|
| OpenBSD PF Firewall kontra Hardware FW. Fra : Michael U. Hove |
Dato : 06-09-03 07:59 |
|
Hej gruppe...
Jeg står for at skulle implementere endnu en firewall på mit job.
Den tidligere sysadmin sværgede til hardware FW's (Cisco, Checkpoint +
GNATbox), og ledelsen er lidt nervøs over at skulle bruge
"hobby-løsninger", men jeg ville gerne mere i Open Source retningen med
vores server-software (det er en udd. institution).
Jeg har derfor overvejet at bruge en dedikeret OpenBSD box til formålet.
Altså Packet Filter. Selve PF-teknologien kan fuldt ud levere den
ønskede funktionalitet, og løsningen ville jo i sagens natur være en del
billigere, end at skulle købe endnu en Cisco ell. CheckPoint kasse
Mit spørgsmål er så bare:
Er der nogen i gruppen, der har erfaringer for/imod software- kontra
hardware firewalls. OpenBSD er jo et *benhårdt* OS, men kan det hærdes
nok til at levere en fw (jeg er superparanoid!)? Måske har andre kørt
lign. software og hardware FW's side om side, og har nogle interessante
kommentarer til opgaven?!
Alle erfaringer modtages gerne...
På forhånd tak.
mvh
/michael
| |
Kent Friis (06-09-2003)
| Kommentar Fra : Kent Friis |
Dato : 06-09-03 08:27 |
|
Den Sat, 06 Sep 2003 08:58:37 +0200 skrev Michael U. Hove:
>
>Er der nogen i gruppen, der har erfaringer for/imod software- kontra
>hardware firewalls. OpenBSD er jo et *benhårdt* OS, men kan det hærdes
>nok til at levere en fw (jeg er superparanoid!)? Måske har andre kørt
>lign. software og hardware FW's side om side, og har nogle interessante
>kommentarer til opgaven?!
Alle "hardware"-firewalls er software-baseret.
Den måde man normalt adskiller soft- og hardware-firewalls er, at en
hardware firewall kører på en dedikeret maskine, altså en der ikke
skal lave andet. Det kan sagtens være PC-hardware, men OpenBSD eller
Linux. En software-firewall er en der kører på en maskine der laver
alt muligt andet, fx webserveren.
En Cisco PIX er iøvrigt PC-hardware.
Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side
| |
Michael U. Hove (06-09-2003)
| Kommentar Fra : Michael U. Hove |
Dato : 06-09-03 08:58 |
|
Kent Friis wrote:
> Den Sat, 06 Sep 2003 08:58:37 +0200 skrev Michael U. Hove:
>
>>Er der nogen i gruppen, der har erfaringer for/imod software- kontra
>>hardware firewalls. OpenBSD er jo et *benhårdt* OS, men kan det hærdes
>>nok til at levere en fw (jeg er superparanoid!)? Måske har andre kørt
>>lign. software og hardware FW's side om side, og har nogle interessante
>>kommentarer til opgaven?!
>
>
> Alle "hardware"-firewalls er software-baseret.
>
> Den måde man normalt adskiller soft- og hardware-firewalls er, at en
> hardware firewall kører på en dedikeret maskine, altså en der ikke
> skal lave andet. Det kan sagtens være PC-hardware, men OpenBSD eller
> Linux. En software-firewall er en der kører på en maskine der laver
> alt muligt andet, fx webserveren.
>
> En Cisco PIX er iøvrigt PC-hardware.
>
> Mvh
> Kent
OKAY point taken...beklager min generelle begrebs forvirring.
Som det måske fremgår, har jeg endnu ikke erfaringer med faktisk at
opsætte en OpenBSD maskine som FW, så det er godt at høre fra en der
faktisk ved, hvad han taler om
Da jeg forsøgte at skelne ml. (i min verden) hardware og
software-firewalls, mente jeg:
Hardware FW: "Køb en kasse hos en forhandler og smid den i racket".
Software-FW: "Byg skidtet selv-modellen".
Måske skulle jeg uddybe lidt:
Den konkrete situation er denne: p.t. køres der to (gamle) GNATbox FLASH
FW - http://www.gta.com
GNATbox FW softwaren ligger på en FlashROM-chip, der "kører" på
PC-hardware. FW'en er dog tung at konfigurere, og selve projektet med
at opsætte en OpenBSD box som FW tiltaler mig.
Derfor:
Er der nogen der praktiskt har erfaringer med at bruge en (dedikeret)
OpenBSD box som Firewall? Altså konfiguration, dagligt brug, logning,
sikkerheds-aspekter m.m. Og hvordan klarer en sådan opsætning sig i
forhold til en "færdigkøbt rack-box" (som ex. Checkpoint).
mvh
/michael
| |
Kent Friis (06-09-2003)
| Kommentar Fra : Kent Friis |
Dato : 06-09-03 09:24 |
|
Den Sat, 06 Sep 2003 09:58:08 +0200 skrev Michael U. Hove:
>Kent Friis wrote:
>>
>> Alle "hardware"-firewalls er software-baseret.
>>
>> Den måde man normalt adskiller soft- og hardware-firewalls er, at en
>> hardware firewall kører på en dedikeret maskine, altså en der ikke
>> skal lave andet. Det kan sagtens være PC-hardware, men OpenBSD eller
>> Linux. En software-firewall er en der kører på en maskine der laver
>> alt muligt andet, fx webserveren.
>>
>> En Cisco PIX er iøvrigt PC-hardware.
>>
>OKAY point taken...beklager min generelle begrebs forvirring.
>
>Som det måske fremgår, har jeg endnu ikke erfaringer med faktisk at
>opsætte en OpenBSD maskine som FW, så det er godt at høre fra en der
>faktisk ved, hvad han taler om
Jeg har heller ikke erfaring med OpenBSD, jeg bruger Linux som firewall.
Men de generelle betragtninger er de samme.
>Da jeg forsøgte at skelne ml. (i min verden) hardware og
>software-firewalls, mente jeg:
>
>Hardware FW: "Køb en kasse hos en forhandler og smid den i racket".
>
>Software-FW: "Byg skidtet selv-modellen".
>
>Måske skulle jeg uddybe lidt:
>
>Den konkrete situation er denne: p.t. køres der to (gamle) GNATbox FLASH
>FW - http://www.gta.com
>
>GNATbox FW softwaren ligger på en FlashROM-chip, der "kører" på
>PC-hardware. FW'en er dog tung at konfigurere, og selve projektet med
>at opsætte en OpenBSD box som FW tiltaler mig.
Jeg ville helt klart vælge en OpenBSD (når nu det er den du foretrækker,
personligt ville jeg bruge Linux), men jeg vil anbefale at få styr på
OpenBSD og PF inden du går igang med projektet. Den gamle firewall kan
vel klare det så længe...
Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 09:53 |
|
In article <bjc41v$2kmt$1@news.cybercity.dk>, Michael U. Hove wrote:
> GNATbox FW softwaren ligger på en FlashROM-chip, der "kører" på
> PC-hardware. FW'en er dog tung at konfigurere, og selve projektet med
> at opsætte en OpenBSD box som FW tiltaler mig.
Hvorfor er OpenBSD mindre "tung" at konfigurere?
Som jeg ser det har du ingen erfaringer med OpenBSD, men har
arbejdet med GNAT...det plejer ikke at være en god forudsætning
for at sætte en OpenBSD firewall op i et produktionsmiljø.
> Derfor:
>
> Er der nogen der praktiskt har erfaringer med at bruge en (dedikeret)
> OpenBSD box som Firewall? Altså konfiguration, dagligt brug, logning,
> sikkerheds-aspekter m.m. Og hvordan klarer en sådan opsætning sig i
Det kører fint...kører selv med herhjemme, men ville aldrig
sætte det op hos min arbejdsgiver.
> forhold til en "færdigkøbt rack-box" (som ex. Checkpoint).
Hvilken Checkpoint løsning...der
er flere producenter der leverere firewall-1 serverer.
Problemet er vel at ledelsen fortrække en løsning, hvor de kan undværer
dig og blot ringe til en ekstern part. Hvilket er et rimeligt krav at stille.
Det urimmelige er at de mellem linierne siger at man ikke
kan få support på OpenBSD pf.
Det sidste problem kan løses, ved at lave en supportaftale med nogle
der yder OpenBSD pf support. Fx superusers.
| |
Michael U. Hove (06-09-2003)
| Kommentar Fra : Michael U. Hove |
Dato : 06-09-03 10:07 |
|
Christian E. Lysel wrote:
> Hvorfor er OpenBSD mindre "tung" at konfigurere?
>
> Som jeg ser det har du ingen erfaringer med OpenBSD, men har
> arbejdet med GNAT...det plejer ikke at være en god forudsætning
> for at sætte en OpenBSD firewall op i et produktionsmiljø.
Faktisk har jeg selv kørt både OpenBSD og Linux privat længe, men har
endnu ikke erfaringer med OpenBSD som FW i produktionsmiljø. Derfor mit
spørgsmål.
>>Er der nogen der praktiskt har erfaringer med at bruge en (dedikeret)
>>OpenBSD box som Firewall? Altså konfiguration, dagligt brug, logning,
>>sikkerheds-aspekter m.m. Og hvordan klarer en sådan opsætning sig i
>
>
> Det kører fint...kører selv med herhjemme, men ville aldrig
> sætte det op hos min arbejdsgiver.
Hvorfor ikke?
>>forhold til en "færdigkøbt rack-box" (som ex. Checkpoint).
>
>
> Hvilken Checkpoint løsning...der
> er flere producenter der leverere firewall-1 serverer.
FW's der tidligere er brugt i huset: Cisco PIX 515 og Checkpoint FW1.
Nuværende GNAT.
> Problemet er vel at ledelsen fortrække en løsning, hvor de kan undværer
> dig og blot ringe til en ekstern part. Hvilket er et rimeligt krav at stille.
Sandt.
> Det urimmelige er at de mellem linierne siger at man ikke
> kan få support på OpenBSD pf.
>
> Det sidste problem kan løses, ved at lave en supportaftale med nogle
> der yder OpenBSD pf support. Fx superusers.
Se det vidste jeg ikke...tak for info'en!
mvh
/michael
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 10:40 |
|
In article <bjc835$2pif$1@news.cybercity.dk>, Michael U. Hove wrote:
>> Det kører fint...kører selv med herhjemme, men ville aldrig
>> sætte det op hos min arbejdsgiver.
> Hvorfor ikke?
Vi har 150 Linux maskiner, og vores kompetance ligger på Linux, HPUX og
Windows.
Jeg ville ikke introducere endnu et OS, specielt da min
chef godt kan lide boksløsninger med support hos en af
vores nuværende netværksleverandører.
Personligt har jeg væres meget vild med http://www.stonesoft.com/
da man kan købe supporten direkte hos producenten. De har dog ikke
for mange installationer rundt omkring.
> FW's der tidligere er brugt i huset: Cisco PIX 515 og Checkpoint FW1.
Hvilket OS kører FW1 på?
> Nuværende GNAT.
Har i for mange penge, eller er det blot sjovt at skifte mellem de
forskellige producenter? :)
> Se det vidste jeg ikke...tak for info'en!
Forresten er der også denne officielle liste,
http://www.openbsd.org/support.html#Denmark
Og google,
http://www.google.com/search?q=openbsd+support+konsulent
| |
Michael U. Hove (06-09-2003)
| Kommentar Fra : Michael U. Hove |
Dato : 06-09-03 11:04 |
|
Christian E. Lysel wrote:
> Hvilket OS kører FW1 på?
Kan køre på Win2K, SUN, Linux, Nokia IPSO og Checkpoints eget "hærdede OS".
> Har i for mange penge, eller er det blot sjovt at skifte mellem de
> forskellige producenter? :)
Nope
Institutionen har levet et omtumlet IT-liv med skiftende konsulenter med
hver deres "religion", før jeg blev ansat.
[snip]
> Forresten er der også denne officielle liste,
>
> http://www.openbsd.org/support.html#Denmark
>
> Og google,
>
> http://www.google.com/search?q=openbsd+support+konsulent
Takker for comments og links...
mvh
/michael
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 11:15 |
|
In article <bjcbeg$2u6g$1@news.cybercity.dk>, Michael U. Hove wrote:
> > Hvilket OS kører FW1 på?
Hmmm, skal rettese til "Hvilket OS kørte _i_ FW1 på?"
> Kan køre på Win2K, SUN, Linux, Nokia IPSO og Checkpoints eget "hærdede OS".
Hvilket af systemerne kørte i den på?
> Institutionen har levet et omtumlet IT-liv med skiftende konsulenter med
> hver deres "religion", før jeg blev ansat.
Hvilket nok er grunden til de vil have en løsningen andre kan supportere.
Men på den anden side, skrive du det er konsulenter der har lavet skiftene, det
lyder kedeligt at en konsulent rådgiver udfra sin "religion".
Der ligger desværrer masser at gode firewalls (og deres licencenser) rundt omkring
som ikke bliver brugt fordi man har ansat en afløser for en tidligere medarbejder.
| |
Klaus Ellegaard (06-09-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 06-09-03 10:30 |
|
"Michael U. Hove" <pots_72@e-mail.dk> writes:
>Den tidligere sysadmin sværgede til hardware FW's (Cisco, Checkpoint +
>GNATbox), og ledelsen er lidt nervøs over at skulle bruge
>"hobby-løsninger", men jeg ville gerne mere i Open Source retningen med
>vores server-software (det er en udd. institution).
