Piccolo Firewall

[**AxeL Foley**]

Salve raga!
volevo chiedere se conoscete un piccolo firewall non dalle grosse pretese ma che svolga bene il suo lavoro, se potete postate varie marche.
intanto che ne pensate di questo ?

grazieee

[gohan]

se ci dici per cosa ti serve......

[**AxeL Foley**]

il mio responsabile mi ha chiesto di trovare un firewall per il nostro server ... non sono neanche sicuro se sia necessario o meno...
abbiamo una piccola lan composta da 1 server, 2pc desktop e 3pc notebook, tutto dietro un router adsl. Lui vorrebbe che fosse difficile se non impossibile accedere dall'esterno al server in questione e non si fida dei firewall software. quindi diciamo che si mette un piccolo firewall (più che sufficiente per le ns esigenze) tra il router e la lan per ovviare a sta cosa...

[gohan]

ma se c'è già il router, il server è cmq irraggiungibile: un firewall di quel tipo serve se uno ha un rete con ip pubblici da proteggere.
Inoltre un firewall è tanto più efficace quanto più uno è bravo ad impostare le regole: non è un oggetto che lo colleghi e dici "adesso sono sicuro".

[**AxeL Foley**]

per il fatto che non sia un oggetto mi sembrava scontato che avrei dovuto configurarlo...
invece per il fatto che non serva tu sei certo che un router non possa essere bypassato?

[**AxeL Foley**]

gohan aprofitto della tua ottima conoscenza
conosci i router cisco a livello di programmazione?

[NightStalker]

Quote:

Originariamente inviato da **AxeL Foley**
invece per il fatto che non serva tu sei certo che un router non possa essere bypassato?

un pò un ragionamento sbagliato... un router può essere bypassato, un firewall pure... tutto può essere bypassato, alla fine quello che rende una macchina sicura è: 1) l'avere pochi servizi che vi girano sopra (meno roba exploitabile) 2) essere costantemente aggiornata con le ultime patch di sicurezza 3) essere "semplice", ma questo non vuol dire per forza semplice da configurare, piuttosto semplice di struttura, facile da analizzare e debuggare nel caso di problemi, una macchina dove si riesca facilmente a capire che processi girano, con che diritti e da chi sono eseguiti 4) ovviamente com'è la configurazione

sicuramente per la sicurezza un firewall è preferibile ad un semplice router, poichè può dedicarsi interamente al suo scopo primario ossia difendere la rete, mentre un router, seppur sia anch'esso una macchina dedicata alla rete, deve anche volgere altri scopi (routing, QoS, connettività, far passare certi servizi, etc etc), che in qualche maniera lo rendo potenzialmente più vulnerabile.

detto questo, dipende tutto da quello che devi fare: per esempio nella mia ditta, essendo abbastanza piccola, è bastato un Cisco router 2600 con IOS con features Firewall/IDS (che aggiungo al router funzioni di sicurezza) per raggiungere un grado adeguato di sicurezza, essendo in un ambiente relativamente semplice; in ambienti più complessi invece un Firewall diventa d'obbligo (per non contare poi quei Firewall tipo Watchguard che fanno anche da Antivirus/IDS in quel caso diventano veramente dei factotum), e non solo vedi aziende che installano anche IDS per difendere ulteriormente la rete interna.

[**AxeL Foley**]

grazie per la risposta
secondo te in definitiva sarebbe salutare mettere un piccolo firewall oppure no? lasciando da parte il fatto che magari un router possa bastare, io penso che si possa aggiungere ulteriore protezione per quelle poche necessità che abbiamo o no? magari già mettere un cisco 2600 per noi è veramente eccessivo, tralasciando poi i sistemi watchguard veramente ottimi.

ti chiedo anche un altra cosa visto che hai parlato di router cisco ne approfitto,
ho un piccolo soho77 con il quale sto navigando in questo momento, è configurato per pppoe e mi da qualche problema con l'http ... ovvero non mi apre la maggior parte dei siti internet, il dns lo risolve bene perchè pingando il dominio mi restituisce risultati positivi, non riesco a capire cosa abbia... mi pouoi aiutare?

