Autor Tema: FreeBSD and security  (Pročitano 5477 puta)

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Poruke: 969
    • BSDSrbija
Re: FreeBSD and security
« Odgovor #15 poslato: Decembar 21, 2013, 11:12:34 pre podne »
Nakon što sam primetio da nisi naveo najbitniju stvar - mrežnu karticu koju si koristio u ovom testu, hteo sam da upitam za još par detalja, ali onda sam se raznežio nad sledećom izjavom:

OpenBSD i Linux nemaju toliko networking feature-a kao npr JunOS.

To što su JunOS u Juniperovom marketinškom odeljenju, na kutiji u koju ga pakuju opremili mrežnim featuretama, ni približno ne znači ama baš ništa van sfere reklame.

Za data-centar, specijalzovana oprema za rutiranje je svakako (ili bar u većini slučajeva) u stanju da "izgura" više saobraćaja od računara sklapanog od delova koji se lako mogu naći po prodavnicama. Za mali ili srednji biznis (gde ladno mogu da uvrstim i neki ISP, a ne samo kancelarije koje trebaju VPN-ove) ne mogu da vidim niti jednu jedinu prednost bacanja para na "specijalizovanu" opremu.

Ako je baš krajnje neophodna brzina protoka na kakvoj insistiraju čvorišta, na *NIX-ima bazirana rešenja mogu se opet "vratiti u igru" nabavkom specijalizovanih kripto-akceleratora.

Sve se može izvesti, samo ako za vratom nemaš trgovca informatičkom robom koji već deseti mesec nije prodao nikome niti jedan svoj "specijalni" uređaj...

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Poruke: 969
    • BSDSrbija
Re: FreeBSD and security
« Odgovor #16 poslato: Decembar 21, 2013, 11:36:42 pre podne »
Ni SSD ni soft-updates (koji uvek prvo ukljucujem kad instaliram OpenBSD jer je bez njega FS bolno spor) nisu journaling i nece spreciti fsck posle reboot-a OpenBSD rutera.

Tačno je da softupdates nisu journaling, oni su alternativa - mehanizam koji prati i primenjuje zapisivanje metapodataka na način koji osigurava da su podaci uvek konzistentni na disku, nešto slično ACID principu za baze podataka - sve dok sve s podacima nije ok, podatak nije na disku. Tačno je da je ovo malo sporije (iako softupdates ne koristi logovanje metapodataka) ali je na SSD-ovima i dalje veoma brzo, i dovoljno za upotrebu na nezahtevnom serveru.

Iz man-strana za mount:
softdep
                     (FFS only.)  Mount the file system using soft
                     dependencies.  Instead of metadata being written
                     immediately, it is written in an ordered fashion to keep
                     the on-disk state of the file system consistent.

Ako ti je pukao sistem koji je koristio softdep tako da je tražio fsck, umesto da momentalno podigne sistem, možda je problem bio fizičke prirode - krepao hard-disk, to jest sektori hard-diska?

soxxx

  • Administrator
  • Hero Member
  • *****
  • Poruke: 1434
Re: FreeBSD and security
« Odgovor #17 poslato: Decembar 21, 2013, 11:04:09 posle podne »
Dule nemoj da mislis da samo zato smo vecina ovde ljubitelji *BSD sistema da cemo slepo braniti te iste sisteme i da pljujemo po drugima, niti smo "neznalice" i ne znamo sta se koristi u vecim firmama kao i da ne pratimo trendove. :)

Slazem se da Juniper ruter moze da bude bolji izbor od nekog, recimo, OpenBSD rutera sklapanog sa "hardverom sa police", ali sa druge strane i ne mora da bude. Veoma postujem primere iz prakse, kao sto je ovde tvoj, jednostavno tebi i tvojim zahtevima je bolje posluzio Juniper nego OBSD i to je to.

