda. Non ho mai amato
le preferenze _assolute_ e non e' mia intenzione averne.

Ovviamente la stabilita' di una box non e' interamente da imputare all'OS:
dipende da tutta una serie di fattori, quali l'hardware, il software ed i
drivers che fanno interagire i due domini. Anche le performances di
velocita' sono influenzate dall'hardware. Non mi spingerei comunque troppo
oltre a giudicare neanche qua, mi torna infatti in mente una vecchia frase
celebre:

"In the computer industry, there are three kinds of lies: lies, damn lies,
and benchmarks."

A voi trarre le dovute conclusioni;)

> O hai avuto esperienze in cui veniva interrotto o corrotto (inaccettabile)
> il flow del traffico? O ancora peggio la macchina aveva problemi?

In alcuni casi... soprattutto con pacchetti frammentati sparati in
segmenti di rete a 100Mbit/s saturi. Ma problemi del genere li ho avuti
sia su Linux che su OpenBSD (che su altri OS ancora). Credo siano da
imputare in prima istanza all'hardware.

Spero di aver chiarito il mio pensiero... Buona notte a tutti,

:raptor
Antifork Research, Inc.                         @ Mediaservice.net Srl
http://www.0xdeadbeef.eu.org                    http://www.mediaservice.net

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re: Firewall, ahime' questo sconosciuto, Zen

Data:
- precedente: Strani pacchetti...un attacco??, Matteo
- successivo: Re: ZyWall 50, Marco Ivaldi
- indice

Argomento:
- precedente: Re: Firewall, ahime' questo sconosciuto, Zen
- successivo: ZyWall 50, Maurizio Marini
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005