nuqneH,
"Michael V. Smirnoff" <aidan@miee.ru> said :
> > > > Если абстрагироваться от мысли, что fw-1 - дерьмо, то его нокиевский вариант
> > > > наименее неприятен судя по отзывам.
> > > Если абстрагироваться - то нокиевский вариант ничем не лучше в силу
> > > идентичности софтв, а то и хуже по причине привязанности к железке =>
> > > меньшей масштабируемости (я могу выбрать из линейки Sun именно ту
> > > платформу, которая удовлетворяет моим требованиям).
> >
> > Что до идентичности - очевидно, что firewall на freebsd может быть идентичен
> > firewallу на NT только в некотором приближении ;)
> Заметь, я нигде не произнес "NT".
Я привел пример NT для наглядности. Разница между FreeBSD и Solaris тоже есть,
просто не настолько радикальная..
> > Что до привязанности к железке - железка от Nokia не дороже сановской.
> Я нигде не упомянул про цену, я сказал лишь про свободу выбора мощности
> аппаратной платформы.
> Софт мне поставляют с железкой, а в случае с Sun я могу выбрать ту
> модель которая мне нравится.
Цена - не последний фактор.
> > Что до масштабируемости - должен заметить, что производительность любого
> > современного компа значительно выше, чем может понадобиться разумному firewall'у,
> > за исключением некоторых экзотических случаев.
> Далеко не экзотических. См. ниже.
>
> >
> > Я не рассматриваю скорость шифрования при организации VPN, это отдельная тема
> > и оптимизируется специфичными методами, но и ее мы можем обсудить отдельно.
> Отдельно не получится. В моей практике в %80 случаях firewall
> является еще и криптошлюзом.
Я же сказал, что это отдельная тема и оптимизируется это специфичными методами.
Не в последнюю очередь аппаратными акселераторами. Потому как зачем напрягать
для этого центральный процессор? А иногда и вовсе firewall и криптошлюз стоит
разнести по разным железкам.
> > Почему Nokia менее плоха, чем остальные? Недорого, надежно, удобно (насколько
> > эти понятия примнимы к данному продукту).
> Я не говорю что менее плоха, я говорю что не лучше. А кастомеру
> пофигу, что это - ящик от nokia или Sun (выбранный под задачу)
> поскольку кастомеру ящик приходит с preinstalled софтом и
> с причесанной ОС и самим FW-1.
Судя по отзывам - лучше. И дешевле.
> > > > > > > P.S. Ща придет Арканойд и будет матерится -
> > > > > > > не любит он checkpoint, ох не любит. :)
> > > > > >
> > > > > > Пусть кто-нибудь попробует сказать, что необоснованно ;)
> > > > > Ну загнобить любое решение можно. :)
> > > >
> > > > Не в этом дело..
> > > И в этом тоже. На тебя слова "FW-1" и "Checkpoint" действует как красная
> > > тряпка.
> >
> > Они это честно заработали. Какое еще может быть у меня мнение о компании,
> > которая добилась несравненного успеха дерьмового продукта за счет грамотного
> > маркетинга и концентрации девелопмента на feature race?
> > Люди зарабатывают деньги, их в этом нельзя винить, мое желание
> > одно - чтобы все это происходило подальше от меня и чтобы мне не нужно было
> > бороться с их порождениями.
> Тебя никто не призывает бороться. :)
Я не только девелопер, я еще и консультант.. И порой так случается, что мне
приходится работать с клиентом, который заработал себе проблем и хочет поделиться
ими со мной :(
> > > > > Я согласен что FW-1 в свежеустановленном состоянии
> > > > > крив, но в умелых руках доводим до ума.
> > > >
> > > > Heh. "доводим до ума". Давайте посмотрим на это с количественной стороны.
> > > > Усилия, необходимые для доведения этой дурацкой глюкалки до относительного
> > > Усилия, как правило, прилагаются организацией-исполнителем проекта (ибо
> > > сейчас заказчик заинтересован в комплексных решениях по информационной
> > > безопасности) и нетрудно догадаться, что у таких организациях имеются
> > > типовые решения адаптируемые к текущему состоянию продукта. Поэтому
> > > разница прилагаемых усилий обратно пропорциональна числу реализуемых
> > > проектов.
> >
> > Ну, если организация-исполнитель связалась с оным вторичным продуктам по
> > каким-то своим соображениям (руководству он приглянулся, например), стоит
> > подумать о том, не найти ли другого исполнителя. Jet, например, в свое время
> > нашел в себе достаточно здравого смысла, чтобы отказаться от сотрудничества
> > с фирмой Checkpoint.
> Для меня Checkpoint одна из альтернатив, поскольку часто кастомер
> приходит уже вбив себе в голову ему без Checkpoint'a не жить. И
> никакими средствами из него это не выбить. Ну родился он таким.
А этот аспект я рассмотрел отдельно. Но в нашем случае данная ситуация
оффтопик, не так ли?
> > Дело может быть не только в здравом смысле. Всем нужно
> > как-то зарабатывать деньги. Связавшись с Checkpoint, поставщик решения
> > примазывается к активной рекламной кампании, проводимой этой фирмой.
> > Это удобно. С одной стороны. С другой - заставляет клиента, который умеет думать,
> > о том, не поискать ли поставщика решений с другой системой приоритетов.
> Увы, но часто запросы кастомера к работе с транзитным контентом таковы
> что решить их возможно только с помощью вороха OPSEC-решений.
Запросы? Потому что этого требует задача или потому, что его убедили, что
у него такие запросы? Я вернусь к этому в конце письма.
> > С третьей - безмозглые клиенты это прекрасный рынок и на него вполне можно
> > ориентироваться ;)
> Безмозглым клиентам security не нужна. Никакая.
Ну щас. Они прочитали в глянцевом журнале, что это чиста круто и круче всех,
конечно, Checkpoint.
> > Ладно, все, что было выше - это лирика, давайте посмотрим на вещи с более
> > технической стороны. FW-1 - софтина закрытая. Предполагается, что разработчики
> > хорошо знают, что делают и что пользователю нет нужды разбираться в тонкостях
> > реализации. И вот тут-то наступает обздача: следующим номером делается вывод,
> > что реализацию тоже можно сделать абы как, потому что все равно никто не
> > узнает ;)
> Ты видел много коммерческих firewalls с открытым кодом? :)
Три. Один из трех как бы уже не совсем, но его код раздобыть пока можно
(хотя и не так легко, как они уверяют)
> > Чтобы не быть голословным:
> >
> Да видел я все это.
Дас ист фантастиш. Т е ты прекрасно осведомлен о технологическом кошмаре,
происходящем внутри, о неправильном построении и непроходимой тупости реализации,
о том, что декларируемые функции - совсем не то, что есть на самом деле - и
- "все равно его не брошу, потому что он хороший"? Транс-цен-ден-тально!
/me в легком ступоре.
> > Увы. Но значение opsec (а конкретно - cvp) сильно преувеличено и в значительной
> > степени просто раздуто рекламной кампанией того же checkpoint.
> > Я вообще не считаю, что firewall - хорошее место для антивирусной проверки.
> Вообще CVP - это не только антивирусная проверка. Не вводи
> в заблуждение народ. :)
Давай-ка поподробнее с этого места. Для чего он еще _реально применим_.
Галочки в красивой таблице не рассматриваем.
> > Вобщем-то корпоративный почтовый релей в данной ситуации справился бы с
> > задачей не хуже.
> Это спорный вопрос. Я до сих не решил для себя что лучше.
Вопрос удобства. Но считать это обязательной функцией firewalla и требовать
ее, стуча пивной кружкой по стойке - несколько странно.
> Прекрати мне показывать содержимое моего bookmarks :))))
Тю. См выше про ступор ;)
> > Кое-какие, казалось бы, очевидные из общих соображений мысли:
> >
> > stateful inspection - технология, рассчитанная на "идеальный" мир. Которому
> > и firewall-ы то не нужны - раз там все уже корректно реализовано.
> >
> > Подробнее - машина состояний для сетевого взаимодействия - любого произвольного
> > протокола, начиная с доступного низа (ip пакеты) и до доступного верха (уровень
> > приложений) a) не специфицирована полностью с указанием всех возможных вариантов
> > перехода b) как следствие, зависит от конкретной реализации. Следовательно,
> > единственное, что мы можем сделать для уверенности, что все хорошо - выделить
> > условно безопасное подмножество и работать с ним. Даже сама идея реконструировать
> > более высокие уровни на основе нижних обречена, т к результат этой реконструкции
> > в инспектирующем модуле не будет гарантированно идентичен результату на
> > платформе, работающей с этими данными.
> >
> > Все бы было не так страшно, если бы реализация инспекции данных была сделана
> > по-уму. Но проблема в том, что регулярное чтение багтрака наводит на мысли,
> > что у создателей продукта самые бредовые предположения о том, что, собственно
> > происходит в сети (чего стоит, например, идея о том, что команда port протокола
> > ftp должна полностью помещаться в tcp пакете и ее начало должно совпадать с
> > началом порции данных! да, в реальной жизни как правило так оно и есть, но
> > кто обещал, что так будет? и т п.). Результат - в firewall-1 реализована не
> > машина состояний (это отностится и к tcp/ip и к протоколам приложений), а
> > набор hook'ов, которые позволяют с переменным успехом отследить ключевые
> > моменты и предпринять какие-то действия. Оно вам надо?
> Как оно там в пузе устроено нам с тобой неведомо, но закидоны у их
> разработчиков бывают еще те. :(
>
> > Напомню, что не так давно единственным способом защитить fw-1/solaris от DoS была
> > установка на той же машине ipfilter by Darren Reed, который, кстати, тоже
> Да закидон был еще тот.
Так не проще и не логичнее ли было бы выбрать продукт, в котором подобные
закидоны a) не встречаются b) не имеют благоприятной среды для возникновения?
И желательно - про который хотя бы примерно известно "как у него там в пузе
устроено".
Как мне кажется, это естественное требование к системе, на которую приходится
полагаться при обеспечении _информационной безопасности_. (Stay tuned, наша
цель - обеспечивать безопасность, а не "устанавливать firewall с вот такой вот
кульной фичей, которая в рекламном проспекте так понравилась нашему боссу!").
Можно сказать, что наша цель - заработать
денег на клиенте, но я, как честный человек, считаю, что должен за эти деньги
все-таки решить его задачу настолько хорошо, насколько это возможно.
А задачи "поставить вот эту классную штуку" при правильной постановке быть не
может.
>
> >
> > >
> > > > Г-да, стряхните маркетоидную лапшу с ушей,
> > > > хвалиться тут нечем..
> > > Ну стряхивать мне нечего. Могу легко навешать :). Но не буду.
> > >
> > > Я не говорю, что FW-1 ЭТО КРУТО, я говорю что
> > > это вариант. А когда на границе сети нужна
> > > не только фильтрация, но и интеллектуальная
> > > работа с контентом - это один из немногих вариантов.
> >
> > Я бы сказал, но монгольское сельское хозяйство тут оффтопик (c)..
> Скажи, скажи. :))
Аж ахуй какой вариант!
Эту самую "интелллектуальную работу с контентом" возводит в фетиш та же
самая фирма Checkpoint. В своем понимании интеллектуальности. Можно чуть более
подробно о том, в каком именно варианте она нужна? А я прокомментирую.
Не люблю дискутировать сам с собой.
_ _ _ _ _ _ _
{::} {::} {::} CU in Hell _| o |_ | | _|| | / _||_| |_ |_ |_
(##) (##) (##) /Arkan#iD |_ o _||_| _||_| / _| | o |_||_||_|
[||] [||] [||] Do i believe in Bible? Hell,man,i've seen one!
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