Koji ce ocekivani dnevni protok imati taj ruter? Mislim da pravi saobracaj koji ce se odvijati preko njega.
The best way to learn UNIX is to play with it, and the harder you play, the more you learn.
If you play hard enough, you'll break something for sure, and having to fix a badly broken system is arguably the fastest way of all to learn. -Michael Lucas, AbsoluteBSD

Dule Mars

  • Hero Member
  • *****
  • Poruke: 664
Re: FreeBSD and security
« Odgovor #18 poslato: Decembar 22, 2013, 12:36:21 posle podne »
Zainteresovala me prica oko soft updates pa sam proucio malo materiju i napravio crash-test sa novim OpenBSD u Virtualbox, ispalo je da soft updates ipak ne sprecavaju potpuno fsck, medjutim to je parcijalni fsck koji ide u pozadini i nije blokirajuci, tj ne mora niko da dodje i da ga rucno pokrene. Ima na wiki lep clanak: http://en.wikipedia.org/wiki/Soft_updates

Sto ce reci, zajebo sam se, ispao sam glup u drustvu, to je popravljeno u medjuvremenu :) Onda kad sam ja zadnji put imao OpenBSD ruter, 2008, to nije bio slucaj.

@Soxxx: Mozda sam ovih dana nadrndaniji nego inace, izvinjavam se :) Sto se tice protoka koji mi treba, sto vise to bolje, imamo dosta download/upload-a velikih fajlova svakodnevno ka serverima na Amazonu i IPSEC nam tu nimalo ne pomaze, ali podaci su klasifikovani kao poverljivi i moramo da ga koristimo zbog compliance-a i tacka. Gledamo da koristimo S3 preko HTTPS umesto toga kad god je moguce, ali nije uvek.

@Zeleni

Ne vidim kako bi mrezna kartica bitno uticala na moje rezultate, tu moze da se cacka oko TCP offloada, Jumbo frame-ova i tako to slicno, ali obzirom da je u pitanju saobracaj ka i od interneta koji ne premasuje 10ak MB/s a kartica je gigabitna ne vidim kako bi ona tu mogla bitno da utice, ako znas nesto sto ja ne znam, kazi.

@All slazem se da postoje situacije gde ne treba bacati pare na namenski ruter. Ali isto tako cesto postoje i obrnute situacije kao sto je ova moja. Softver po performansama ne moze da se takmici sa ASIC-om, situacija je dobar pandan onoj sa softverskim i hardverskim renderingom za igre sa kraja 90'tih.
Ja moram da jedem krstove! Ja sam nešto drugo, a ne pop!

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Poruke: 969
    • BSDSrbija
Re: FreeBSD and security
« Odgovor #19 poslato: Decembar 22, 2013, 01:08:08 posle podne »

Ne vidim kako bi mrezna kartica bitno uticala na moje rezultate... ne vidim kako bi ona tu mogla bitno da utice, ako znas nesto sto ja ne znam, kazi.


Ponavljam, kartica je najbitniji deo računice! Stvar je skoro diletantska - većina proizvođača koja prodaje robu čak i u EU (navodim ovo kao teritoriju koja ima veoma stroge zahteve za robu) a pogotovo novopečeni dalekoistočni proizvođači, prosto-naprosto pišu na kutijama i nalepnicama šta god požele, i to nekim čudom prolazi. U praksi, nema šanse da jedan TP Link (bilo koji model) dosegne neki Intel ili Myricom, iako verujem da se svi redom prave u Kini danas. Stvar je verovatno (samo) u kontroli procesa i kvalitete. Cisco, Juniper i drugi to jako dobro znaju, i nikada ne ugrađuju samo nazivno dobre, već isključivo i u praksi proverene delove. Ovo ne znači da nisu dostižni, ovo samo znači da pametno prave i reklamiraju ono što prave.

Drugačije rečeno, svega petnaestak naporednih IPSEC tunela može naterati lošu karticu da krahira (oprobano sa gigabitnim TPLinkom, pregledaj dmesg i messages kako bljuju greške i upozorenja) dok Intelu ne možeš ništa, odnosno sve radi tako dobro da pomisliš da imaš i kripto-akcelerator uboden negde u slot :) a nazivno, kao fol - iste kartice.
« Poslednja izmena: Decembar 22, 2013, 01:16:25 posle podne od strane Zeleni_Obad »

