pix, asa, ipcop, fpsense ...

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
garcetto
n00b
Messaggi: 23
Iscritto il: ven 26 gen , 2007 12:06 pm

e aggiungo anche monowall e linux iptable in generale...attualmente in azienda usiamo soluzioni cisco (asa, pix) ma mi chiedevo vista il costo e la complessita' di questi bei giocattolini (specie in failover:) se potessi buttarmi fiducioso con soluzioni open come appunto quelle citate...insomma...le soluzioni bsd e linux sono davvero SOLID-ROCK come le controparti commerciali o mi devo svegliare sudato la notte maledicendo quando ho deciso di tagliare i costi per il networking?!:)
le avete gia' usate in produzioni, anche da clienti grossi?
la mia sensazione e' che con le soluzioni open sei tranquillo e son mooolto piu' flessibili di quelle closed, ma non vorrei commettere una leggerezza ed avevo bisogno di un consglio amichevole...ciao!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Ti trovi così male con PIX ed ASA?
Se non è così io starei sul sicuro!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
garcetto
n00b
Messaggi: 23
Iscritto il: ven 26 gen , 2007 12:06 pm

ma no per carita', non mi trovo male, mi chiedevo solo se la scelta professionale reale e' sempre e solo asa o se realmente vengono usati anche altri firewall, tra cui appunto i sopracitati.
infondo, come si fa ad essere sicuri che asa sia meglio di altri? chi ce lo assicura in fondo? ok il nome cisco, ok la affidabilita', ma perche' una soluzone con iptable per esempio e' da evitare?

ps:
dopotutto, il punto e'...come facciamo a sapere se un firewall e' sicuro? insomma linux ha update costanti, con cisco e' un pianto...trovo scomodo che non si possano scaricare liberamene gli ios!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Sinceramente open-source e sicurezza non mi piace molto...!
Dato che iptable è a sorgente aperto uno che ne sa lo può studiare, da li trovare bug e quindi sfruttarli...
Fare questo su un sistema Cisco è molto + difficile (sorgenti chiusi!)

Lo so che ho appena detto una cosa che farà scatenare qualcuno...

Cmq esistono i pen-test x verificare la sicurezza di un firewall...!

Altra cosa, hai vpn sui FW Cisco?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
garcetto
n00b
Messaggi: 23
Iscritto il: ven 26 gen , 2007 12:06 pm

ehehe! stavo per dirlo io, ami scateare le risse eh?!:)

no la vpn e' su un altro appliance, xche?
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Per la questione vpn se ne avevi ti sconsigliavo di passare a Linux ma se non ne hai...

Cosa dovresti passare precisamente da Cisco a Linux?
Solo ACL e NAT?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
garcetto
n00b
Messaggi: 23
Iscritto il: ven 26 gen , 2007 12:06 pm

scusa ho capito male io!
si vpn ne ho, essenzialmente le funzioni richieste son sempre quelle, dmz, un paio di server da pubblicare, solita roba...
-------------
mcsa 2003, ccna, interista...:)
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Con che altri apparati sono le vpn (se sono l2l)?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
garcetto
n00b
Messaggi: 23
Iscritto il: ven 26 gen , 2007 12:06 pm

sono vari, sia asa sia altro, cmq ipsec e site2site
-------------
mcsa 2003, ccna, interista...:)
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Io non ho mai avuto belle avventure con chi aveva Linux dalla altra parte (io gestivo l'end point della vpn di marca Cisco)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Wizard ha scritto:Io non ho mai avuto belle avventure con chi aveva Linux dalla altra parte
e te credo..... :lol:
Wizard ha scritto:Sinceramente open-source e sicurezza non mi piace molto...!
Dato che iptable è a sorgente aperto uno che ne sa lo può studiare, da li trovare bug e quindi sfruttarli...
Fare questo su un sistema Cisco è molto + difficile (sorgenti chiusi!)........


cmq tralascio (con la mano sx che tiene a stento la mano dx) il discorso open/sicurezza/closed ........... che è un argomento per una sezione di un forum........

Io posso riportare la mia esperienza ; Ipcop è un giocattolino carino...non è e mai lo sarà destinato a realtà aziendali evolute.
Io uso oramai da parecchi anni monowall e posso dire che è stabile,veloce,sicuro.Il suo approccio allo sviluppo mi è congeniale : poco e bene alla volta.Gestione della banda "emozionante" per quanto è granulare e precisa.Usa ipfilter e non iptables.
Iptables puro è usato in realtà anche molto grandi...ma li ci vuole gente coi controcazzi..... bisogna sapere dove mettere le mani e le macchine su cui gira sono hardenizzate fino al livello della compilazione del kernel con solo iptables.
Su tutti OpenBSD "Il firewall" in ambito opensource/enterprise.
Cisco e un pò tutti gli altri firewall in ambito commerciale hanno il pregio di avere motori per la scanasione del traffico molto efficenti e sono completamente SPI (Stateful Packet Inspection)sono messi su hardware "curato",,,,,
Alla fine,come sempre,dipende dalle tue necessità........
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
andrewp
Messianic Network master
Messaggi: 2199
Iscritto il: lun 13 giu , 2005 7:32 pm
Località: Roma

I migliori firewall del mondo sono basati su BSD, ovviamente come dice zot vanno viste tutte le necessitá, tenendo conto anche della facilitá di gestione e risoluzione di eventuali problemi che contano piú della sicurezza intrinseca del software.
Manipolatore di bit.
Rispondi