Re: R: Confronto netfilter firewall-1 ed altri fw commericiali

On Thu, Aug 30, 2001 at 11:20:13AM +0200, Fabio Pietrosanti (naif) wrote:
> Luca, per quanto io odi a pelle PIX devo ammettere che con la versione 6 hanno
> sistemato moltissime cose. 
(deve essere un sentimento comune per chiunque ci abbia messo le zampe!)
io sono ancora fermo alla 5.3, sai dalle mie parti preferiscono una cosa
vecchia ma nota che una nuova.
hanno messo a posto il logging? al momento c'erano solo due opzioni
o non logga niente o logga troppo, un delirio per debuggare un problema
su una policy
> Cisco PIX rimane la soluzione come firewall di front-end, molto massiccio,
> performante come nessun firewall ma poco flessibile.
> Ha un'ottima gestione di soluzioni ridondate ( statefull failover ) e gode di
> estrema facilita' di installazione.
verissimo, soprattutto da quando non usano piu' le conduit strabiche

> -- checkpoint fw-1
...
> -- checkpoint fw-1 su Nokia
> Con le appliance Nokia si avvicina finalmente anche alle esigenze di housing,
> consentendo di avere fw-1 su delle blackbox basate su IPSO ( FreeBSD taroccato )
> con la flessibilita' di FW-1 e la facilita' di installazione e manutenzione
> che offre uno scatolotto preinstallato ( stile pix ).
devo vedere l'ipso nuovo, la versione attuale aveva un po di bachetti
(tipo che ognitanto cambi la password di admin, poi ributti e ti ritrovi
la pass precedente)
inoltre se hai una coppia in failover puoi gestire le policy in modo
centralizzato, ma non la config dell'ipso. questo puo' produrre effetti
curiosi per esempio quando ho rimosso un indirizzo vrrp (a cominciare dal
nokia attivo) i bimbi hanno deciso di switchare causando gravi danni
al campanile della chiesa difronte.

> -- netfilter
> Netfilter e' molto interessante, ma nessuno ancora si e' impegnato per
> sviluppare attorno ad esso quelle feature che sono necessarie affinche' possa
> entrare seriamente nel mondo enterprise... non penso che dandogli tempo la
> situazione cambi.
mah, magari se in linux 2.5 non decidono di cambiare ANCORA sw di firewall
qualcuno ci si mette anche, al momento ci fanno i modulini piu' assurdi.

> -- ipfilter

qualcuno ha notizie piu' recenti sugli altri, chesso' Gauntlet, Raptor...

> Ritengo comunque che la soluzione del nuovo millennio sia il routing manuale
> con 1 persona che automaticamente prende il pacchetto, lo analizza con tcpdump
> e se lo ritiene opportuno lo forwarda sull'interfaccia di destinazione :PPpP
direi che e' la soluzione di firewalling ideale per reti ipv7, pero'
funziona solo se il fw non e' il default gateway della rete, ma arpspooffa
il gateway vero (koba does it better)


L.

-- 
Luca Berra -- bluca@comedia.it
        Communication Media & Services S.r.l.
 /"\
 \ /     ASCII RIBBON CAMPAIGN
  X        AGAINST HTML MAIL
 / \

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List