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Poruke: 969
    • BSDSrbija
Re: FreeBSD and security
« Odgovor #20 poslato: Decembar 22, 2013, 01:21:12 posle podne »
Zaboravio sam da dodam da se OpenBSD od verzije 2.1 koristi kao "testbed", "probni kunić", u VPNC-u, konzorcijumu koji mnogo utiče i oblikuje kako IPSEC uopšte treba da izgleda, tako da se ne bih baš složio da OpenBSD i Linux nemaju dovoljno funkcionalnosti poput JunOS-a ;)

soxxx

  • Administrator
  • Hero Member
  • *****
  • Poruke: 1434
Re: FreeBSD and security
« Odgovor #21 poslato: Decembar 22, 2013, 09:32:23 posle podne »
Taj i7 je ozbiljan proc, tako da mi tih 16Mbit/s koje si imao deluju zaista nisko. IPSEC je bio build-ovan sa podrskom za aes-ni? aes-ni drajver load-ovan? Koji algo? Tip kartice ima znacajnu ulogu, najbolje su, kazu, Intelove kao i drajveri za njih.
Nazalost nemam info iz prve ruke, ali sam po majling listama nalazio da su ljudi postizali mnogo vece protoke sa IPSEC (recimo konkretno je bilo za pfSense).

Nadjoh na netu gde i za masine sa slabijim procesorima ""garantuju"" (da to su dupli navodnici :D) IPSEC protok od >40Mbit:

http://www.tranquilnet.com/small-business-it-solutions/internet-security-network-security/firewall-router-pricing.html
The best way to learn UNIX is to play with it, and the harder you play, the more you learn.
If you play hard enough, you'll break something for sure, and having to fix a badly broken system is arguably the fastest way of all to learn. -Michael Lucas, AbsoluteBSD

Oko

  • Administrator
  • Hero Member
  • *****
  • Poruke: 985
Re: FreeBSD and security
« Odgovor #22 poslato: Decembar 23, 2013, 04:00:00 pre podne »
Juniper ima forwarding i filtering plane, kao i kripto modul, realizovane u hardveru a ne softveru tako da ga sto se brzine tice OpenBSD, a ni Linux na obicnom serveru ne mogu stici.
OpenBSD pseudo random generator u default modu koristi entropy from PCI devices a moze i iz drugih uredjaja. Tu pricu o kripto module Juniper PR ljudi mogu da pricaju ljudima koji nisu citali Knuth-a  ;) U principu se slazem sa tvojim postom. Postoji dva nacina da platis za neke stvari. Jedan je da otvoris novcanik i platis ljude koji znaju ili verujes da znaju u ovom slucaju Juniper engineers. Drugi nacin je da imas 10 ljudi sa Ph.D.-ima na stafu koji znaju znaju i mogu da koriste "besplatne" stvari kao sto je OpenBSD. U vecini slucajeva prva opcija je mnogo jeftinija i realnija.

Dule Mars

  • Hero Member
  • *****
  • Poruke: 664
Re: FreeBSD and security
« Odgovor #23 poslato: Decembar 24, 2013, 03:31:41 posle podne »
Taj i7 je ozbiljan proc, tako da mi tih 16Mbit/s koje si imao deluju zaista nisko. IPSEC je bio build-ovan sa podrskom za aes-ni? aes-ni drajver load-ovan? Koji algo? Tip kartice ima znacajnu ulogu, najbolje su, kazu, Intelove kao i drajveri za njih.

Kartica je RealTek 8168/8111 ako je verovati dmesg-u. OpenSSL je bio sa podrskom za AES-NI a Racoon valjda koristi njega pa nema potrebe nesto posebno da cackam, je'l. Enkripcija je AES-128, kako mi Amazon diktira.
« Poslednja izmena: Decembar 24, 2013, 03:53:25 posle podne od strane Dule Mars »
Ja moram da jedem krstove! Ja sam nešto drugo, a ne pop!

soxxx

  • Administrator
  • Hero Member
  • *****
  • Poruke: 1434
Re: FreeBSD and security
« Odgovor #24 poslato: Decembar 24, 2013, 10:04:37 posle podne »
Izvini ako nisam bio jasan, mislio sam na aes-ni podrsku u kernelu, da li si je ukljucio u kernelu?

