Re: [ml] confronto security appliance

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2005 ml@sikurezza.org
Soggetto: Re: [ml] confronto security appliance
Mittente: Andrea \"Pila\" Ghirardini
Data: Mon,  6 Jun 2005 17:20:50 +0200 (CEST)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Se posso esprimere un opinione gli appliance firewall-proxy-antispam- smtp_gateway-macchina_del_caffè-lavapiatti, sono un non senso architetturale.

Hanno un unico vantaggio, risparmiano spazio. Per il resto io non sono d'accordo con questo approccio. Chiamatemi tradizionalista ma per me il firewall DEVE fare da firewall e basta. Niente console di gestione di via web, controllo remoto e 15000 servizi attivi per i vari ammennicoli. Se solo uno di questi ha un problema l'intero hambaradan messo in piedi per proteggere la rete cade miseramente. Non dico di avere 10 macchine specializzate, ma comunque un approccio che mi divida le cose lo ritengo molto più sensato. Il firewall ideale è una scatola nera, difficile da trovare, complesso da identificare, senza nessun servizio che possa essere forzato. Poi un proxy con content filtering e antivirus ed infine un mail server o mail relay con antivirus e antispam. Ognuno fa quello che deve fare e null'altro.

La sicurezza, come la progettazine, IMHO deve avere il famoso approccio KISS (Keep it simple Stupid). Se un coso è troppo complicato prima o poi qualcuno o troverà il mezzo per forzarlo (vedi ISA Server), oppure, molto più facile, qualcuno si dimenticherà una configurazione o un qualcosa di fondamentale e manderà gambe all'aria tutta la baracca.

E il debugging? Aaargh. l'altro giorno ho visto forse la peggior cosa del mondo, parlando di sicurezza, un appliance di una famosa casa francese che fornisce le seguenti funzioni:

1- Switch layer 3
2- Router
3- Firewall stateful inspection
4- Proxy server
5- Centralino VOIP
6- VPN Server
7- Proxy

Dicevano "la soluzione all in one per tutte le piccole imprese". Per farsi male sicuro... per altro ho i miei dubbi. Vorrei capire come si fa seguire un pacchetto VOIP o sanche solo TCP in mezzo a tutto quel marasma...

Saluti

+-------------------------------------------------------+
Andrea Ghirardini, CISSP
Computer Forensics & IT Security Specialist
Founder & CEO Pila's Security Services , CLUSIT Member
Phone: +39 392 1101101   Mail: pila@xxxxxxxxxxxxxxxx
PGP Key ID F7DFCA40F8F67113 http://www.pilasecurity.com
+-------------------------------------------------------+

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (Darwin)

iD8DBQFCpGtq99/KQPj2cRMRAhnxAJ9B7jWpMYhHKAjRYG8hpgA1WMKhlgCePNDT
wuSGDr0104yZHjSUd+jVlAk=
=in/6
-----END PGP SIGNATURE-----

Messaggi successivi:
- Re: [ml] confronto security appliance, Andrea Pasquinucci

In risposta a:
- [ml] confronto security appliance, koba

Data:
- precedente: Re: [ml] Monitoraggio traffico, -=mayhem=-
- successivo: Re: [ml] Monitoraggio traffico, Alessio
- indice

Argomento:
- precedente: Re: [ml] confronto security appliance, Andrea
- successivo: Re: [ml] confronto security appliance, Andrea Pasquinucci
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005