Re: firewall "hardware" vs firewall software

> giusto per chiarezza, per firewall hardware intendo cose come Cisco PIX,
> per firewall software cose come iptables di Linux

Attento: il Cisco PIX e' un PC con software dedicato. 

>
> Tra le cose da chiarire:
>
> - I firewall hardware sono più o meno suscettibili ai problemi di sicurezza

Ci sono bachi sia in "hardware" (cioè nel cosiddetto firmware) sia in 
"software" (patch sul kernel linux), entrambi vengono in genere regolarmente 
corretti, ma qui possiamo tranquillamente far entrare in gioco il discorso 
della migliore pathcabilità di un prodotto opensource etc....

> ? - E' più facile trovare aggiornamento per quelli software o quelli
> hardware ?

E' uguale. Chiaramente nel caso del PIX gli aggiornamenti sono ufficiali, non 
si trovano generalmente altrove che in ftp.cisco.com (... o no?)

 - Sapete di documenti in rete che illustrino il TCO delle due
> soluzioni con casi pratici a confronto ?
> - ci sono difficoltà di gestione maggiore nell'una o nell'altra soluzione ?

Ti proporrei di cambiare la distinzione "hardware -> software" in una 
"opensource  -> proprietario". Nel primo caso hai prezzi  inferiori, con 
magari qualche difficoltà in più dal punto di vista sistemistico, nel secondo 
caso hai una forma di assistenza "ufficiale" (accesso alle knowledge base, 
certificazioni eccetera), nonche' servizi di replacement in caso di rottura 
(Nokia ad esempio interviene anche entro le 12 ore dal guasto con un 
sistemista che si porta via la macchina rotta).

I firewall hardware sono prodotti relativamente nuovi (esistono da 2 - 3 anni) 
e sono piu' o meno come il passaggio (scusatemi la parabola ludica) dal PC 
alle console da gioco (Playstation e via). Si tratta in fatti di sistemi con 
un firmware dedicato ( Netscreen, Sonicwall e pochi altri) basati su circuiti 
integrati (detti in gergo ASIC) dedicati unicamente alle operazioni sui 
flussi TCP/IP. Questo tipo di appliance promette faville dal punto di vista 
del throughput e del session ramp rate (la facilità con cui si gestiscono i 
burst di traffico), soprattutto quando si tratta di VPN 3DES, proprio per il 
fatto di non avere ne' un'architettura generica ne' lo stack TCP/IP 
"classico" dei *NIX *BSD eccetera. In questi casi, inoltre, la bontà del 
prodotto deriva in maniera assoluta dalla qualità del firmware rilasciato 
dalla casa madre, nonchè dalla rapidità con cui vengono rilasciate le patch 
per eventuali bachi. Fidarsi a comprare? Meglio testare..... ;-)


-- 
-- Joka pieremättä kusee, se naimatta kuolee. 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List