Re: firewall "hardware" vs firewall software

2 appunti e una piccola censura:

pix non usa ios. E' un os suo, che si chiama appunto pix (se non erro
comprarono anni fa pix da un'altra ditta (o forse tutta la ditta, non
ricordo, sicuramente misi sapra' aggiungere qualche pettegolezzo succoso) e
piano piano lo hanno reso simile all'ios, anche se rimangono ancora
differenze sostanziali). Poi c'e' anche ios con firewall-feature-set, ma e'
un altro paio di brache.

non ci metterei le mani sul fuoco sul discorso di non backdoorare un fw
"hardware" :)

--- Enclosed, please find the posted message.
Date: Tue, 03 Sep 2002 11:25:07 +0200
From: Pietro Suffritti <pietro<at>suffritti.it>
Subject: Re: firewall "hardware" vs firewall software

At 14.09 02/09/2002, you wrote:
>sto cercando di capire quali sono i vantaggi/svantaggi dei firewall hardware
>a confronto con quelli software.
>giusto per chiarezza, per firewall hardware intendo cose come Cisco PIX, per
>firewall software cose come iptables di Linux

magari saro' smentito da mezzo mondo, ma personalmente faccio un po' fatica 
a vedere il cisco PIX come un fw hardware...
non pensi che ti convenga suddividere in 3 categorie, software, appliance e 
hardware? vedo di spiegarmi meglio:
Software:
tutti quei fw, come ad esempio iptables o checkpoint, che si basano 
esclusivamente su soluzioni sw, e che si appoggiano ad un s.o.
Appliance:
quegli oggetti hw dedicati a fare girare una applicazione sw che fa da 
firewall. e mi sembra che il cisco pix sia da inserire a buon diritto in 
questa categoria, in base a queste riflessioni:
a) gira su un sistema operativo installato sull'appliance? si. si chiama 
IOS e mi sembra incredibilmente simile ad uno unix. che sia un s.o. 
proprietario di Cisco ottimizato per le funzionalita' di routing non mi 
sembra sufficiente a definirlo come qualcosa di diverso da un linux o un 
xBSD un po' modificato.
b) e' una soluzione basata su un sw? francamente mi sembra proprio di si, 
visto che e' possbile aggiornarlo senza andare ad agire su eprom o 
similari, e' possibile implementare funzinalita' aggiuntive e/o modificarlo 
anche pesantemente con un upgrade sw ecc ecc. non mi sembra che il fatto 
che sia "appoggiato" su una memoria a stato solido sia sufficiente a 
qualificarlo come hw.
insomma, vi invito a rifletterci sopra: quale sarebbe la differenza tra un 
Cisco Pix ed un appliance Nokia se non il fatto che il sw di firewalling 
dell' appliance nokia lo possiamo anche trovare in vendita in giro separato 
dal suo hw dedicato?
HW:
quei firewall, come i NetScreen, che implementano una soluzione di 
firewalling direttamente a livello firmware su un hardware dedicato, e che 
quindi lavorano "per davvero" a livello hardware "puro"

se fai una distinzione del genere a mio avviso ti rendi conto meglio dei 
vantaggi e degli svantaggi insiti in ogni soluzione.
in qualche modo infatti nessuna di queste soluzioni (come al solito) e' 
"migliore" di un altra, ma hanno caratteristiche divese da tenere in 
considerazione che li rendono piu' o meno adatti ad una determinata realta'.
in qualche modo generalizzando un casino, penso che si possa dire che da 
una parte i fw sw ti permettano il massimo della flessibilita' a scapito 
della semplicita' d'uso e del fatto che ti vengono richieste piu' 
competenze per la loro gestione (oltre a loro devi installare e gestire 
anche il s.o. su cui girano, scegliere l'hw su cui andare ad installarli in 
base alle tue esigenze di prestazioni ecc ecc), gli appliance siano una 
"via di mezzo" che ti "maschera" l'esistenza di un s.o. sotto, la scelta 
dell' hw e spesso ti danno accesso ad una interfaccia di programmazione del 
fw desisamente piu' "user friendly" a fronte di un costo nettamente piu' 
alto, mentre quelli hw ti danno il massimo delle prestazioni "spremibili" 
dalla macchina, nessun problema di gestione del s.o. sottostante (non 
c'e'), una interfaccia veramente semplice ed un costo ad oggi molto basso, 
ma poi paghi questi vantaggi con una scarsa o nulla "upgradabilita'" 
dell'oggetto una volta che cambiano le tue esigenze.

