PDA

View Full Version : come giudicare un firewall migliore di un altro?


ferx
17-08-2006, 15:43
Sicuramente faccio una domanda sciocca ma ci provo lo stesso. (ho postato anche su it.comp.reti.locali, chiedo scusa)
Sarei curioso di capire quali sono le sostanziali differenze che rendono un firewall migliore di un altro. Mi spiego meglio. Tutti i router hanno una funzionalità di firewall, ma partiamo da 30 euro per un d-link da supermercato e finiamo alle svariate centinaia o migliaia per certi Cisco o Fortigate e via dicendo. Di sicuro osservando il software di un Cisco o similari si vedono mille funzioni ulteriori che probabilmente costituiscono un valore aggiunto che si paga.Io parlo del semplice (si fa per dire) firewall. Considerando che un qualunque router ha per default bloccati tutti i servizi in ingresso tranne quelli che si vanno ad abilitare come port forwarding, virtual server e via dicendo, a quel punto mi chiedo: che cosa farà in questo caso un Cisco o un Fortigate meglio di un Netgear/d-link/Zyxel ? Non parlo, ripeto , delle funzionalità ulteriori su cui non voglio nemmeno discutere (questi apparecchi di classe superiore fanno anche da antivirus, web filtering centralizzato, dual wan e altro), mi chiedo semplicemente che tipo di
protezione "migliorata" mi offrirebbe un oggettino costoso rispetto ad uno economico nel semplice sbarramento della mia rete, senza cercare servizi avanzati.
Grazie a tutti

hmetal
17-08-2006, 16:29
mi chiedo semplicemente che tipo di
protezione "migliorata" mi offrirebbe un oggettino costoso rispetto ad uno economico nel semplice sbarramento della mia rete, senza cercare servizi avanzati.


La maggior parte delle volte niente. Per il semplice fatto che le persone credono che:

+ costa = + sei sicuro

E' un cazzata.

La teoria giusta è:

+ sai di cosa stai parlando e sai come funziona la tua rete = + sei sicuro

La stragrandissimissimiima maggioranza delle volte, un server con iptables è sufficiente (costo 0). Ma si sa, un bello scatolotto da 5000 euro su rak dà piu sicurezza....

Inoltre, guarda ci metto la mano sul fuoco, chi compra un firewall (ma tu stai parlando di router+firewall+altrecazzatine tutto in uno bel scintillante scatolotto) esegue in sequenza:

- lo accende.
- ci mette un ip
- si collega all'interfaccia web (se è linux based lo da in gestione ad altre aziende...muahahah....perche a riga di comando è troppo difficile)
- guarda il log per controllare che negli ultimi 10 secondi non ci siano stati attacchi.
- apre la porta per emule linkata all'ip del suo pc in ufficio ;)
- chiude il rack
- va via contento
- delle 2000 feauture non ha neanche visto il menu

bye

Ilpastore
17-08-2006, 18:39
La maggior parte delle volte niente. Per il semplice fatto che le persone credono che:

+ costa = + sei sicuro

E' un cazzata.

La teoria giusta è:

+ sai di cosa stai parlando e sai come funziona la tua rete = + sei sicuro

La stragrandissimissimiima maggioranza delle volte, un server con iptables è sufficiente (costo 0). Ma si sa, un bello scatolotto da 5000 euro su rak dà piu sicurezza....

Inoltre, guarda ci metto la mano sul fuoco, chi compra un firewall (ma tu stai parlando di router+firewall+altrecazzatine tutto in uno bel scintillante scatolotto) esegue in sequenza:

- lo accende.
- ci mette un ip
- si collega all'interfaccia web (se è linux based lo da in gestione ad altre aziende...muahahah....perche a riga di comando è troppo difficile)
- guarda il log per controllare che negli ultimi 10 secondi non ci siano stati attacchi.
- apre la porta per emule linkata all'ip del suo pc in ufficio ;)
- chiude il rack
- va via contento
- delle 2000 feauture non ha neanche visto il menu

bye

...quoto.

Cmq l'hai detto tu prima qual'è la differenza: gli altri (quelli "costosi", per dirlo alla hmetal ;) ) fanno sostanzialmente più cose....

cmq, ti dico una cosa: in linea di massima dire che un firewall, è una scatolotta (vedi router) che fa anche da firewall che si limita a fare nat, e aprire e chiudere porte mi sembra un pò una str...ata!
Il firewall SERIO è più di quello.....

cmq occhio, come dice il buon vecchio hmetal: non è che se hai il cisco XXX da 10.000 euro stai sicuro e te ne vai al mare a fare i castelli di sabbia spensierato....

NON E' QUELLA LA VERA SICUREZZA INFORMATICA.