Cisco PIX vs. Firewall linux

[andrea88]

Dovendo proteggere una lan e avendo deciso di utilizzare un firewall hardware dedicato, voi mi consigliate l' uso di un prodotto proprietario come il cisco PIX 501 o di assemblare un firewall linux (tenuto conto che deve avere implementate queste caratteristiche: stateful inspection, sistema operativo non modificabile e cancellabile senza inserzione di password, IDS, NAT, PAT, deve fungere da router per condivisione connessione, sever/client DHCP e logicamente supporto PPPoE) ?

[peter_pan]

Dipende in primis dal volume di traffico previsto. Se la linea di uscita non è particolarmente veloce e/o il carico di traffico non sarà intensivo la soluzione software è sicuramente da preferire. Inoltre, per le features che richiedi, l'uso del PIX è probabilmente sprecato.
Ultima nota: sarebbe bene che il firewall facesse da firewall e non appesantirlo con funzioni che non gli sono proprie (dhcp (client???), ids, etc.). Macchine separate con ruoli distinti aumentano la sicurezza e l'affidabilità della rete (inoltre l'hw richiesto non è sicuramente dell'ultimo grido ma hw riciclato è più che sufficiente*)

*ovviamente sempre nell'ipotesi di traffico non intensivo

[andrea88]

Il trafffico non è intensissimo (si parla di 40 Kilobite/s). Per le funzioni che ho elencato il PIX 501 non è affatto sprecato, in quanto come freatures ha quelle che ho elencato con l' aggiunta di connessioni VPN. (Per client DHCP si intende un computer in grado di ricevere un IP dinamico fornito da un server). Altra cosa: con linux, per proteggere da scrittura il disco basta settare i permessi di scrittura sul dispositivo? Inoltre per me è fondamentale avere la stessa macchina che svolga le funzoni di IDS per non dovere installa re una ethernet trap o installa re su ogni computer un IDS software.

[peter_pan]

Quote:

Originariamente inviato da andrea88
Il trafffico non è intensissimo (si parla di 40 Kilobite/s).

Appunto a 40kb/s il firewall sarebbe idle per buona parte del suo tempo (in termini di pacchetti filtrati al secondo...)

Quote:

Per le funzioni che ho elencato il PIX 501 non è affatto sprecato, in quanto come freatures ha quelle che ho elencato con l' aggiunta di connessioni VPN.

Il problema è il modo con cui le funzioni sono espletate...
Con un automobile ci si può andare a fare la spesa. Anche con una ferrari ci si può andare a fare la spesa ma è un po' sprecata...(se usata solo per fare quello)
Tornando IT, il firewall in questione fa le cose da te richieste ma fa anche molto molto molto di più

Quote:

(Per client DHCP si intende un computer in grado di ricevere un IP dinamico fornito da un server).

...so' cos'è il dhcp solo che a te il firewall serve che faccia da server dhcp non da client (ecco perchè dicevo "client???"...non era una features richiesta al firewall )

Quote:

Altra cosa: con linux, per proteggere da scrittura il disco basta settare i permessi di scrittura sul dispositivo?

Proteggere in scrittura il disco è un po' eccessivo perchè già il sistema operativo per vivere ha bisogno di accedere in scrittura al disco...al massimo puoi limitare gli accessi alla macchina disabilitando tutti gli utenti (e lasciandoti un accesso ssh con autenticazione basata su certificati), oppure proteggere tutte le cartelle che non devono poter essere lette/scritte da anima viva....tutte cose che si possono fare tranquillamente è solo questione di tempo (per configurare) e sopratutto sapere dove mettere le mani

Quote:

Inoltre per me è fondamentale avere la stessa macchina che svolga le funzoni di IDS per non dovere installa re una ethernet trap o installa re su ogni computer un IDS software.

Puoi installare un ids sulla stessa macchina anche se il mio consiglio è ancora avere macchine separate per scopi separati.

[andrea88]

Per il DHCP avevo capito benissimo che sapevi di che cosa stavi e stavo parlando, volevo solo chiarire (cmq uso ip statici, non necessito di sever dhcp). Per quanto riguarda la protezione dei dati in scrittura ok, però il problema resta sempre l' ids... per me è un problema installarlo su tutte le alre macchine della rete, sarebbe megli0 averlo centralizzato, poi se la macchina su cui faccio girare il fw è sufficientemente potente dove sta il problema? Cmq mi devi spiegare una cosa: a parte per le funzioni vpn e sever/client dhcp perchè sarebbe sprecato? Per il througput in termini di pacchetti?