detto cio' passiamo ai tuoi "punti da chiarire" , ovviamente anche in 
questo caso ben pecificando che si tratta di mie opinioni personali e 
quindi ovviamente MOLTO passibili di correzioni e di errata corrige da 
tutti i geniacci molto piu' skillati di me qui presenti :-)

>- I firewall hardware sono pi? o meno suscettibili ai problemi di sicurezza 
>?

partendo dall'ipotesi che in realta' la domanda sia "quanto spesso dovro' 
mettere le mani per aggiornarli sulle varie soluzioni" se dovessi fare un 
"conteggio" penso che sarei portato a dire che fw sw ed appliance se la 
battano ad una incollatura di distanza l'uno dall'altro. infatti in 
entrambi i casi oltre agli eventuali problemi che possono nascere da 
eventuali bug nel loro sw devi anche tenere conto dei problemi che possono 
"ereditare" dai s.o. su cui sono appoggiati, problema che ovviamente i fw 
hw non hanno. se proprio vogliamo fare i pignoli magari si puo' pensare che 
su una soluzione sw "pura" magari posso riuscire, se riesco a prendere il 
controllo della macchina da remoto, a crearmi un utente o a fare girare una 
backdoor piu' o meno nascosta tra gli altri processi in funzione 
(teoricamente possibile: quanto poi sia facile o fattibile e' un'altra 
cosa), su un appliance penso che la stessa cosa diventi nettamente piu' 
rognosa mentre sull' hw non credo che la cosa sia pensabile visto che 
dovrei riscriverne il firmware da remoto (tanti auguri e figli maschi)

>- E' pi? facile trovare aggiornamento per quelli software o quelli hardware 
>?

non sono sicuro di capire bene la domanda. un aggiornamento serve di solito 
quando viene scoperto un buco di sicurezza (mio nonno da buon fabbro 
ferraio diceva che se non era rotto era stupido ripararlo) e quindi a 
questo punto la differenza non e' piu'  a livello di "tipologie di 
prodotto" ma di singolo prodotto, o meglio ancora di "casa madre" del 
prodotto e della sua serieta' e velocita' nel realizzare le patch. in giro 
per internet troverai statistiche che dicono tutto ed il contrario di tutto 
in merito, quindi non posso che consigliarti di farti un giretto in giro e 
farti una opinione tua. personalmente credo che da una parte con alcuni 
sistemi sw (stile il kernel linux per iptables) venga demandato molto di 
piu' alle tue capacita' capire cosa, come e quando va installato dandoti 
pero' un livello potenziale di "conoscenza" di quel che la macchina fa 
estremo, mentre dall'altra parte della catena ti trovi i fw hw in cui di 
tanto in tanto esce la patch del firmware e fine della fiera, ma poi prega 
che la gente della casa produttrice abbia fatto tutto per ben benino 
perche' tu li dentro i ditini non ce li metti

>- Sapete di documenti in rete che illustrino il TCO delle due soluzioni con
>casi pratici a confronto ?

no e penso che la domanda stessa sia abbastanza priva di senso. l'influenza 
di un sistema di fw o di un altro su un tco in questo caso non credo sia 
conteggiabile nonostante le c****e che ti raccontano i settori marketing. 
ti consiglio di documentarti pero' in questo caso sul significato della 
sigla TCO e delle sue implicazioni, eventualmente se pensi che ti possa 
essere utile sul mio sito (www.suffritti.it) ci sono le slides di alcuni 
miei speech sul confronto dei TCO che forse possono aiutarti a capirne il 
meccanismo di funzionamento. ed a mio avviso in questo caso il tco c'entra 
poco piu' dei cavoli a merenda


>- ci sono difficolt? di gestione maggiore nell'una o nell'altra soluzione ?

certamente si' ^__^
nel senso che piu' ti sposti verso una soluzione "sw" piu' poi devi essere 
tu capace di farla funzionare come vuoi tu. la flessibilita' la si paga 
sempre in complessita' da quel che ho visto. poi pero' entra veramente 
anche in questo caso pesantemente in ballo la differenza tra un prodotto e 
l'altro , piu' che tra "una classe di prodotti" ed un'altra

spero di esserti stato utile e di non avere detto troppe c****e, ma in 
quest' ultimo caso so di poter contare sul "plotone di esecuzione" di tutti 
i megaguru qui presenti ^__^

ciao

Pietro Suffritti - Legolas the Elf .       ICQ UIN 8575514
_________________________________________________________
AREA POLITICA: Aldo, non ti immischiare, vieni via!!!
_________________________________________________________
http://www.erlug.linux.it     http://www.treemme.org/battletech
http://www.suffritti.it          http://gioco.net/startrek

----- End forwarded message -----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List