RE: pix e isa

Ritengo ISA un prodotto sufficientemente affidabile e
stabile (se e' ben configurato lui e la macchina su cui
gira!). Se vuoi un'infrastruttura sicura ai massimi livelli
(almeno a livello teorico), metti su una DMZ back to back
con il server web posizionato qui. Come firewall esterno
metti un device che non sia ISA. Come FW interno metti ISA
(Microsoft stessa consiglia questo :). In questo modo sei in
grado di gestire molto meglio le access policy degli utenti
verso l'esterno (ovvero, se installi il firewall client sei
in grado di definire policy basate sulle utenze e non solo
sugli IP source). Questo e' un vantaggio non indifferente.
Ci sono altri vantaggi a configurare le risorse interne come
FW client ma non vorrei dilungarmi troppo (accenno la
possibilita' di avere log dettagliati con tanto di nome
dell'eseguibile che esegue l'accesso con possibilita' di
bloccare quest'ultimo). Tutto quanto detto finora e'
applicabile solo su macchine Win32 (e con qualche
smanettamento su macchine Win16). Se hai risorse interne Mac
o Unix/Linux ti tocca configurarle come secureNAT e perdi un
po' di benefici.

Se l'azienda non ha sufficienti risorse per 2 firewall puoi
comunque ottenere lo stesso risultato con una sola macchina
ISA e configurare una DMZ 3-homed. Se la macchina e'
sufficientemente carrozzata e' in grado di reggere
tranquillamente il traffico previsto. Comunque qui entriamo
in un discorso sulla valutazione dei rischi su cui l'azienda
dovra' riflettere per bene (la ben nota proporzione fra
valore delle informazioni da proteggere e costo
dell'investimento per proteggersi).

Buon lavoro
J0mb



> -----Original Message-----
> From: Andrea Consadori [mailto:konsa@libero.it]
> Sent: Monday, December 16, 2002 8:08 PM
> To: ml
> Subject: pix e isa
>
>
> Salve ragazzi vorrei un vostro parere:
>
> in una ditta si deve scegliere una via per proteggerla da
> intrusioni esterne e gestire le connessioni verso
l'esterno
> tramite proxy...
>
> la ditta ha gi=e0 licenza isa server
>
> l'intenzione era di fare gestire a isa server sia il
discorso
> proxy che il discorso firewall
>
> l'altra idea era di mettere un pix che si gestisce le
> connessioni che provengono dall'esterno, e l'isa che
gestisce
> le problematiche di firewalling e proxy interno
>
> l'azienda in questione ha un carico medio di 200
connessioni
> dall'interno all'esterno simultanee e ritengo una decina
> simultanee dall'esterno all'interno; come servizi gestisce
> solo un server web che si dovrebbe posizionare in una dmz
>
> volevo sapere i per voi quali erano i pro e i contro delle
> due diverse scelte, certo suddividere il lavoro su +
> macchinari =e8 meglio ma ha i suoi costi...
>
> isa gestisce bene la questione firewall o lascia un po a
> desiderare? sentivo voci contrastanti a riguardo , per i
pix
> nn dubito dell'efficacia ma hanno un costo non
indifferente
> (pure isa server lo ha ma come gi=e0 detto il prodotto =e8
gia
> licenziato e quindi non =e8 un costo aggiuntivo).
>
> ringrazio e attendo vostri pareri
>
> Andrea (Konsa79) Consadori
_____________________________________________________________________
// free anonymous email || forums \\ subZINE || anonymous browsing
            subDIMENSION -- http://www.subdimension.com

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List