[HACK] Firewall hardware

Cerezo Sánchez, David bitquake at yahoo.com
Sun Apr 1 12:54:35 CEST 2001


RSL>  Me gustaría que me aconsejaseis y de paso me hablarais un poco sobre
RSL> los firewalls por hardware (Watchguard, Nokia, etc) que creais pueden
RSL> merecer la pena.

     Los Nokia gozan de muy buena reputación y sus IP*** son unos
productos excelentes (aunque todo el mundo sabe que son Intel con
FreeBSD dentro). Destaca el soporte de VRRP (RFC 2338) para alta disponibilidad
y la sincronización con Firewall-1.
     No mencionas en tu email los Netscreen (http://www.netscreen.com),
los que en mi opinión son la mejor solución a considerar en este
momento. Llevo algún tiempo manejando el NetScreen 1000SP y son
unos cacharros francamente increíbles: fáciles de manejar (desde una
página web o desde telnet) y con los ellos llaman "Virtual Systems",
donde se puede modularizar el filtrado de paquetes en diferentes
partes (por tarjetas de red, servicios, etc..) sólo accesibles a quien
conozca la clave; cada uno manejan un gigabit de datos por segundo en
modo firewall y hasta medio millón de conexiones, además de la alta
disponibilidad y manteninimiento de sesiones (hasta en sesiones VPN).

RSL>  ¿Qué ventajas que de verdad merezcan la pena pueden tener sobre unas
RSL> buenas ACL's en el router principal?

     Aparte de las que he mencionado arriba, los routers normales no
llevan reglas que avisen que protejan específicamente contra escaneos
de puertos o ataques de ICMP Flood. Tampoco son capaces de filtrar
tráfico de capas de red superioes: los NetScreen pueden filtrar HTTP
para quitar contenidos ActiveX, Java, etc...

RSL> No es lo mismo un ordenador con un software bastante bueno como puede
RSL> ser el rutado de un linux, etc, (pero que no deja de ser software) que
RSL> un router que lo hace via hardware y está especializado en eso. Debería
RSL> ser más fiable y rápido.

     Exacto. Sin embargo, StoneGate (http://www.stonesoft.com/document/143.html)
el último producto de StoneBeat, es un firewall distribuido de alto
rendimiento sobre Linux...
     
RSL>  Tb me interesa saber que ventajas y features suele tener un cacharro
RSL> de estos, sobre todo en cuanto a gestión (¿es flexible a la hora de
RSL> escoger condiciones de match para una regla [ipchains te permite hacer
RSL> match hasta por direcc. MAC, ciertos campos del paquete IP como el
RSL> TOS, etc]?), generación de logs, incluso... ¿IDS? ;-).

     Por MAC, el NetScreen sí. Lo demás, está demasiado a bajo nivel
(date cuenta que son productos comerciales, no está hecho para freaks
;)

-- 
Signed,
David Cerezo.



_________________________________________________________
Do You Yahoo!?
Get your free @yahoo.com address at http://mail.yahoo.com




More information about the hacking mailing list