OpenWRT vs pfSense vs IpCop

Security-all

Biztonság, szolgáltatások, teljesítmény oldaláról mi a különbség
OpenWRT,
pfSense,
IpCop,
Astaro,
ClearOS,
Untangle,
Smoothwall,
tűzfal rendszerek között?
OpenWRT igen sok routert támogat de PC változata is van. pfSense-ből és IpCop-ból csak PC változat van ha jól látom a dokumentációkban. Van valamilyen előnye annak ha PC-t használok tűzfalnak, vagy bőven elég egy jó router is?

  • 14414 megtekintés

( Ritter | 2013. 10. 31., cs – 22:09 )

Van ma még valamilyen előnye egy PC-re épülő tűzfalnak egy új 128+MB ramos routerrel szemben?

( secretx v | 2013. 10. 31., cs – 22:25 )

Két fontos dolgot kihagytál úgy érzem, a terhelést és az igényeket.
Mennyi kapcsolatod van, azok milyen típusúak...
Nem mindegy, hogy 3 embernek nat-olsz, vagy 5000 embernek csinálsz tartalomszűrő proxyt...
Biztosan mindegyikkel meg lehet oldani papíron, gyakorlatban nem ez lesz a helyzet...
Kezdve azzal, hogy a dansguardian 1024-6 kapcsolatot tud ellátni / instance, egészen odáig hogy brutál terhelés mellett egyéb tuningok szükségesek lehetnek akár tcp szinten...
Írd le a konkrét esetet, és lehet konkrét választ adni :)

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Én úgy érzem (most jöhet a köpködés...), hogy ilyen minimál igényekre felhúzol egy jól ismert és általad vélt megbízható disztrót, felpakolod ami szükséges, és öröm, boldogság, ha érzed az erőt, akkor még frissíted is.
A durva külső backup például át van gondolva, csak különbözeti mentés, vagy fullbackup?
Biztonság szempontjából én jobban megbízok egy általam összerakott szűz rendszerben, mint mással, lásd pl: http://www.mailchannels.com/blog/2009/07/amazing-new-exploit-for-linksy…

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

( elod v | 2013. 11. 01., p – 07:00 )

Előnye csak abban az esetben lehet ha proxy-kat illetve IDS/IPS funkciót is akarsz. Itt érdemes megfontolni a Linuxot, vagy, amennyiben pénzügyileg megbírja a cég, talán egy Cisco ASA-t.

Egyébként egy okosabb router elég, kár Linuxos szerverrel kínozni magad. Mikrotik vagy egyéb fejlettebb router elég lesz.

Csak egy Ubuntun nem kell folyamatosan a security levelezési listákat olvasnom ahhoz, hogy tudjam kell-e frissíteni. Csak rendszeresen lemegy az apt-get update && apt-get dist-upgrade. Ipcop-on szintén van frissítés, pfSense-t nem ismerem még, gondolom ott is van upgrade.
OpenWRT-n van ilyesmi?

Come on...

Egyáltalán hol láttad hogy én az OpenWRT-t ajánlottam erre? Elmeséltem szépen, hogy ha kell proxy, ids/ips és egyéb scifi akkor készítessz Linux appliance-ot, vagy befizetsz egy Cisco ASA-ra. Ha nincs keret, odavágsz egy Mikrotiket.

Triviális egyébként, a használt szoftvereknek illik feliratkozni az announce levelezőlistájára. Így nem talál letolt gatyával egy esetleges remote exploit...

( Seaweed | 2013. 11. 01., p – 19:31 )

Épp nem régen estem át egy átfogó hasonló* kritériumokat felvonultató teszten. A végeredmény:

-IPfire
-Endian (comm. ed.)(2.5.2: content filter bugos)
-Pfsense
-Sophos (de csak "home use" az ingyenes)

ezeket tudom ajánlani.

