[FUG-BR] RES: Checkpoint FW-1
Bom, A muito tempo chegamos a ver uma solução dessa, mas pelo negócio optamos pelo VPN 3000 Series Concentrator, que é muitíssimo bom, apesar de não trabalhar nele constantemente o pessoal que trabalha está muito satisfeito. ++ Wesley Naves de Faria Analista de Suporte Solaris Certified System Administrator FreeBSD / OpenBSD / Linux ++ -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de c0re dumped Enviada em: segunda-feira, 27 de novembro de 2006 17:12 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: [FUG-BR] Checkpoint FW-1 O pessoal aqui do trabalho mais uma vez sem ter o que fazer, vai comprar uma solução de VPN que vem com Firewall embutido, da Checkpoint. É muito triste essa decisão pq nós usamos PF há 4 anos e nem ele nem o OpenBSD nunca nos deixou na mão em nada. Infelizmente essa é uma decisão que independe de mim, e pelo visto já está tomada. O mais chato é que já desenvolvi uma solução boa de VPN com OpenVPN, que funciona muito melhor e mais seguro, que essas pseudo-vpn, como a da checkpoint. Sei que o FW-1 não é "o mais seguro do mundo", como alarda o fabricante. Dando uma rápida pesquisada no google , encontrei vários services packs (muitos críticos) pra ele. De qualquer forma, gostaria de saber do pessoal aqui da lista, se alguem usa ou já usou e o que acharam a respeito, enfim, quais os prós e contras em relação ao PF. O governo alardou tanto que ia usar SL em tudo e no final, o pessoal da chefia, que se diz "pró SL", vai fazer uma asneira dessas. Fica registrada minha profunda tristeza com esse fato. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Checkpoint FW-1
Bom, utilizo aqui um checkpoint, deixe eu tentar dar meu relato de maneira imparcial: Se você vai fazer filtro de porta, até um conectiva 4.2 com ipchains(!) funciona. Afinal, tem gente que confunde até hoje filtro de pacotes com firewall layer7. O PF/IPF/IPFW/iptables/sunscreen/blablablabla são muito eficientes para filtrar portas, mas possuem algumas deficiencias que o checkpoint, por exemplo atende. Exemplo, o NG com AI possui o smartdefense, que seria a solução L7 que o snort/snortsam impelenta. Teria que entrar no site da checkpoint e do snort pra verificar quão rápido eles são prá adicionar as assinaturas das vulnerabilides detectadas e a partir daí tirar as conclusões sobre qual seria mais seguro. Essa solução smartdefente é totalmente configurada pelo usuário pela GUI, parecida com as rules do snort. Se você tem 8 firewalls prá applicar uma police, é mais fácil fazer em um e mandar o smartupdate atualizar do que sair fazendo SCP/FTP em servidor. Além disso, ao comprar o checkpoint você leva, além do filtro de pacotes/L7 uma gama de produtos, que, no conceito da checkpoint, auxiliam na segurança da informação como um todo, desde a estação de trabalho remota até os servidores da empresa. Agora, não vamos falar mal do produto. Não é pseudo-vpn, ele cumpre o que promete, ecriptando os dados que ali passam por uma rede insegura. Além disso você pode fazezr ACL dependendo do estado do cliente, ex, se o tráfego for prá porta 80 sem o cliente estar com o secureremote, vai ser negado ou feito um túnel ssl com a CA do Checkpoint, pegando autenticação em um servidor radius da empresa(ou ainda no proprio DB do checkpoint). Se o cliente estiver com o secureremote vai ser transparente, etc etc. Claro que isso não é só maravilha. Antigamente o checkpoint rodava em uma gama de OS, desde NT até solaris, passando aí por AIX, etc etc. Se houvesse uma tremenda falha no OS, não resolvida pelo usuário, o checkpoint estaria comprometido. Ponto para nosso amigo open/free, que basta um ipfw add deny all from any to me que evita qualquer acesso remoto. Além disso, é extremamente irritante ter que instalar um windows 2000, aplicar SP4 prá depois aplicar "n" hotfix prá depois instalar o checkpoint :) Deus sabe lá em um AIX o trabalho que deve dar se um disco queimar prá voltar um backup com aquelas ferramentas obscuras de disco (TVTOC, RLIST, RESGROUP...) Sabendo disso a checkpoint fez os appliances. A ultima versão da nokia que vi era um BSD(!), montado em 2U. Não sei a arquitetura, pois so usei a GUI. A desvantagem do appliance é o preço, como todo sabemos, há aí um over, mesmo se tratando de um intel-like rodando BSD.. Isso sai muito caro pra empresa... Mas, do ponto de vista de uma garnde corporação, é mais fácil comprar 2 appliances, deixar um redundante e em caso de queima, tirar do rack e colocar outro, do