On Thu, 7 Dec 2000 ark@eltex.ru wrote:
> nuqneH,
>
> "Michael V. Smirnoff" <aidan@miee.ru> said :
>
> > On Wed, 6 Dec 2000 ark@eltex.ru wrote:
> >
> > > "Michael V. Smirnoff" <aidan@miee.ru> said :
> > >
> > > > > Может, речь шла о нокиевской шелезяке с fw-1?
> > > >
> > > > Они сейчас не только с nokia дружат.
> > > > Что же касается нокии - там внутри FW-1/VPN-1.
> > > > Хотя я сомневаюсь в целесообразности таких железячных решений.
> > >
> > > Если абстрагироваться от мысли, что fw-1 - дерьмо, то его нокиевский вариант
> > > наименее неприятен судя по отзывам.
> > Если абстрагироваться - то нокиевский вариант ничем не лучше в силу
> > идентичности софтв, а то и хуже по причине привязанности к железке =>
> > меньшей масштабируемости (я могу выбрать из линейки Sun именно ту
> > платформу, которая удовлетворяет моим требованиям).
>
> Что до идентичности - очевидно, что firewall на freebsd может быть идентичен
> firewallу на NT только в некотором приближении ;)
Заметь, я нигде не произнес "NT".
>
> Что до привязанности к железке - железка от Nokia не дороже сановской.
Я нигде не упомянул про цену, я сказал лишь про свободу выбора мощности
аппаратной платформы.
Софт мне поставляют с железкой, а в случае с Sun я могу выбрать ту
модель которая мне нравится.
>
> Что до масштабируемости - должен заметить, что производительность любого
> современного компа значительно выше, чем может понадобиться разумному firewall'у,
> за исключением некоторых экзотических случаев.
Далеко не экзотических. См. ниже.
>
> Я не рассматриваю скорость шифрования при организации VPN, это отдельная тема
> и оптимизируется специфичными методами, но и ее мы можем обсудить отдельно.
Отдельно не получится. В моей практике в %80 случаях firewall
является еще и криптошлюзом.
>
> Почему Nokia менее плоха, чем остальные? Недорого, надежно, удобно (насколько
> эти понятия примнимы к данному продукту).
Я не говорю что менее плоха, я говорю что не лучше. А кастомеру
пофигу, что это - ящик от nokia или Sun (выбранный под задачу)
поскольку кастомеру ящик приходит с preinstalled софтом и
с причесанной ОС и самим FW-1.
>
> > > > > > P.S. Ща придет Арканойд и будет матерится -
> > > > > > не любит он checkpoint, ох не любит. :)
> > > > >
> > > > > Пусть кто-нибудь попробует сказать, что необоснованно ;)
> > > > Ну загнобить любое решение можно. :)
> > >
> > > Не в этом дело..
> > И в этом тоже. На тебя слова "FW-1" и "Checkpoint" действует как красная
> > тряпка.
>
> Они это честно заработали. Какое еще может быть у меня мнение о компании,
> которая добилась несравненного успеха дерьмового продукта за счет грамотного
> маркетинга и концентрации девелопмента на feature race?
> Люди зарабатывают деньги, их в этом нельзя винить, мое желание
> одно - чтобы все это происходило подальше от меня и чтобы мне не нужно было
> бороться с их порождениями.
Тебя никто не призывает бороться. :)
>
> > > > Я согласен что FW-1 в свежеустановленном состоянии
> > > > крив, но в умелых руках доводим до ума.
> > >
> > > Heh. "доводим до ума". Давайте посмотрим на это с количественной стороны.
> > > Усилия, необходимые для доведения этой дурацкой глюкалки до относительного
> > Усилия, как правило, прилагаются организацией-исполнителем проекта (ибо
> > сейчас заказчик заинтересован в комплексных решениях по информационной
> > безопасности) и нетрудно догадаться, что у таких организациях имеются
> > типовые решения адаптируемые к текущему состоянию продукта. Поэтому
> > разница прилагаемых усилий обратно пропорциональна числу реализуемых
> > проектов.
>
> Ну, если организация-исполнитель связалась с оным вторичным продуктам по
> каким-то своим соображениям (руководству он приглянулся, например), стоит
> подумать о том, не найти ли другого исполнителя. Jet, например, в свое время
> нашел в себе достаточно здравого смысла, чтобы отказаться от сотрудничества
> с фирмой Checkpoint.
Для меня Checkpoint одна из альтернатив, поскольку часто кастомер
приходит уже вбив себе в голову ему без Checkpoint'a не жить. И
никакими средствами из него это не выбить. Ну родился он таким.
> Дело может быть не только в здравом смысле. Всем нужно
> как-то зарабатывать деньги. Связавшись с Checkpoint, поставщик решения
> примазывается к активной рекламной кампании, проводимой этой фирмой.
> Это удобно. С одной стороны. С другой - заставляет клиента, который умеет думать,
> о том, не поискать ли поставщика решений с другой системой приоритетов.
Увы, но часто запросы кастомера к работе с транзитным контентом таковы
что решить их возможно только с помощью вороха OPSEC-решений.
> С третьей - безмозглые клиенты это прекрасный рынок и на него вполне можно
> ориентироваться ;)
Безмозглым клиентам security не нужна. Никакая.
> Ладно, все, что было выше - это лирика, давайте посмотрим на вещи с более
> технической стороны. FW-1 - софтина закрытая. Предполагается, что разработчики
> хорошо знают, что делают и что пользователю нет нужды разбираться в тонкостях
> реализации. И вот тут-то наступает обздача: следующим номером делается вывод,
> что реализацию тоже можно сделать абы как, потому что все равно никто не
> узнает ;)
Ты видел много коммерческих firewalls с открытым кодом? :)
>
> Чтобы не быть голословным:
> http://www.enteract.com/~lspitz/fwtable.html
Да видел я все это.
