Re: [FUG-BR] BSD para Firewall
Marcello Costa wrote: > (...) > > Agora o conceito de segurança no OpenBSD é custoso , ou seja , as > aplicações demoram bem mais a serem portadas nele, o uso de criptografia > tem seu custo, o propio PF gasta bem mais CPU do que o ipfw como já foi > diversas vezes reportado nessa lista. O FreeBSD foi bastante alterado no > nascimento da versão 4.x para 5.x , essas alterações visam um novo > caminho no quesito performance , o openbsd não sei exatamente em que > ponto ele se coloca em relação a isso. > As alteracões do FreeBSD 4.x para o 5.X e posteriores foram fundamentais para o sucesso do FreeBSD no presente e no futuro, pois foram relacionadas a utilizacão de sistemas multiprocessados (SMP) que é o futuro (ou presente) da informatica. Vide os processadores dual core. Sem as alteracões feitas o ganho de performance nessas maquinas seria pequeno senão nulo. Por outro lado, as mudancas feitas foram tão grandes e tão profundas que ainda hoje não foram terminadas (ainda existem subsistemas do kernel que ainda operam em partes debaixo do BGL - big giant lock). No OpenBSD embora existe suporte SMP, todo o kernel ainda roda sob o BGL e até aonde eu sei não há expectativas de mudanca num futuro próximo. O OpenBSD é modesto com relacão ao número de desenvolvedores (por volta de 60) e não tem mão de obra disponivel para encarar uma tarefa desta proporcão. Talvez com o desenvolvimento de outros SOs nessa area o trabalho do OpenBSD se torne mais simples. Vejo com muitos bons olhos o trabalho do dragonflybsd que adotou outras tecnicas para conseguir os mesmo resultados do FreeBSD, mas que também por outros motivos teve e tem a coragem de rever algumas estruturas importantes do kernel (e que precisavam ser revistas). Ainda que com pouca visibilidade o trabalho que vem sendo desenvolvido provavelmente contribuirá no futuro para o desenvolvimento das tecnicas de programacão SMP. > Um Firewall com um filtro de pacotes , sem sendmail e com ssh apenas > para uma maquina especifica , travado no mac e no ip , acho que tanto no > FreeBSD quanto no OpenBSD são equivalentes em segurança, mas o FreeBSD > ainda tem uma outra coisa a seu favor , o desenpenho , pois ele pode > suportar um trafego ou um ataque que talvez a performace do OpenBSD não > suporte. > O OpenBSD tem performance excepcional em aplicacões de rede. O BGL do kernel AJUDA o desenvolvimento de aplicacões e protocolos de rede no kernel (é bem mais facil quando vc precisa se preocupar com um unico lock). O pf tem problemas de performance, mas isso é mais relacionado a suas caracteristicas e estrutura do que ao OpenBSD (esses problemas podem ser verificados também no FreeBSD). Outro ponto verdadeiramente positivo com relacão ao OpenBSD é o kernel GENERIC que é realmente generico, já vem com todos os dispositivos habilitados (incluindo o carp, trunk, etc) e também o pf, ou seja basta instalar e configurar, tudo rápido e fácil. enfim, apenas meus 2 cents... luiz - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSD para Firewall
> Agora, deixa eu fazer uma pergunta para quem tem mais experiência > com Open: > Além do route to do PF, o Open tem algum esquema de gateways > alternativos com métricas? > > Se tiver, isso talvez faça a diferença. É uma coisa que eu sinto falta > no FreeBSD. Sim. Isso está sendo desenvolvido e estará disponível provavelmente na versão 4.0. Por enquanto você pode instalar uma versão -current e usar métricas, mas em breve multipath estará disponível e como sempre bem integrado ao sistema. Minha sugestão pessoal é: fique com o que você prefere e mais gosta. Mas se não resistir, use o OpenBSD que tenho certeza que você vai gostar. Grande abraço, -- Eduardo Alvarenga - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSD para Firewall