[peter_pan]

Quote:

Originariamente inviato da andrea88
Per quanto riguarda la protezione dei dati in scrittura ok, però il problema resta sempre l' ids... per me è un problema installarlo su tutte le alre macchine della rete, sarebbe megli0 averlo centralizzato, poi se la macchina su cui faccio girare il fw è sufficientemente potente dove sta il problema?

Nessun problema in tal senso (potenza)
E' che il firewall è un oggettino abbastanza delicato (in termini di ruolo all'interno di una rete); nonostante questo i produttori fanno a gara per aggiungere funzioni e funzionalità a questo oggettino da trattare con i guanti... Il problema è di livello di paranoia. Più processi fai girare in parallelo alle funzionalità di filtraggio e routing, più si incrementa il rischio che qualcosa sulla macchina di filtering vada storto con le "possibili" conseguenze che questo comporta.
Il mio "funzioni logicamente separate" dovrebbero risiedere in "macchine fisicamente separate" va interpretato dal lato "sicurezza nelle reti" non dal punto di vista potenza di calcolo necessaria questo comunque nell'ipotesi di disporre di più macchine; se la realtà ti obbliga a lavorare con una sola macchina no problem, si fa tutto con una

Quote:

Cmq mi devi spiegare una cosa: a parte per le funzioni vpn e sever/client dhcp perchè sarebbe sprecato? Per il througput in termini di pacchetti?

prestazioni&&costo. Fissate le prestazioni (n° di pacchetti smistati/filtrati al secondo) la soluzione a costo più basso (se non introduce magagne) è migliore. Intendiamoci: tutte le macchine della serie PIX di Cisco sono belle bestie ma, _a mio avviso_, mostrano la loro potenza a pieno regime. Usate a basso carico non ne vedo il vantaggio rispetto ad un elaboratore abbastanza datato (pentium-pentium2) essendo in fin dei conti le prestazioni analoghe.
L'unico vantaggio del firewall hw è che avrai in tal caso un'ottima assistenza alle spalle e, probabilmente, sarà più facile la fase di installazione e configurazione; e questo avrà il suo costo

[andrea88]

Per quanto riguarda i processi in parallelo sono più che daccordo con te: in questi casi il motto è "quello che non c' è non puo avere malfunzionamenti". Io sulla sicurezza sono piuttosto paranoico (come puoi notoare dalla scelta della tipologia del firewall ) ma per me è fondamentale concentrare su na stessa macchina i servizi relativi alla sicuraeza (che poi si riducono a iptables/netfilter, snort, SSH e PPPoE). Ora non resta che da parlare di configurazione: per quanto riguarda la configurazione del fw e l' installazione di più interfacce non ho problemi, ma per il resto non ho alcuna esperienza (sopprattutto riguardo alla configurazione dell' ids) quindi qui i consigli sono bene accetti. Altro problema per me e la configurazione del computer come router... Se hai qualche info mi faresti un grosso favore

[peter_pan]

Quote:

Originariamente inviato da andrea88
Ora non resta che da parlare di configurazione: per quanto riguarda la configurazione del fw e l' installazione di più interfacce non ho problemi, ma per il resto non ho alcuna esperienza (sopprattutto riguardo alla configurazione dell' ids) quindi qui i consigli sono bene accetti. Altro problema per me e la configurazione del computer come router... Se hai qualche info mi faresti un grosso favore

