Re: [ml] ridondanza stateful packet filter (Was: log iptables)

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Agosto 2006 ml@sikurezza.org
Soggetto: Re: [ml] ridondanza stateful packet filter (Was: log iptables)
Mittente: Alberto Guglielmo
Data: Sat, 12 Aug 2006 23:08:25 +0200 (CEST)

Domenico Viggiani wrote:
> Ogni volta che si parla di firewall HA, il dibattito si scatena.
> Mi rendo conto che non tutte le realta' sono uguali ma mi piace lanciare una
> provocazione "ferragostana":
> a chi serve davvero un firewall HA che mantenga lo stato delle sessioni?
> Al piu', interromperemo qualche download in corso, niente che non possa
> essere ripreso.
> Vale la pena gestire un oggetto cosi' complesso o e' sufficiente un server
> "di ricambio" da tenere a fianco, anche spento?
> 
> Dopo 10 anni di esperienza con "trabiccoli" di ogni tipo, queste sono le mie
> conclusioni.
> 
> --
> Domenico Viggiani
> 

Ciao Domenico. Raccolgo la tua provocazione :-)
A mio modesto parere se la cosa funziona bene puo' anche meritare la pena
di gestire questo mostriciattolo. Certo che se la cosa e' instabile puo'
essere addirittura uno svantaggio rispetto alle soluzioni "tradizionali"
di HA.
Io ho lavorato con firewall con queste caratteristiche, ed altre pregevoli,
per capirci Checkpoint, e negli ambienti in cui erano in uso non si sarebbe
potuto avere nulla di meno, per ragioni anche formali di contratto e di
procedure operative. Non era nemmeno possibile alterare un qualsiasi
dettaglio della configurazione/regole senza passare per le forche caudine
di una complessa procedura di autorizzazione.
Ora credo che chi impiega Linux ed iptables non si trovi nella stessa
situazione, altrimenti mi sa che "trova lungo".... pero' in situazioni
meno stringenti il poter garantire una commutazione da una macchina
all'altra senza "buchi" puo' essere un buon punto di vantaggio per fare
accettare questi sistemi, ed una bella tranquillita' in fase di
manutenzione!
E poi, onestamente, io trovo questo problema una bella sfida ed una ancor
piu' bella occasione per Linux di "brillare".
Mi sono lasciato prendere la mano.... ma la lista in questi giorni non e'
troppo trafficata.
Saluti a tutti
-- 

"Chi Ã pronto a rinunciare alle proprie libertÃ fondamentali per comprarsi
briciole di temporanea sicurezza non merita nÃ la libertÃ nÃ la sicurezza"
- Benjamin Franklin

Alberto Guglielmo
a.guglielmo<at>tcpsas.com
Key Fingerprint:7EAF 9E34 2838 7C6B EE47  E8F0 FFC5 3CBC 90AA 5EEE
Key ID: 0x90AA5EEE
GPG/PGP keys at:  http://pgpkeys.mit.edu/

In risposta a:
- RE: [ml] ridondanza stateful packet filter (Was: log iptables), Domenico Viggiani

Data:
- precedente: Re: [ml] ridondanza stateful packet filter (Was: log iptables), Claudio Telmon
- successivo: R: [ml] ridondanza stateful packet filter (Was: log iptables), Massimo Baschieri
- indice

Argomento:
- precedente: Re: [ml] ridondanza stateful packet filter (Was: log iptables), Claudio Telmon
- successivo: R: [ml] ridondanza stateful packet filter (Was: log iptables), Massimo Baschieri
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005