RE: firewall "hardware" vs firewall software

Attenzione che l'appelativo di firewall HW forse potrebbe essere meglio
interpretato se viene chiamato firewall con tecnologia ASIC, che
differisce pesantemente dagli appliance tipo Nokia(compromesso HW+SW) in
quando questi si occupano di gestire le regole firewall non tramite
l'utilizzo di software di terze parti, ma tramite l'implementazione di
codice proprietario scritto direttamente sulle schede dell'apparato di
rete.
Ciao


-----Original Message-----
From: Filo [mailto:filippo.cassini<at>libero.it] 
Sent: Tuesday, September 03, 2002 9:46 AM
To: ml<at>sikurezza.org
Subject: Re: firewall "hardware" vs firewall software



> giusto per chiarezza, per firewall hardware intendo cose come Cisco 
> PIX, per firewall software cose come iptables di Linux

Attento: il Cisco PIX e' un PC con software dedicato. 

>
> Tra le cose da chiarire:
>
> - I firewall hardware sono più o meno suscettibili ai problemi di 
> sicurezza

Ci sono bachi sia in "hardware" (cioè nel cosiddetto firmware) sia in 
"software" (patch sul kernel linux), entrambi vengono in genere
regolarmente 
corretti, ma qui possiamo tranquillamente far entrare in gioco il
discorso 
della migliore pathcabilità di un prodotto opensource etc....

> ? - E' più facile trovare aggiornamento per quelli software o quelli 
> hardware ?

E' uguale. Chiaramente nel caso del PIX gli aggiornamenti sono
ufficiali, non 
si trovano generalmente altrove che in ftp.cisco.com (... o no?)

 - Sapete di documenti in rete che illustrino il TCO delle due
> soluzioni con casi pratici a confronto ?
> - ci sono difficoltà di gestione maggiore nell'una o nell'altra 
> soluzione ?

Ti proporrei di cambiare la distinzione "hardware -> software" in una 
"opensource  -> proprietario". Nel primo caso hai prezzi  inferiori, con

magari qualche difficoltà in più dal punto di vista sistemistico, nel
secondo 
caso hai una forma di assistenza "ufficiale" (accesso alle knowledge
base, 
certificazioni eccetera), nonche' servizi di replacement in caso di
rottura 
(Nokia ad esempio interviene anche entro le 12 ore dal guasto con un 
sistemista che si porta via la macchina rotta).

I firewall hardware sono prodotti relativamente nuovi (esistono da 2 - 3
anni) 
e sono piu' o meno come il passaggio (scusatemi la parabola ludica) dal
PC 
alle console da gioco (Playstation e via). Si tratta in fatti di sistemi
con 
un firmware dedicato ( Netscreen, Sonicwall e pochi altri) basati su
circuiti 
integrati (detti in gergo ASIC) dedicati unicamente alle operazioni sui 
flussi TCP/IP. Questo tipo di appliance promette faville dal punto di
vista 
del throughput e del session ramp rate (la facilità con cui si
gestiscono i 
burst di traffico), soprattutto quando si tratta di VPN 3DES, proprio
per il 
fatto di non avere ne' un'architettura generica ne' lo stack TCP/IP 
"classico" dei *NIX *BSD eccetera. In questi casi, inoltre, la bontà del

prodotto deriva in maniera assoluta dalla qualità del firmware
rilasciato 
dalla casa madre, nonchè dalla rapidità con cui vengono rilasciate le
patch 
per eventuali bachi. Fidarsi a comprare? Meglio testare..... ;-)


-- 
-- Joka pieremättä kusee, se naimatta kuolee. 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List