que ficar esperando trocar servidor. Enfim, acho que a empresa tem que ter necessidade(e tamanho e grana) prá comprar uma solução destas. Se o perfil dela não exigir, estamos sim muito bem servidor com Open/Free. Neste meio do caminho tem também a cisco com o PIX, que faz um trabalho excelente, apesar do preço ser ainda mais exorbitante. > -Mensagem original- > De: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] Em nome de c0re dumped > Enviada em: segunda-feira, 27 de novembro de 2006 17:12 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: [FUG-BR] Checkpoint FW-1 > > O pessoal aqui do trabalho mais uma vez sem ter o que fazer, > vai comprar uma solução de VPN que vem com Firewall embutido, > da Checkpoint. > > É muito triste essa decisão pq nós usamos PF há 4 anos e nem > ele nem o OpenBSD nunca nos deixou na mão em nada. > Infelizmente essa é uma decisão que independe de mim, e pelo > visto já está tomada. > > O mais chato é que já desenvolvi uma solução boa de VPN com > OpenVPN, que funciona muito melhor e mais seguro, que essas > pseudo-vpn, como a da checkpoint. > > Sei que o FW-1 não é "o mais seguro do mundo", como alarda o > fabricante. Dando uma rápida pesquisada no google , encontrei > vários services packs (muitos críticos) pra ele. > > De qualquer forma, gostaria de saber do pessoal aqui da > lista, se alguem usa ou já usou e o que acharam a respeito, > enfim, quais os prós e contras em relação ao PF. > > O governo alardou tanto que ia usar SL em tudo e no final, o > pessoal da chefia, que se diz "pró SL", vai fazer uma asneira dessas. > > Fica registrada minha profunda tristeza com esse fato. > > > []'s > > -- > > No stupid signatures here. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Checkpoint FW-1
> O PF/IPF/IPFW/iptables/sunscreen/blablablabla são muito eficientes para > filtrar portas, mas possuem algumas deficiencias que o checkpoint, por > exemplo atende. > > Exemplo, o NG com AI possui o smartdefense, que seria a solução L7 que o > snort/snortsam impelenta. Teria que entrar no site da checkpoint e do snort > pra verificar quão rápido eles são prá adicionar as assinaturas das > vulnerabilides detectadas e a partir daí tirar as conclusões sobre qual > seria mais seguro. Ok, mas pelo que andei lendo, essas "assinaturas" chegam e você tem que acreditar que a checkpoint fez um bom trabalho, pois você não pode sem sequer verifica-las, quanto mais alterá-las. Só nisso já acho uma tremenda vantagem do Snort. Ou seja, se o fabricante fizer alguma cagada você tá fud. > Essa solução smartdefente é totalmente configurada pelo usuário pela GUI, > parecida com as rules do snort. Se você tem 8 firewalls prá applicar uma > police, é mais fácil fazer em um e mandar o smartupdate atualizar do que > sair fazendo SCP/FTP em servidor. Isso realmente é interessante, mas acho que o FWBuilder tem isso tambem... > Além disso, ao comprar o checkpoint você leva, além do filtro de pacotes/L7 > uma gama de produtos, que, no conceito da checkpoint, auxiliam na segurança > da informação como um todo, desde a estação de trabalho remota até os > servidores da empresa. > Agora, não vamos falar mal do produto. Não é pseudo-vpn, ele cumpre o que > promete, ecriptando os dados que ali passam por uma rede insegura. Cara, essa VPN clientless deles não é uma VPN nem aqui nem na china. Isso sim é um gateway SSL. Uma VPN ecripta trafego aleatório de uma rede a outra, não um tráfego específico (HTTPS). Além do mais, isto cria mais pontos "não confiáveis". Quem garante que o admin do cyber cafe que teu cliente tá acessando tem antivirus, sistema atualizado, maquinas confiáveis etc ? Essa checagem de antivírus que eles alegam fazer via browser, tambem é conversa pra boi dormir. Checagem de virus via IE. Só pode piada né ? > Além disso você pode fazezr ACL dependendo do estado do cliente, ex, se o > tráfego for prá porta 80 sem o cliente estar com o secureremote, vai ser > negado ou feito um túnel ssl com a CA do Checkpoint, pegando autenticação em > um servidor radius da empresa(ou ainda no proprio DB do checkpoint). Se o > cliente estiver com o secureremote vai ser transparente, etc etc. > > Claro que isso não é só maravilha. Antigamente o checkpoint rodava em uma > gama de OS, desde NT até solaris, passando aí por AIX, etc etc. > > Se houvesse uma tremenda falha no OS, não resolvida pelo usuário, o > checkpoint estaria comprometido. Ponto para nosso amigo open/free, que basta > um ipfw add deny all from any to