ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] Железки от c heckpoint



nuqneH,

"Michael V. Smirnoff" <aidan@miee.ru> said :

> On Wed, 6 Dec 2000 ark@eltex.ru wrote:
> 
> > "Michael V. Smirnoff" <aidan@miee.ru> said :
> > 
> > > > Может, речь шла о нокиевской шелезяке с fw-1?
> > > 
> > > Они сейчас не только с nokia дружат.
> > > Что же касается нокии - там внутри FW-1/VPN-1.
> > > Хотя я сомневаюсь в целесообразности таких железячных решений.
> > 
> > Если абстрагироваться от мысли, что fw-1 - дерьмо, то его нокиевский вариант
> > наименее неприятен судя по отзывам.
> Если абстрагироваться - то нокиевский вариант ничем не лучше в силу
> идентичности софтв, а то и хуже по причине привязанности к железке =>
> меньшей масштабируемости (я могу выбрать из линейки Sun именно ту
> платформу, которая удовлетворяет моим требованиям).

Что до идентичности - очевидно, что firewall на freebsd может быть идентичен
firewallу на NT только в некотором приближении ;)

Что до привязанности к железке - железка от Nokia не дороже сановской.

Что до масштабируемости - должен заметить, что производительность любого
современного компа значительно выше, чем может понадобиться разумному firewall'у,
за исключением некоторых экзотических случаев. На самом деле гомогенная с
точки зрения безопасности сеть более чем из 2,000 рабочих станций 
(а даже эту несуразную нагрузку Nokia вполне потянет) - нонсенс. 
Если возникло желание распланировать сеть таким образом, есть смысл поискать
ошибку в ДНК.

Я не рассматриваю скорость шифрования при организации VPN, это отдельная тема
и оптимизируется специфичными методами, но и ее мы можем обсудить отдельно.

Почему Nokia менее плоха, чем остальные? Недорого, надежно, удобно (насколько
эти понятия примнимы к данному продукту).
   
> > > > > P.S. Ща придет Арканойд и будет матерится - 
> > > > > не любит он checkpoint, ох не любит. :)
> > > > 
> > > > Пусть кто-нибудь попробует сказать, что необоснованно ;)
> > > Ну загнобить любое решение можно. :) 
> > 
> > Не в этом дело..
> И в этом тоже. На тебя слова "FW-1" и "Checkpoint" действует как красная
> тряпка.

Они это честно заработали. Какое еще может быть у меня мнение о компании,
которая добилась несравненного успеха дерьмового продукта за счет грамотного
маркетинга и концентрации девелопмента на feature race?
Люди зарабатывают деньги, их в этом нельзя винить, мое желание
одно - чтобы все это происходило подальше от меня и чтобы мне не нужно было
бороться с их порождениями.
 
> > > Я согласен что FW-1 в свежеустановленном состоянии
> > > крив, но в умелых руках доводим до ума. 
> > 
> > Heh. "доводим до ума". Давайте посмотрим на это с количественной стороны.
> > Усилия, необходимые для доведения этой дурацкой глюкалки до относительного
> Усилия, как правило, прилагаются организацией-исполнителем проекта (ибо
> сейчас заказчик заинтересован в комплексных решениях по информационной
> безопасности) и нетрудно догадаться, что у таких организациях имеются
> типовые решения адаптируемые к текущему состоянию продукта. Поэтому
> разница прилагаемых усилий обратно пропорциональна числу реализуемых 
> проектов. 

Ну, если организация-исполнитель связалась с оным вторичным продуктам по
каким-то своим соображениям (руководству он приглянулся, например), стоит
подумать о том, не найти ли другого исполнителя. Jet, например, в свое время
нашел в себе достаточно здравого смысла, чтобы отказаться от сотрудничества
с фирмой Checkpoint. Дело может быть не только в здравом смысле. Всем нужно
как-то зарабатывать деньги. Связавшись с Checkpoint, поставщик решения
примазывается к активной рекламной кампании, проводимой этой фирмой.
Это удобно. С одной стороны. С другой - заставляет клиента, который умеет думать,
о том, не поискать ли поставщика решений с другой системой приоритетов.
С третьей - безмозглые клиенты это прекрасный рынок и на него вполне можно
ориентироваться ;)
 
> > Мало того,
> > чтобы хоть как-то разобраться, как оно работает, нужно читать не документацию
> > с красивыми скриншотами, а странички людей, которые это _раскопали_ (sic!).
> Ну ты знаешь, я как далеко не девственник в общении с FW-1 и говорю об
> этом не с красивых картинок в презентациях и на сайте checkpoint.

Ладно, все, что было выше - это лирика, давайте посмотрим на вещи с более
технической стороны. FW-1 - софтина закрытая. Предполагается, что разработчики
хорошо знают, что делают и что пользователю нет нужды разбираться в тонкостях
реализации. И вот тут-то наступает обздача: следующим номером делается вывод,
что реализацию тоже можно сделать абы как, потому что все равно никто не
узнает ;)

Чтобы не быть голословным: 
http://www.enteract.com/~lspitz/fwtable.html

(кстати, если начальство таки настаивает на покупке fw-1, то моим вторым советом
- после рекомендации подумать о смене места работы, не потому, что я не люблю
firewall-1, а потому, что в любом случае не рекомендуется работать в фирме,
где административное начальство принимает технические решения - будет изучить
странички Lance Spitzner'а и Phoneboy (http://www.phoneboy.com))

Это так, в качестве примера. Я еще вернусь к этой теме ниже.
Кстати, я уверен, что из 100 человек, устанавливающих fw-1 60 этого 
исследования не поймут, а еще 38 может и поняли бы, да не читали.

Здесь мы подходим к смежной проблеме - feature race, доверие к производителю
и психологический комфорт. Так вот - по моим наблюдениям, доверие к производителю
как правило изначально завышено. Наличие у firewall'а галочки "поддерживать
протокол X" или "производить проверку Y" и сопутствующий оной душевный комфорт
слишком для многих оказывается важнее вопроса "насколько корректно и безопасно
поддерживается протокол X и насколько надежна и применима проверка Y и 
действительно ли данная мера обеспечения безопасности пригодна в принципе".

Последний пример - недавний разговор на irc на тему malicious java и activeX.
Люди пользуются для выявления оных стандартным антивирусным софтом, проводящим
банальный сигнатурный анализ - как в случае с вирусами. Понятно, что полезность
этой меры практически нулевая - специфика распространения вредоносных 
client-side скриптов совершенно отлична: они сами не размножаются и даже
практически не используются в массовых почтовых рассылках.

"Ну и что, что бесполезно - мне так спокойнее". А сколько тех, кто даже не будет
задавать себе вопросы?

 
> > > Меня другое бесит -
> > > для того чтобы получать сервис паки для него - нужно
> > > покупать CD subscription. Но реально сервис паки получаются
> > > у партнеров после краткой беседы. :)
> > > Но нужно отдать должное - Checkpoint хорошо постарался, раскручивая 
> > > OPSEC, благодаря чему теперь имеет мощную поддержку продуктами
> > > 3-х фирм.
> > 
> > М-да, теперь этот opsec как кость в горле - надо разработать открытую
> > альтернативу, да что-то не видно чтобы это кого-то всерьез волновало :(
> Вот когда кто-нибудь разработает открытую альтернативу, тогда и появится 
> смысл об этом говорить. Сейчас, к сожалению, достойных альтернатив нет.

Увы. Но значение opsec (а конкретно - cvp) сильно преувеличено и в значительной
степени просто раздуто рекламной кампанией того же checkpoint. 
Я вообще не считаю, что firewall - хорошее место для антивирусной проверки.
Вобщем-то корпоративный почтовый релей в данной ситуации справился бы с 
задачей не хуже.
Но какое-то семейство протоколов было бы полезно. Возможно, на основе i-cap
что-то вырастет (http://www.i-cap.org) 
  
> > > А по-поводу всего остального - продукт прост
> > > в управлении, рулится как из X, так и с 
> > > виндюков. Возможен вариант решения: несколько 
> > > firewall agents + management server.
> > > Продукт поддерживает stateful filtering.
> > > Если будут более конкретные вопросы - отвечу.
> > 
> > Не "поддерживает stateful filtering", а "полагается на него как на основной
> > инструмент инспекции данных".
> Блин, а что-ты предлагаешь? Конечно, было бы неплохо иметь возможность 
> отключения stateful для определенных правил/политик, но этого нет.
> Тем более что споры на тему порочности идеи firewalls заглядывающих
> выше L3 можно вести бесконечно и с обоих сторон можно находить все 
> новые и новые аргументы. 

А я не говорю, что заглядывать выше l3 это порочно. Я говорю, что это нужно
делать корректно. И вот тут-то мы натыкаемся на основную проблему, почему
fw-1 - flawed by design.

Да, я предлагаю. Пользоваться application proxies.

вот занятный документик номер раз:
http://www.avolio.com/apgw+spf.html

а вот занятный документик номер два (хотя местами уже не очень актуальный):
http://www.netsys.com/firewalls/firewalls-9804/0303.html

Кое-какие, казалось бы, очевидные из общих соображений мысли:

stateful inspection - технология, рассчитанная на "идеальный" мир. Которому
и firewall-ы то не нужны - раз там все уже корректно реализовано.

Подробнее - машина состояний для сетевого взаимодействия  - любого произвольного
протокола, начиная с доступного низа (ip пакеты) и до доступного верха (уровень
приложений) a) не специфицирована полностью с указанием всех возможных вариантов
перехода b) как следствие, зависит от конкретной реализации. Следовательно,
единственное, что мы можем сделать для уверенности, что все хорошо - выделить
условно безопасное подмножество и работать с ним. Даже сама идея реконструировать
более высокие уровни на основе нижних обречена, т к результат этой реконструкции
в инспектирующем модуле не будет гарантированно идентичен результату на
платформе, работающей с этими данными.

Все бы было не так страшно, если бы реализация инспекции данных была сделана
по-уму. Но проблема в том, что регулярное чтение багтрака наводит на мысли,
что у создателей продукта самые бредовые предположения о том, что, собственно
происходит в сети (чего стоит, например, идея о том, что команда port протокола
ftp должна полностью помещаться в tcp пакете и ее начало должно совпадать с
началом порции данных! да, в реальной жизни как правило так оно и есть, но 
кто обещал, что так будет? и т п.). Результат - в firewall-1 реализована не
машина состояний (это отностится и к tcp/ip и к протоколам приложений), а
набор hook'ов, которые позволяют с переменным успехом отследить ключевые
моменты и предпринять какие-то действия. Оно вам надо?

Напомню, что не так давно единственным способом защитить fw-1/solaris от DoS была
установка на той же машине ipfilter by Darren Reed, который, кстати, тоже
реализует stateful inspection.. Только несколько более корректно ;)

> 
> > Г-да, стряхните маркетоидную лапшу с ушей, 
> > хвалиться тут нечем.. 
> Ну стряхивать мне нечего. Могу легко навешать :). Но не буду.
> 
> Я не говорю, что FW-1 ЭТО КРУТО, я говорю что 
> это вариант. А когда на границе сети нужна
> не только фильтрация, но и интеллектуальная 
> работа с контентом - это один из немногих вариантов.


Я бы сказал, но монгольское сельское хозяйство тут оффтопик (c)..
Это до кучи..: http://www.phoneboy.com/fw1/

пора бежать - продолжим беседу завтра.

                                     _     _  _  _  _      _  _
 {::} {::} {::}  CU in Hell          _| o |_ | | _|| |   / _||_|   |_ |_ |_
 (##) (##) (##)        /Arkan#iD    |_  o  _||_| _||_| /   _|  | o |_||_||_|
 [||] [||] [||]            Do i believe in Bible? Hell,man,i've seen one!
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.