> (кстати, если начальство таки настаивает на покупке fw-1, то моим вторым советом
> - после рекомендации подумать о смене места работы, не потому, что я не люблю
> firewall-1, а потому, что в любом случае не рекомендуется работать в фирме,
> где административное начальство принимает технические решения - будет изучить
См. выше про нереализуемость некоторых запросов без вороха
OPSEC-продуктов.
> Увы. Но значение opsec (а конкретно - cvp) сильно преувеличено и в значительной
> степени просто раздуто рекламной кампанией того же checkpoint.
> Я вообще не считаю, что firewall - хорошее место для антивирусной проверки.
Вообще CVP - это не только антивирусная проверка. Не вводи
в заблуждение народ. :)
> Вобщем-то корпоративный почтовый релей в данной ситуации справился бы с
> задачей не хуже.
Это спорный вопрос. Я до сих не решил для себя что лучше.
> Но какое-то семейство протоколов было бы полезно. Возможно, на основе i-cap
> что-то вырастет (http://www.i-cap.org)
Остается надеятся.
>
> > > > А по-поводу всего остального - продукт прост
> > > > в управлении, рулится как из X, так и с
> > > > виндюков. Возможен вариант решения: несколько
> > > > firewall agents + management server.
> > > > Продукт поддерживает stateful filtering.
> > > > Если будут более конкретные вопросы - отвечу.
> > >
> > > Не "поддерживает stateful filtering", а "полагается на него как на основной
> > > инструмент инспекции данных".
> > Блин, а что-ты предлагаешь? Конечно, было бы неплохо иметь возможность
> > отключения stateful для определенных правил/политик, но этого нет.
> > Тем более что споры на тему порочности идеи firewalls заглядывающих
> > выше L3 можно вести бесконечно и с обоих сторон можно находить все
> > новые и новые аргументы.
>
> А я не говорю, что заглядывать выше l3 это порочно. Я говорю, что это нужно
> делать корректно. И вот тут-то мы натыкаемся на основную проблему, почему
> fw-1 - flawed by design.
>
> Да, я предлагаю. Пользоваться application proxies.
>
> вот занятный документик номер раз:
> http://www.avolio.com/apgw+spf.html
>
> а вот занятный документик номер два (хотя местами уже не очень актуальный):
> http://www.netsys.com/firewalls/firewalls-9804/0303.html
Прекрати мне показывать содержимое моего bookmarks :))))
>
> Кое-какие, казалось бы, очевидные из общих соображений мысли:
>
> stateful inspection - технология, рассчитанная на "идеальный" мир. Которому
> и firewall-ы то не нужны - раз там все уже корректно реализовано.
>
> Подробнее - машина состояний для сетевого взаимодействия - любого произвольного
> протокола, начиная с доступного низа (ip пакеты) и до доступного верха (уровень
> приложений) a) не специфицирована полностью с указанием всех возможных вариантов
> перехода b) как следствие, зависит от конкретной реализации. Следовательно,
> единственное, что мы можем сделать для уверенности, что все хорошо - выделить
> условно безопасное подмножество и работать с ним. Даже сама идея реконструировать
> более высокие уровни на основе нижних обречена, т к результат этой реконструкции
> в инспектирующем модуле не будет гарантированно идентичен результату на
> платформе, работающей с этими данными.
>
> Все бы было не так страшно, если бы реализация инспекции данных была сделана
> по-уму. Но проблема в том, что регулярное чтение багтрака наводит на мысли,
> что у создателей продукта самые бредовые предположения о том, что, собственно
> происходит в сети (чего стоит, например, идея о том, что команда port протокола
> ftp должна полностью помещаться в tcp пакете и ее начало должно совпадать с
> началом порции данных! да, в реальной жизни как правило так оно и есть, но
> кто обещал, что так будет? и т п.). Результат - в firewall-1 реализована не
> машина состояний (это отностится и к tcp/ip и к протоколам приложений), а
> набор hook'ов, которые позволяют с переменным успехом отследить ключевые
> моменты и предпринять какие-то действия. Оно вам надо?
Как оно там в пузе устроено нам с тобой неведомо, но закидоны у их
разработчиков бывают еще те. :(
> Напомню, что не так давно единственным способом защитить fw-1/solaris от DoS была
> установка на той же машине ipfilter by Darren Reed, который, кстати, тоже
Да закидон был еще тот.
>
> >
> > > Г-да, стряхните маркетоидную лапшу с ушей,
> > > хвалиться тут нечем..
> > Ну стряхивать мне нечего. Могу легко навешать :). Но не буду.
> >
> > Я не говорю, что FW-1 ЭТО КРУТО, я говорю что
> > это вариант. А когда на границе сети нужна
> > не только фильтрация, но и интеллектуальная
> > работа с контентом - это один из немногих вариантов.
>
> Я бы сказал, но монгольское сельское хозяйство тут оффтопик (c)..
Скажи, скажи. :))
> Это до кучи..: http://www.phoneboy.com/fw1/
См. выше про bookmarks. :)))
> пора бежать - продолжим беседу завтра.
Угу.
__________________________________________
Sincerely Yours, mailto:aidan@miee.ru
Michael V. Smirnoff tel. +7-095-532-0581
CCNA-R/S,CCDA
MIEEnet Network Operations Center
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html