[FUG-BR] BSD para Firewall

[Ronan Lucio]

Rodolfo,

Tem uma outra coisa que eu havia esquecido de citar:

Essa histório (veridica) de que o OpenBSD é mais seguro
do que o FreeBSD já é um pouco antiga.

Então, se analisarmos o FreeBSD a alguns anos atrás:

- O inetd era instalado por padrão, e com isso telnet e seus amiguinhos;
- Sendmail era instalado por padrão;
- Firewall existia praticamente só o IPFW como opção;
- Bind vinha sem chroot.

Atualmente:

- O inetd vem desabilitado por padrão, sendo assim, por padrão o
    seu servidor não estará escopo em casos de novas vulnerabilidades
    em um desses serviços;
- Para servidor de e-mail, por padrão tem-se a opção de instalar
    o Postfix, que é muito mais seguro e tem muito menso bugs do que
    o Sendmail;
- Para Firewall você tem a opção do PF, que é o mesmo utilizado
    no Open, sem contar que você ainda pode reforçar a segurança
    com IPFW e IPFILTER;
- Bind é instalado em chroot por padrão.

Não estou querendo dizer que o Open não seja mais seguro do que
o Free. Sinceramente, acredito que ele realmente seja, afinal, todo
o desenvolvimento do Open tem esse objetivo.

O que eu quero dizer é que a segurança no FreeBSD vem evoluindo
consideravelmente nos últimos tempos, e que atualmente, o ganho
em segurança do Open para Free já não deve ser tão representativo
como antes.

Uma coisa que eu te sugiro é instalar o FreeBSD agora, que você
ja tem experiência e poderá fazer um trabalho de segurança bem
maior.
Paralelamente você instala o OpenBSD em uma outra máquina e
vai estudando. Se achar que vale a pena... vá em frente. Caso
contrário continua tudo funcionando "bunitinho".

Agora, deixa eu fazer uma pergunta para quem tem mais experiência
com Open:
Além do route to do PF, o Open tem algum esquema de gateways
alternativos com métricas?

Se tiver, isso talvez faça a diferença. É uma coisa que eu sinto falta
no FreeBSD.

[]s
Ronan