Sta daje:openssl engine -c -t na toj makini? Nesto mi govori da aes-ni nije bio u funkciji jer su ti brojevi zaista niski, cak i za sam procesor i bez aes-ni.
Imas neku drugu karticu za test? Znam da si resio problem kupovinom Juniper rutera, ali me zivo zanima u cemu je caka. Jes ili pratio zauzece CPU prilikom transfera? Sta si koristio za test: iperf?
The best way to learn UNIX is to play with it, and the harder you play, the more you learn.
If you play hard enough, you'll break something for sure, and having to fix a badly broken system is arguably the fastest way of all to learn. -Michael Lucas, AbsoluteBSD

soxxx

  • Administrator
  • Hero Member
  • *****
  • Poruke: 1434
Re: FreeBSD and security
« Odgovor #25 poslato: Decembar 24, 2013, 10:34:09 posle podne »
I koja verzija FreeBSD-a, ne vidim da si negde napisao koja verzija.
The best way to learn UNIX is to play with it, and the harder you play, the more you learn.
If you play hard enough, you'll break something for sure, and having to fix a badly broken system is arguably the fastest way of all to learn. -Michael Lucas, AbsoluteBSD

Dule Mars

  • Hero Member
  • *****
  • Poruke: 664
Re: FreeBSD and security
« Odgovor #26 poslato: Decembar 25, 2013, 08:20:37 pre podne »
Da, koristio sam bas iperf, plus paralelni download sa Axel-om. AES-NI modul je bio ucitan, naveo sam ga u loader.conf i kldstat ga je uredno pokazivao. Kad sam to ukljucio, rebuild-ovao sam OpenSSL iz portova, cini mi se da sam tad imao opciju da ukljucim AES-NI support, ne secam se sad najbolje... FreeBSD je bio 9.2-RELEASE-p2. Dva dana sam debagovao u cemu je stvar, cackao TCP delayed ack, proveravao da nema fragmentacije, cackao MTU i TCP-MSS, velicinu nekih bafera kojekakvih i nista... Mozda je Racoon jednostavno sranje :) Nebitno, sad nemam toliko vremena da se s time davim, taj problem je resen, drugi cekaju :)
Ja moram da jedem krstove! Ja sam nešto drugo, a ne pop!

soxxx

  • Administrator
  • Hero Member
  • *****
  • Poruke: 1434
Re: FreeBSD and security
« Odgovor #27 poslato: Decembar 25, 2013, 11:17:48 pre podne »
Bilo je primera da se aes-ni modul ucita ali da ga OpenSSL ne registruje, zato sam te i pitao za izlaz openssl engine komande; koliko mogu da primetim FreeBSD ima svoju verziju aes-ni instrukcija u kernelu (taj modul) koju koristi IPSEC dok i OpenSSL izgleda ima svoju internu verziju, zbog toga izgleda i dolazi do zabune i ne koriscenja aes-ni.
Za FreeBSD verziju sam te pitao jer je bas od 9.2 doslo do velikog poboljsanja aes-ni performansi, medjutim izgleda nedovoljno u tvom slucaju... :)
The best way to learn UNIX is to play with it, and the harder you play, the more you learn.
If you play hard enough, you'll break something for sure, and having to fix a badly broken system is arguably the fastest way of all to learn. -Michael Lucas, AbsoluteBSD

Zeleni_Obad

  • Administrator
  • Hero Member
  • *****
  • Poruke: 969
    • BSDSrbija
Re: FreeBSD and security
« Odgovor #28 poslato: Januar 05, 2014, 08:15:12 posle podne »
Da se radosno nadovezem: pomen rutera koje pravi Juniper (ali i Cisco) pozdravio je u toku "To protect and infect, part 2." govora Jacoba Applebauma, i kompletan audiorium Chaos Communication Congress-a, po mnogima najkvalitetnijeg hakerskog kongresa na planeti,  uz aplauz i povik "Fuck You for making us deliberately insecure!" :)

Nesto pre tog "pozdrava" (na ovom snimku na 40:40) objasnjeno je i kako ponekada izgleda da postizu takve brzine - u sustini i banalizovano, nikada ne mozes biti siguran da li ti paket ciju brzinu posmatras stize iz NSA-ovog regionalnog ili lokalnog centra, ili sa destinacije sa koje si mislio da paket zapravo stize :)

Ziveo nama FLOSS, drugi su po pravilu zastranili gde god su stigli i mogli!