me que evita qualquer acesso remoto. > Além disso, é extremamente irritante ter que instalar um windows 2000, > aplicar SP4 prá depois aplicar "n" hotfix prá depois instalar o checkpoint > :) Pois é... isso que mata. Firewall que é administrado via windows... pô, fala sério, que piada de mau gosto. Se os caras pelo menos tivessem um cliente UNIX, até mesmo uma interface WEB seria mais fácil de digerir. O jeito é conectar o cabo de rede só quando for administrar mesmo. > Sabendo disso a checkpoint fez os appliances. A ultima versão da nokia que > vi era um BSD(!), montado em 2U. Não sei a arquitetura, pois so usei a GUI. Como assim ? O sistema rodando no appliance é um BSD ? O FW-1 não é um OS tipo um IOS da cisco que roda em cima do hardware ? --- Minha maior bronca com esses firewalls propietários é que regularmente você tem que aplicar patches. Os patches do FW-1 pelo que li você nem pode ver quais são as vulnerabilidades que estão sendo corrigidas. Os patches do windows pelo menos te falam o que estão corrigindo (embora de uma maneira tosca). Pode ser uma opiniao só minha, mas acho inadmissivel você aplicar mais que três patches por ano em um serviço crítico como um firewall. -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Checkpoint FW-1
On 11/28/06, c0re dumped <[EMAIL PROTECTED]> wrote: > > Sabendo disso a checkpoint fez os appliances. A ultima versão da nokia que > > vi era um BSD(!), montado em 2U. Não sei a arquitetura, pois so usei a GUI. > > Como assim ? O sistema rodando no appliance é um BSD ? O FW-1 não é > um OS tipo um IOS da cisco que roda em cima do hardware ? Não, é um software que depende de um OS, como já foi mencionado. A versão dos appliances da Nokia rodam um OS derivado do FreeBSD, que eles chamam de IPSO, que tem uma interface de configuração "curses-like" chamada de Voyager. Para configurar o firewall, deve-se ter uma estação com um software cliente com GUI ou pode-se até fazer ssh (suas regras precisam permitir isso) para o appliance, mas tem que saber muito bem o que está fazendo. Boas referências sobre o Checkpoint são o site e o livro do phoneboy. Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Checkpoint FW-1
Que ótimo, nego tá aqui gastando quase um milhão de reais só pra no final das contas rodar o FW em cima do FreeBSD. Que irônico. O pessoal da checkpoint alega tanto que tem um puta throughput e no fundo no fundo, é o OS (FreeBSD) quem garante a propaganda deles. -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Checkpoint FW-1
2006/11/28, c0re dumped <[EMAIL PROTECTED]>: > Que ótimo, nego tá aqui gastando quase um milhão de reais só pra no > final das contas rodar o FW em cima do FreeBSD. > > Que irônico. > > O pessoal da checkpoint alega tanto que tem um puta throughput e no > fundo no fundo, é o OS (FreeBSD) quem garante a propaganda deles. Já trabalhei em pequenas e agora trabalho em grande empresa e sei o motivo da sua revolta. Com o tempo, você começa a entender as "regras do jogo" e vê que a sua revolta do passado foi deveras exagerada. Você pode expor números da sua rede para justificar tamanha indignação em adotar um produto comercial? Quando pergunto número, falo de sites (físicos), número de hosts, número de redes, e outros fatores que tornam uma rede complexa. Se for um escritório sem filiais e o negócio da empresa não envolver explicitamente TI, não vejo a necessidade emergente de um firewall desse porte, mas se a empresa vive disso e requer dinamismo e velocidade na manutenção de regras, com certeza um dia você vai agradecer em usar um GUI. Não tome isso como crítica, é apenas um conselho de "gente mais velha", não querendo dizer que eu sou velho, é claro :-) Grande abraço, -- Eduardo Alvarenga - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Checkpoint FW-1
Em Tue, 28 Nov 2006 13:40:34 + "c0re dumped" <[EMAIL PROTECTED]> escreveu: > Como assim ? O sistema rodando no appliance é um BSD ? O FW-1 não é > um OS tipo um IOS da cisco que roda em cima do hardware ? não.. é um kernel FreeBSD "ALTAMENTE" modificado. Acho que vc vai encontrar algo nas listas do FreeBSD-kernel ou por aí.. Quanto trabalhei com o FW-1 eu fiquei menos arisco, quando soube disso. Pelo menos não me dava urticárias quando tinha que administrar a "caixa preta" - risos flames > /dev/null -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 100% Miko$hit-free A experiencia ensina que a mulher ideal é sempre a dos outros - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd