RE: firewall "hardware" vs firewall software

** warning, VENDOR REPLY **

>sto cercando di capire quali sono i vantaggi/svantaggi dei
>firewall hardware a confronto con quelli software.

Assumendo che firewall hardware=appliance, 

diciamo innanzitutto che le tendenze di mercato giocano a favore
dell'appliance, (non lo dico io, lo dice IDC) mentre il mercato dei
firewall software registra una flessione. Da evidenziare il mercato
nascente delle line card integrate per multilayer switch o router, che
si ipotizza guadagnera' una sostanziale fetta di mercato entro pochi
mesi. PEr appliance intendiamo una "blackbox" di una marca particolare.
In quel caso dentro l'appliance girera' in ogni caso del "software" su
dell'"hardware", difficile quindi dire quando si parla dell'una o
dell'altra soluzione. 

Facciamo un'altra distinzione fra firewall software ed hardware, dove in
questo caso prendiamo per software tutto quello che viene processato da
un software che sta in memoria volatile e per hardware tutto il resto.
Parliamo quindi di soluzioni ASIC o di network processors. L'ASIC (in
parole estremamente povere una scheda che fa un dato compito) e' molto
veloce e processa i pacchetti in hardware. Questo suo pregio e' anche il
suo difetto, in quanto aggiornare un'ASIC e' problematico perche nel
migliore dei casi va riprogrammata, nel peggiore va risostituita. Molto
promettente nel campo del firewalling la tecnologia dei network
processors che sono dei processori pensati apposta per processare flussi
di dati ad altissima velocita'. Su questa soluzione e' basata ad esempio
la nuova line card di firewalling per i catalyst di fascia alta.
Il bello nel network processor e' che e' molto facilmente
riprogrammabile. Qui ad ogni modo stiamo parlando di soluzioni di fascia
molto alta e di tecnologia estremamente innovativa.

Tornando a noi ed alle appliance, citando tendenze di mercato non voglio
fare il fuffologo, ma sottolineare il fatto che se la gente compera una
cosa piuttosto che un'altra evidentemente perche ci sono dei benefici.
Fra i principali benefici delle soluzioni appliance:

* Facilitá di installazione (non c'e' bisogno di comprare il server,
installarlo, installare le patch al SO, installare la applicazione
firewall)

* Facilita' di gestione, in genere le appliance sono soluzioni di
vendor, che per renderle piu' semplici ed accattivanti (ma non solo; per
permettere una gestione integrata di centinaia di device da una singola
consolle ad esempio ) implementano una interfaccia grafica (affiancata
dalla command line inmolti casi, per chi la preferisce ed ha gli skills)
semplice, flessibile e scalabile. Facilita' di gestione significa anche
trovare molti fornitori di sicurezza gestita disponibili a gestire
appliance, che per definizione sono gestite da remoto. 

* Supporto migliore e piú semplice. Se si rompe un PC con una
applicazione che fa da firewall sopra e' un discorso, se si rompa una
blackbox non ti interessa nemmeno cosa si e' rotto, chiami il vendor e
te la fai cambiare. 

* L'appliance e' indipendente dal sistema operativo. Se hai un firewall
appliance non devi preoccuparti di avere skills in casa relativi ad uno
specifico sistema operativo, non corri il rischio di doverti mettere in
casa una macchina unix se unix non lo conosci o una macchina NT se NT
non ti piace. Per lo stesso motivo non devi preoccuparti se una nuova
vulnetabilita' di NT/linux/solaris impatta sul tuo firewall basato su
uno di questi sistemi operativi. Il software che gira all'interno del
blackbox e' stato pensato dal primo all'ultimo bit per fare quello e
solo quello. ATTENZIONE, questo non significa che un'appliance non avra'
vulnerabilita', ma che almeno non eredita quelle del sistema operativo,
oltre alle proprie.

Abbiamo parlato di appliance; che tutto sommato e' il termine che piu'
si avvicina a quella che e' la tua definizione. Non dimentichiamoci che
esistono soluzioni firewall "hardware" che sono applicazioni che girano
su un sistema operativo in un'appliance. Puoi far girare NT/BSD/Solaris
su appliance intel o SPARC, oppure puoi far girare IPSO su appliance
nokia. Queste sono vie di mezzo, che comunque essendo poi veicolate da
un singolo vendor hanno quasi tutti i vantaggi delle apliance di cui
sopra.

Dove sta la fregatura ?

* le appliance costano (hardware, ricerca, shipping, supporto, servizi
di aggiornamento), le soluzioni software rasentano il gratuito.

* aggiornamento dell'hardware. Se vuoi cambiare le schede di rete,
aggiornare il processore, aggiungere memoria, per guadagnare
performances, questo non sempre e' fattibile e sei legato al vendor
dell'appliance per tutto l'hardware aggiuntivo. Ammesso che sia
tecnicamente possibile NON rivolgersi al vendor sarebbe peccato perdere
il supporto da parte della casa madre dopo l'installazione di una scheda
non supportata. In fondo il supporto e' stato pagato assieme
all'appliance.


>- I firewall hardware sono più o meno suscettibili ai problemi di 
>sicurezza ?

Tutti i firewall possono potenzialmente essere suscettibili a problemi.
I peggiori che possono capitarti, come dice Raistlin, sono quelli dovuti
ad una amministrazione povera, e quindi li lasciamo da parte. Se
vogliamo considerare che le appliance non "ereditano" i problemi del
sistema operativo probabilmente sono leggermente meno suscettibili.
Fatti un giro si http://icat.nist.gov e divertiti a fare le statistiche
fra diversi prodotti, software o hardware.

>- E' più facile trovare aggiornamento per quelli software o quelli 
>hardware ?

Si trovano facilmente entrambi ma magari il produttore di appliance ti
manda il CDRom a casa o prevede un aggiornamento automatico, mantre se
hai un ottimo ipchains su linux non e' porprio cosi'. La tempestivita'
e' la stessa a conti fatti, la facilita' ne farei una preferenza
personale.

>- Sapete di documenti in rete che illustrino il TCO delle due soluzioni

>con casi pratici a confronto ?

Non sono a conoscenza di nulla di pubblico. DAi un'occhiata ai soliti
IDC, Gartner eccetera se hanno qualcosa di pubblico.

>- ci sono difficoltà di gestione maggiore nell'una o nell'altra 
>soluzione ?

Vedi sopra, in genere le appliance, sono piu facili da gestire.
Attenzione, non in quanto appliance, ma in quanto soluzioni vendor. Con
questo non voglio dire che le altre soluzioni non siano di facile
gestione.


ciao,
marco
 
Marco Misitano
Consulting Systems Engineer, Security
Cisco Systems Italy
-------------------------------------
Phone: +39 039 6295 1   /generic
email: misi-at-cisco-dot-com



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List