Opinioni su pfsense

wiz4rd

Ciao a utti,

uso pfsense da diversi mesi e ho alcune osservazioni da fare che magari voi mi smentirete  :P

1. Un firewall a mio avviso non dovrebbe avere il menu' accessibile a tutti, intendo non quello via web ma direttamente quello con i 12 in console.

2. l'altro aspetto è che questo  firewall è packet filter non statefull inspection, per questo stavo decidendo di migrare a endian..anche se non ha tutte le feature di pfsense come il bilanciamento su doppia wan.

Saluti e fatemi sapere cosa ne pensate  ;D

takeru

Scusa cosa intendi con il "CON I 12 IN CONSOLE".

Ciao

wiz4rd

@takeru:

Scusa cosa intendi con il "CON I 12 IN CONSOLE".

Ciao

Intendo i menu che ti appaiono a video con le 12 scelte come ad esempio: reboot, shell, top…etc (sono andato a memoria).
A mio avviso un menu del genere dovrebbe essere accessibile solo previa autenticazione, invece così è accessibile a qualsiasi persona anche senza aver le autorizzazioni necessarie, basta infatti che il server con pfsense abbia il monitor e una tastiera e senza password puoi riavviarlo..sinceramente da un fw mi aspetto l'auntenticazione prima di fare certe manovre.

Fammi sapere se sono stato chiaro :P

fede.vr73

per correggere questo behaviour è sufficente editare il file /etc/ttys e  modificare la linea :

ttyd0 "/usr/libexec/getty std.9600" unknown off secure

in

ttyd0 "/usr/libexec/getty std.9600" vt100 on secure

per abilitare l'autenticazione sulla console seriale; correggi di conseguenza il "secure" a fine linea anche per le console a video per abilitare l'autentica anche su quelle…..
Just my 2 cents
F

satu

@wiz4rd:

Ciao a utti,

uso pfsense da diversi mesi e ho alcune osservazioni da fare che magari voi mi smentirete  :P

1. Un firewall a mio avviso non dovrebbe avere il menu' accessibile a tutti, intendo non quello via web ma direttamente quello con i 12 in console.

2. l'altro aspetto è che questo  firewall è packet filter non statefull inspection, per questo stavo decidendo di migrare a endian..anche se non ha tutte le feature di pfsense come il bilanciamento su doppia wan.

Saluti e fatemi sapere cosa ne pensate  ;D

1. La console è disabilitabile da system -> advanced -> disable console access

2. Questo firewall è stateful inspection, a meno che tu non stia intendendo qualcos'altro (se sì, spiegati un po' meglio)

Saluti,
d

wiz4rd

Grazie prima di tutto per le vostre risposte,

Per quanto riguarda la console accessibile a tutti ovviamente editando i file  o giustamente come mi si fa osservare andando nel menu advanced la si può disabilitare…, la mia sola osservazione è che di default è accessibile a tutti.

Per quanto riguarda lo stateful inspection da quanto ho appreso dal sito e riporto "pfSense is a open source firewall derived from the m0n0wall operating system platform with radically different goals such as using OpenBSD's ported Packet Filter "

Utilizzerà quindi il pf di OpenBSD da qui il nome pfsense suppongo.

Viene riportato  il termine "packet filtering"  quindi layer 3, io  intendo come stateful inspection il firewall che matiene le sessioni in modo da verificare che il pacchetto di ritorno abbia già una sessione attiva dentro le sue tabelle di stato , parte da layer 3 fino a layer 7 nell'inspection dei pacchetti un pò come fa Checkpoint FW-1, magari in questo caso il layer7 lo ottieni con il proxy..

Forse con packet filter almeno in questo caso viene inteso proprio ciò che ho detto, ma nella classificazione dei firewall più in generale ho sempre appreso che le macro categorie sono packet filter, proxy,  stateful inspection.

Grazie e spero questa volta di essere stato un pochino più chiaro  :)

wiz4rd

Scusatemi aggiungo solo quanto trovato or ora

http://it.wikipedia.org/wiki/Firewall con la classificazione delle tipologie  :)

satu

@wiz4rd:

Grazie prima di tutto per le vostre risposte,

Per quanto riguarda la console accessibile a tutti ovviamente editando i file  o giustamente come mi si fa osservare andando nel menu advanced la si può disabilitare…, la mia sola osservazione è che di default è accessibile a tutti.

Per quanto riguarda lo stateful inspection da quanto ho appreso dal sito e riporto "pfSense is a open source firewall derived from the m0n0wall operating system platform with radically different goals such as using OpenBSD's ported Packet Filter "

Utilizzerà quindi il pf di OpenBSD da qui il nome pfsense suppongo.

Viene riportato  il termine "packet filtering"  quindi layer 3, io  intendo come stateful inspection il firewall che matiene le sessioni in modo da verificare che il pacchetto di ritorno abbia già una sessione attiva dentro le sue tabelle di stato , parte da layer 3 fino a layer 7 nell'inspection dei pacchetti un pò come fa Checkpoint FW-1, magari in questo caso il layer7 lo ottieni con il proxy..