"To a hammer everything is a nail".
Start hellere med at finde ud af, hvad firewallen skal kunne.
Find dernæst ud af hvilke produkter, der kan det, der er brug
for. Hvis OpenBSD er blandt dem, er det jo fjong.
Ulempen ved at bruge standardprodukter som OpenBSD og andre
"softwarebaserede" firewalls er desuden, at der ofte ligger
et helt operativsystem nedenunder. Hvis nogen på en eller anden
måde får en kommandoprompt på den, har man tabt.
Hardware-baserede firewalls, såsom PIX, har ikke noget OS og
kan derfor ikke aktivt bruges til at angribe lokale maskiner,
selvom den bliver hacket.
Så kan man selvfølgelig fjerne "relevante" sager fra OS'et,
men man skal bl.a. fjerne samtlige shells. Det kan godt være
svært at få den til at boote uden en shell.
Det kan hjælpe en del at få den til at boote fra en CD, så
der ikke er andet end read-only-lager i maskinen. Hvilket
også betyder, at den ikke skal have en RAM-disk (og heller
ikke have muligheden for at skabe en).
Jeg siger ikke, at det diskvalificerer OS-baserede firewalls.
Det er bare en detalje, man skal huske på, når man laver sin
kravspec.
>OpenBSD er jo et *benhårdt* OS, men kan det hærdes nok til at
>levere en fw (jeg er superparanoid!)?
Det kommer jo an på opgaven. Hvis kompromittering af data med
garanti vil udløse en altødelæggende 3. verdenskrig, er den
aldeles ubrugelig. Hvis den værste konsekvens er, at folk kan
grine lidt af en studerendes forsøg på at forstå kvantefysik,
er den nærmest overkill.
Kravspec - der passer med sikkerhedspolitikken. Det er stedet
at starte.
Mvh.
Klaus.
| |
Peter Makholm (06-09-2003)
| Kommentar Fra : Peter Makholm |
Dato : 06-09-03 10:41 |
|
Klaus Ellegaard <klausellegaard@msn.com> writes:
> Ulempen ved at bruge standardprodukter som OpenBSD og andre
> "softwarebaserede" firewalls er desuden, at der ofte ligger
> et helt operativsystem nedenunder. Hvis nogen på en eller anden
> måde får en kommandoprompt på den, har man tabt.
Både OpenBSD og Linux fortsætter da med at behandle pakker efter man
har skrevet 'halt'. Så skulle jeg mene at man opnår samme teoretiske
sikkerhedsfordel som folk postulere at hardware firewalls har. Der er
i hvert fald ikke umidelbart nogen måde at få en kommandopromt på.
Man skal selvfølgelig så hive maskinen helt ned nå den skal
omkonfigureres. Men hvis det ikke er noget man gør for tit...
--
Peter Makholm | I congratulate you. Happy goldfish bowl to you, to
peter@makholm.net | me, to everyone, and may each of you fry in hell
http://hacking.dk | forever
| -- The Dead Past
| |
Klaus Ellegaard (06-09-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 06-09-03 10:51 |
|
Peter Makholm <peter@makholm.net> writes:
>Både OpenBSD og Linux fortsætter da med at behandle pakker efter man
>har skrevet 'halt'. Så skulle jeg mene at man opnår samme teoretiske
>sikkerhedsfordel som folk postulere at hardware firewalls har. Der er
>i hvert fald ikke umidelbart nogen måde at få en kommandopromt på.
Det er et rent pakkefilter - hvis det er det eneste krav, er en
router en både bedre og billigere løsning.
Firewalls kræver logging og evt. funktioner som IDS og content
inspection. Den skal altså kunne skrive en logfil et eller andet
sted (hvilket nemt kan ske via syslog eller tilsvarende til en
maskine med et skrivbart filsystem) og køre nogle statistiske/
state-full rutiner lokalt.
Mvh.
Klaus.
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 10:57 |
|
In article <bjcall$mav$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Det er et rent pakkefilter - hvis det er det eneste krav, er en
> router en både bedre og billigere løsning.
Hvilken router er billigere end en moderne PC med et gratis OS?
En moderne PC vil uden problemer kunne yde 100Mbit.
| |
Michael U. Hove (06-09-2003)
| Kommentar Fra : Michael U. Hove |
Dato : 06-09-03 10:47 |
|
Klaus Ellegaard wrote:
> "To a hammer everything is a nail".
>
> Start hellere med at finde ud af, hvad firewallen skal kunne.
> Find dernæst ud af hvilke produkter, der kan det, der er brug
> for. Hvis OpenBSD er blandt dem, er det jo fjong.
OpenBSD opfylder til fulde de kravmæssige specifikationer, det jeg var
ude efter, var mere i retningen af praktiske erfaringer med OpenBSD
OS-FW's i produktionsmijøer.
> Ulempen ved at bruge standardprodukter som OpenBSD og andre
> "softwarebaserede" firewalls er desuden, at der ofte ligger
> et helt operativsystem nedenunder. Hvis nogen på en eller anden
> måde får en kommandoprompt på den, har man tabt.
>
Det er netop problemerne med det underliggende OS og shell-adgang der
bekymrer mig ved OS-FW's. Det er så blevet yderligere bekræftet.
[snip]
> Kravspec - der passer med sikkerhedspolitikken. Det er stedet
> at starte.
Tak for nogle rigtig gode synspunkter...som jeg er er absolut enige i.
Det ville dog stadig være fantastisk, hvis man kunne høre fra nogen, der
rent faktisk har en OpenBSD FW kørende i et produktionsmiljø...
Jeg håber stadig
mvh
/michael
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 10:53 |
|
In article <bjc9f7$lr8$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Ulempen ved at bruge standardprodukter som OpenBSD og andre
> "softwarebaserede" firewalls er desuden, at der ofte ligger
> et helt operativsystem nedenunder. Hvis nogen på en eller anden
> måde får en kommandoprompt på den, har man tabt.
Det kommer an på hvordan man ser det.
Hvor stor en viden har man typisk på hvordan en PIX er bygget op,
kontra fx OpenBSD?
Jeg har ingen viden omkring hvordan en PIX er bygget op, og
har ikke kunne finde informationer. Når jeg har spurgt
kollegarer der er certificeret i produktet, kan de
fortælle hvad man skal skrive i konfigurationsfilen for at
få den til at makke ret...men de ved ikke hvordan det bliver
implementeret.
Ergo er den for mig en "blackboks".
> Hardware-baserede firewalls, såsom PIX, har ikke noget OS og
Vrøvl. En PIX er en PC, som en anden har skrevet før, der kører et
OS bygget af Cisco.
