Межсетевые экраны в форме USB-ключа и кредитной карты на базе Linux

11.11.2008 22:07

Компания Yoggie выпустила две новые модели миниатюрных межсетевых экранов, отличающейся от ранее выпускаемых устройств полностью открытой прошивкой на базе Linux, доступной для модификации любым энтузиастом.

Первое устройство, Open Firewall Pico имеет форм фактор USB-ключа и представляет собой аппаратный межсетевой экран, подключаемый к компьютеру через USB порт. Для перенаправления трафика в устройство используется специальный комплект драйверов.

Второе устройство, Open Firewall SOHO имеет размер кредитной карты, и представляет собой портативный маршрутизатор с двумя Ethernet портами.

Оба устройства построены на базе процессора 520MHz Intel XScale PXA270, имеют ОЗУ 128MB и снабжены NAND Flash 128MB.

Программная начинка платформы Open Firewall, в отличии от ранее используемого проприетарного Linux стека Gatekeeper, распространяется полностью в исходных текстах, включая специализированный web-интерфейс для управления устройством - "Management Console".

Стек Open Firewall основан на Debian GNU/Linux, основные особенности:

Фильтрация пакетов с учетом состояния TCP-сессий;
Средства для определения и предотвращения DoS и DDoS атак;
Механизм борьбы с Syn-флудом;
Система определения и защиты от сканирования портов и атак, использующих ICMP (Smurf, Fraggle);
Защита от атак, проводимых на втором сетевом уровне, например, ARP-спуфинг.
В комплекте имеется SSH-сервер;
Система поддерживает установку дополнительных пакетов в .deb формате, расширяющих функциональность устройства;
Для разработки дополнений распространяется специальный SDK комплект со средствами кросс-компиляции для устройств, построенных на базе архитектуры ARM;
Для комьюнити создан специализированный сайт, на котором опубликована документация и основан форум;

Устройство Open Firewall Pico будет продаваться первые три месяца по цене $50, после чего цена будет поднята до $70. Модель Open Firewall SOHO стоит на $30 дороже Open Firewall Pico.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/18855-hardware

Ключевые слова: hardware, firewall, linux

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, User294 (ok), 23:48, 11/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> портитвный Э нет дяди, с 128 мегами оперативы и 520МГц процом он совсем-совсем не противный и даже не "портитвный".А вот еще б ему 4-5 портов и wi-fi да по цене баксов до 150... :)

2.5, слон (?), 04:55, 12/11/2008 [^] [^^] [^^^] [ответить]	+/–
не так кошерно, но всетаки... Asus wl500gP

3.7, User294 (ok), 10:19, 12/11/2008 [^] [^^] [^^^] [ответить]	+/–
>не так кошерно, но всетаки... Asus wl500gP Уже есть... хочется чего-то помощнее.Но - не менее маленького, экономичного и - не писюк.Чтобы не надо было на сракеров-хакеров дергаться в тот же день что и выход сплойта для х86.Вот эта железка выглядит интересно но ей бы еще пару портов и wi-fi - цены бы не было.Купил бы за $150 пару штук запросто.

1.2, PereresusNeVlezaetBuggy (ok), 23:54, 11/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"портитвный" => "портативный"

2.12, ss (??), 14:51, 12/11/2008 [^] [^^] [^^^] [ответить]	+/–
специально для умников на опеннете сделали ссылку "дополнить/исправить". (ctrl+f - если так не заметили)

1.3, не скажу (?), 00:15, 12/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
я конечно извиняюсь, но чем хуже персональные фриварные/платные фаерволы? ) этож пипец какой огород решили городить )) имхо, проще сразу линь/бсд на тачку поставить :)

2.4, Арнаутов Сергей (?), 04:53, 12/11/2008 [^] [^^] [^^^] [ответить]	+/–
Не хуже. Другие. Их нужно ставить на хост, в случае сети - на хосты/гейт. Гейт не обязательно Unix-like (мне, например, на кошках ИНОГДА не хватает функционала ipfw или iptables), а на хостах брэндмауэр исполняется системой. С которой работает пользователь. Т.е. стандартное состояние системы - развал и разруха. А предложенное решение позволяет использовать расширенные функции управления доступом и механизмы защит от атак извне для не Unix-like хостов, сетей. При этом железка имеет незначительные размеры и (предположительно) небольшие потребности по электропитанию.

3.14, не скажу (?), 11:51, 13/11/2008 [^] [^^] [^^^] [ответить]	+/–
понял :)

2.9, User294 (ok), 10:27, 12/11/2008 [^] [^^] [^^^] [ответить]

+/–

>я конечно извиняюсь, но чем хуже персональные фриварные/платные фаерволы? )

Тем что...
- Софтварные а потому пока они не установлены, машина не защищена.
- Аналогично - может ведь и выгрузиться\деинстальнуться.
- Зависит от большого, жручего и шумнго писюка.

