Newsgroups: sfnet.atk.turvallisuus
Subject: Re: Saako Linux-kernelill� katu-uskottavan palomuurin?
References: <[email protected]>
Timo Rantalaiho  writes:

> Onkohan ipchainsilla (tai iptablesilla) joitakin
> menestystarinoita tai muita perusteita v{itt{{ niit{
> luotettavaksi kaupallisiin palomuuriohjelmistoihin
> verrattuna?

Eip� ole mit��n isoti toitotettuja menestystarinoita, kun 
mink��n firman taloudellisissa eduissa ei ole ollut suureen
��neen toitettottaa noista kun eiv�t ole keksineet miten tuosta
voisi hyvin tehokkasti repi� rahaa (paremmin kuin kaupallisia
kauppaamalla). Sen verran menestystaroina, ett� nuo 
ipchains/iptables on vakio-ominaisuuksia mit� ihmiset k�ytt�v�t
kun pist�v�t Linux-koneen kiinni julkiseen verkkoon pit�m�ss�
turhat sotkijat oman verkon ulkopuolella. On k�yt�ss� niin
ties kuinka monen osaavan ihmisen omassa kotiserveriss� ja 
monessa firmassa.

Nuo Linuxin palomuuriominaisuudet on hyvin kiinte�sti koodattu
Linux-kerneliin mukaan samojen ohmisten toimesta, jotka on 
muunkin Linux-verkkoodin kanssa pelanneet. Pari gurua + suuri joukko
muita ihmisi� auttamassa. Koodi on ollut pitk��n olemassa 
ja saatavana l�hdekoodina, joten sit� on monet ihmiset tutkineet,
tarkastaneet ja tarvittaessa bugikorjanneet. Kyseess� on
eritt�in hyvin k�ytt�j�rjestelm�n ytimeen sis��n suunniteltujen
verkkosuodatusominaisuukien k�ytt�mist�. Perusrakenteeltaan
oikein vankkaa ja hyv�ksi todettua tavaraa (toteutuksena 
luotan enemm�n kuin monen kaupallisen viritykslt� vaikuttavan
k�yttiksen ominaisuuksien p��lle liimatun palomuurisoftan
luodinkest�vyyteen..)

> Ja/vai onko parempi hankkia kaupallinen softa, jos haluaa
> (tunnustettua tai jopa sertifioitua?) luotettavuutta?

Jos sertifointeja haluaa, niin sitten menee kaupallisiin
ohjelmiin. Jos tarvitsee jotain Windows-pohjaista graafista
k�ytt�liittym�� ja tarvittaessa tarvetta erilaisiin laajoihin
konsulttipalveluihin. Jos ipchainien tarjomat ominaisuudet
riitt�v�t siihen mit� tarjoaa, osaa pist�� jotenksakin
survallisen installaation Linuxia ja tiet�� mi� teke, niin
pid�n ipchain:eja hyv�n� vaihtoehtona.

> Onko Linux-alustalle varteenotettavia vaihtoehtoja, 

En ole tullut tarvetta muihin ratkaisuihin Linux-puolella
tututua kuin tuohon ipchainiin vakavassa k�yt�ss�
(ja jossain labratouhuissa itse tehtyihin vastaavia
aisoita osaaviin ohjelmiin).

> vai l|ytyyk| paremmin Windowsille / Solarikselle / muulle?

Checkpoint tekee Firewall-softaa ainakin erilaisille
UNIX-systeemeille. Muistelisin ainakin l�ytyv�n
Nokian reittimille (BSD-sukuinen IPSO-k�ytt�j�rjestelm� niiss�)
ja Solarikselle. Linux ja Windows-tuesta en osaa sanoa.

Itse kammoksuisin Windowsia t�ll�isess� palomuurihommassa.
Riippumatta Windows-versiosta ovat n�m� Micosoftin tekeleet
olleet IP-tietoliikennepinoltaan enempi tai v�hempi rikki
(turva-aukkoja) ja niiden pidemm�n aikav�lin luotettavuus
heikko (boottaa ty�p�yd�n Windows suunnilleen p�ivitt�in ja NT 4 
viikottain jotta v�ltyt isommilta ongelmilta, jotka pidemm�ss�
k�yt�ss� tulee v�ist�m�tt� eteen...). 

> (Toki k{ytt|j{rjestelm{nkin valinta voi vaikuttaa
> softapalomuurin luotettavuuteen, vai kuinka?)

Kyll�. Ep�luotettavan k�ytt�j�rjestelm�n p��lle on todella
hankalaa rakentaa mit��n luotettava palomuurisysteemi�.

-- 
Tomi Engdahl (http://www.iki.fi/then/)
Take a look at my electronics web links and documents at 
http://www.epanorama.net/

 
| Submit site | Info | Advertise | Feedback | Disclaimer | Privacy | Ad. FAQ | Legal Notice |
Copyright © 1994-2007