Køber du en Nokia hardware firewall, få du typisk en meget dyr PC
med en modificeret BSD og en kompileret FW-1 til dette OS. Men
du fik også adgang til support der var bedre end hos CP.
> kan derfor ikke aktivt bruges til at angribe lokale maskiner,
> selvom den bliver hacket.
Hvilke mekanismer eksistere i en hardware firewall, til fx at
beskyttet adgang imellem to komponenter, fx smtp scanneren og
firewall regelsættet?
Er det umuligt at bygge et angreb der udfører kode på en PIX.
Hvis ja, hvorfor?
> Så kan man selvfølgelig fjerne "relevante" sager fra OS'et,
> men man skal bl.a. fjerne samtlige shells. Det kan godt være
> svært at få den til at boote uden en shell.
Hvorfor?
Er du rigtig parnoid, tager du en C kompiler og skriver din
egen initd som initialisere tcp/ip stakken og pf filteret
ud fra en tekst fil.
Herefter har du en bootstrapper, kerne, inetd og configurationen.
Hvordan får man en prompt?
> Det kommer jo an på opgaven. Hvis kompromittering af data med
> garanti vil udløse en altødelæggende 3. verdenskrig, er den
> aldeles ubrugelig. Hvis den værste konsekvens er, at folk kan
Man ville aldrig finde på at sætte udstyr op imellem de
to segmenter i nævnte situation.
| |
Michael U. Hove (06-09-2003)
| Kommentar Fra : Michael U. Hove |
Dato : 06-09-03 11:15 |
|
Christian E. Lysel wrote:
> In article <bjc9f7$lr8$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
>
>>Ulempen ved at bruge standardprodukter som OpenBSD og andre
>>"softwarebaserede" firewalls er desuden, at der ofte ligger
>>et helt operativsystem nedenunder. Hvis nogen på en eller anden
>>måde får en kommandoprompt på den, har man tabt.
>
>
> Det kommer an på hvordan man ser det.
>
> Hvor stor en viden har man typisk på hvordan en PIX er bygget op,
> kontra fx OpenBSD?
Exactly...og et af mine bevægpunkter for at gå væk fra alle disse
"boxes", som kun firmaernes kodere ved hvordan implementerer mine rules...
[snip]
> Er du rigtig parnoid, tager du en C kompiler og skriver din
> egen initd som initialisere tcp/ip stakken og pf filteret
> ud fra en tekst fil.
Respekt...
> Herefter har du en bootstrapper, kerne, inetd og configurationen.
>
> Hvordan får man en prompt?
Sparker vagten ned og starter motorsaven...?
>>Det kommer jo an på opgaven. Hvis kompromittering af data med
>>garanti vil udløse en altødelæggende 3. verdenskrig, er den
>>aldeles ubrugelig. Hvis den værste konsekvens er, at folk kan
>
>
> Man ville aldrig finde på at sætte udstyr op imellem de
> to segmenter i nævnte situation.
Næppe...men tak for endnu et godt input...
BTW...det lyder som om "dit firma" kunne implementere en Linux
FW...måske en konsulent-mulighed...?
mvh
/michael
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 11:34 |
|
In article <bjcc36$2uv8$1@news.cybercity.dk>, Michael U. Hove wrote:
> Exactly...og et af mine bevægpunkter for at gå væk fra alle disse
> "boxes", som kun firmaernes kodere ved hvordan implementerer mine rules...
Rolig, det kan jo være at andre har viden omkring boksen.
> BTW...det lyder som om "dit firma" kunne implementere en Linux
> FW...måske en konsulent-mulighed...?
Nej tak, privat kan jeg ikke yde en ordenlig service, da jeg har
et almindelig arbejde ved siden af. Og på arbejdet lever vi
af at sælge legetøj og ikke konsulent ydelser.
Dog legede jeg for 2 år siden med tanken om at skrive et cgi-script,
hvor man i en html form, indtaster oplysninger om tcp/ip stakken og
firewall filter, for derefter at downloade et hardnet linux eller openbsd
floppy image.
Herefter kunne man også lave en webserver på samme måde, i formen skulle
man så kunne oploade en tar-fil indeholdende hjemmeisden. Jeg regnede frem
til at den ville kunne rumme en hjemmeside på 1-4 MB data, alt
efter effektiviteten af komprimeringen.
Det næste projekt kunne så være at bygge en vpn floppy diskette der
kan lave site-site og mobile vpn forbindelser.
Men så faldt jeg over GNAT. :)
| |
Martin Damberg (10-09-2003)
| Kommentar Fra : Martin Damberg |
Dato : 10-09-03 21:15 |
|
"klip"
>
> Nej tak, privat kan jeg ikke yde en ordenlig service, da jeg har
> et almindelig arbejde ved siden af. Og på arbejdet lever vi
> af at sælge legetøj og ikke konsulent ydelser.
>
>
> Dog legede jeg for 2 år siden med tanken om at skrive et cgi-script,
> hvor man i en html form, indtaster oplysninger om tcp/ip stakken og
> firewall filter, for derefter at downloade et hardnet linux eller openbsd
> floppy image.
>
> Herefter kunne man også lave en webserver på samme måde, i formen skulle
> man så kunne oploade en tar-fil indeholdende hjemmeisden. Jeg regnede frem
> til at den ville kunne rumme en hjemmeside på 1-4 MB data, alt
> efter effektiviteten af komprimeringen.
>
> Det næste projekt kunne så være at bygge en vpn floppy diskette der
> kan lave site-site og mobile vpn forbindelser.
>
> Men så faldt jeg over GNAT. :)
>
Ved du om der findes sådan et "systemer" der ude ?
Altså boot op på en cdrom med Knoppix f.eks. som kører med iptables
hvor man så genere et/flere filter ud fra en hjemmeside og smidder på en
diskette som den bootable Linux dis. så henter fra og køre ind.
Det ville jo være lige til at gå til
mvh
Martin Damberg
| |
Christian E. Lysel (11-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 11-09-03 08:13 |
|
In article <3f5f8288$0$13182$edfadb0f@dread15.news.tele.dk>, Martin Damberg wrote:
> Ved du om der findes sådan et "systemer" der ude ?
GNAT :)
ellers
http://www.google.com/search?q=firewall+floppy+distro
http://www.google.com/search?q=firewall+floppy
> Altså boot op på en cdrom med Knoppix f.eks. som kører med iptables
> hvor man så genere et/flere filter ud fra en hjemmeside og smidder på en
> diskette som den bootable Linux dis. så henter fra og køre ind.
