Buongiorno a tutti, scrivo per chiedere un vostro parere obiettivo riguardo alla sicurezza delle soluzioni di firewall fatte tramite software comparate alle appliance tipo sonicwall, checkpoint ecc. In pratica, dovrei dimostrare, se possibile, altrimenti alzo bandiera bianca, che una soluzione con linux + iptables (o altra soluzione open source), può competere in sicurezza con appliance commerciali hardware. Non è mia intenzione scatenare un flame e o fare critiche a prodotti di uno o dell'altro. Quanto scritto si basa sulla mia esperienza e se il moderatore lo riterrà apportuno può/posso rimuovere i nomi dei prodotti.
Per far capire meglio, racconto quello che è successo l'altro giorno: Mi chiama un cliente al quale qualche mese fa avevo installato qualche mese fa una endian su un pc desktop, dicendo che da qualche giorno ogni tanto quando scarica la posta si blocca la connessione e deve riavviare il firewall (mentre la navigazione web funziona). Con il cliente sono rimasto d'accordo che avrei controllato (non ho trovato nulla di anomalo sui log) e che la prossima volta che gli succederà, prima di riavviare il firewall mi chiami così controllo di persona. Finita la telefonata, mi chiama un commerciale/consulente/sistemista (Mr. X) dicendo che sarebbe il caso (riferisco testuali parole) di fargli "buttare via quella schifezza li che da altro che problemi e mettere su un firewall serio", dove per serio intende un sonicwall. Primo, l'episodio di ieri è l'unico problema che ha avuto quel firewall, altri problemi occorsi erano da imputare al router adsl (che tra l'altro aveva procurato lui) il quale aveva un mini firewall che quando c'erano troppo connessioni dava problemi. Secondo, definire una schifezza un firewall, solo perché: - è su un pc invece che su una scatoletta con tutto integrato; - l'ha installato qualcun altro e non lui (= e non sa/vuole metterci le mani); - non ha fatto spendere al clinete X centinaia di euro per un firewall; - non si prende la provvigione per la vendita di nuovo hardware. Il firewall in questione deve proteggere una 15ina di pc (alcuni dei quali non devono poter andare in internet) e permettere al titolare un accesso tramite vpn quando si trova in viaggio per lavoro. Non ho bisogno di content filter o altro. Personalmente, non sono per le guerre di religione, la soluzione di un firewall basati su linux + iptables non mi sembra da scartare a priori, soprattutto per la flessibilità che mi offre, nel senso che se ad esempio non riesco a fare una cosa particolare con l'interfaccia web di endian (ma potrebbe essere anche smootwall, ipcop o altro), ho sempre la possibilità di intervenire tramite linea di comando e personalizzarmi gli script, inoltre ho a disposizione tool di diagnostica come tcpdump, iptraf, mtr, traceroute ecc. Nel caso in questione, avrei anche potuto scegliere m0n0wall, man non sono ancora pratico di bsd. Per contro, con i "firewall hardware", nella mia limitata esperienza con prodotti della sonicwall (l'azienda ha sempre venduto prodotti entry-level viste le dimensioni contenute delle aziende dove andavano installati), se da un lato non abbiamo mai avuto nessun problema di intrusioni e questi apparati si aggiornano in automatico, dall'altro mi sono trovato di fronte a situazioni in cui l'interfaccia di gestione non permetteva di fare certe configurazioni di rete, oppure di fronte ad un problema gli unici due strumenti a disposizione erano un ping, un traceroute e un log che non dava sufficienti informazioni. L'altro aspetto riguarda che su questo tipo di firewall, devi essere pronto a sborsare diversi soldi in licenze per ogni feature che vuoi, e spesso il cliente una volta fatto l'acquisto iniziale non vuol più spendere soldi in altre licenze. In compenso, mi sono trovato a vedere accrocchi che gridano vendetta, su questo tipo di apparati in quanto si stava tentando di fare certe configurazioni che l'apparato non permetteva (e non potevano dire al cliente che l'aveva acquistato da poco di prenderne un'altro di fascia superiore). Un vantaggio innegabile che hanno questo tipo di appliance, rispetto ad una soluzione open source è che il cliente finale, se succede qualcosa nel caso della soluzione open source ti dirà che gli hai installato qualcosa che non funziona, che sei un'incapace ecc. Se invece succede con l'appliance hardware, il commerciale gli mostra un po' di grafici e statistiche che mostrano la sicurezza del prodotto, qualche brochure colorata ed il problema verrà classificato in breve tempo come "caso sfigato". Nella soluzione open source, quando c'è un aggiornamento di sicurezza bisogna fare l'aggiornamento manuale (salvo anche qui prendere prodotti a pagamento), però penso che dovendo ad esempio far spendere 200 euro ad un cliente per gli aggiornamenti di sicurezza, è meglio che questi finiscono nelle tasche dell'azienda dove lavoro, che alla fine mi paga lo stipendio, piuttosto che alla Pinco Pallino Inc. con sede all'estero che di contro gli fa l'aggiornamento automatico. Per finire, sono quasi sicuro che alla prossima chiamata del cliente dicendo che ha problemi ad andare in internet (non importa quale che sia la causa, es.: si rompe l'hard disk o una delle scede di rete) gli verrà proposta la sostituzione del firewall hardware. Capiamoci, se effettivamente la soluzione hardware comportasse dei benefici innegabili, non aprirei bocca, ma se le soluzioni sono comparabili, non vedo il motivo di classificare una delle due come "da ragazzini, poco professionale, insicura ecc" solo perché non costa X centinaia di euro e il rivenditore non ti organizza corsi di aggiornamento (magari al 50% da commerciali). Grazie a tutti e scusate per la lunghezza.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