*.: kritériumok voltak: teljes funkcionalitás ingyen, openvpn, content filter, dmz-ben szerver, vmware esxi-n valamilyen módon (vmwaretools vagy openvmtools) rendben menjen, nem tolja lépten nyomom az arcomba hogy megvehető verzió is létezik! (untangle,clearos stb)

pfsense fórumán írták hogy nem annyira célszerű virtualizálni a tűzfalat, mert a virtualizációban megoldott hálózatkezelés sérülékeny lehet, és ezt kihasználva csúnyán járhatunk:)

ez mennyire valós veszély, érdemes foglalkozni vele?

szívem szerint én is bevágnám egy virtuális gépbe dedikált háló karival, ráadásul ott még a redundancia, és a rendelkezésre állás is jobb

tudnál írni pro/kontrát a négy distroról? melyiket választottad? (én pfsenset használok jelenleg)

Igen én is olvastam már erről. (bár szerintem elég jó cáfolat hogy sok helyen eleve lehet venni virtual appliance-ot az adott tűzfalból)

Végeredményében a content filter körül forgott a dolog, Endian EFW teljesen jó, de egyik nap beállított content filter ami ment, szépen blokkolta pl fészbukot, adott napi munka végen teszt lekapcsol, reggel vissza, teszt folytatódna és meglepődve konstatáltam hogy transzparens proxy mindent blokkol, nem csak azt ami feketelistás.(volt utána új 3.0 beta teszt is de az alig működik!) Ettől függetlenül ha nem kell content filter akkor tökéletes megoldás lehet pl ilyen felállásban: WAN,LAN,DMZ,VPN (hegeszthető alá vm tools)

Utána került sorra IPfire és mivel sok közös hozományuk van (IPcopól), így sok minden "ugyan olyan" vagy hasonló mint Endianban. De ebben viszont minden megy, és alapból telepíthető az open-vm-tools.

Pfsense BSD szal vmtools kicsit macerásabb. Végül is ebben is megy minden de kritérium volt hogy ha olyan személynek kell mondjuk egy vpn usert felvenni aki, khhm hogy is mondjam nem olyan kvalitásokkal rendelkezik, ne legyen "rémisztő" és "pilótavizsgás" kinézetű akkor nem pfsense kell nekik :) Amúgy teljesen jó a pfsense :)

Sophos: csili-villi, szív-szo...khhmm ;) szal mindent tud, de ingyen csak: "max 50 user, only home use"..viszont ha meg tudja egy cég fizetni akkor mind hw appilance mind virtual appilance jó választás lehet. (menet közben egy nagy ipari cég ahol használják is alátámasztotta ezt: meg vannak vele elégedve!(virtual app. használnak!))

( uid_7086 | 2013. 11. 02., szo – 15:38 )

Otthonra elmegy, de céges háló elé nem tennék openwrt-t.
Valahogy nem bízom benne. Lehet, hogy csak a LuCi-val bánnak mostohán a fejlesztők, de a moduljai helyenként elég bugosak.
Viszont ettől kezdve a többi alkatrészében sem bízom meg 100%-ig.

Zentyal szándékosan maradt ki?

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

Az a helyzet, hogy amit ott vázoltál, annak kismillió egyéb oka lehet. Ennyire durva hibát nem nagyon szoktak egy viszonylag elterjedt rendszerben benne hagyni.
De nem akarlak rábeszélni, nem ismerem, csak egyszer kipróbáltam és nem tűnt rossznak.

Aki tudja, csinálja, aki nem tudja, tanítja... Hm... igazgatónak talán még jó lennék. :)

( herdsman | 2013. 11. 03., v – 18:03 )

+1 pfSense

Régi p3-as szerverre telepítettem a 2.0-t majd frissítettem 2.1-re, kisvállalati környezetben.
Stabilan, minimális terheléssel, minimális ram fogyasztással ment sokáig, nem fagyott, 3 telephelyet kötöttem össze vele.Amit nem tudott, arra voltak jól kidolgozott pluginek.
Csak jókat tudok mondani róla. IpCop nem győzött meg(openvpn hiányosságok, stb), ClearOS gépigénye magasabb, többit is kipróbáltam, de valami miatt a pfSense maradt.

Amennyire tudom, "szakértő" utódaim is megtartották, a mai napig működik... én valami 450+ nap uptime után adtam át.

A Halon VSR nem csak limitált képességekkel rendelkezik a support megvétele nélkül?

A Vyatta Community Edition meg sajnos halott mióta a Brocade megvette, pedig nagyon használható cucc. Valami új communtity kezdeményezés van VyOS néven a 6.6 forkjaként, de nem nagyon nyüzsögnek egyelőre.