D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que
ce soit dans le genre. Simplement, je me demande depuis un moment maintenant
quel est le "meilleur" firewall entre Packet Filter (OpenBSD) et Netfilter
(Linux noyau 2.6)
Le soucis c'est que j'ai acheté un WRAP sur PC Engines dernièrement et que
je voudrais y installer un des deux. Puisque niveau matériel le WRAP est
assez léger (processeur à 266Mhz, 128Mo de ram) mais qu'il va surement gérer
pas mal de règles de tte sorte (filtrage, nat, qos/traffic shapping, vpn
ssl/ipsec), je voudrais choisir le firewall qui me conviennent le mieux
selon 3 critères :
- les performances (débits sortants/entrants avec du NAT et/ou du filtrage,
temps de latence, pourcentage de perte de paquets, etc...)
- la sécurité (openbsd est réputé pour son code sécurisé, je me demande donc
si Netfilter a un historique de vulnérabilité ou des implémentations
différentes qui le rendent moins sur... mais si c'est le cas j'aimerais une
"preuve" comme un lien par exemple)
- les "plugins" (je pense par exemple à PFSync, CARP, ALTQ pour PF ou les
modules conn_track_ftp et irc pour Netfilter... mais j'en oublie surement
beaucoup)
Seuls ces 3 critèrs m'importent vraiment. Les différences de syntaxe, de
clarté, de plateforme ou de religion :) ne m'importe pas ! J'ai donc besoin
de votre aide pour faire mon choix ! Un lien, une expérience concrète, une
présentation, n'importe quoi qui pourrait m'aider à choisir sans remord !
Je sais que beaucoup me dirait "choisis celui qui te convient le mieux" mais
sincèrement, encore aujourd'hui je n'arrive pas à faire de choix... Linux
est mieux documenté la plupart du temps (quoi que la FAQ de PF soit géniale)
mais la syntaxe de PF me parait (critère qui n'est pas valable cependant,
voir plus haut) plus clair au niveau de la syntaxe... donc plutot que de
choisir ainsi, je voudrais des comparatifs techniques à la place.
Quelque chose comme : http://www.benzedrine.cx/pf-paper.html mais qui soit à
jour :)
J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de
Linux ici et en postant la meme chose chez les Linuxiens :)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
manu
Akane wrote:
openbsd est réputé pour son code sécurisé
Sans vouloir faire de troll, OpenBSD est réputé pour l'excellent travail de sécurisation qui est fait autour de son code (audit de problèmes récurrent, mesures proactives du genre W^X, separation de privilege et autres).
Maintenant, dire que c'est sécurisé me parrait être un pas spéculatif difficile à franchir. Il suffit de regarder la page des erratas d'OpenBSD pour se convaincre que le code n'est pas sécurisé.
Le code sécurisé écrit par des êtres humains, ca ne court pas les rues.
-- Emmanuel Dreyfus http://hcpnet.free.fr/pubz
Akane <akane@guesswhere.com> wrote:
openbsd est réputé pour son code sécurisé
Sans vouloir faire de troll, OpenBSD est réputé pour l'excellent travail
de sécurisation qui est fait autour de son code (audit de problèmes
récurrent, mesures proactives du genre W^X, separation de privilege et
autres).
Maintenant, dire que c'est sécurisé me parrait être un pas spéculatif
difficile à franchir. Il suffit de regarder la page des erratas
d'OpenBSD pour se convaincre que le code n'est pas sécurisé.
Le code sécurisé écrit par des êtres humains, ca ne court pas les rues.
Sans vouloir faire de troll, OpenBSD est réputé pour l'excellent travail de sécurisation qui est fait autour de son code (audit de problèmes récurrent, mesures proactives du genre W^X, separation de privilege et autres).
Maintenant, dire que c'est sécurisé me parrait être un pas spéculatif difficile à franchir. Il suffit de regarder la page des erratas d'OpenBSD pour se convaincre que le code n'est pas sécurisé.
Le code sécurisé écrit par des êtres humains, ca ne court pas les rues.
-- Emmanuel Dreyfus http://hcpnet.free.fr/pubz
Stephane Catteau
Akane devait dire quelque chose comme ceci :
D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que ce soit dans le genre.
On va dire que c'est donc juste de la maladresse...
[...] je voudrais choisir le firewall qui me conviennent le mieux selon 3 critères : - les performances [...] - la sécurité [...] - les "plugins" [...]
La souplesse de configuration et les capacités de filtrage ne t'intéressent pas ? :-/
[...] mais la syntaxe de PF me parait (critère qui n'est pas valable cependant, voir plus haut) plus clair au niveau de la syntaxe... [...]
Au contraire, c'est un critère de premier ordre. Une syntaxe que tu comprends (i.e trouve plus clair) est le gage de règles qui correspondent exactement à ce que tu souhaites, là où une syntaxe plus complexe/obscure peut t'ammener à laisser de grands trous ouverts par inadvertance.
donc plutot que de choisir ainsi, je voudrais des comparatifs techniques à la place.
Aucun comparatif ne t'aidera, sauf s'il est fait exactement dans les conditions que tu vas rencontrer. Un filtre IP peut, par exemple, être plus rapide que tous les autres à faible charge, et s'effondrer à forte charge, ou plus rapide avec peu de règle et extrèmement lent lorsqu'il doit en gérer un paquet. De même que les performances peuvent aussi dépendre de la machine sur laquel il tourne. Un filtre IP optimisé pour un dual processor peut s'effondrer s'il n'y en a qu'un sur la machine. Bref, c'est extremement subjectif.
