[GTER] RES: Quagga

[Joao H L M Silva]

> O FreeBSD e' excelente, porem creio que o OpenBSD de mais atencao `a seguranca
> do kernel que qualquer outro SO existente hoje. Isso, para mim, e'
> fundamental, ja
> que preciso de um roteador que seja capaz de sustentar ataques
> internos e externos
> com um minimo de tempo de administracao.

não sei não...

quando você passar de 160Mb/s com mais de 400k states
openbsd não vai dar conta
o motivo é a segurança, como fazer seq number tracking, e ter wrapper
de syscalls pelo kernel inteiro
se você passar de 5k syn/s você vai ver o "syncookies do openbsd"
jogar sua disponibilidade pro limbo, você vai achar mais rápido correr
a são silvestre com uma bola de aço amarrada a sua perna ai quero ver
seu time de métrica justificiar o SLA

sobre segurança, talvez essa conversa pertença mais ao GTS ou outras
listas, mas deixa eu mencionar alguns fatos:

- openbsd faz segurança de kernel com a técnica de syscall wrapping;
syscall wrapping NÃO É SEGURO, tanto que você quebra um dos maiores
recursos do openbsd, o systrace, fácil, com menos de 30 linhas de
código; outros sistemas de segurança que atuam dessa forma como CERB
(FreeBSD), Pax (Linux) e partes do LSM (Linux Security Modules) também
podem, facilmente, ser sobrepostos com syscalls de mesmo nível ou
inferior, ou seja não valem muita coisa

sugiro http://www.watson.org/~robert/2007woot/, sugiro tambem o video
do rodrigo (bsdaemon) no YSTS 1.0 (tem no ysts.org), e na lista de
desenvolvimento do LSM

além disso segurança vale pra você na mesma proporção que a
insegurança pode afeta-lo, então em um roteador contando que o sistema
que voce usa não possa ser comprometido sem acesso local ou remoto de
outra forma, tanto faz se é linux, bsd, solaris, cisco...

-  todas as caracteristicas de segurança do openbsd associadas a
userland e libs, as implementações do daniel bernstein se mostraram
mais rápidas e eficientes