[gohan]

Quote:

Originariamente inviato da NightStalker
un pò un ragionamento sbagliato... un router può essere bypassato, un firewall pure... tutto può essere bypassato

non facciamo terrorismo..... un router può essere byapassato se ci sono vulnerabilità che possono essere sfruttate, e cmq è appannagio di quei pochi che hanno le conoscenze per farlo (quei pochi che non credo proprio abbiano tutto quel tempo per mettersi a forzare un router di un'ufficio con 6 pc)

[**AxeL Foley**]

ma questa cosa secondo te vale per tutti i router ? o ci sono per esempio i routerini da 4 soldi che non valgono niente da questo punto di vista?

[gohan]

bhe... questo non lo so.... non faccio parte dell'ambiente "hacker"
Cmq è sempre meglio andare su una marca che rilascia aggiornamenti del firmware con una certa regolarità.

[**AxeL Foley**]

ok

senti invece per la storia del soho77 di cui sopra tu magari ne sai qualcosa? o faccio bene ad upgradare l' IOS ?

[gohan]

se c'è una versione più nuova, puoi provare. Io di cisco non so molto.

[NightStalker]

Quote:

Originariamente inviato da **AxeL Foley**
grazie per la risposta
secondo te in definitiva sarebbe salutare mettere un piccolo firewall oppure no? lasciando da parte il fatto che magari un router possa bastare, io penso che si possa aggiungere ulteriore protezione per quelle poche necessità che abbiamo o no? magari già mettere un cisco 2600 per noi è veramente eccessivo, tralasciando poi i sistemi watchguard veramente ottimi.

per me un firewall male non può fare, nella fascia bassa mi sono piaciuti gli Zywall della Zyxel (anche per il content filtering) e non ho sentito parlar male anche di quelli della D-Link (ma questi ultimi non li ho provati); anche un Cisco 82x/83x o un 1721 con IOS FIREWALL è solido e alla fine non costa moltissimo ; più in alto, ci sono i Cisco PIX (molto solidi e tradizionali), Watchaguard (che fanno veramente un mare di cose) e altri nomi famosi, ma che non ho provato direttamente (Checkpoint, Netscreen, Sonicwall, etc etc).

x i prezzi: gli Zyxel Zywall partono dai 200€ e arrivano sui 600€, i Cisco PIX partono da 800€ (ovviamente non conto la versione 10 users, veramente limitante), i Watchguard non ricordo bene, forse per la serie X sui 1200€, ma è proporzionato alle funzionalità e le prestazioni, la V-class invece mi pare parta dai 250-300€; un Cisco 837 adsl con Ios Firewall/3des costa sui 400€ (ovviamente per i Cisco parlo di prezzo reseller, a end user costano il doppio ).

Quote:

Originariamente inviato da **AxeL Foley**
ti chiedo anche un altra cosa visto che hai parlato di router cisco ne approfitto,
ho un piccolo soho77 con il quale sto navigando in questo momento, è configurato per pppoe e mi da qualche problema con l'http ... ovvero non mi apre la maggior parte dei siti internet, il dns lo risolve bene perchè pingando il dominio mi restituisce risultati positivi, non riesco a capire cosa abbia... mi pouoi aiutare?

http://www.cisco.com/univercd/cc/td/...nf.htm#1097132


guarda "Configuring TCP Maximum Segment Size for PPPoE", li spiega il problema e come risolverlo (cmqè abbastanza semplice, si tratta di aggiustare l'MSS)

[**AxeL Foley**]

grandioso ho risolto subito!!! thx a lot!

cmq penso che prenderemo uno zyxel, sono difficili da programmare?

[NightStalker]

Quote:

Originariamente inviato da **AxeL Foley**
grandioso ho risolto subito!!! thx a lot!

cmq penso che prenderemo uno zyxel, sono difficili da programmare?

Tutt'altro, la gestione web è abbastanza comoda e intuitiva.

[**AxeL Foley**]

perfetto grazie ancora!