D Mi trovo in veste di amministratore di rete a dover scegliere se installare un firewall software (pc con Linux) o hardware.Tenete conto che lavorando presso una software house abbiamo necessità di avere una DMZ, di creare VPN, di gestire un mail serv …
D Mi trovo in veste di amministratore di rete a dover scegliere se installare un firewall
software (pc con Linux) o hardware.
Tenete conto che lavorando presso una
software house abbiamo necessità di avere una DMZ, di creare VPN, di gestire un
mail server e il traffico “normale” (FTP, HTTP e così via) di circa sessanta
utenti.
Mi consigliano un firewall hardware perché :
– di facile gestione
per chi come me non ne ha mai configurati;
– molto più sicuro di altre
soluzione;
– di facile e continuo aggiornamento;
– di supporto software e
hardware garantito e aggiornato.
Per contro il costo è elevato.
Mi
consigliano un firewall software perché:
– funziona come i firewall
hardware;
– costa molto meno in fase di installazione e gestione;
– di
facile gestione per chi come me non ne ha mai configurati;
– non necessitano
di aggiornamenti software;
– non necessitano di supporti particolari o
altro.
Mi hanno ipotizzato i firewall software come dei pc (per esempio un
Pentium II con 256 Mb di RAM e un hard disk da 6 Gb) dal costo basso, su cui
installo Linux, configuro alcuni parametri e per alcuni anni sono in una botte
di ferro. Per la gestione basta specificare le porte da aprire e chiudere e il
gioco è fatto. È veramente così semplice?
Io sapevo che il firewall deve essere un pc proporzionato
al carico di rete. Volendo dedicare un pc con Linux installato per funzionare
come firewall, quali sono gli accorgimenti necessari per configurarlo e gestirlo
nei migliore dei modi? Fabio Trenti
R Cercheremo
di rispondere brevemente alle sue domande che ci offrono l’opportunità di fare
chiarezza su troppi luoghi comuni in termini di firewall.
Innanzitutto non è
vero che un firewall hardware sia più facile da gestire di uno software. Alla
fine è comunque un software che li gestisce e dipende tutto da questo.
Analogamente, non è vero che è più sicuro: molti buchi segnalati recentemente
riguardano appliance (si veda la nostra rubrica bug report su
www.netstime.com/focuszone/security/index.html). Il facile e continuo
aggiornamento va verificato caso per caso: può essere automatico, ma quasi mai è
gratuito. Anche il supporto è in generale utile e comunque a pagamento, come per
qualsiasi altro prodotto.
In generale, è vero che i firewall hardware costino
di più, ma l’unica cosa che alcuni di essi hanno in più è la presenza di un
firmware che sostituisce sistemi operativi, hard disk e altro. Si tratta di una
soluzione che ha molti pro e alcuni contro (tra questi: vincola al
vendor).
Un punto da tenere ben presente riguarda l’aggiornamento, che, non
solo è necessario anche per i prodotti software, ma è addirittura fondamentale.
Tutto il software, soprattutto se sono segnalati bug, va aggiornato, e anche in
fretta (si veda anche l’articolo di focuszone/security su www.netstime.com
numero 8). Non è vero che i firewall software non necessitano di supporti
particolari o altro e meno che mai si può pensare di essere sicuri “per alcuni
anni”: il firewall, più di tutto, va aggiornato e monitorato
continuamente.
Diamo alcune dritte, in particolare per quanto riguarda i
firewall sotto Linux, ricordando anche gli articoli apparsi sul numero scorso e
su questo numero di www.netstime.com.
Il problema con la maggior parte dei
firewall Linux (sotto i 500 dollari) è che questi non gestiscono del tutto DMZ e
VPN. Per le VPN si può utilizzare Swan, gratuito e IPSec. Se bisogna utilizzare
DMZ (cosa che la letteratura consiglia fortemente) bisogna salire di
prezzo.
È vero che il pc va dimensionato e, per la vostra struttura,
consigliamo la seguente configurazione minima: Pentium III da 800 MHz, 512 Mb di
RAM, 20 Gb di disco (causa logfile), 1 unità di backup, monitor, schede
rete.
Naturalmente, si tratta di un’analisi superficiale e non di una
consulenza esaustiva.
Dario Forte