[FUG-BR] Iniciando no FreeBSD - PF
Klaus Schneider
klausps em gmail.com
Sexta Fevereiro 15 15:44:55 BRST 2008
Voltando ao tópico:
O nosso amigo aí também pode utilizar o snort sem o divert. O snort tem a
funcionalidade também de enviar tcp reset, mas para isso tu deves fazer uma
regra com o ipfw, criando um pipe e colocando um dalay de 10ms(no mínimo)
nesse pipe, senão tu corre o risco do snort enviar o RST e ele pode não
funcionar, pois o sequence number do tcp já mudou e o pacote é simplismente
descartado em ambos os lados da conexão. Acredite em mim, isso funciona =)
A desvantagem de se usar o snort sem o divert(inline) é o custo de
processamento, já que o snort vai processar tudo que passa, com o inline tu
pode ser seletivo, passando apenas o que tu queres pelo snort.
Em 15/02/08, Pablo Sánchez <phackwer em gmail.com> escreveu:
>
> OpenBSD tem melhor segurança que o FreeBSD por padrão, digo,
> out-of-the-box,
> passou 8 anos sem ter nenhum buraco de segurança encontrado na sua
> instalação padrão (que inclui o pf). Porém, seu gerenciamento de memória e
> processos é lento (não confundir com pobre que seria ruim), por ter muitas
> e
> diversas checagens de segurança no controle dos processos. Execute um
> comando com 10.000 ifs antes, e o comando fica lento, mesmo que fosse
> apenas
> um ls. As ferramentas nativas dele são mais parrudas para segurança que em
> outros BSDs, elas só não são muito amigáveis para o usuário, mas são muito
> boas
>
> Já o FreeBSD é muito mais parrudo no que refere à gerenciamento de
> processos
> e memória, além de ter um excelente gerenciamento tcp/ip fazendo uma
> espécie
> de caching e reaproveitamento de recursos para aumento de performance,
> sendo
> excelente para servidores.
>
> Enfim, o OpenBSD tem maior foco em segurança (openssl surgiu nele, pf
> surgiu
> nele, e por aí vai), e o FreeBSD tem excelente performance para
> servidores.
>
> Cada um tem seu nicho, e seu foco, e é por isso que eu usaria mais de um
> OS
> na rede. Ou vai me dizer que você colocou FreeBSD para o desktop de todos
> os
> usuários da sua rede? Provavelmente não, o que ilustra a questão de nicho
> de
> mercado. Open para segurança, Free para servidores, Windows para desktops.
> (quem quiser, pode colocar Linux aí tb, mas não é o meu estilo, quem me
> conhece sabe disso).
>
> Em 15/02/08, Cristina Fernandes Silva <cristinafs.listas em gmail.com>
> escreveu:
>
> >
> > Pablo,
> >
> > só não vejo necessidade em ter dos BSD distintos numa rede. FreeBSD e
> > OpenBSD está no mesmo nível de segurança. Ter mais de um BSD é querer
> > complicar demais.. Quais são os fatores que levaria vc colocar o
> > OpenBSD ao invés do FreeBSD ?
> >
> >
> > Em 15/02/08, Pablo Sánchez<phackwer em gmail.com> escreveu:
> >
> > > Sim, mas o pf tem alguns "plugins" - softwares externos - que atuam
> > > juntamente com ele de forma bastante interessante, que são os dois
> que
> > citei
> > > no começo, o pfauth (as regras são por usuário, e não por máquina, ou
> > seja,
> > > o usuário pode ir onde for da rede, ao entrar com seu login, as
> regras
> > são
> > > aplicadas àquele IP), e o pfsync para criação de clusters, que
> > juntamente
> > > com o altq ajudam a providenciar um excelente balanceamento de carga.
> > >
> > > Eu, pessoalmente, se fosse montar uma rede, colocaria um OpenBSD para
> > isso
> > > no perímetro, e nos servers o FreeBSD, com desktops em Windows mesmo
> > (para
> > > que forçar o usuário com o mega "amigável" Linux?). Se muito, se
> fosse
> > > realmente obrigatório usar linux no desk, aí seria pelo menos um Dual
> > OS,
> > > produção nacional de excelente qualidade pelas poucas 8hs que deixei
> > > instalado no meu note (eu realmente queria colocar o Free, por isso
> > tirei,
> > > mas não é que o bichim rodou várias aplicações windows sem nem sentir
> > que
> > > não era windows?).
> > >
> > > Para fazer redirecionamento com o pf:
> > > http://www.openbsd.org/faq/pf/rdr.html#tcpproxy
> > >
> > > Em 15/02/08, Klaus Schneider <klausps em gmail.com> escreveu:
> > >
> > > >
> > > > O FreeBSD tem o ipfw, pf e ipfilter. Nenhum deles tem arquitetura
> > modular,
> > > > que é o caso do iptables(que permite a inserção de modulos externos
> > para
> > > > filtros L7). No entanto, tu pode usar o divert socket do ipfw para
> > jogar o
> > > > tráfego para uma aplicação externa(escrita por ti mesmo ou usar o
> > > > snort_inline).
> > > >
> > > >
> > > >
> > > > Em 15/02/08, Douglas Santos <dsantos em hydroxyl.org> escreveu:
> > > >
> > > > >
> > > > > On Feb 15, 2008, at 11:26 AM, Pablo Sánchez wrote:
> > > > > > O próprio nome já diz: pf = packet filter. Ele é só firewall de
> > > > > > pacotes, não
> > > > > > é firewall de aplicação. :-P Mas você pode aliar ele a outras
> > > > > > soluções para
> > > > > > isso. Na verdade, se bem me lembro, nenhum fw livre é fw de
> > > > > > aplicação...
> > > > >
> > > > >
> > > > > Para Linux tem o L7-filter, quem usa diz que fuciona...
> > > > > http://l7-filter.sourceforge.net/
> > > > >
> > > > > Tinha um patch para o netgraph (ng_tag) porem não sei o status
> > disso.
> > > > >
> > > > > Alguém, se não me engano do PFsense, estava escrevendo alguma
> > > > > coisa para o PF.
> > > > >
> > > > > Na falta de um L7, você pode usar o snort ou algo similar.
> > > > >
> > > > >
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > >
> > > >
> > > >
> > > >
> > > > --
> > > > /*
> > > > * Klaus Schneider
> > > > */
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
/*
* Klaus Schneider
*/
Mais detalhes sobre a lista de discussão freebsd