Den egenskab med at generere konfigurationen fra en webserver har jeg
ikke set, blot tænkt over hvor nemt der er at implementere
Men jeg har tilgengæld rodet med
http://www.solsoft.com/solsoft.cfm?pageid=133
For 2 år siden havde de en gratis version til ipchains og iptables
Hvis du ikke kan gennemskue hvad det kan bruges til så kik på demoen.
> Det ville jo være lige til at gå til
Ja.
>
>
| |
Klaus Ellegaard (06-09-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 06-09-03 12:00 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:
>> et helt operativsystem nedenunder. Hvis nogen på en eller anden
>> måde får en kommandoprompt på den, har man tabt.
>Det kommer an på hvordan man ser det.
>Hvor stor en viden har man typisk på hvordan en PIX er bygget op,
>kontra fx OpenBSD?
>Jeg har ingen viden omkring hvordan en PIX er bygget op, og
>har ikke kunne finde informationer. Når jeg har spurgt
>kollegarer der er certificeret i produktet, kan de
>fortælle hvad man skal skrive i konfigurationsfilen for at
>få den til at makke ret...men de ved ikke hvordan det bliver
>implementeret.
>Ergo er den for mig en "blackboks".
>> Hardware-baserede firewalls, såsom PIX, har ikke noget OS og
>Vrøvl. En PIX er en PC, som en anden har skrevet før, der kører et
>OS bygget af Cisco.
Der er en væsentlig gradsforskel mellem et public domain OS,
som alle har kendskab og kompetence omkring, og et lukket OS,
der næppe kan siges at være et OS i moderne forstand.
Men selvfølgelig har den da et OS. På samme måde som en
tørretumbler også har et OS.
Risikoen ved, at en gennemsnitlig hacker finder et exploit
til OpenBSD eller en vilkårlig anden Unix, som kan bruges til
noget, er gigantisk på en Unix i forhold til en "black box"
som en PIX eller en tørretumbler.
Det er ikke "security by obscurity", for der er ikke noget
obskurt ved en PIX - det er bare en løsning, der slet ikke er
designet til at gøre andet end firewalling. OpenBSD er som
kontrast designet til at kunne gøre alt mellem himmel og jord
- hvilket også inkluderer at være platform for hacking.
>Køber du en Nokia hardware firewall, få du typisk en meget dyr PC
>med en modificeret BSD og en kompileret FW-1 til dette OS. Men
>du fik også adgang til support der var bedre end hos CP.
Den har et OS i moderne forstand. Ergo falder den uden for
mit argument.
>Er det umuligt at bygge et angreb der udfører kode på en PIX.
Næppe.
>Er du rigtig parnoid, tager du en C kompiler og skriver din
>egen initd som initialisere tcp/ip stakken og pf filteret
>ud fra en tekst fil.
Er det så ikke billigere at købe en PIX?
>> Det kommer jo an på opgaven. Hvis kompromittering af data med
>> garanti vil udløse en altødelæggende 3. verdenskrig, er den
>> aldeles ubrugelig. Hvis den værste konsekvens er, at folk kan
>Man ville aldrig finde på at sætte udstyr op imellem de
>to segmenter i nævnte situation.
Exactly.
Mvh.
Klaus.
| |
Andreas Plesner Jaco~ (06-09-2003)
| Kommentar Fra : Andreas Plesner Jaco~ |
Dato : 06-09-03 12:02 |
|
In article <bjcen8$n5p$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
>
>>Vrøvl. En PIX er en PC, som en anden har skrevet før, der kører et
>>OS bygget af Cisco.
>
> Der er en væsentlig gradsforskel mellem et public domain OS,
> som alle har kendskab og kompetence omkring, og et lukket OS,
> der næppe kan siges at være et OS i moderne forstand.
PIXen har ellers både processer og en BSD-baseret IP-stak mig bekendt.
--
Andreas Plesner Jacobsen | As well look for a needle in a bottle of hay.
| -- Miguel de Cervantes
| |
Kent Friis (06-09-2003)
| Kommentar Fra : Kent Friis |
Dato : 06-09-03 12:16 |
|
Den Sat, 6 Sep 2003 10:59:52 +0000 (UTC) skrev Klaus Ellegaard:
>"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:
>
>>> Hardware-baserede firewalls, såsom PIX, har ikke noget OS og
>
>>Vrøvl. En PIX er en PC, som en anden har skrevet før, der kører et
>>OS bygget af Cisco.
>
>Der er en væsentlig gradsforskel mellem et public domain OS,
>som alle har kendskab og kompetence omkring, og et lukket OS,
>der næppe kan siges at være et OS i moderne forstand.
>
>Men selvfølgelig har den da et OS. På samme måde som en
>tørretumbler også har et OS.
>
>Risikoen ved, at en gennemsnitlig hacker finder et exploit
>til OpenBSD eller en vilkårlig anden Unix, som kan bruges til
>noget, er gigantisk på en Unix i forhold til en "black box"
>som en PIX eller en tørretumbler.
Det er det samme argument Microsoft bruger for hvorfor open-source
(som fx OpenBSD) er meget mindre sikkert end Windows med Code Red
og MSBlaster osv.
>Det er ikke "security by obscurity", for der er ikke noget
>obskurt ved en PIX
Obscurity er en form af ordet obscured, som betyder at ting er skjult
så man ikke kan se dem.
Der er masser af ting der er skjult på en PIX, bland andet sourcen.
>>Er du rigtig parnoid, tager du en C kompiler og skriver din
>>egen initd som initialisere tcp/ip stakken og pf filteret
>>ud fra en tekst fil.
>
>Er det så ikke billigere at købe en PIX?
PIX + CCNA + PIX-kursus osv, løber hurtigt op. Et par hundrede
linier kode (den skal jo netop være så simpel som overhovedet muligt)
koster kun lønnen, og man må jo gå ud fra at manden allerede er
ansat, og skal have løn, uanset om han sidder og skriver kode,
eller læser slashdot
Dertil kommer at koden kun skal skrives en gang, uanset hvor mange
OpenBSD-boxe der skal sættes op, hvorimod PIX'erne koster hver gang
der skal sættes en mere op.
Mvh
Kent
--
Linux 0.12 is out
Windows 2003 is now obsolete!!!
| |
Klaus Ellegaard (06-09-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 06-09-03 12:28 |
|
leeloo@phreaker.net (Kent Friis) writes:
>Det er det samme argument Microsoft bruger for hvorfor open-source
>(som fx OpenBSD) er meget mindre sikkert end Windows med Code Red
>og MSBlaster osv.
Nej, i denne sammenhæng er der ingen forskel på Unix og Windows.
De er begge general purpose OS'er med veldokumenterede interfaces.
>>Er det så ikke billigere at købe en PIX?
