Optimales OS für die Firewall.

Rund um die Sicherheit des Systems und die Applikationen
User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Optimales OS für die Firewall.

Post by Joe User » 2009-02-28 15:24

Für eine reine Firewall würde ich ein BSD verwenden, vorzugsweise OpenBSD oder FreeBSD...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
rudelgurke
Posts: 405
Joined: 2008-03-12 05:36

Re: Optimales OS für die Firewall.

Post by rudelgurke » 2009-02-28 15:30

Für die Firewall OpenBSD. Wenn ich mich recht erinnere existiert da für ALIX Mini-Boards schon einige Docu zum Aufbau und Betrieb.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Optimales OS für die Firewall.

Post by Roger Wilco » 2009-02-28 16:20

Ehrlichgesagt glaube ich, dass es egal ist, ob du ein Linux, Free- oder OpenBSD für die Firewall benutzt. Nimm das System, mit dem du dich am wohlsten fühlst. Im Endeffekt musst du dann damit langfristig arbeiten.

Ein Pluspunkt für Free- und OpenBSD wäre für mich lediglich die Verfügbarkeit von pf. Das finde ich schicker, als Netfilter/iptables.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Optimales OS für die Firewall.

Post by daemotron » 2009-02-28 23:53

Bei einer Firewall würde ich auch OpenBSD nehmen (da nur Software aus dem Basis-System benötigt wird, kann einem in dem Fall die fragwürdige Sicherheitspolitik im Hinblick auf die Pflege von Packages egal sein).

Begründung:
  • OpenBSD hat pf, und hat anders als FreeBSD auch den Lead bei der pf-Entwicklung. pf ist ein sehr mächtiges Werkzeug, und gemeinsam mit ALTQ (Alternative Queue Manager, Traffic Shaping) schlägt es netfilter/iptables gerade beim Traffic Shaping um Längen (IMHO aber auch bei komplexen Filter-Regeln, beim Umgang mit wechselnden Frame-Größen und bei den Möglichkeiten, automatisch auf bestimmte Dinge zu reagieren).
  • pf ist in der Lage, über pfsync die Regelsätze über mehrere Boxen zu synchronisieren (nützlich z. B. bei Fail-Over-Lösungen). Einmal eingerichtet, braucht man die Regeln nur noch auf einer Box zu pflegen, die andere(n) bleiben automatisch auf Stand
  • Die neueste pf-Version (leider noch nicht in FreeBSD) beherrscht zeitgesteuertes Setzen und Löschen von Tabelleneinträgen, ohne dafür externe Tools zu bemühen.
  • Über pf hinaus sind im Basis-System von OpenBSD weitere interessante Tools integriert, die eine Firewall aufwerten können, wie z. B. spamd.
  • Der Code des Basis-Systems (incl. pf) wird regelmäßig auditiert; Sicherheit und Zuverlässigkeit geht vor Featuritis (auf dem Desktop eine Schwäche, aber bei einer Firewall bin ich konservativ).
  • Der Netzwerk-Stack generell aller BSD-Derivate ist etwas performanter als der von Linux (seit 2.6 sind die Unterschiede IMHO allerdings nicht mehr so gravierend)
  • OpenBSD hat kaum Kernel-Automagie (nix udevd oder so...) und läuft deshalb auch auf alter (PII, PIII) oder abgespeckter Hardware (Alix, Soekris) völlig problemlos (dafür taugt es nicht als DB-Server auf fetten SMP-Kisten...)