[HACK] Firewall hardware

Fri Mar 30 05:10:35 CEST 2001

"RoMaN SoFt / LLFB !!" wrote:
> 
>  Me gustaría que me aconsejaseis y de paso me hablarais un poco sobre
> los firewalls por hardware (Watchguard, Nokia, etc) que creais pueden
> merecer la pena.

De entrada, creo que hay que aclarar que un router que sea solamente
hardware no existe. Lo que existen, son equipos altamente especializados
(appliances) que han sido dise%ados o mejorados para saber hacer solo
una cosa (solo routing, solo firewalling), y con un solo producto en
mentes (como Firewall-1, en el caso de Nokia por ejemplo). Pero adentro
sigue habiendo software a final de cuentas.

> 
>  ¿Qué ventajas que de verdad merezcan la pena pueden tener sobre unas
> buenas ACL's en el router principal? Sup que una inversión adicional
> en el cacharrito fw (las ACL's son gratis, jeje) tendrá que venir
> suficientemente justificada.

Las ventajas, pueden ser muchas. Por ejemplo, puedes tener integracion
con productos de terceros (por ejemplo que el firewall capture y 
envie informacion de tus attachments a un antivirus, o informacion
de URL's a un filtro de URL's), facilidad de administracion (no me
refiero a una interfaz grafica, sino que te pueda proveer un manejo
eficiente de bitacoras, con capacidad de reportes de muchos tipos,
por ejemplo; o que te permita modificar la politica de seguridad sin
perdida de sesiones, o Alta disponibilidad sin perdida de sesiones 
existentes por ejemplo), por mecionar algunos.

>  La otra opción, que podría ser un ordenador con un fw software (un
> linux con ipchains, con fw1, etc) quizás sea menos resistente ante
> ataques del estilo DoS, ¿no? No es lo mismo un ordenador con un
> software bastante bueno como puede ser el rutado de un linux, etc,
> (pero que no deja de ser software) que un router que lo hace via
> hardware y está especializado en eso. Debería ser más fiable y rápido.

Esta es una falacia. Te recuerdo que un router, por mas hardware que
pueda parecer, necesita de software para poder funcionar. Un router
CISCO (que es el ejemplo mas clasico), sigue debiendo tener IOS para
hacer su trabajo, y el IOS es software a final de cuentas, con updates,
con bugs y parches, con espacio de almacenamiento temporal, etc...

>  Tb me interesa saber que ventajas y features suele tener un cacharro
> de estos, sobre todo en cuanto a gestión (¿es flexible a la hora de
> escoger condiciones de match para una regla [ipchains te permite hacer
> match hasta por direcc. MAC, ciertos campos del paquete IP como el
> TOS, etc]?), generación de logs, incluso... ¿IDS? ;-).

En Firewall0-1, si codificas algo con INSPECT, tienes mucha granularidad
al escojer que tipo de cosas filtrar. Puedes ver un ejemplo con ICMP
en http://www.yassp.org/fw1/

>  Por último, tb me interesaría saber por qué precios anda cada una de
> las soluciones.

Son mas caras que las libres, pero tambien mucho mas funcionales que las
libres. No todo justifica la compra de una solucion de seguridad comercial,
a veces es suficiente con algo hecho en casa o libre, pero cuando las
cosas son de a deveras (es decir, hay mucho en riesgo) vale la pena.

Espero esto te sirva.

Saludos.