Re: R: Firewall e VLAN

Alle 23:50, martedì 5 marzo 2002, mailing lists ha scritto:
> Scusate, ma forse non ci siamo capiti.

???

ti cito il messaggio originale:

>Salve lista,
>
>qualcuno conosce dei firewall che gestiscano VLAN con protocolli di trunk?
>O soluzioni equivalenti...

Torniamo al tuo scritto:

>
> Le lan singole non possono uscire taggate, dal momento che il vlan
> tagging, vuoi che sia 802.1q oppure isl, viene impiegato esclusivamente
> sui segmenti di trunk, e quindi in situazioni switch-to-switch,
> switch-to-server (se dotato di scheda che supporti ad es. isl) oppure
> switch-to router (per, es., inter vlan routing). Cosa fa un router
> quando si vede arrivare una frame taggata come vuoi? Cosa fa con un
> livello 2 (pila osi)? Stessa cosa fa un firewall (a grandi linee).

OK

> Secondo: esistono 3 livelli gerarchici, se volete funzionali, che vanno
> presi in considerazione durante l'analisi di un progetto di rete:

E' proprio questo il punto. Penso che il nostro Bardolino voglia uscire dallo 
schema, perfetto ma se vuoi classico che la tua mail esprime. Piu' 
precisamente:

> il core layer (la backbone aziendale: qui non
> applichi policies, dal momento che i dati devono essere sparati nel
> minor tempo possibile, e quindi no packet manipulation; a questo livello
> utilizzi switch di fascia alta, e sicuramente un bel store-and-forward
> per far sì che non vengano spediti errori di livello 2, ma a questo
> punto le tue policies devono essere già state applicate; se vuoi puoi
> utilizzare switch di livello 3 (per problemi economici, per fondere le
> due funzionalità distribution e core in un'unica macchina; oppure per
> ridondare un link di core, dal momento che implementare solamente l'stp
> potrebbe portare a dei ritardi considerevoli nei tempi di convergenza,
> mediamente dai 30 ai 50 secondi, inaccettabili per un core layer).

Punto. Supponiamo che io abbia un core swicth (livello 2-3), e che voglia 
implementare una soluzione firewall che mi permetta di gestire il traffico 
fra le reti dell'azienda. Fino a poco tempo fa i firewall hanno sempre 
trovato posto sul bordo del network per regolare gli accessi dall'esterno, 
ma, come trovi scritto si manuali di Checkpoint "a firewall doesn't protect 
the Network from authorized users". Ecco quindi che l'amministratore, 
lasciando i border firewall a fare il classico lavoro con trusted, untrusted 
e DMZ, desidera anche che i propri utenti non implementino soluzioni 
client/server nella sua LAN :).  Ma se il core switch ha 60 network, tu con 
che macchina gestisci il traffico? 
Netscreen si e' inventata un ASIC firewall che puo' capire il VLAN tagging, e 
ti permette, collassando le VLAN dal core switch 2/3 su un po' di link a 
Gigabit, di gestire il traffico esprimendo fino a 100 interfacce di rete 
virtuali, e implementando il concetto di "virtual router", in sostanza una 
entita' che raggruppa le informazioni di routing, per permetterti di negare a 
livello 3 il traffico senza nemmeno applicare policy. Lunedi' viene un 
francese a spiegarmi tutto, magari allora saro' ancora piu' preciso. 

Ciao

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List