re: firewall "hardware" vs firewall software

Ciao,

direi che a questo punto non stiamo parlando piú puramente dell'hardware
versus software, piuttosto dell'eterna diatriba fra Open Source e
Vendor. Sono d'accordo con te su diverse cose e vorrei fare qualche
considerazione aggiuntiva.

/*
* Facilita' di gestione, <...> per renderle piu' semplici <...> (ma non
solo; per permettere una gestione integrata di centinaia di device da
una singola consolle ad esempio ) implementano una interfaccia grafica
(affiancata dalla command line in molti casi, per chi la preferisce ed
ha gli skills) semplice, flessibile e scalabile. Facilita' di gestione
significa anche trovare molti fornitori di sicurezza gestita disponibili
a gestire appliance, che per definizione sono gestite da remoto. 
*/


// E' solo una questione di _organizzazione_, non _facilità_. 
// La sicurezza deve essere gestita da chi si occupa di sicurezza, 
// sia esso un consulente o un interno, quindi il fatto che sia 
// _facile_ è irrilevante. Qualcuno vuole far amministrare il 
// firewall dalla segretaria perchè basta il browser ?

Spero proprio di no e nemmeno io lo vorrei. Se hai visto il mio
messaggio precedente, sono il primo a dire che "Comunque credo che tutti
i firewall non siano semplici da gestire come winzip." E sono anche
d'accordo sul fatto che non ci si improvvisa amministratori della
sicurezza, ne lo si possa fare a tempo perso. Ciononostante, e lo reputo
molto grave, anche grosse aziende non hanno il gruppo o nemmeno il
responsabile della sicurezza. 
Oppure, molto piu' semplicemente ci sono diversi amministratori della
sicurezza. Pensa a realta' con dozzine o centinaia di firewall, uno in
ogni sede periferica. Tralasciando che siano appliance o meno, quello
che serve e' una gesione centralizzata, che preveda una trafila ben
precisa di deployment delle policy, eventualmente pensata da una persona
e fisicamente applicata da un'altra, dopo essere stata approvata da
un'altra ancora, con le diverse persone che stanno in tre continenti
diversi. Io amo la command line, e mi piace che ci debba essere un
amministratore unico della sicurezza ma alle volte la gestione fatta in
questo modo non scala. Non dico di dare l'amministrazione in mano alla
segretaria, dico che vendor come cisco, checkpoint, symantec, netscreen
a tutti gli altri, *devono* avere una soluzione di gestione che permetta
una gestione di questo tipo. Ovvio, questo discorso non si applica alla
semplice rete con una inside, una outside ed una DMZ gestita da una sola
persona.


/*
* Supporto migliore e piú semplice. Se si rompe un PC con una
applicazione che fa da firewall sopra e' un discorso, se si rompa una
blackbox non ti interessa nemmeno cosa si e' rotto, chiami il vendor e
te la fai cambiare. 
*/

// No. Questo discorso va bene perchè lavori alla Cisco e avete dei 
// device da 10^5 euro che _ovviamente_ prevedono i tre re magi che 
// ti portano il device di ricambio con tanto di stella cometa. 
// Ma se un device costa 500 euro quanto devo aspettare perchè 
// l'azienda (non il negozio dove l'ho acquistato) me ne mandi uno ?

La velocita' di sostituzione non dipende da quanto e' costato il "pezzo"
iniziale. Esistono diversi metodi e livelli di supporto e sostituzione
dell hardware, per cisco come per altri vendor, volendo puoi ottenere un
livello di servizio tale che la sostituzione e' immediata anche per
device da 500 euro.


/*
<snip> Il software che gira all'interno del blackbox e' stato pensato
dal primo all'ultimo bit per fare quello e solo quello. ATTENZIONE,
questo non significa che un'appliance non avra' vulnerabilita', ma che
almeno non eredita quelle del sistema operativo, oltre alle proprie. */

// "pensato dal primo all'ultimo bit per fare quello e solo quello"
Caspita fa davvero solo quello!

// CAN-2001-1098
// Published: 10/10/2001
// Summary: Cisco PIX firewall manager (PFM) 4.3(2)g logs the 
// enable password in plaintext in the pfm.log 
// file, which could allow local users to obtain the password 
// by reading the file.

PFM e' un prodotto software, da installare su un PC, inoltre non e' in
produzione/vendita da piu' di un anno, io comunque mi riferivo
all'appliance, non al software di management. Ad ogni modo su una
stazione di management di un firewall, gia non e' buona norma salvare la
password sul programma di gestione, e se quella postazione non ha
accorgimenti di controllo degli accessi fisici si rischia ben di piú che
una password a cui e' possibile risalire (keyloggers, etc..).


/*
Tutti i firewall possono potenzialmente essere suscettibili a problemi.
I peggiori che possono capitarti, come dice Raistlin, sono quelli dovuti
ad una amministrazione povera, e quindi li lasciamo da parte. Se
vogliamo considerare che le appliance non "ereditano" i problemi del
sistema operativo probabilmente sono leggermente meno suscettibili.
Fatti un giro si http://icat.nist.gov e divertiti a fare le statistiche
fra diversi prodotti, software o hardware. */

// Durante la prima BlackHat Conference (InfoSecurity 2002) 
// FuSyS ha parlato di una bella media per Cisco: 
// un advisory ogni 27 giorni (o erano 17 ?). 
// Supponendo che i suoi conti fossero corretti (saprà contare! ;-) 
// ci sarebbe da riflettere...

Non ho mai creduto che il semplice numero delle vulnerabilita' faccia il
buono o il cattivo di un prodotto, ci sono molte piú ed altre variabili
in gioco. Ad ogni modo, piú che da riflettere c'e' da dare un senso al
numero "27". Basandomi su icat.nist.gov, (a giudicare dai risultati, lo
stesso su cui dev'essersi basato FuSyS) abbiamo:

Cisco, 
prima vulnerabilitá scoperta: 10 Dic 1992
Numero delle vulnerabilita' scoperte fino ad oggi: 128
Una ogni, aprossimativamente : 28.25 giorni

Quindi il numero e' buono, arrotondiamo ancora di piu' ed abbiamo:
CISCO: 28 giorni
Ma anche 
OpenBSD: 27 (27.87) giorni [66 vuln dal 24 ago 97 ]
Microsoft: 4 (4.48) giorni [627 dal 1 jan 1995]
Sun: 18 (18.00) giorni [261 dal 26 ott 89]
Linux: 6 (6.82) giorni [422 dal 19 dic 1994]

Ma ripeto non credo siano questi numeri che fanno il buono o il cattivo,
non ho mai pensato che un device perda la sua buona reputazione solo per
una vulnerabilita' scoperta, chiunque sia il produttore.

/*
>- E' più facile trovare aggiornamento per quelli software o quelli
hardware ?

Si trovano facilmente entrambi ma magari il produttore di appliance ti
manda il CDRom a casa o prevede un aggiornamento automatico, mantre se
hai un ottimo ipchains su linux non e' porprio cosi'. La tempestivita'
e' la stessa a conti fatti, la facilita' ne farei una preferenza
personale. 
*/

// Mica tanto uguale.
// Pensate quando si "scoprì" il SYN flood.
// Un dispositivo hardware(ASIC) che possibilità di aggiornamento
avrebbe ?

Le ASIC sono molto usate, nel mercato dei firewall, ed hanno
effettivamente un problema del genere. Qui parliamo di un PIX che
risiede in una flash e come abbiamo gia visto e' basato su architettura
intel. La Firewall Line Card per Catalyst6500 e' basata su Network
Processors, come ho accennato in precedenza.


ciao,
marco misitano


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List