>этож пипец какой огород решили городить ))

Нормальный пипец - если конечно защищаем "интранет" ака свою квартирную сеть на входе, как все нормальные люди.Что-то не так? :)

>имхо, проще сразу линь/бсд на тачку поставить :)

Да, я уже побежал вкорячивать огроменный жручий и шумящий кулерами писюк под задачу которая по зубам маленькой, экономной, дешевой железке которая к тому же не с х86 а потому можно не класть в штаны сразу после выхода эксплойта для писюков.Пока что с задачей справляется WL500GP но хочется чего-то с более мощным процом (траффика много и часть по PPTP VPN) и побольше оперативки (сделать из девайса в пару пачек сигарет комбайн с вебсервером и торентом - забавно как ни крути :P)

3.16, не скажу (?), 12:08, 13/11/2008 [^] [^^] [^^^] [ответить]

+/–

> - Софтварные а потому пока они не установлены, машина не защищена.
> - Аналогично - может ведь и выгрузиться\деинстальнуться.
> - Зависит от большого, жручего и шумнго писюка.

я смотрю в сторону связки ноутбук под виндой + этот девайс или ноутбук под линем и не надо никаких таких девайсов.

> Нормальный пипец - если конечно защищаем "интранет" ака свою квартирную сеть на входе, как все нормальные люди.Что-то не так? :)

судя по всему, тут уже дело в предпочтениях.
пару лет назад использовал роутер с freebsd дома, но тогда это было оправдано.
а сейчас одной железяки хватает.
и если не хватает её встроенного функционала, то можно сменить стандартную прошивку на линь.
+ софтварный фаер, которого лично мне вполне хватает )

> Да, я уже побежал вкорячивать огроменный жручий и шумящий кулерами писюк под задачу которая по зубам маленькой, экономной, дешевой железке которая к тому же не с х86 а потому можно не класть в штаны
> сразу после выхода эксплойта для писюков.Пока что с задачей справляется WL500GP но хочется чего-то с более мощным процом (траффика много и часть по PPTP VPN) и побольше оперативки (сделать из девайса в
> пару пачек сигарет комбайн с вебсервером и торентом - забавно как ни крути :P)

зачем впадать в крайности? ))
я говорил лишь о том, какая ось стоит на рабочей станции.
лично мне под винду хватает и софтварного фаера, не вижу смысла городить огород.
а если линь стоит, то вообще отлично, настраивается системный фаер и вперёд.
либо отдельно стоящей железкой (wrt54gs, к примеру).

1.6, RasskazovBSD (??), 10:15, 12/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Защита от атак, проводимых на втором сетевом уровне Господа, как понимать второй сетевой уровень?

1.8, andr.mobi (??), 10:26, 12/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
имеется в виду канальный http://ru.wikipedia.org/wiki/Сетевая_модель_OSI

2.13, kirion (?), 15:28, 12/11/2008 [^] [^^] [^^^] [ответить]	+/–
З.Ы, Я думаю автор знает, что второй уровень - это канальный в модели OSI. Просто есть некая несовместимость в слове "второй" и "сетевой", так как "сетевой" (точнее межсететевой) - это "третий"... Не буду дальше занудствовать )

1.10, evillist.ru (?), 14:07, 12/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
"перенаправление трафика на уровне драйвера" сие значит, что если на виндовой машине отвалится драйвер устройства, то все?

1.11, Аноним (11), 14:29, 12/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
на случай этих "и все" существует вторая железяка с ethernet...

1.15, ИМХО (?), 12:08, 13/11/2008 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Упаси вас бог от таких девайсов. У меня есть "DLink DIR-400" так по локальной сети он 100Мбит(10-11МБ/с) опускает до 4-5МБ/с и повышает задержки. С дозвоном по VPN те же грабли - скорость заметно ниже чем через linux router. При этом девайс весьма ощутимо греется. Ну нах.

2.17, Enot (??), 13:11, 17/11/2008 [^] [^^] [^^^] [ответить]	+/–
Я думаю в Вашем конкретном случае проблема заключается именно в плохой работе вашего конкретного устройства (как и значительной части продукции D-Link). Делать вывод на подобном опыте о том, что аппаратный firewall - это плохо, несколько... преждевременно :) Учитывая что аппаратные решения по фильтрации трафика используются повсеместно (хотя бы на уровне провайдера :) ). О скорости работы устройства, описанного в новости, можно будет делать выводы после его тестирования, а рекомендовать людям не покупать что-то с такой аргументацией не стоит. Так и представляю себе - "Не покупайте этот PIX - у меня тут DLink DIR-400 скорость "опускает"" :)

1.18, tux2002 (?), 10:00, 18/11/2008 [ответить] [﹢﹢﹢] [ · · · ]

+/–

USB вариант сомнительный - защищать защищаемого через его драйвера?

Второй вариант - добавьте SVGA, USB-hub, выкиньте весь софт, и подешевле.
Мне на рабочее место для ssh и rdesktop хватит :)

Добавить комментарий

Текст: