ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] Железки от c heckpoint



nuqneH,

"Michael V. Smirnoff" <aidan@miee.ru> said :

> > > > Если абстрагироваться от мысли, что fw-1 - дерьмо, то его нокиевский вариант
> > > > наименее неприятен судя по отзывам.
> > > Если абстрагироваться - то нокиевский вариант ничем не лучше в силу
> > > идентичности софтв, а то и хуже по причине привязанности к железке =>
> > > меньшей масштабируемости (я могу выбрать из линейки Sun именно ту
> > > платформу, которая удовлетворяет моим требованиям).
> > 
> > Что до идентичности - очевидно, что firewall на freebsd может быть идентичен
> > firewallу на NT только в некотором приближении ;)
> Заметь, я нигде не произнес "NT".

Я привел пример NT для наглядности. Разница между FreeBSD и Solaris тоже есть,
просто не настолько радикальная..
 
> > Что до привязанности к железке - железка от Nokia не дороже сановской.
> Я нигде не упомянул про цену, я сказал лишь про свободу выбора мощности
> аппаратной платформы.
> Софт мне поставляют с железкой, а в случае с Sun я могу выбрать ту
> модель которая мне нравится. 

Цена - не последний фактор.
 
> > Что до масштабируемости - должен заметить, что производительность любого
> > современного компа значительно выше, чем может понадобиться разумному firewall'у,
> > за исключением некоторых экзотических случаев. 
> Далеко не экзотических. См. ниже.
> 
> > 
> > Я не рассматриваю скорость шифрования при организации VPN, это отдельная тема
> > и оптимизируется специфичными методами, но и ее мы можем обсудить отдельно.
> Отдельно не получится. В моей практике в %80 случаях firewall
> является еще и криптошлюзом.

Я же сказал, что это отдельная тема и оптимизируется это специфичными методами.
Не в последнюю очередь аппаратными акселераторами. Потому как зачем напрягать
для этого центральный процессор? А иногда и вовсе firewall и криптошлюз стоит 
разнести по разным железкам.
 
> > Почему Nokia менее плоха, чем остальные? Недорого, надежно, удобно (насколько
> > эти понятия примнимы к данному продукту).
> Я не говорю что менее плоха, я говорю что не лучше. А кастомеру
> пофигу, что это - ящик от nokia или Sun (выбранный под задачу)
> поскольку кастомеру ящик приходит с preinstalled софтом и 
> с причесанной ОС и самим FW-1.

Судя по отзывам - лучше. И дешевле.
    
> > > > > > > P.S. Ща придет Арканойд и будет матерится - 
> > > > > > > не любит он checkpoint, ох не любит. :)
> > > > > > 
> > > > > > Пусть кто-нибудь попробует сказать, что необоснованно ;)
> > > > > Ну загнобить любое решение можно. :) 
> > > > 
> > > > Не в этом дело..
> > > И в этом тоже. На тебя слова "FW-1" и "Checkpoint" действует как красная
> > > тряпка.
> > 
> > Они это честно заработали. Какое еще может быть у меня мнение о компании,
> > которая добилась несравненного успеха дерьмового продукта за счет грамотного
> > маркетинга и концентрации девелопмента на feature race?
> > Люди зарабатывают деньги, их в этом нельзя винить, мое желание
> > одно - чтобы все это происходило подальше от меня и чтобы мне не нужно было
> > бороться с их порождениями.
> Тебя никто не призывает бороться. :)

Я не только девелопер, я еще и консультант.. И порой так случается, что мне
приходится работать с клиентом, который заработал себе проблем и хочет поделиться
ими со мной :(
 
> > > > > Я согласен что FW-1 в свежеустановленном состоянии
> > > > > крив, но в умелых руках доводим до ума. 
> > > > 
> > > > Heh. "доводим до ума". Давайте посмотрим на это с количественной стороны.
> > > > Усилия, необходимые для доведения этой дурацкой глюкалки до относительного
> > > Усилия, как правило, прилагаются организацией-исполнителем проекта (ибо
> > > сейчас заказчик заинтересован в комплексных решениях по информационной
> > > безопасности) и нетрудно догадаться, что у таких организациях имеются
> > > типовые решения адаптируемые к текущему состоянию продукта. Поэтому
> > > разница прилагаемых усилий обратно пропорциональна числу реализуемых 
> > > проектов. 
> > 
> > Ну, если организация-исполнитель связалась с оным вторичным продуктам по
> > каким-то своим соображениям (руководству он приглянулся, например), стоит
> > подумать о том, не найти ли другого исполнителя. Jet, например, в свое время
> > нашел в себе достаточно здравого смысла, чтобы отказаться от сотрудничества
> > с фирмой Checkpoint.
> Для меня Checkpoint одна из альтернатив, поскольку часто кастомер 
> приходит уже вбив себе в голову ему без Checkpoint'a не жить. И
> никакими средствами из него это не выбить. Ну родился он таким.

А этот аспект я рассмотрел отдельно. Но в нашем случае данная ситуация
оффтопик, не так ли?
 
> > Дело может быть не только в здравом смысле. Всем нужно
> > как-то зарабатывать деньги. Связавшись с Checkpoint, поставщик решения
> > примазывается к активной рекламной кампании, проводимой этой фирмой.
> > Это удобно. С одной стороны. С другой - заставляет клиента, который умеет думать,
> > о том, не поискать ли поставщика решений с другой системой приоритетов.
> Увы, но часто запросы кастомера к работе с транзитным контентом таковы
> что решить их возможно только с помощью вороха OPSEC-решений.

Запросы? Потому что этого требует задача или потому, что его убедили, что
у него такие запросы? Я вернусь к этому в конце письма.
 
> > С третьей - безмозглые клиенты это прекрасный рынок и на него вполне можно
> > ориентироваться ;)
> Безмозглым клиентам security не нужна. Никакая.

Ну щас. Они прочитали в глянцевом журнале, что это чиста круто и круче всех,
конечно, Checkpoint.
 
> > Ладно, все, что было выше - это лирика, давайте посмотрим на вещи с более
> > технической стороны. FW-1 - софтина закрытая. Предполагается, что разработчики
> > хорошо знают, что делают и что пользователю нет нужды разбираться в тонкостях
> > реализации. И вот тут-то наступает обздача: следующим номером делается вывод,
> > что реализацию тоже можно сделать абы как, потому что все равно никто не
> > узнает ;)
> Ты видел много коммерческих firewalls с открытым кодом? :)

Три. Один из трех как бы уже не совсем, но его код раздобыть пока можно
(хотя и не так легко, как они уверяют)
 
> > Чтобы не быть голословным: 
> > http://www.enteract.com/~lspitz/fwtable.html
> Да видел я все это.

Дас ист фантастиш. Т е ты прекрасно осведомлен о технологическом кошмаре,
происходящем внутри, о неправильном построении и непроходимой тупости реализации,
о том, что декларируемые функции - совсем не то, что есть на самом деле - и
- "все равно его не брошу, потому что он хороший"? Транс-цен-ден-тально!

/me в легком ступоре.
  
> > Увы. Но значение opsec (а конкретно - cvp) сильно преувеличено и в значительной
> > степени просто раздуто рекламной кампанией того же checkpoint. 
> > Я вообще не считаю, что firewall - хорошее место для антивирусной проверки.
> Вообще CVP - это не только антивирусная проверка. Не вводи
> в заблуждение народ. :)

Давай-ка поподробнее с этого места. Для чего он еще _реально применим_.
Галочки в красивой таблице не рассматриваем.
 
> > Вобщем-то корпоративный почтовый релей в данной ситуации справился бы с 
> > задачей не хуже.
> Это спорный вопрос. Я до сих не решил для себя что лучше.

Вопрос удобства. Но считать это обязательной функцией firewalla и требовать
ее, стуча пивной кружкой по стойке - несколько странно.

> Прекрати мне показывать содержимое моего bookmarks :))))

Тю. См выше про ступор ;)
 
> > Кое-какие, казалось бы, очевидные из общих соображений мысли:
> > 
> > stateful inspection - технология, рассчитанная на "идеальный" мир. Которому
> > и firewall-ы то не нужны - раз там все уже корректно реализовано.
> > 
> > Подробнее - машина состояний для сетевого взаимодействия  - любого произвольного
> > протокола, начиная с доступного низа (ip пакеты) и до доступного верха (уровень
> > приложений) a) не специфицирована полностью с указанием всех возможных вариантов
> > перехода b) как следствие, зависит от конкретной реализации. Следовательно,
> > единственное, что мы можем сделать для уверенности, что все хорошо - выделить
> > условно безопасное подмножество и работать с ним. Даже сама идея реконструировать
> > более высокие уровни на основе нижних обречена, т к результат этой реконструкции
> > в инспектирующем модуле не будет гарантированно идентичен результату на
> > платформе, работающей с этими данными.
> > 
> > Все бы было не так страшно, если бы реализация инспекции данных была сделана
> > по-уму. Но проблема в том, что регулярное чтение багтрака наводит на мысли,
> > что у создателей продукта самые бредовые предположения о том, что, собственно
> > происходит в сети (чего стоит, например, идея о том, что команда port протокола
> > ftp должна полностью помещаться в tcp пакете и ее начало должно совпадать с
> > началом порции данных! да, в реальной жизни как правило так оно и есть, но 
> > кто обещал, что так будет? и т п.). Результат - в firewall-1 реализована не
> > машина состояний (это отностится и к tcp/ip и к протоколам приложений), а
> > набор hook'ов, которые позволяют с переменным успехом отследить ключевые
> > моменты и предпринять какие-то действия. Оно вам надо?
> Как оно там в пузе устроено нам с тобой неведомо, но закидоны у их
> разработчиков бывают еще те. :(
> 
> > Напомню, что не так давно единственным способом защитить fw-1/solaris от DoS была
> > установка на той же машине ipfilter by Darren Reed, который, кстати, тоже
> Да закидон был еще тот.

Так не проще и не логичнее ли было бы выбрать продукт, в котором подобные
закидоны a) не встречаются b) не имеют благоприятной среды для возникновения?

И желательно - про который хотя бы примерно известно "как у него там в пузе
устроено". 

Как мне кажется, это естественное требование к системе, на которую приходится
полагаться при обеспечении _информационной безопасности_. (Stay tuned, наша
цель - обеспечивать безопасность, а не "устанавливать firewall с вот такой вот
кульной фичей, которая в рекламном проспекте так понравилась нашему боссу!"). 
Можно сказать, что наша цель - заработать
денег на клиенте, но я, как честный человек, считаю, что должен за эти деньги
все-таки решить его задачу настолько хорошо, насколько это возможно.

А задачи "поставить вот эту классную штуку" при правильной постановке быть не
может.
 
> 
> > 
> > > 
> > > > Г-да, стряхните маркетоидную лапшу с ушей, 
> > > > хвалиться тут нечем.. 
> > > Ну стряхивать мне нечего. Могу легко навешать :). Но не буду.
> > > 
> > > Я не говорю, что FW-1 ЭТО КРУТО, я говорю что 
> > > это вариант. А когда на границе сети нужна
> > > не только фильтрация, но и интеллектуальная 
> > > работа с контентом - это один из немногих вариантов.
> > 
> > Я бы сказал, но монгольское сельское хозяйство тут оффтопик (c)..
> Скажи, скажи. :)) 

Аж ахуй какой вариант!

Эту самую "интелллектуальную работу с контентом" возводит в фетиш та же
самая фирма Checkpoint. В своем понимании интеллектуальности. Можно чуть более
подробно о том, в каком именно варианте она нужна? А я прокомментирую.
Не люблю дискутировать сам с собой.

                                     _     _  _  _  _      _  _
 {::} {::} {::}  CU in Hell          _| o |_ | | _|| |   / _||_|   |_ |_ |_
 (##) (##) (##)        /Arkan#iD    |_  o  _||_| _||_| /   _|  | o |_||_||_|
 [||] [||] [||]            Do i believe in Bible? Hell,man,i've seen one!
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.