>PIX + CCNA + PIX-kursus osv, løber hurtigt op. Et par hundrede
>linier kode (den skal jo netop være så simpel som overhovedet muligt)
>koster kun lønnen, og man må jo gå ud fra at manden allerede er
>ansat, og skal have løn, uanset om han sidder og skriver kode,
>eller læser slashdot
Mand der bruger 100 timer på konsulentarbejde: 100.000 kr indtægt
til firmaet nu og her.
Mand der bruger 100 timer på at lette 10.000 menneskers arbejde:
firmaet tjener indirekte 10 milliarder kroner ekstra over 5 år.
Mand der læser slashdot i 100 timer: firmaet taber teoretisk set
et sted mellem 100.000 kroner og 10 milliarder kroner. Minus de
peanuts, de giver ham i løn, forstås.
>Dertil kommer at koden kun skal skrives en gang, uanset hvor mange
>OpenBSD-boxe der skal sættes op, hvorimod PIX'erne koster hver gang
>der skal sættes en mere op.
Det forsvinder (forhåbentlig) i arbejdet med kravspec-møder,
dokumentation, implementering af regelsæt og forankring.
Mvh.
Klaus.
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 12:37 |
|
In article <bjcgcs$nog$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Nej, i denne sammenhæng er der ingen forskel på Unix og Windows.
> De er begge general purpose OS'er med veldokumenterede interfaces.
Det ville jeg ikke fortælle til winehq udvikler gruppen, man
risikere at få bank. :)
>>Dertil kommer at koden kun skal skrives en gang, uanset hvor mange
>>OpenBSD-boxe der skal sættes op, hvorimod PIX'erne koster hver gang
>>der skal sættes en mere op.
>
> Det forsvinder (forhåbentlig) i arbejdet med kravspec-møder,
> dokumentation, implementering af regelsæt og forankring.
Mængden af arbejde er vel identisk for den ene eller anden løsning?
| |
Thomas Corell (06-09-2003)
| Kommentar Fra : Thomas Corell |
Dato : 06-09-03 12:48 |
|
Kent Friis wrote:
>
> PIX + CCNA + PIX-kursus osv, løber hurtigt op.
Her er din forudsætning en admin, der starter på bar bund..
> Et par hundrede
> linier kode (den skal jo netop være så simpel som overhovedet muligt)
> koster kun lønnen, og man må jo gå ud fra at manden allerede er
> ansat, og skal have løn, uanset om han sidder og skriver kode,
> eller læser slashdot
Her er din forudsætning, at admin er fuldt ud kompetent.
Du kan ikke sammenligne på den måde.
--
Don't waste space
| |
Kent Friis (06-09-2003)
| Kommentar Fra : Kent Friis |
Dato : 06-09-03 12:59 |
|
Den Sat, 6 Sep 2003 11:47:30 +0000 (UTC) skrev Thomas Corell:
>Kent Friis wrote:
>>
>> PIX + CCNA + PIX-kursus osv, løber hurtigt op.
>
>Her er din forudsætning en admin, der starter på bar bund..
På bar bund indenfor Cisco PIX, ja. Hvis han er Cisco-mand, så vil
han typisk enten
- vælge PIX, fordi Cisco "er det bedste".
- gå i en stor bue uden om PIX, pga. dårlig erfaring.
I begge tilfælde vil han ikke være i tvivl, og diskussionen er
uinteressant.
>> Et par hundrede
>> linier kode (den skal jo netop være så simpel som overhovedet muligt)
>> koster kun lønnen, og man må jo gå ud fra at manden allerede er
>> ansat, og skal have løn, uanset om han sidder og skriver kode,
>> eller læser slashdot
>
>Her er din forudsætning, at admin er fuldt ud kompetent.
Kompetent med en compiler, ja.
Jeg mener sagtens man kan forvente at IT-folk kan bruge en compiler
(jeg fik selv en programmeringsopgave da jeg skulle til
ansættelsessamtale som supporter), hvorimod erfaring med et specifikt
produkt som PIX ikke kan forventes.
Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.
| |
Thomas Corell (06-09-2003)
| Kommentar Fra : Thomas Corell |
Dato : 06-09-03 13:11 |
|
Kent Friis wrote:
> Den Sat, 6 Sep 2003 11:47:30 +0000 (UTC) skrev Thomas Corell:
>>Kent Friis wrote:
>>>
>>> PIX + CCNA + PIX-kursus osv, løber hurtigt op.
>>
>>Her er din forudsætning en admin, der starter på bar bund..
....
> I begge tilfælde vil han ikke være i tvivl, og diskussionen er
> uinteressant.
Men jeg mener stadig ikke at sammenligningen er fair, når du
sammenligner en uddannet/rutineret BSD/Un*x mand, med en ikke uddannet
Cisco mand.
[OpenBSD som firewall]
>>Her er din forudsætning, at admin er fuldt ud kompetent.
>
> Kompetent med en compiler, ja.
Så hvis man kan programmere og bruge en compiler, er det ensbetydende
med at man nemt kan lave et godt fw-sæt på en OpenBSD ?
--
Don't waste space
| |
Kent Friis (06-09-2003)
| Kommentar Fra : Kent Friis |
Dato : 06-09-03 13:56 |
|
Den Sat, 6 Sep 2003 12:11:02 +0000 (UTC) skrev Thomas Corell:
>Kent Friis wrote:
>> Den Sat, 6 Sep 2003 11:47:30 +0000 (UTC) skrev Thomas Corell:
>>>Kent Friis wrote:
>>>>
>>>> PIX + CCNA + PIX-kursus osv, løber hurtigt op.
>>>
>>>Her er din forudsætning en admin, der starter på bar bund..
>
>...
>
>> I begge tilfælde vil han ikke være i tvivl, og diskussionen er
>> uinteressant.
>
>Men jeg mener stadig ikke at sammenligningen er fair, når du
>sammenligner en uddannet/rutineret BSD/Un*x mand, med en ikke uddannet
>Cisco mand.
>
>[OpenBSD som firewall]
>
>>>Her er din forudsætning, at admin er fuldt ud kompetent.
>>
>> Kompetent med en compiler, ja.
>
>Så hvis man kan programmere og bruge en compiler, er det ensbetydende
>med at man nemt kan lave et godt fw-sæt på en OpenBSD ?
Nej, forudsætningen er at manden i forvejen kan sætte OpenBSD op som
firewall. Hvis han ingen kendskab har til OpenBSD, vil jeg naturligvis
ikke anbefale at bruge den platform.
Og det med en specialbygget init, var jo kun en ekstra mulighed, ikke
et krav.
Mvh
Kent
--
Desuden kan jeg ikke se nogen grund til at springe over hvor gærdet er
lavest, når man kan vente på at det alligevel bliver revet ned fordi
der skal bygges en omfartsvej...
- Claus Frørup og Asbjørn Christensen i dk.snak.