J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de Linux ici et en postant la meme chose chez les Linuxiens :)
Franchement, si, parce que ta question aurait dû être posée sur fr.comp.securite.
Cela étant dit, en dehors de toute préférence personnelle, entre netfilter et PacketFilter, ce dernier l'emporte forcément. C'est le plus récent des deux (et même le plus récent tout court). Il bénéficie donc du retour d'expérience de tous ces prédécesseurs, de toutes les idées nouvelles et, surtout, il a été développée d'entré pour tenir compte de tout cela. Sur le plan de ces capacités nouvelles, il sera donc toujours un poil plus performant et plus robuste que ces prédécesseurs, qui eux ont dû adapter le code pour intégrer ces nouveautées.
Merci d'avance,
De rien.
Akane devait dire quelque chose comme ceci :
D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que
ce soit dans le genre.
On va dire que c'est donc juste de la maladresse...
[...] je voudrais choisir le firewall qui me conviennent le mieux
selon 3 critères :
- les performances [...]
- la sécurité [...]
- les "plugins" [...]
La souplesse de configuration et les capacités de filtrage ne
t'intéressent pas ? :-/
[...] mais la syntaxe de PF me parait (critère qui n'est pas valable
cependant, voir plus haut) plus clair au niveau de la syntaxe... [...]
Au contraire, c'est un critère de premier ordre. Une syntaxe que tu
comprends (i.e trouve plus clair) est le gage de règles qui
correspondent exactement à ce que tu souhaites, là où une syntaxe plus
complexe/obscure peut t'ammener à laisser de grands trous ouverts par
inadvertance.
donc plutot que de
choisir ainsi, je voudrais des comparatifs techniques à la place.
Aucun comparatif ne t'aidera, sauf s'il est fait exactement dans les
conditions que tu vas rencontrer. Un filtre IP peut, par exemple, être
plus rapide que tous les autres à faible charge, et s'effondrer à forte
charge, ou plus rapide avec peu de règle et extrèmement lent lorsqu'il
doit en gérer un paquet. De même que les performances peuvent aussi
dépendre de la machine sur laquel il tourne. Un filtre IP optimisé pour
un dual processor peut s'effondrer s'il n'y en a qu'un sur la machine.
Bref, c'est extremement subjectif.
J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de
Linux ici et en postant la meme chose chez les Linuxiens :)
Franchement, si, parce que ta question aurait dû être posée sur
fr.comp.securite.
Cela étant dit, en dehors de toute préférence personnelle, entre
netfilter et PacketFilter, ce dernier l'emporte forcément. C'est le
plus récent des deux (et même le plus récent tout court). Il bénéficie
donc du retour d'expérience de tous ces prédécesseurs, de toutes les
idées nouvelles et, surtout, il a été développée d'entré pour tenir
compte de tout cela. Sur le plan de ces capacités nouvelles, il sera
donc toujours un poil plus performant et plus robuste que ces
prédécesseurs, qui eux ont dû adapter le code pour intégrer ces
nouveautées.
D'abord je voudrais dire que je ne veux pas commencer un troll ou quoi que ce soit dans le genre.
On va dire que c'est donc juste de la maladresse...
[...] je voudrais choisir le firewall qui me conviennent le mieux selon 3 critères : - les performances [...] - la sécurité [...] - les "plugins" [...]
La souplesse de configuration et les capacités de filtrage ne t'intéressent pas ? :-/
[...] mais la syntaxe de PF me parait (critère qui n'est pas valable cependant, voir plus haut) plus clair au niveau de la syntaxe... [...]
Au contraire, c'est un critère de premier ordre. Une syntaxe que tu comprends (i.e trouve plus clair) est le gage de règles qui correspondent exactement à ce que tu souhaites, là où une syntaxe plus complexe/obscure peut t'ammener à laisser de grands trous ouverts par inadvertance.
donc plutot que de choisir ainsi, je voudrais des comparatifs techniques à la place.
Aucun comparatif ne t'aidera, sauf s'il est fait exactement dans les conditions que tu vas rencontrer. Un filtre IP peut, par exemple, être plus rapide que tous les autres à faible charge, et s'effondrer à forte charge, ou plus rapide avec peu de règle et extrèmement lent lorsqu'il doit en gérer un paquet. De même que les performances peuvent aussi dépendre de la machine sur laquel il tourne. Un filtre IP optimisé pour un dual processor peut s'effondrer s'il n'y en a qu'un sur la machine. Bref, c'est extremement subjectif.
J'espère que vous m'aiderez et que je ne viole pas la chartre en parlant de Linux ici et en postant la meme chose chez les Linuxiens :)
Franchement, si, parce que ta question aurait dû être posée sur fr.comp.securite.
Cela étant dit, en dehors de toute préférence personnelle, entre netfilter et PacketFilter, ce dernier l'emporte forcément. C'est le plus récent des deux (et même le plus récent tout court). Il bénéficie donc du retour d'expérience de tous ces prédécesseurs, de toutes les idées nouvelles et, surtout, il a été développée d'entré pour tenir compte de tout cela. Sur le plan de ces capacités nouvelles, il sera donc toujours un poil plus performant et plus robuste que ces prédécesseurs, qui eux ont dû adapter le code pour intégrer ces nouveautées.
