Openbsd.

Jeudi 4 Avril 2002

puffy.ps

http://www.openbsd.org

Openbsd. Avantages

• Système focalisé sur la sécurité.
• Système libre, multiplateformes.
• Système gratuit.
• Système cohérent.
• Une seule distribution.
• Conserve les informations de toutes les versions.
• Un millier d'applications classiques disponibles.

Openbsd. Inconvénients

• Maitrise peu répendue en France.
• Documentation en anglais.
• Pas de support multiprocesseurs (SMP).

Openbsd : Pateformes supportées

• i386
• sparc
• hp300
• amiga
• mac68k
• powerpc
• sun3
• mvme68k
• alpha
• vax

Openbsd. Installation

• Média : Cédérom, FTP, HTTP, (DHCP en option), NFS, système de fichiers local (DOS, ext2, FFS).
• Partitionnement : une seule partition utilisée vis à vis du BIOS.
• Espace requis : 300 Mo suffisent pour un parefeux.
• Multiboot possible avec NT, Windows, DOS, Linux etc.

Openbsd. Principes

• La sécurité avant tout.
• Sécurisé par défaut.
• Divulgation complète et systématique des problèmes.
• Audit du code continu par 12 membres.
• Passe le test ``Cybercop Scanner'' de Network Associates depuis le 1er jour.
• Résolution des problèmes avant même leur annonce sur BUGTRAP.
• Utilise la cryptographie.

Openbsd. Administration Par défaut :

• Avertissement par courriel aux administrateurs des changements sur les fichiers de configuration.
• Sauvegarde des anciennes versions des fichiers.
• Rotation des fichiers de trace.
• Mise en place des services facile.
• Pages de manuels en ligne très bien écrits, à jour, avec des explications, des exemples. Disponibles à l'identique sur le site internet pour chaque version du système.
• man afterboot est un excellent point de départ.

Openbsd. Scellement natif avec mtree

• Sauvegarde des signatures (SHA), permissions, dates, etc.
• Utiliser un support mis physiquement en lecture seule.
• Mathématiquement impossible à corrompre.
• Remplace aisément la solution Tripwire.

Openbsd. Filtrage

• Filtre ipf jusqu'à la version 2.9
• Filtre pf à partir de la version 3.0
• Plus simple à configurer et comprendre que ipchains.
• Traces au format de la commande tcpdump.
• Translation d'adresse, déguisement.
• Redirection de port, d'interface (filtrage transparent).
• Macros pour s'implifier l'écriture des règles.

Openbsd. Filtre pf

• Filtrage par interface, entrée, sortie, protocole, adresse, source, destination, port (opérateurs =,<,>, <>, ><), flags (FIN, SYN, RST, PUSH, ACK, URG),
• Conservation de l'état (sans repasser par les règles). Basé sur les numéros de séquence (antispoofing, rapidité). Numéros de séquences aléatoires de qualité.
• Reprise des connexions après redémarrage du parefeux.
• Blocage et retour ``tcp rst'' ou ``icmp unreachable''.
• Blocage des paquets IP contenant des options.
• Normalisation. Réassemblage des paquets pour empécher les attaques par recouvrement de fragments.

Openbsd. Ports ouverts par défaut

netstat -a| grep LISTEN
Pro R S  Local              Foreign (state)
tcp 0 0  localhost.submissi     *.* LISTEN
tcp 0 0  localhost.smtp         *.* LISTEN
tcp 0 0  *.ssh                  *.* LISTEN
tcp 0 0  *.time                 *.* LISTEN
tcp 0 0  *.daytime              *.* LISTEN
tcp 0 0  *.auth                 *.* LISTEN
tcp 0 0  localhost.sunrpc       *.* LISTEN
tcp 0 0  *.sunrpc               *.* LISTEN

Openbsd. Ressources

• Site internet : http://www.openbsd.org/
• Achats de cédérom : http://ikarios.com/
• Magazine Daemon News : http://www.bsdmall.com/