Rodolfo, Tem uma outra coisa que eu havia esquecido de citar: Essa histório (veridica) de que o OpenBSD é mais seguro do que o FreeBSD já é um pouco antiga. Então, se analisarmos o FreeBSD a alguns anos atrás: - O inetd era instalado por padrão, e com isso telnet e seus amiguinhos; - Sendmail era instalado por padrão; - Firewall existia praticamente só o IPFW como opção; - Bind vinha sem chroot. Atualmente: - O inetd vem desabilitado por padrão, sendo assim, por padrão o seu servidor não estará escopo em casos de novas vulnerabilidades em um desses serviços; - Para servidor de e-mail, por padrão tem-se a opção de instalar o Postfix, que é muito mais seguro e tem muito menso bugs do que o Sendmail; - Para Firewall você tem a opção do PF, que é o mesmo utilizado no Open, sem contar que você ainda pode reforçar a segurança com IPFW e IPFILTER; - Bind é instalado em chroot por padrão. Não estou querendo dizer que o Open não seja mais seguro do que o Free. Sinceramente, acredito que ele realmente seja, afinal, todo o desenvolvimento do Open tem esse objetivo. O que eu quero dizer é que a segurança no FreeBSD vem evoluindo consideravelmente nos últimos tempos, e que atualmente, o ganho em segurança do Open para Free já não deve ser tão representativo como antes. Uma coisa que eu te sugiro é instalar o FreeBSD agora, que você ja tem experiência e poderá fazer um trabalho de segurança bem maior. Paralelamente você instala o OpenBSD em uma outra máquina e vai estudando. Se achar que vale a pena... vá em frente. Caso contrário continua tudo funcionando "bunitinho". Agora, deixa eu fazer uma pergunta para quem tem mais experiência com Open: Além do route to do PF, o Open tem algum esquema de gateways alternativos com métricas? Se tiver, isso talvez faça a diferença. É uma coisa que eu sinto falta no FreeBSD. []s Ronan - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSD para Firewall
Em Qua, 2006-07-05 às 20:18 -0300, Rodolfo Zappa escreveu: > Caros amigos da lista, > > Estou planejando uma solução de firewall robusta. A escolha óbvia do > S.O. é BSD. > > Mas gostaria de trocar/colher informações da comunidade. > > Sem levar em consideração o que cada um já sabe, ou está mais habituado, > gostaria de tomar decisões sobre aspectos técnicos apenas. > > Tenho dúvidas entre FreeBSD e OpenBSD, este último ainda não > familiarizado. A despeito do OpenBSD ser considerado mais seguro que o > FreeBSD, com o Free eu tenho contato a mais tempo e se levar a decisão > por aspéctos não técnicos, este último ganha. > > Mesmo já usando o Free em algumas soluções, tenho optado por utilizar o > PF em detrimento do IPFW ou IPFILTER, por achá-lo mais completo, mais > robusto e até mais fácil para criar regras mais complexas (uso de macros > e tables facilita a vida um bocado). > > Fica a pergunta: apesar de particularmente achar que entre os dois BSD o > mais seguro é o melhor administrado, gostaria de saber: É justificada a > fama do OpenBSD e com ele se obtem grandes vantagens em questões de > segurança, em relação ao FreeBSD? > Bem ai tb depende do conceito de segurança O OpenBSD é considerado o sistema operacional mais seguro porque todas as aplicações sofrem forte auditoria e são testadas exaustivamente, é um sistema que não tem bugs, tem foco em firewall e roteador , tem umas caracteristicas própias como criptografia em disco , enfim tudo que se deseja em um sistema que faz questão de ser o máximo em segurança , lembrando do carp, openbgp e muitas outras aplicações. O FreeBSD é, acredito eu, o sistema operacional mais avançado do mundo, é relativamente livre de bugs, possue excepcional performace , tem mais aplicações que qualquer OS de código aberto, e por tabela boa parte do que esta presente no openbsd esta portado para o freebsd. Agora o conceito de segurança no OpenBSD é custoso , ou seja , as aplicações demoram bem mais a serem portadas nele, o uso de criptografia tem seu custo, o propio PF gasta bem mais CPU do que o ipfw como já foi diversas vezes reportado nessa lista. O FreeBSD foi bastante alterado no nascimento da versão 4.x para 5.x , essas alterações visam um novo caminho no quesito performance , o openbsd não sei exatamente em que ponto ele se coloca em relação a isso. Um Firewall com um filtro de pacotes , sem sendmail e com ssh apenas para uma maquina especifica , travado no mac e no ip , acho que tanto no FreeBSD quanto no OpenBSD são equivalentes em segurança, mas o FreeBSD ainda tem uma outra coisa a seu favor , o desenpenho , pois ele pode suportar um trafego ou um ataque que talvez a performace do OpenBSD não suporte. Bem tudo isso é um pouco de teoria e de questionamento do que realmente é seguro e o que vc precisa , eu particularmente continuo com o FreeBSD , mas se tivesse uma situação onde eu "necessitaria" de usar caracteristicas que encontro somente no OpenBSD ai sim eu escolheria ele. []'s -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br ___ Voc� quer respostas para suas perguntas? Ou voc� sabe muito e quer compartilhar seu conhecimento? Experimente o Yahoo! Respostas ! http://br.answers.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSD para Firewall
