[HACK] Firewall hardware

Martin Hoz mhoz at gama.fime.uanl.mx
Tue Apr 3 05:49:19 CEST 2001 

Cerezo Sánchez, David wrote:
> 
>      No mencionas en tu email los Netscreen (http://www.netscreen.com),
> los que en mi opinión son la mejor solución a considerar en este
> momento. Llevo algún tiempo manejando el NetScreen 1000SP y son

Si de marcas se trata, http://www.checkpoint.com ;-)

> unos cacharros francamente increíbles: fáciles de manejar (desde una
> página web o desde telnet) y con los ellos llaman "Virtual Systems",

?No es peligroso manejar Firewalls usando telnet? Esperaria como
minimo soporte a SSH y como estandar una sesion VPN client-to-firewall.


>      Aparte de las que he mencionado arriba, los routers normales no
> llevan reglas que avisen que protejan específicamente contra escaneos
> de puertos o ataques de ICMP Flood. Tampoco son capaces de filtrar
> tráfico de capas de red superioes: los NetScreen pueden filtrar HTTP
> para quitar contenidos ActiveX, Java, etc...

Check Point FireWall-1 trae integrado MAD (Malicious Activity Detection)
que soporta deteccion y accion contra esos tipos de ataques, e interconexion
con sistemas de IDS para reconfiguar el firewall automaticamente (si asi
lo quieres) para bloquear algun tipo de ataque en particular.
Integrado esta el "wedding" para Java y Activex en HTTP, y filtrado de
contenido en SMPT y FTP, a%adiendo la posibilidad de interconectarse
posteriormente con soluciones como WebSense o SurfControl para filtrado
de URL's, o con Antivirus para filtrar contenido virico en SMTP, FTP y
HTTP. :-)

> RSL>  Tb me interesa saber que ventajas y features suele tener un cacharro
> RSL> de estos, sobre todo en cuanto a gestión (¿es flexible a la hora de
> RSL> escoger condiciones de match para una regla [ipchains te permite hacer
> RSL> match hasta por direcc. MAC, ciertos campos del paquete IP como el
> RSL> TOS, etc]?), generación de logs, incluso... ¿IDS? ;-).
> 
>      Por MAC, el NetScreen sí. Lo demás, está demasiado a bajo nivel
> (date cuenta que son productos comerciales, no está hecho para freaks
> ;)
> 
Lo demas es posible filtrarse en FireWall-1 usando scripts INSPECT. Con
INSPECT puedes llegar a cada campo del paquete y tomar decisiones
basado en eso...
:-)

Saludos.

p.s.- Esto ya se volvio muy comercial,?Que no? ;-P
-- 
Martin Humberto Hoz Salvador 
I. E. C.
EX-A-FIME 
http://gama.fime.uanl.mx/~mhoz

"Daddy, why doesn't this Magnet pick up this Floppy Disk ?"

More information about the hacking mailing list