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 12:29 |
|
In article <bjcen8$n5p$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> som alle har kendskab og kompetence omkring, og et lukket OS,
> der næppe kan siges at være et OS i moderne forstand.
Det er svært at udtale sig om, da vi ikke ved hvordan
den er bygget.
Men http://www.cisco.com/warp/public/110/pix_shproc.html
tyder da på et moderne OS!
(Jeg antager denne liste, er en standard konfiguration)
Dog tyder det på der ikke er memoryprotection, da
alle processerne ligger i forskeillige adresserum.
> Risikoen ved, at en gennemsnitlig hacker finder et exploit
> til OpenBSD eller en vilkårlig anden Unix, som kan bruges til
> noget, er gigantisk på en Unix i forhold til en "black box"
> som en PIX eller en tørretumbler.
>
> Det er ikke "security by obscurity", for der er ikke noget
> obskurt ved en PIX - det er bare en løsning, der slet ikke er
Ovenstående argument, bygger på at angriberen ikke ved noget
om boksen...hvorfor er det ikke "security by obscurity"?
> designet til at gøre andet end firewalling. OpenBSD er som
> kontrast designet til at kunne gøre alt mellem himmel og jord
Ja, og når simplificeres til nedestående eksemple, så
er der ikke den stører forskel mellem en PIX og OpenBSD.
Dog lader det til en PIX kører mere end en standard OpenBSD,
kik på ovenstående link.
o ESP
o http
o telnet
o radius
o tftp
o rip
o snmp
o uauth
o fover
o dhcp
o pptp
Hardner du dine PIX'er, hvad giver en af dine PIX når du
kører omtalte kommando?
Metoden med at halte maskinen er også sød.
> - hvilket også inkluderer at være platform for hacking.
En Cisco router kan overskrives med Linux.
I nogle tilfælde vil administrationen ikke opdage det :)
>>Køber du en Nokia hardware firewall, få du typisk en meget dyr PC
>>med en modificeret BSD og en kompileret FW-1 til dette OS. Men
>>du fik også adgang til support der var bedre end hos CP.
> Den har et OS i moderne forstand. Ergo falder den uden for
> mit argument.
Mener du stadigvæk en PIX ikke har noget moderne OS?
>>Er det umuligt at bygge et angreb der udfører kode på en PIX.
> Næppe.
Hvilke mekanismer/lag ville forhindre fuld adgang til boksen?
>>Er du rigtig parnoid, tager du en C kompiler og skriver din
>>egen initd som initialisere tcp/ip stakken og pf filteret
>>ud fra en tekst fil.
>
> Er det så ikke billigere at købe en PIX?
Nix.
Ovenstående kræver ikke mange mande timer.
PC'er er billige, OpenBSD endnu billigere.
| |
Klaus Ellegaard (06-09-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 06-09-03 12:39 |
| | |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 12:49 |
|
In article <bjch19$nt1$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Vi har forskellige definitioner på et OS, så den diskussion
> er lidt ligegyldig.
Start med at give en definition.
| |
Thomas Corell (06-09-2003)
| Kommentar Fra : Thomas Corell |
Dato : 06-09-03 12:51 |
|
Christian E. Lysel wrote:
> In article <bjch19$nt1$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
>> Vi har forskellige definitioner på et OS, så den diskussion
>> er lidt ligegyldig.
>
> Start med at give en definition.
Klaus redegjorde da for sin definition i:
<news:bjcen8$n5p$1@katie.ellegaard.dk>
--
Don't waste space
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 12:59 |
|
In article <slrnbljih9.1vve.intheNO.SPAMnews@mail.corell.dk>, Thomas Corell wrote:
> Klaus redegjorde da for sin definition i:
>
><news:bjcen8$n5p$1@katie.ellegaard.dk>
Definitionen som jeg kan finde i indlægget siger meget kort,
"Et lukket OS er ikke noget moderne OS"
Hvad moderne dækker over vides ikke.
| |
Hans Joergensen (06-09-2003)
| Kommentar Fra : Hans Joergensen |
Dato : 06-09-03 22:37 |
|
Christian E. Lysel wrote:
> Er det umuligt at bygge et angreb der udfører kode på en PIX.
Det var ihvertfald ikke svært at bygge et angreb der fik en lille
PIX til at gå ganske meget ned, her for ca. en 1½ år siden
(softwaren var muligvis ældre)
nmap <ip bag pix>
Og så gik den ned ... totalt kvalitet :)
// Hans
--
http://rd350.nathue.dk - Breaking the ozone-layer since 1985
| |
Alex Holst (06-09-2003)
| Kommentar Fra : Alex Holst |
Dato : 06-09-03 11:37 |
|
Michael U. Hove <pots_72@e-mail.dk> wrote:
> Er der nogen i gruppen, der har erfaringer for/imod software- kontra
> hardware firewalls. OpenBSD er jo et *benhårdt* OS, men kan det hærdes
> nok til at levere en fw (jeg er superparanoid!)? Måske har andre kørt
> lign. software og hardware FW's side om side, og har nogle interessante
> kommentarer til opgaven?!
Jo, jeg har koert noget lignende. Lige nu koerer jeg blot OpenBSD paa en
Soekris net4511.
Ulemper ved OpenBSD modellen:
Du skal selv finde et motherboard, CPU og NIC der kan klare opgaven. I
netop denne forbindelse er stoerre ikke noedvendigvis bedre.
Der er ikke en vendor du kan ringe til eller sagsøge hvis noget går
meget galt.
Fordele ved OpenBSD modellen:
Indbygget support for IPsec uden store ekstra omkostninger (muligvis en
cryptoaccelerator til $80).
Indbygget authentication gateway.
Indbygget load-balancing og queueing uden ekstra omkostninger.
Mulighed for proxier.
Propolice i kernen (i 3.4) goer det svaert at udnytte stack-baseredede
angreb. (As in: du har mindst et par ekstra minutter at patche i, mens
angriberen arbejder paa sit exploit.)
Mulighed for revision control/approval procedures paa pf reglerne og
andre vigtige configurationsfiler.
Det skulle ikke vaere umuligt at finde en lokal konsulent der vil yde
support paa din OpenBSD loesning.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
| |
Christian E. Lysel (06-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 06-09-03 12:32 |
|
In article <nvpo21-71a.ln1@miracle.mongers.org>, Alex Holst wrote:
> Der er ikke en vendor du kan ringe til eller sagsøge hvis noget går
> meget galt.
Måske kan man sagsøge SCO, for måske at have et patent.
| |
Michael U. Hove (06-09-2003)
| Kommentar Fra : Michael U. Hove |
Dato : 06-09-03 19:21 |
|
Alex Holst wrote:
> Michael U. Hove <pots_72@e-mail.dk> wrote:
>
>>Er der nogen i gruppen, der har erfaringer for/imod software- kontra
>>hardware firewalls. OpenBSD er jo et *benhårdt* OS, men kan det hærdes
>>nok til at levere en fw (jeg er superparanoid!)? Måske har andre kørt
>>lign. software og hardware FW's side om side, og har nogle interessante
>>kommentarer til opgaven?!
>
>
> Jo, jeg har koert noget lignende. Lige nu koerer jeg blot OpenBSD paa en
> Soekris net4511.
>
> Ulemper ved OpenBSD modellen:
>
> Du skal selv finde et motherboard, CPU og NIC der kan klare opgaven. I
> netop denne forbindelse er stoerre ikke noedvendigvis bedre.
>
> Der er ikke en vendor du kan ringe til eller sagsøge hvis noget går
> meget galt.
>
>
> Fordele ved OpenBSD modellen:
>
> Indbygget support for IPsec uden store ekstra omkostninger (muligvis en
> cryptoaccelerator til $80).
>
> Indbygget authentication gateway.
>
> Indbygget load-balancing og queueing uden ekstra omkostninger.
>
> Mulighed for proxier.
>
> Propolice i kernen (i 3.4) goer det svaert at udnytte stack-baseredede
> angreb. (As in: du har mindst et par ekstra minutter at patche i, mens
> angriberen arbejder paa sit exploit.)
>
> Mulighed for revision control/approval procedures paa pf reglerne og
> andre vigtige configurationsfiler.
>
> Det skulle ikke vaere umuligt at finde en lokal konsulent der vil yde
> support paa din OpenBSD loesning.
>
Tak for alle de gode indlæg...de har givet mig en frisk vinkel på sagen.
Som jeg umiddelbart ser det, er OpenBSD "hobby-firewallen" desværre, nok
noget jeg bliver nødt til at rode med i min fritid
De ovenstående "imod OpenBSD argumenter" er lige præcis ledelsens
argumenter for at blive ved med at benytte vendor-supporteret
"black-box" teknologi. Det er svært at ændre på indgroede vaner, sårligt
når det gælder beskyttelsen af rigets juveler...
mvh
/michael
| |
Jesper Louis Anderse~ (06-09-2003)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 06-09-03 22:11 |
|
In article <bjc0ic$2gpk$1@news.cybercity.dk>, Michael U. Hove wrote:
> Jeg har derfor overvejet at bruge en dedikeret OpenBSD box til formålet.
> Altså Packet Filter. Selve PF-teknologien kan fuldt ud levere den
> ønskede funktionalitet, og løsningen ville jo i sagens natur være en del
> billigere, end at skulle købe endnu en Cisco ell. CheckPoint kasse
>
1. Hardware. Mekaniske dele faar det af helvede til over tid og de fleste
dedikerede hardwaretingester har kun blaeserne i denne kategori. Det skal
overvejes om man kan leve med det.
2. Failover. Hvad hvis lortet gaar ned? Det bliver til et single point of
failure. Der findes heartbeat monitoring, men jeg mangler stadigt at se det
fungere i praksis og implementeret saaledes at heartbeatet ikke bare koerer
lystigt videre selv om lortet ikke vil sende pakker.
> Er der nogen i gruppen, der har erfaringer for/imod software- kontra
> hardware firewalls. OpenBSD er jo et *benhårdt* OS, men kan det hærdes
> nok til at levere en fw (jeg er superparanoid!)? Måske har andre kørt
> lign. software og hardware FW's side om side, og har nogle interessante
> kommentarer til opgaven?!
2 netkort der koerer bridges uden IP. Al tilgang via serielkonsol hvor man
plugger en baerbar ind. Paranoidt nok? Argumentet med at hvis man foerst
faar kommandoprompt paa skidtet saa har man tabt holder ikke. Det har
man ogsaa hvis det sker paa firewallen naar det er en hardwarebox.
Eventuelt kan et 3. netkort til en logging-host komme paa tale, hvor logs
saa kan udveksles med ssh eller lignende protokol. Eventuelt kunne forbindelsen
vaere peer-to-peer til logging-hosten.
--
j.
| |
Christian E. Lysel (07-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 07-09-03 08:50 |
|
In article <slrnblkjbk.v2v.jlouis@miracle.mongers.org>, Jesper Louis Andersen wrote:
> Eventuelt kan et 3. netkort til en logging-host komme paa tale, hvor logs
> saa kan udveksles med ssh eller lignende protokol. Eventuelt kunne forbindelsen
> vaere peer-to-peer til logging-hosten.
Hvis man er rigtig parnoid, laver man et netkabel der kun kan
transmittere trafik, sætter arp statisk op, og bruger syslog eller
snmp traps over udp.
| |
Klaus Ellegaard (07-09-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 07-09-03 09:06 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:
>Hvis man er rigtig parnoid, laver man et netkabel der kun kan
>transmittere trafik, sætter arp statisk op, og bruger syslog eller
>snmp traps over udp.
Eller et serielt link med et terminalprogram i den anden ende?
Mvh.
Klaus.
| |
Christian E. Lysel (07-09-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 07-09-03 10:24 |
|
In article <bjeotv$i5a$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> Eller et serielt link med et terminalprogram i den anden ende?
Du mener vel en linieskriver (der ikke kan kan spoole papiret baglæns)?
En bonprinter er oplagt :)
Typisk har man kun 2 seriel porte i en maskine. I moderne maskiner
skal man være heldig hvis der er en port.
Til en firewall er seriel porten dog klart at fortrække, da det den simpleste
løsning.
Har man brug for at flere maskiner sender logs til en syslog server
kan løsningen ikke scalere.
| |
Klaus Ellegaard (07-09-2003)
| Kommentar Fra : Klaus Ellegaard |
Dato : 07-09-03 10:41 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:
>Typisk har man kun 2 seriel porte i en maskine. I moderne maskiner
>skal man være heldig hvis der er en port.
Man køber vel en maskine til den opgave, den er beregnet til?
>Har man brug for at flere maskiner sender logs til en syslog server
>kan løsningen ikke scalere.
Det er vist også de færreste, der har brug for mange firewalls inden
for samme RS232-rækkevidde?
Omend det ikke er noget problem at udstyre én pc med flere hundrede
serielporte.
Mvh.
Klaus.
| |
Hans Joergensen (07-09-2003)
| Kommentar Fra : Hans Joergensen |
Dato : 07-09-03 11:07 |
|
Klaus Ellegaard wrote:
> Man køber vel en maskine til den opgave, den er beregnet til?
Ikke nødvendigvis ... såfremt man vælger at basere hovedparten af
sine løsninger på fx. Linux kan man udemærket klare sig med små
standart-bokse i langt de fleste tilfælde ...
// Hans
--
http://ph33r.dk - Vejen til et fjollet liv
| |
|
|