[HACK] Firewall hardware
Martin Hoz
mhoz at gama.fime.uanl.mx
Tue Apr 3 05:49:19 CEST 2001
Cerezo Sánchez, David wrote:
>
> No mencionas en tu email los Netscreen (http://www.netscreen.com),
> los que en mi opinión son la mejor solución a considerar en este
> momento. Llevo algún tiempo manejando el NetScreen 1000SP y son
Si de marcas se trata, http://www.checkpoint.com ;-)
> unos cacharros francamente increíbles: fáciles de manejar (desde una
> página web o desde telnet) y con los ellos llaman "Virtual Systems",
?No es peligroso manejar Firewalls usando telnet? Esperaria como
minimo soporte a SSH y como estandar una sesion VPN client-to-firewall.
> Aparte de las que he mencionado arriba, los routers normales no
> llevan reglas que avisen que protejan específicamente contra escaneos
> de puertos o ataques de ICMP Flood. Tampoco son capaces de filtrar
> tráfico de capas de red superioes: los NetScreen pueden filtrar HTTP
> para quitar contenidos ActiveX, Java, etc...
Check Point FireWall-1 trae integrado MAD (Malicious Activity Detection)
que soporta deteccion y accion contra esos tipos de ataques, e interconexion
con sistemas de IDS para reconfiguar el firewall automaticamente (si asi
lo quieres) para bloquear algun tipo de ataque en particular.
Integrado esta el "wedding" para Java y Activex en HTTP, y filtrado de
contenido en SMPT y FTP, a%adiendo la posibilidad de interconectarse
posteriormente con soluciones como WebSense o SurfControl para filtrado
de URL's, o con Antivirus para filtrar contenido virico en SMTP, FTP y
HTTP. :-)
> RSL> Tb me interesa saber que ventajas y features suele tener un cacharro
> RSL> de estos, sobre todo en cuanto a gestión (¿es flexible a la hora de
> RSL> escoger condiciones de match para una regla [ipchains te permite hacer
> RSL> match hasta por direcc. MAC, ciertos campos del paquete IP como el
> RSL> TOS, etc]?), generación de logs, incluso... ¿IDS? ;-).
>
> Por MAC, el NetScreen sí. Lo demás, está demasiado a bajo nivel
> (date cuenta que son productos comerciales, no está hecho para freaks
> ;)
>
Lo demas es posible filtrarse en FireWall-1 usando scripts INSPECT. Con
INSPECT puedes llegar a cada campo del paquete y tomar decisiones
basado en eso...
:-)
Saludos.
p.s.- Esto ya se volvio muy comercial,?Que no? ;-P
--
Martin Humberto Hoz Salvador
I. E. C.
EX-A-FIME
http://gama.fime.uanl.mx/~mhoz
"Daddy, why doesn't this Magnet pick up this Floppy Disk ?"
More information about the hacking
mailing list