[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2006 ml@sikurezza.org Soggetto: Re: [ml] hardware Embedded per firewall Mittente: Audric Leperdi Data: Thu, 16 Nov 2006 21:44:01 +0100 (CET)
Parlando di piccoli firewall (iptables, openvpn, openssh), sono alla ricerca di hardware embedded adatto, qualcuno ne ha esperienza? Tecnicamente basta un sistema con un 128MB dati ed altrettanti di RAM..
Hw come Soekris (in Europa li trovi da http://soerkis.kd85.com dell'amico Wim Vandeputte) o Wrap board con una compact flash da 16MB con CF-Linux, Voyage Linux, M0n0Wall, PF-Sense o flashdist (openbsd) vanno benissimo.. (PF-Sense se magna un po' tante risorse quindi gia' su un Soekris 4801-60 ci sta un po' stretto, e poi le sue belle unzionalita' di gestione dei pacchetti non si attivano se non hai un HD).
Quello che mi domando e come reagiscono ad i maltrattamenti utonti... tipo non andiamo su internet stacco l'alimentazione al firewall :)
Per esperienza personale, le CF te le dimentichi, gli HD da 2,5 nei piccoli case invece.. scaldano e non reggono troppo bene i maltrattamenti di temperatura e spegnimenti inprovvisi. Le CF reggono quindi meglio dell'hard-disk di sicuro. (Lasciare il filesystem in read-only pero' e senza l'aggiornamento del timestamp di visita e di modifica sugli inode). Sempre per esperienza personale sconsiglio motherboard con chipset di rete basato su Realtek (indipendentemente dal S.O.), specialmente se l'hw verra' usato per VoIP (questo a causa delle penose gestioni dei buffer di rete per traffico UDP ad elevato numero di pacchetti di piccolissime dimensioni).
e principalmente come gestire gli aggiornamenti titpo sistema e chiavi per VPN sincrone.... semplicemente via ssh?
Si l'SSH e' una valida opzione..
Mandando una nuova scheda flasch con il sistema....
CF-Linux permette l'aggiornamento via remoto! Scarica l'immagine della nuova CF (che ti sei fatto/compilato tu e che hai messo a disposizioni via http da qualche parte..), la scrive sulla seconda partizione ridondante della CF, riavvia e se funziona la usa se non utilizza l'altra partiozione di backup.. Per qualche dollaro vi apypal l'autore ungherese e' anche disposto a modificare/compilare pacchetti aggiuntivi.
Anche M0n0Wall e PfSense supportano l'upgrade della CF "live" e senza perdere la configurazione esistente.
Sono interessatissimo a scoprire/provare altre distribuzioni
A.
PS: non sono affiliato hai prodotti che ho menzionato.
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005