Em Thu, 2006-07-06 às 08:40 -0300, irado furioso com tudo escreveu: > Em Wed, 05 Jul 2006 20:18:36 -0300 > Rodolfo Zappa <[EMAIL PROTECTED]> escreveu: > > > Fica a pergunta: apesar de particularmente achar que entre os dois > > BSD o mais seguro é o melhor administrado, gostaria de saber: É > > justificada a fama do OpenBSD e com ele se obtem grandes vantagens em > > questões de segurança, em relação ao FreeBSD? > > bem.. uma opinião completamente subjetiva. Se eu conheço melhor um > dêles (não importa qual), farei o máximo para que êste seja o mais > seguro possível e (possívelmente) o conseguirei. Se eu optar pelo > outro, sem êsse expertise, possívelmente não o tornarei mais seguro, > terei que confiar nas suas propaladas características, até mesmo sem > entendê-las direito. Administro bem o que melhor conheço :) > È a velha história, que a segurança realmente esta em quem instala o sistema, não que o sistema não depende. Tambem nao sou nenhum conheçedor a fundo do open, do free até um pouco, mais vá por aquele que você domina mais e por aquele que você acha um maior "suporte" (no caso a lista aqui). > BTW, eu ficaria com o FreeBSD + pf :) pq se pegar um OpenBSD COM > CERTEZA vou tomar MAIS UM baile :) Irado o open é tão lógico qto o free pra instalar, a partir do manual instalei ele em menos de 30 min..Usei o qemu pra facilitar.. http://www.openbsd.org/faq/pt/faq4.html E a respeito do que tinham falado >Por exemplo, você não consegue carregar módulos no Kernel como no Linux >e no >FreeBSD. >Só recompilando o kernel para ativar um módulo que deseje. basta vc mudar o nível de segurança, o free tbm faz isso Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSD para Firewall
Em Wed, 05 Jul 2006 20:18:36 -0300 Rodolfo Zappa <[EMAIL PROTECTED]> escreveu: > Fica a pergunta: apesar de particularmente achar que entre os dois > BSD o mais seguro é o melhor administrado, gostaria de saber: É > justificada a fama do OpenBSD e com ele se obtem grandes vantagens em > questões de segurança, em relação ao FreeBSD? bem.. uma opinião completamente subjetiva. Se eu conheço melhor um dêles (não importa qual), farei o máximo para que êste seja o mais seguro possível e (possívelmente) o conseguirei. Se eu optar pelo outro, sem êsse expertise, possívelmente não o tornarei mais seguro, terei que confiar nas suas propaladas características, até mesmo sem entendê-las direito. Administro bem o que melhor conheço :) BTW, eu ficaria com o FreeBSD + pf :) pq se pegar um OpenBSD COM CERTEZA vou tomar MAIS UM baile :) --- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853 mulheres são como piscinas: custam caro demais para o tempo que permanecemos dentro delas. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSD para Firewall
-- Original Message --- From: Rodolfo Zappa <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Wed, 05 Jul 2006 20:18:36 -0300 Subject: [FUG-BR] BSD para Firewall > Caros amigos da lista, > > Estou planejando uma solução de firewall robusta. A escolha > óbvia do > S.O. é BSD. Rodolfo, dê uma pesquisa na solução PF + PFSync + CARP, esta seria uma solução de sistema Firewall Failover com o sincronismo das conexões existentes. http://www.openbsd.org/faq/pf/pt/carp.html > Mas gostaria de trocar/colher informações da comunidade. > > Sem levar em consideração o que cada um já sabe, ou está mais > habituado, gostaria de tomar decisões sobre aspectos técnicos apenas. > > Tenho dúvidas entre FreeBSD e OpenBSD, este último ainda não > familiarizado. A despeito do OpenBSD ser considerado mais seguro > que o FreeBSD, com o Free eu tenho contato a mais tempo e se > levar a decisão por aspéctos não técnicos, este