2010/10/15 Fabrizio De Carlo: > Ciao ML, > qual'è la vostra considerazione relativamente alle > comparazioni/test/use case dei prodotti firewall (consideriamo > enterprise) pubblicati su Gartner? > Avete altre fonti di valutazione indipendenti? > Avete mai provato ICSLAbs o NSS?
Non posso parlare circa i firewall ma ho una certa dimestichezza con i NIDS/NIPS quindi penso di poter fornire alcune considerazioni che possano essere probabilmente comparabili. I quadranti Gartner sono interessanti, ma vanno presi con le pinze, perché sono estremamente focalizzati sul mercato USA, ed in particolare nell'ambito governativo/militare/bancario. Alcuni prodotti che non sono molto presenti in USA ma lo sono in Europa, non sono presi in considerazione ed esclusi con scuse che sembrano banali (vengono inclusi in altre categorie). Forse nel caso dei firewall è più difficile per una tecnologia di essere "borderline" che nel caso di NIDS/NIPS, tuttavia stanno nascendo nuove tipologie di firewall di seconda generazione e quindi è possibile che Gartner includa alcuni prodotti in un quadrante piuttosto che in un altro. Quindi fare sempre attenzione a dare un'occhiatina ai quadranti "vicini" per vedere se ci sono prodotti che possono essere interessanti ma che Gartner ha deciso di includere da altre parti. Inoltre la valutazione Gartner è, direi, al 50% tecnica ed al 50% commerciale - dove per tecnica si intende una analisi fatta su feature "sulla carta" e almeno per mia esperienza, non necessariamente testate approfonditamente - almeno non come dai NSS labs. Per esempio l'anno scorso ISS è stata declassata di un quadrante perché hanno perso molti clienti e non per motivi tecnici (quando in realtà ci sarebbe molto da discutere anche su quest'ultimo aspetto...). I report NSS Labs possono essere fraintesi. Esistono due tipi di report, quelli fatti in modo "indipendente" (su cui comunque ci sarebbe molto da discutere anche qua...) e quelli "sponsorizzati" dalle aziende che chiedono ad NSS di testare i propri prodotti. Quindi quando si guarda ad un report NSS si faccia sempre attenzione a quale si sta leggendo - quelli sponsorizzati tengono ad illustrare il prodotto in modo molto più brillante, guarda caso :-) Inoltre, almeno nel caso dei NIDS/NIPS, i tools usati da NSS per i testing dovrebbero essere "segreti" ma in realtà li si conoscono benissimo, pertanto è relativamente semplice per un vendor inserire nella policy di default qualcosa che sia estremamente efficace contro, per esempio, Core Impact o Metasploit - questo non significa che nella realtà aziendale questo sia poi il tuo problema principale - gli script kiddies sono solo parte della realtà che si deve affrontare. Non so se esista una situazione equivalente per i firewall, però per esempio, nella mia ignoranza, so che CheckPoint se ne va in pratica in ciampanelle se provi ad abilitare la deep inspection, e questo non l'ho mai visto scritto in un report NSS. Insomma, considera attentamente i risultati che leggi e valuta _se_ e _come_ sono rilevanti per la tua azienda. Personalmente li ho trovati sicuramente interessanti ma soltanto dopo averli contestualizzati. Alla fine tutti i vendor hanno uno score tra il 90 e il 97% a meno che non abbiano preso il test sotto gamba o non siano finiti per qualche motivo fuori dalle loro grazie. Alcune cose sono abbastanza inspiegabili, tipo i Juniper che nel 2008 sono stati tra i migliori e nel 2009 sono stati declassificati, apparentemente senza motivo visto che il prodotto non è peggiorato - né gli altri sono significativamente migliorati in blocco. In questo caso per esempio non ho trovato alcun riscontro con i test che abbiamo fatto noi. Quindi ancora, usali cum grano salis. Un'altra cosa, i test NSS possono essere validi per quanto riguarda i falsi negativi, ma mancano completamente nella cosa forse più importante, ovvero i falsi positivi... Non conosco i test ICSA quindi non posso commentare a proposito. Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
