Hey,
Ik heb eens een babbel gedaan met de betreffende persoon.
Hier een stukje daaruit:
D(e)J(ean): Waarom vind je dat RH volstrekt uitgesloten is voor security toepassingen?
D(ude): Omdat RH uit de box slechte configuratie scripts heeft.
DJ: waarvan haal je die info?
D: Wel, RH verzuipt zo'n beetje in hun eigen succes. Ze willen er altijd als de kippen bij zijn met nieuwigheden (nieuwe kernel, packages, etc) en daarom slagen ze regelmatig de qualiteits procedures over.
SuSE daarentegen zijn een stuk trager omdat een release eerst wordt doorgegeven aan een bepaald SuSE team dat alle configuraties test. Daarom zijn configuratie scripts van de webserver, ftp enz. stukken slechter als die van RedHat komen.
DJ : die zaken waar je over spreekt, zoals Apache, ProFTPD enz, dat zijn toch packages van derden. RedHat heeft hier toch geen directe blaam, want als een bepaalde Apache versie security bugs heeft, dan zullen die in andere distro's ook voorkomen.
D: nee, dat is niet zo. RedHat maakt zelf die config files voor die packages en maken daardoor hun fouten.
DJ: Maar we zijn over een linux router/firewall bezig. Die packages zoals Apache en FTPD ga je toch niet installeren?
D: Nee, maar we gaan wel logging faciliteiten installeren op die router.
DJ: Dat heb je toch ook als je gewoon een kernel compileert toegespitst op het router-aspect dat ie zal uitvoeren. Gewoon custom kernel met een lekkere rc.firewall en je bent in orde. Je kunt aan de IPtables aangeven dat ie ook bepaalde zaken moet loggen.
D: Ja, maar we gaan logging faciliteiten installeren van SuSE en nog wat andere, zoals SSH.
DJ: ?! Wat bedoel je nu eigenlijk?
D: We gaan 'snort' (
en wat andere zaken installeren die bij SuSE zitten bijgeleverd.
(
weet niet of dit goed geschreven is
DJ: (als zelf-firewall-script-schrijvende man kon ik alleen maar antwoorden met:) ?!snort?! huh?
D: dat is zo'n firewall programmaatje dat bij SuSE geleverd wordt met allemaal intrustion detection. Dus nukes en floods en andere zaken kunnen gedetecteerd worden en gelogged worden.
DJ: Als je zelf een script schrijft, kun je dat ook allemaal hoor en dan weet je tenminste waar je mee bezig bent. Thuis heb ik linux-pctje waar ik het script zelf geschreven heb en dat dienst doet als router/firewall. Gewoon custom kernel met rc.firewall.
D: Ja, dat kan wel zijn. Maar we willen er echt een linux PC van maken met een volledige installatie erop en met die snort.. etc
Op dat moment had ik toch zowat het gevoel dat het uit mijn handen is en ik er weinig op te zeggen had. (ik ben trouwens ook 'maar' firmware ingenieur en hij is IT security mens)
Anyway, nu hopen dat die snort iets goed is.
Iemand ervaring?
Persoonlijk vind ik het volledig onnodig wat hij gaat doen. Hoe meer je op je belangrijkste beveilings-punt gaat zetten, hoe wankeler het wordt.
Simpel PC met enkel floppy-linux en eigen firewall rules is nog steeds kwalitatief beter dan een bijgeleverd firewall-programmaatje.
Je legt het volledige staan of vallen van je (bedrijfs)-security in de handen van derden met hun tool dat volledig onzichtbaar het firewall-script aanpast.
:strip_icc():strip_exif()/u/2269/icon-kerst.jpg?f=community){kind=icon}
/u/15892/rubberduck.JPG?f=community)
:strip_icc():strip_exif()/u/11014/27337_1472854245_8919_q.jpg?f=community)
.
:strip_icc():strip_exif()/u/11852/scotchava2.jpg?f=community)
:strip_icc():strip_exif()/u/23437/crop5db08c996ac2e.jpeg?f=community)
(gebruiker sinds de 3.0):strip_icc():strip_exif()/u/1254/crop62d7043e9eea6.jpg?f=community)
:strip_icc():strip_exif()/u/1522/crop5f4a0291a77ba_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/22764/Magick.NET.jpg?f=community)
/u/26742/000000751.png?f=community)
)