último ganha. > > Mesmo já usando o Free em algumas soluções, tenho optado por > utilizar o PF em detrimento do IPFW ou IPFILTER, por achá-lo > mais completo, mais robusto e até mais fácil para criar regras > mais complexas (uso de macros e tables facilita a vida um bocado). > > Fica a pergunta: apesar de particularmente achar que entre os > dois BSD o mais seguro é o melhor administrado, gostaria de > saber: É justificada a fama do OpenBSD e com ele se obtem > grandes vantagens em questões de segurança, em relação ao FreeBSD? > > -- > Cordialmente, > > Rodolfo Zappa > > "Linux é para pessoas que odeiam o Windows. > BSD é para pessoas que amam o UNIX!" - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] BSD para Firewall
Esta também é a minha dúvida, mas reza a lenda que o Open é mais seguro que o Free. Já li diversos artigos comparando os BSD's assim: 1) OpenBSD: para quem tem como prioridade a segurança; 2) FreeBSD: para quem tem como prioridade a performance; 3) NetBSD: para quem tem como prioridade a portabilidade. Por isso a minha questão. Cordialmente, Rodolfo Zappa "Linux é para pessoas que odeiam o Windows. BSD é para pessoas que amam o UNIX!" Samuel Querino da Cruz wrote: > Ola Rodolfo, > > vc me deixou na duvida dizendo que o OpenBSD é mais seguro do que o FreeBSD. > > Por quais rezões o OpenBSD é mais seguro? Em quais serviços ? > > obrigado > samuel > > > Citando Rodolfo Zappa <[EMAIL PROTECTED]>: > > >> Caros amigos da lista, >> >> Estou planejando uma solução de firewall robusta. A escolha óbvia do >> S.O. é BSD. >> >> Mas gostaria de trocar/colher informações da comunidade. >> >> Sem levar em consideração o que cada um já sabe, ou está mais habituado, >> gostaria de tomar decisões sobre aspectos técnicos apenas. >> >> Tenho dúvidas entre FreeBSD e OpenBSD, este último ainda não >> familiarizado. A despeito do OpenBSD ser considerado mais seguro que o >> FreeBSD, com o Free eu tenho contato a mais tempo e se levar a decisão >> por aspéctos não técnicos, este último ganha. >> >> Mesmo já usando o Free em algumas soluções, tenho optado por utilizar o >> PF em detrimento do IPFW ou IPFILTER, por achá-lo mais completo, mais >> robusto e até mais fácil para criar regras mais complexas (uso de macros >> e tables facilita a vida um bocado). >> >> Fica a pergunta: apesar de particularmente achar que entre os dois BSD o >> mais seguro é o melhor administrado, gostaria de saber: É justificada a >> fama do OpenBSD e com ele se obtem grandes vantagens em questões de >> segurança, em relação ao FreeBSD? >> >> -- >> Cordialmente, >> >> Rodolfo Zappa >> >> "Linux é para pessoas que odeiam o Windows. >> BSD é para pessoas que amam o UNIX!" >> >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> > > ___ > Agora todas as suas ligações DDD e DDI com o 21 vêm junto com a conta do seu > telefone de casa ou celular. > Mais comodidade e praticidade para você. Faz um 21 e aproveite! > > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] BSD para Firewall
Caros amigos da lista, Estou planejando uma solução de firewall robusta. A escolha óbvia do S.O. é BSD. Mas gostaria de trocar/colher informações da comunidade. Sem levar em consideração o que cada um já sabe, ou está mais habituado, gostaria de tomar decisões sobre aspectos técnicos apenas. Tenho dúvidas entre FreeBSD e OpenBSD, este último ainda não familiarizado. A despeito do OpenBSD ser considerado mais seguro que o FreeBSD, com o Free eu tenho contato a mais tempo e se levar a decisão por aspéctos não técnicos, este último ganha. Mesmo já usando o Free em algumas soluções, tenho optado por utilizar o PF em detrimento do IPFW ou IPFILTER, por achá-lo mais completo, mais robusto e até mais fácil para criar regras mais complexas (uso de macros e tables facilita a vida um bocado). Fica a pergunta: apesar de particularmente achar que entre os dois BSD o mais seguro é o melhor administrado, gostaria de saber: É justificada a fama do OpenBSD e com ele se obtem grandes vantagens em questões de segurança, em relação ao FreeBSD? -- Cordialmente, Rodolfo Zappa "Linux é para pessoas que odeiam o Windows. BSD é para pessoas que amam o UNIX!" - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd