RE: firewall "hardware" vs firewall software

** yet another VENDOR REPLY **


> a) gira su un sistema operativo installato sull'appliance? si. si 
> chiama
> IOS e mi sembra incredibilmente simile ad uno unix. che sia un s.o. 
> proprietario di Cisco ottimizato per le funzionalita' di routing non
mi 
> sembra sufficiente a definirlo come qualcosa di diverso da un linux o
un 
> xBSD un po' modificato.

Il sistema operativo del PIX si chiama FINESSE e non ha nulla a che
vedere con IOS, che invece affonda lontane radici in BSD. Inoltre PIX
non ha nessuna funzionalita' di routing.

PIX, che sta per Private Internet eXchange arriva a cisco da una
acquisizione di NEtwork Translation nel 1995: 
http://www.cisco.com/warp/public/146/pressroom/1995/oct95/242.html


> difficoltà di gestione, se parli di cisco, la cosa non è molto 
> semplice e i corsi costano parecchio. Ma ci sono prodotti di qualità 
> tipo i Netscreen che sono più semplicemente gestibili.

Da piu di un anno a questa parte anche il PIX ha una interfaccia grafica
accessibile via web dal PIX stesso, su tutte le versioni del software,
dalla 6.0 in poi. Comunque credo che comunque tutti i firewall non siano
semplici da gestire come winzip.

Una scherzosa introduzione a PIX firewall (koba, taglia pure se ritieni
offtopic) : http://routergod.com/deniserichards/


>Attento: il Cisco PIX e' un PC con software dedicato.

No. 
PIX e' un sistema embedded basato su architettura intel. 
Un PC ha hardware diverso, memoria diversa, ha un disco fisso (cosa che
il PIX non ha). Il fatto che qualcuno sia riuscuto a metterlo su
hardware PC-like non significa che il PIX e' un PC. 
L'applicazione che gira sull'hardware che costituisce il PIX e' stata
progettata per fare da firewall e nient'altro, ci sono delle
performances garantite, c'e' il supporto, ci sono gli aggiornamenti, ci
sono tutta una serie di cose che lo differenziano. L'unica cosa di cui
ti do' atto e' che sia il PC che il PIX hanno architettura intel. Se
dunque ci fossero "PC" con processori RISC diffusi come i PC allora cosa
facciamol diciamo che anche i router sono dei PC con una applicazione
specifica ? 

>> - I firewall hardware sono più o meno suscettibili ai problemi di 
>> sicurezza
>Ci sono bachi sia in "hardware" (cioè nel cosiddetto firmware) sia in 
>"software" (patch sul kernel linux), entrambi vengono in genere 
>regolarmente corretti, ma qui possiamo tranquillamente far entrare in 
>gioco il discorso della migliore pathcabilità di un prodotto opensource

>etc....

Non capisco perche un opensource ha una migliore patchabilita'. Tutto si
puo' patchare, l'opensource con delle procedure, il vendor-source con
delle altre. il risultato e' lo stesso, senza per forza scendere sul
fatto che il vendor puo' aggiungerci servizi di supporto e di notifica,
che a mio avviso NON impattano sul risultato finale.

> Questo tipo di appliance promette faville dal punto di vista del 
> throughput e del session ramp rate (la facilità con cui si gestiscono 
> i burst di traffico),

Ci sono anche i test indipendenti che hanno "testato" le promesse :)

> Fidarsi a comprare? Meglio testare..... ;-)

D'accordissimo ! Infatti esistono i TRY&BUY oltre ai test di cui sopra. 
PS: sui firewalls di fascia media dovrebbe uscirne uno a breve su 01Net.





Ciao,
marco

 
Marco Misitano
Consulting Systems Engineer, Security
Cisco Systems Italy
---------------------------------
Phone: +39 039 6295 1   /generic
mail : misi-at-cisco-dot-com




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List