Hardveres kontra szoftveres tűzfalak

Vélemény

Az O'Reilly Network "SysAdmin" rovatában Chris Swartz és Randy Rosel különböző tűzfal megoldásokat vettek alaposabban szemügyre. A szereplők: Cisco PIX, SmoothWall Express (netfilter), OpenBSD 3.8 (pf). A tűzfalakat / csomagszűrőket többféle tesztnek vetették alá. Az eredmény:

PIX:

  • kiválóan teljesített
  • blokkolt minden nemkívánatos forgalmat, teljesítménycsökkenés nélkül (a tesztek alatt továbbra is fogadta azokat a forgalmakat, amelyet nem vélt támadásnak)
  • ahol a pénz nem számít, oda PIX
  • van grafikus monitorozási képesség
  • profi támogatás (szakember) kell hozzá, nem otthoni user-nek
  • gyengébb dokumentáció

SmoothWall:

  • egyszerűbb konfigurálni, mint a PIX-et
  • kevésbé robosztus
  • bizonyos támadások esetén a tűzfal "leállt" a támadás végéig
  • nem vállalalti ügyfeleknek
  • jó doksi, webes konfigurációs felület
  • nyílt forrású Snort IDS
  • három interfész limit

OpenBSD pf:

  • ahova jó tűzfal kell, de szempont a költséghatékonyság
  • blokkolt minden nemkívánatos forgalmat, teljesítménycsökkenés nélkül
  • nincs grafikus elemzési lehetőség
  • jól olvasható logfile-ok
  • profi támogatás kell hozzá
  • nagyon részletes doksi
  • összerakható Snort-tal
  • az interfészeket a gépbe építhető kártyák száma limitálja

Részeltesebben itt.

( trey | 2007. 02. 19., h – 20:18 )

Van egy PIX 501-em. Még a végén leporolom.

--
trey @ gépház

A mienké is szokik újraindulgatni, ugyanezen okból....

valamelyikőtök privibe felvilágosítana hogyan lehet bővíteni?
most 10 concurrent user-es a license, árfüggően érdekelne 50 vagy unlimited.
Meg egyáltalán hibajavítás után hozzáférek egy javított IOS verzióhoz legálisan? kb egy éve torrenten szedett firmware-t adtam neki (asszem valami ipv6-os vagy routing protocolos hiba volt akkoriban minden cisco-ba)

( Replaced | 2007. 02. 19., h – 20:35 )

kicsit bena a teszt, de azert erdekes, bar azt eddig is tudtam, hogy a pf sokkal jobb, mint az iptables es cisco-ra meg halandonak nincs penze/szuksege :)

--
status: no carrier

10Gbit-et melyik eszköze tud megszűrni a cisconak?
AFAIK az fwsm-nek is 5G a max, amit meg tud szűrni...
Ha 10G-t akarsz megszűrni, akkor max. úgy tudod, hogy két külön IPtartományba széttereled, és 2x5G-t szűrsz meg. De javíts ki ha tévedek. Úgyis szivesen olvasok pár linket a témában ;-)

BTW.: Az 5G-s szűréséről meg annyit, hogy... van itt az egyetemünk határán egy fwsm... Elméletileg transzparensen kellene átmennie rajta pár dolognak...
Elméletileg. Gyakorlatban minden ok nélkül, random meszel el tcp kapcsolatokat, és baromi idegesítő tud lenni, mikor egy 1 megás fájlt csak 5.-jére tudsz scp-n feltolni a benti gépedre, mert vmiért tcp reset by peer lesz... És még 3x :'(

Azt hiszem gyorsan találnék egy kisebb teremnyi olyan embert, aki az egyetemi fwsm modult a c6k helyett az inkább ex-főnököm hátsójába tolná fel...

Azért ez a tcp kapcsolat szakadozás nagyon úgy hangzik, hogy nem valami általános dolog lehet, mert használják még rajtatok kívül 'pár helyen' és ha ilyen problémák lennének vele, akkor elég nagy visszhangot csapott volna... Szoftver frissítéseket, debug módban log elemzést, konfiguráció módosítást, egyebeket próbáltatok?

Na végre valaki! ;-)

Az én PIX ismeretem arra korlátozódik, hogy rendszeresen olvasom a Postfix listát és állandóan visszatérő téma, hogy a valamelyik (küldő/fogadó) oldalon ez a tűzfal és nem boldogul a ESMTP-vel A postfix szerver logjaiban pedig azt, hogy mikor milyen workaround-ot kapcsol be. Mindezt a PIX kedvéért, mert a "smtp fixup" egy levelezés ellenes megoldás.

Üdv.

( bastya_elvtars | 2007. 02. 19., h – 20:38 )

A pf-hez van grafikus elemzési lehetőség, ez a Hatchet.
De miért is OpenBSD 3.8, ami már unsupported?
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME

( godot v | 2007. 02. 19., h – 21:42 )

Az OpenBSD-hez kevés protokoll helper van, én szám szerint 2-ről tudok ftp, tftp ,de cáfoljatok meg.

A többcsatornás protokollok normális átengedéséhez nem ártana még néhány linux-ban (netfilter) és pix (7.0 )-ban is meglévő helper : h323, sip, pptp, sctp, rsvp .....

Nem beszélve az extrább helperekről sql, msrpc stb.

Persze aki ennél is tovább megy az Zorp-ot használ..... :)

Üdv
Godot

( hassan | 2007. 02. 19., h – 23:23 )

Azért még 1-2 hw-es megoldást tesztelhettek volna, például Watchguard Fireboxokat.

( necrolite | 2007. 02. 20., k – 08:36 )

Felve kerdezem checkpoint nevu "warez" nem is letezik? ;o)) Mert ha mar Zorp meg hasonlok jonnek be akkor ot is be kene venni es asse olcso ;o)

Alighanem tuzfal alatt meg mindig a csomagszuroket ertik, igy a proxy-alapuak nem jatszhattak szerepet, hiaba jobbak tudasban fenyevekkel a mezei csomagszuroknel - atvitel szempontjabol ertelemszeruen nem. Az ilyen "komoly" cikkek mehetnenek a fun kategoriaba, igazi "fonoknek bevillantom hogy miert PIX-et akarok vetetni" referenciacikk, szerintem abszolut nulla a szakmai erteke.

( doszy | 2007. 02. 20., k – 09:41 )

"gyengébb dokumentáció" - ezen azért nevettem egyet. :)
Katt

( macroharddoors v | 2007. 02. 20., k – 17:09 )

Én azért hozzátenném, hogy nagyon szeretem a Juniper eszközeit és a jó öreg freebsd-és IPFW-ét is.
Hoppá most látom, hogy fentebb meg lett említve a Juniper....

A Borderware is freebsd alapu cuccos, kozepes forgalmu rendszerekhez kivaloan alkalmazhato, szinten ipfw alapu. Igaz, hogy belefutottunk 1-2 gyengejebe (pl. nem tokeletes logrotate vagy nem jol beallitott cache meret miatt telitodo particio), de meg nem volt idonk kideriteni, mi okozza.