Beh, l'argomento è piuttosto ampio, una risposta esaustiva richiederebbe la scrittura di un intero how-to, mi limito quindi a qualche suggerimento/postare riferimenti ad altri how to.
In primis l'hw: basta qualcosa di datato, ad esempio un pentium133 o similari (non è il classico "ehi linux gira su tutto", ma te lo dico perchè al momento uso un p133 con linux su per ruotare il traffico della mia lan da e verso internet).
Ti serviranno un paio di ethernet (si può fare anche con una sola usando le interfacce virtuali ma al primo giro risulta più semplice con due schede separate). Una scheda la colleghi all'hub/switch interno, l'altra al modem(adsl?) esterno. Un router al posto del modem sarebbe sprecato dato che tutte le funzioni di forwarding sono gestite/realizzate dalla macchina linux.
Per il software, in primis la scelta della distribuzione. Puoi usarne una a scelta, se la tua macchina sarà solo firewall+servizi_vari (e nulla di interattivo/utentilizio) ti consiglio l'adamantix (ex trusteddebian) http://www.adamantix.org
Per l'installazione installi normalmente la debian woody di base, poi metti nel apt/sources.list l'elenco dei mirror forniti sul sito dell'adamantix, dai un bel "apt-get dist-upgrade" e il gioco è fatto.
Per l'installazione adsl è sufficiente installare il pacchetto pppoe e pppoeconf (presente nei cd di debian) e avviare il setup da shell mediante pppoe-conf.
Ti verranno proposte alcune domande tipo qual'è l'interfaccia ethernet verso la lan, qual'è l'interfaccia a cui è collegato il modem, qual'è l'username/password per la linea adsl, vuoi che il collegamento sia attivato al boot della macchina, etc.
Alla fine verrà configurata e settata automaticamente il collegamento verso internet.
(a questo punto dovresti essere in grado _dalla macchina_ di raggiungere internet; setta i dns in /etc/resolv.conf e prova a pingare un po' di siti).
Se sei pratico di iptables basterà in fase di installazione della debian selezionare i moduli necessari al funzionamento eppoi crearsi uno script per la gestione delle porte, del nat, dei servizi abilitati, etc.
Per il routing (o meglio, per il forwarding) è sufficiente dalla macchina-firewall impostare come route di default l'interfaccia ethernet su cui è collegato il modem adsl.
(tipicamente questo viene fatto in automatico dallo script pppoeconf, se non venisse fatto è sufficiente un "route add default gw $INDIRIZZO_MODEM netmask 0.0.0.0 $INTERFACCIA_DI_USCITA"). Per abilitare il forwarding delle macchine della lan una volta impostato il nat su iptables è sufficiente "echo 1 > /proc/sys/net/ipv4/ip_forward"). Se non vuoi che tutte le macchine possano uscire su internet puoi filtrare il traffico con il flessibile iptables. I client devono avere come default route l'indirizzo della macchina-firewall (se sono macchine linux con "route add default gw $INDIRIZZO_FIREWALL netmask 0.0.0.0 $INTERFACCIA_DI_USCITA", se sono macchine win nella finestra delle proprietà del TCP selezioni la default route).
A questo punto hai nat+firewall...
Snort non è di difficile uso ma può essere impiegato in parecchi modi, la cosa migliore è leggere gli ottimi manuali che spiegano nel dettaglio le operazioni da svolgere a seconda delle proprie esigenze (http://www.snort.org/docs/). In ogni caso ti consiglio di procedere gradualmente concentrandoti su un problema alla volta (prima installi una cosa, poi un'altro servizio, poi un'altro programma e via via solo quando un programma funge alla perfezione passi al successivo).
Per ssh è sufficiente installare il demone e configurarlo ad hoc. La configurazione di ssh non è troppo complicata (ti rimando alle pagine man di sshd che dovrebbero essere più che sufficienti). Ti _sconsiglio_ vivamente di tenere attiva l'autenticazione basata su password; creati una chiave dsa e registrala tra le chiavi abilitate dal demone ssh.
Ultimo consiglio, terminata l'installazione della tua macchina fai un bel snapshot del sistema in modo da poter ripartire velocemente in caso di problemi.
Installa poi anche tripwire appena hai un po' di tempo (meglio sarebbe appena termina ta l'installazione di tutto per essere sicuro che la macchina sia pulita) www.tripwire.org, molti lo considerano un modo di autogufarsi ma essere pronti al peggio è da furbi, pensare che tutto vada sempre per il meglio è da fessi
Buona fortuna!
P.s.: se dovessi avere dei problemi fai un fischio!

[andrea88]

Grazie mille per le risposte (molto complete e esaurienti), e hai sempre più ragione: mai dimenticarsi la legge del perfetto network admin : la legge di Murphi.

Ciao.

[peter_pan]

Di nulla figurati alla prossima