Forse con packet filter almeno in questo caso viene inteso proprio ciò che ho detto, ma nella classificazione dei firewall più in generale ho sempre appreso che le macro categorie sono packet filter, proxy,  stateful inspection.

Grazie e spero questa volta di essere stato un pochino più chiaro  :)

Per stateful inspection si intende, come scritto anche sull'articolo che hai incollato, il controllo della sessione a layer 3 basandosi sullo stato della connessione. Il controllo a layer 7 (che pf/pfSense non fanno) non e basato (solo) sullo stato bensi sul contenuto della connessione e altri fattori che variano a seconda dell'applicazione da filtrare.

Per concludere: pf e un firewall stateful oltre che un normale filtro pacchetti, e pfSense sfrutta tantissimo la statefulness di pf. Altrimenti non sarebbero possibili ne il semplice NAT ne il failover fra piu interfacce. Se non ricordo male e` anche possibile vedere le tabelle delle sessioni/connessioni attive prese direttamente da pf che ne mantiene appunto gli stati.

La console di default e abilitata perche in molte realta e il primo strumento per fare la configurazione di base del sistema e offre un accesso immediato, sta all'utente avere la cura di disabilitarla o abilitare l'accesso con password se la macchina e` accessibile da estranei.

wiz4rd

Per stateful inspection si intende, come scritto anche sull'articolo che hai incollato, il controllo della sessione a layer 3 basandosi sullo stato della connessione. Il controllo a layer 7 (che pf/pfSense non fanno) non e basato (solo) sullo stato bensi sul contenuto della connessione e altri fattori che variano a seconda dell'applicazione da filtrare.

Per concludere: pf e un firewall stateful oltre che un normale filtro pacchetti, e pfSense sfrutta tantissimo la statefulness di pf. Altrimenti non sarebbero possibili ne il semplice NAT ne il failover fra piu interfacce. Se non ricordo male e` anche possibile vedere le tabelle delle sessioni/connessioni attive prese direttamente da pf che ne mantiene appunto gli stati.

La console di default e abilitata perche in molte realta e il primo strumento per fare la configurazione di base del sistema e offre un accesso immediato, sta all'utente avere la cura di disabilitarla o abilitare l'accesso con password se la macchina e` accessibile da estranei.

Non sono d'accordo con il classificare il termine stateful inspection legato solamente a layer 3 penso sia questo il problema delle nostre vedute.

Ti riporto un link ulteriore della Checkpoint che poi non è altro che la società che per prima inventò questo metodo di inspection dei pacchetti.

"With Stateful Inspection, packets are intercepted at the network layer for best
performance (as in packet fi lters), but then data derived from all communication
layers is accessed and analyzed for improved security (compared to layers 4–7
in application-layer gateways)"

Per questo non mi ritrovo nelle tue osservazioni

http://www.checkpoint.com/products/downloads/Stateful_Inspection.pdf

Per il discorso console posso solo che prenderne atto.

Ti ringrazio per la disponibilità e pazienza nel rispondermi

satu

@wiz4rd:

Per stateful inspection si intende, come scritto anche sull'articolo che hai incollato, il controllo della sessione a layer 3 basandosi sullo stato della connessione. Il controllo a layer 7 (che pf/pfSense non fanno) non e basato (solo) sullo stato bensi sul contenuto della connessione e altri fattori che variano a seconda dell'applicazione da filtrare.

Per concludere: pf e un firewall stateful oltre che un normale filtro pacchetti, e pfSense sfrutta tantissimo la statefulness di pf. Altrimenti non sarebbero possibili ne il semplice NAT ne il failover fra piu interfacce. Se non ricordo male e` anche possibile vedere le tabelle delle sessioni/connessioni attive prese direttamente da pf che ne mantiene appunto gli stati.

La console di default e abilitata perche in molte realta e il primo strumento per fare la configurazione di base del sistema e offre un accesso immediato, sta all'utente avere la cura di disabilitarla o abilitare l'accesso con password se la macchina e` accessibile da estranei.

Non sono d'accordo con il classificare il termine stateful inspection legato solamente a layer 3 penso sia questo il problema delle nostre vedute.

Dalla mia esperienza, e leggendo l'articolo inglese di wikipedia http://en.wikipedia.org/wiki/Firewall_%28networking%29, il firewall stateful e quello che puo controllare il traffico anche in base a tabelle di stato apposite. PF e un firewall stateful. [http://en.wikipedia.org/wiki/Stateful_firewall](http://en.wikipedia.org/wiki/Stateful_firewall) La stateful inspection e comunque alla base degli application-layer firewall, in quanto per fare considerazioni sul traffico di rete relativo ad una connessione devi per forza tener traccia delle connessioni stesse, motivo per il quale credo che la documentazione checkpoint estenda questo concetto. Continuo comunque a ritenere il termine stateful legato solo al layer 3.

In ogni caso il filtro a layer 7 e` ancora una cosa non vicina in pfSense, purtroppo esistono ancora poche soluzioni efficienti e realmente utilizzabili, almeno nel mondo BSD.

Ciao