RE: firewall "hardware" vs firewall software

/*
Fra i principali benefici delle soluzioni appliance:

* Facilitá di installazione (non c'e' bisogno di comprare il server,
installarlo, installare le patch al SO, installare la applicazione
firewall)
*/

Qui c'è un problema di lingua:
"facilità" sf. l'essere facile | possibilità di fare qualcosa senza fatica

La _facilità_ di azione è irrilevante.

/*
* Facilita' di gestione, in genere le appliance sono soluzioni di
vendor, che per renderle piu' semplici ed accattivanti (ma non solo; per
permettere una gestione integrata di centinaia di device da una singola
consolle ad esempio ) implementano una interfaccia grafica (affiancata
dalla command line inmolti casi, per chi la preferisce ed ha gli skills)
semplice, flessibile e scalabile. Facilita' di gestione significa anche
trovare molti fornitori di sicurezza gestita disponibili a gestire
appliance, che per definizione sono gestite da remoto.
*/

E' solo una questione di _organizzazione_, non _facilità_.
La sicurezza deve essere gestita da chi si occupa di sicurezza, sia esso un
consulente o un interno, quindi il fatto che sia _facile_ è irrilevante.
Qualcuno vuole far amministrare il firewall dalla segretaria perchè basta il
browser ?

/*
* Supporto migliore e piú semplice. Se si rompe un PC con una
applicazione che fa da firewall sopra e' un discorso, se si rompa una
blackbox non ti interessa nemmeno cosa si e' rotto, chiami il vendor e
te la fai cambiare.
*/

No.
Questo discorso va bene perchè lavori alla Cisco e avete dei device da 10^5
euro che _ovviamente_ prevedono i tre re magi che ti portano il device di
ricambio con tanto di stella cometa.
Ma se un device costa 500 euro quanto devo aspettare perchè l'azienda (non
il negozio dove l'ho acquistato) me ne mandi uno ?


/*
* L'appliance e' indipendente dal sistema operativo. Se hai un firewall
appliance non devi preoccuparti di avere skills in casa relativi ad uno
specifico sistema operativo, non corri il rischio di doverti mettere in
casa una macchina unix se unix non lo conosci o una macchina NT se NT
non ti piace. Per lo stesso motivo non devi preoccuparti se una nuova
vulnetabilita' di NT/linux/solaris impatta sul tuo firewall basato su
uno di questi sistemi operativi. Il software che gira all'interno del
blackbox e' stato pensato dal primo all'ultimo bit per fare quello e
solo quello. ATTENZIONE, questo non significa che un'appliance non avra'
vulnerabilita', ma che almeno non eredita quelle del sistema operativo,
oltre alle proprie.
*/

"pensato dal primo all'ultimo bit per fare quello e solo quello"
Caspita fa davvero solo quello!

CAN-2001-1098
Published: 10/10/2001
Summary: Cisco PIX firewall manager (PFM) 4.3(2)g logs the enable password
in plaintext in the pfm.log file, which could allow local users to obtain
the password by reading the file.

(Persino Win95 prevedeva di criptare le password!)

Il punto sta nella paranoia che uno sviluppatore di un'azienda che vende una
"black-box" ha.
Quante volte la nostra pigrizia ci ha detto "chi vuoi che scopra questo
problemuccio senza guardare i sorgenti ?"
Già...


/*
Tutti i firewall possono potenzialmente essere suscettibili a problemi.
I peggiori che possono capitarti, come dice Raistlin, sono quelli dovuti
ad una amministrazione povera, e quindi li lasciamo da parte. Se
vogliamo considerare che le appliance non "ereditano" i problemi del
sistema operativo probabilmente sono leggermente meno suscettibili.
Fatti un giro si http://icat.nist.gov e divertiti a fare le statistiche
fra diversi prodotti, software o hardware.
*/

Durante la prima BlackHat Conference (InfoSecurity 2002) FuSyS ha parlato di
una bella media per Cisco: un advisory ogni 27 giorni (o erano 17 ?).
Supponendo che i suoi conti fossero corretti (saprà contare! ;-) ci sarebbe
da riflettere...

Personalmente uso OpenBSD con il nuovo PF e l'amministrazione via SSH e sto
lavorando ad un progetto con qualcuno in questa lista (ciao!) per qualcosa
di speciale.
I dettagli all'InfoSecurity 2003! ;-)


/*
>- E' più facile trovare aggiornamento per quelli software o quelli
>hardware ?

Si trovano facilmente entrambi ma magari il produttore di appliance ti
manda il CDRom a casa o prevede un aggiornamento automatico, mantre se
hai un ottimo ipchains su linux non e' porprio cosi'. La tempestivita'
e' la stessa a conti fatti, la facilita' ne farei una preferenza
personale.
*/

Mica tanto uguale.
Pensate quando si "scoprì" il SYN flood.
Un dispositivo hardware(ASIC) che possibilità di aggiornamento avrebbe ?

L'idea di spedire un CD a casa è una battuta, spero.
Qui si parla di ore. Ore preziose in cui un device che deve proteggere la
tua rete può diventare il punto da cui entrare...
E vogliamo aspettare che ci cada in testa una pannocchia gigante ?

/*
>- Sapete di documenti in rete che illustrino il TCO delle due soluzioni
>con casi pratici a confronto ?

Non sono a conoscenza di nulla di pubblico. DAi un'occhiata ai soliti
IDC, Gartner eccetera se hanno qualcosa di pubblico.
*/

La vera differenza di costi sta nella gestione:
un addetto alla sicurezza o un consulente.
L'idea di qualcuno che gestisce il firewall nel tempo libero è esclusa.


/*
>- ci sono difficoltà di gestione maggiore nell'una o nell'altra
>soluzione ?

Vedi sopra, in genere le appliance, sono piu facili da gestire.
Attenzione, non in quanto appliance, ma in quanto soluzioni vendor. Con
questo non voglio dire che le altre soluzioni non siano di facile
gestione.
*/

Anche un bambino di 5 anni può usare il browser per aggiungere o togliere
regole da molti dei suddetti appliance, ma il punto è un'altro: chi decide
quali regole mettere ?




	Ed3f






Piccola riflessione:
Tutte le reti sono vulnerabili agli exploit per i client.
Mi riferisco ai browser, client per le mail (non solo Outlook), ICQ etc...
(E parlo di Linux e *BSD oltre a Win*)
E' per questo che si deve affidare la sicurezza (tutta) a qualcuno che
faccia quello. Solo quello.
Perchè finchè tutto va bene chiunque "gestisca la sicurezza" scrivendo 4
regole per il firewall sarà all'altezza, ma l'incapacità sarà palese dopo il
primo attacco.
Sempre che venga scoperto...




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List