[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2002 ml@sikurezza.org Soggetto: RE: firewall "hardware" vs firewall software Mittente: Dido Data: 9 Sep 2002 08:28:08 -0000
** Warning, RHCE REPLY ** Sono d'accordo su tutto, specie sulle considerazioni sul PIX (se definiamo PIX un firewall "software", credo che veramente stiamo facendo filosofia...). Inoltre, concordo pienamente con le considerazioni di Marco Misitano, ma vorrei solo evidenziare un problema: molto spesso, le appliance sono poco "scalabili" in termine di struttura di rete. Voglio dire: se oggi compro una appliance con 3 zone perchè oggi sembra sufficiente, domani poi rischio di dover ricomperare tutto, se voglio aggiungere una zona...Per me è una cosa da valutare (forse perchè a me è capitato di dover passare da 3 a 5 zone!). At 14.13 05/09/2002 +0200, you wrote: >** warning, VENDOR REPLY ** <snip> >Tornando a noi ed alle appliance, citando tendenze di mercato non voglio >fare il fuffologo, ma sottolineare il fatto che se la gente compera una >cosa piuttosto che un'altra evidentemente perche ci sono dei benefici. >Fra i principali benefici delle soluzioni appliance: > >* Facilitá di installazione (non c'e' bisogno di comprare il server, >installarlo, installare le patch al SO, installare la applicazione >firewall) > >* Facilita' di gestione, in genere le appliance sono soluzioni di >vendor, che per renderle piu' semplici ed accattivanti (ma non solo; per >permettere una gestione integrata di centinaia di device da una singola >consolle ad esempio ) implementano una interfaccia grafica (affiancata >dalla command line inmolti casi, per chi la preferisce ed ha gli skills) >semplice, flessibile e scalabile. Facilita' di gestione significa anche >trovare molti fornitori di sicurezza gestita disponibili a gestire >appliance, che per definizione sono gestite da remoto. Vero, ma anche qui dipende dagli skill personali specifici... >* Supporto migliore e piú semplice. Se si rompe un PC con una >applicazione che fa da firewall sopra e' un discorso, se si rompa una >blackbox non ti interessa nemmeno cosa si e' rotto, chiami il vendor e >te la fai cambiare. vero, ma vediamola così: con il costo dei pc oggi giorno, posso anche permettermi di tenere una macchina preconfigurata come scorta fredda, e in caso di guasto semplicemente accenderla e collegarla... >* L'appliance e' indipendente dal sistema operativo. Se hai un firewall >appliance non devi preoccuparti di avere skills in casa relativi ad uno >specifico sistema operativo, non corri il rischio di doverti mettere in >casa una macchina unix se unix non lo conosci o una macchina NT se NT >non ti piace. Per lo stesso motivo non devi preoccuparti se una nuova >vulnetabilita' di NT/linux/solaris impatta sul tuo firewall basato su >uno di questi sistemi operativi. Il software che gira all'interno del >blackbox e' stato pensato dal primo all'ultimo bit per fare quello e >solo quello. ATTENZIONE, questo non significa che un'appliance non avra' >vulnerabilita', ma che almeno non eredita quelle del sistema operativo, >oltre alle proprie. Beh, è indipendente da _altri_ s.o., eredita le vulnerabilità "proprietarie"... >Tutti i firewall possono potenzialmente essere suscettibili a problemi. >I peggiori che possono capitarti, come dice Raistlin, sono quelli dovuti >ad una amministrazione povera, e quindi li lasciamo da parte. Se >vogliamo considerare che le appliance non "ereditano" i problemi del >sistema operativo probabilmente sono leggermente meno suscettibili. Vedi sopra... Tommaso "dido" Di Donato ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005