Re: R: Confronto netfilter firewall-1 ed altri fw commericiali

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2001 ml@sikurezza.org
Soggetto: Re: R: Confronto netfilter firewall-1 ed altri fw commericiali
Mittente: Fabio Pietrosanti (naif)
Data: 30 Aug 2001 11:40:43 -0000

On Thu, Aug 30, 2001 at 08:43:00AM +0200, Luca Berra wrote:
[snip]
> per quanto riguarda gli altri fw commerciali, in genere succhiano tutti
> ma il PIX succhia molto piu' degli altri (e' praticamente inutuile, finche'
> in cisco non imparano a classificare i messaggi di errore nel syslog, ah
> ed e' anche pieno di bachi)
- pix
Luca, per quanto io odi a pelle PIX devo ammettere che con la versione 6 hanno
sistemato moltissime cose. 
Cisco PIX rimane la soluzione come firewall di front-end, molto massiccio,
performante come nessun firewall ma poco flessibile.
Ha un'ottima gestione di soluzioni ridondate ( statefull failover ) e gode di
estrema facilita' di installazione.

-- checkpoint fw-1
CheckPoint FW-1 e' secondo me la soluzione per la gestione di reti
intranet/extranet a piu' livelli di sicurezza data la sua flessibilita' e
facilita' di gestione.
La flessibilita' gli viene conferita' sia dal software fw-1, estremamente
modulare e ricco di feature grazie anche alla interoperabilita' OPSEC, sia dal
fatto che sotto di esso c'e' un sistema operativo General Purpose ( Solaris,
NT, Linux, HP-UX, AIX, etc, etc ) .
E' anche l'unica soluzione nel caso si abbiamo piu' di una decina di Firewall
da gestire contemporaneamente grazie a suite di gestione come Provider-1 .

-- checkpoint fw-1 su Nokia
Con le appliance Nokia si avvicina finalmente anche alle esigenze di housing,
consentendo di avere fw-1 su delle blackbox basate su IPSO ( FreeBSD taroccato )
con la flessibilita' di FW-1 e la facilita' di installazione e manutenzione
che offre uno scatolotto preinstallato ( stile pix ).

-- netfilter
Netfilter e' molto interessante, ma nessuno ancora si e' impegnato per
sviluppare attorno ad esso quelle feature che sono necessarie affinche' possa
entrare seriamente nel mondo enterprise... non penso che dandogli tempo la
situazione cambi.

-- ipfilter
Cosa che al contrario sembra stia avvenendo in IPFilter, che almeno dalla
versione 4.0 supportera' la replica della connection table e delle rules
consentendo finalmente di avere un firewall OpenSource in HA come cristo
comanda... 

Ritengo comunque che la soluzione del nuovo millennio sia il routing manuale
con 1 persona che automaticamente prende il pacchetto, lo analizza con tcpdump
e se lo ritiene opportuno lo forwarda sull'interfaccia di destinazione :PPpP

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Fw: [pilist@deandreis.it: Punto Informatico: sommario di oggi (30/08/01)], andrea
- successivo: Re: varie partizioni per varie directory, Zen
- indice

Argomento:
- precedente: Re: R: Confronto netfilter firewall-1 ed altri fw commericiali, ~MeRliNo
- successivo: Re: R: Confronto netfilter firewall-1 ed altri fw commericiali, Luca Berra
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005