CiscoForums.it

e aggiungo anche monowall e linux iptable in generale...attualmente in azienda usiamo soluzioni cisco (asa, pix) ma mi chiedevo vista il costo e la complessita' di questi bei giocattolini (specie in failover:) se potessi buttarmi fiducioso con soluzioni open come appunto quelle citate...insomma...le soluzioni bsd e linux sono davvero SOLID-ROCK come le controparti commerciali o mi devo svegliare sudato la notte maledicendo quando ho deciso di tagliare i costi per il networking?!:)
le avete gia' usate in produzioni, anche da clienti grossi?
la mia sensazione e' che con le soluzioni open sei tranquillo e son mooolto piu' flessibili di quelle closed, ma non vorrei commettere una leggerezza ed avevo bisogno di un consglio amichevole...ciao!

Ti trovi così male con PIX ed ASA?
Se non è così io starei sul sicuro!

ma no per carita', non mi trovo male, mi chiedevo solo se la scelta professionale reale e' sempre e solo asa o se realmente vengono usati anche altri firewall, tra cui appunto i sopracitati.
infondo, come si fa ad essere sicuri che asa sia meglio di altri? chi ce lo assicura in fondo? ok il nome cisco, ok la affidabilita', ma perche' una soluzone con iptable per esempio e' da evitare?

ps:
dopotutto, il punto e'...come facciamo a sapere se un firewall e' sicuro? insomma linux ha update costanti, con cisco e' un pianto...trovo scomodo che non si possano scaricare liberamene gli ios!

Sinceramente open-source e sicurezza non mi piace molto...!
Dato che iptable è a sorgente aperto uno che ne sa lo può studiare, da li trovare bug e quindi sfruttarli...
Fare questo su un sistema Cisco è molto + difficile (sorgenti chiusi!)

Lo so che ho appena detto una cosa che farà scatenare qualcuno...

Cmq esistono i pen-test x verificare la sicurezza di un firewall...!

Altra cosa, hai vpn sui FW Cisco?

ehehe! stavo per dirlo io, ami scateare le risse eh?!:)

no la vpn e' su un altro appliance, xche?

Per la questione vpn se ne avevi ti sconsigliavo di passare a Linux ma se non ne hai...

Cosa dovresti passare precisamente da Cisco a Linux?
Solo ACL e NAT?

scusa ho capito male io!
si vpn ne ho, essenzialmente le funzioni richieste son sempre quelle, dmz, un paio di server da pubblicare, solita roba...

Con che altri apparati sono le vpn (se sono l2l)?

sono vari, sia asa sia altro, cmq ipsec e site2site

Io non ho mai avuto belle avventure con chi aveva Linux dalla altra parte (io gestivo l'end point della vpn di marca Cisco)

Wizard ha scritto:Io non ho mai avuto belle avventure con chi aveva Linux dalla altra parte

e te credo.....

Wizard ha scritto:Sinceramente open-source e sicurezza non mi piace molto...!
Dato che iptable è a sorgente aperto uno che ne sa lo può studiare, da li trovare bug e quindi sfruttarli...
Fare questo su un sistema Cisco è molto + difficile (sorgenti chiusi!)........

cmq tralascio (con la mano sx che tiene a stento la mano dx) il discorso open/sicurezza/closed ........... che è un argomento per una sezione di un forum........

Io posso riportare la mia esperienza ; Ipcop è un giocattolino carino...non è e mai lo sarà destinato a realtà aziendali evolute.
Io uso oramai da parecchi anni monowall e posso dire che è stabile,veloce,sicuro.Il suo approccio allo sviluppo mi è congeniale : poco e bene alla volta.Gestione della banda "emozionante" per quanto è granulare e precisa.Usa ipfilter e non iptables.
Iptables puro è usato in realtà anche molto grandi...ma li ci vuole gente coi controcazzi..... bisogna sapere dove mettere le mani e le macchine su cui gira sono hardenizzate fino al livello della compilazione del kernel con solo iptables.
Su tutti OpenBSD "Il firewall" in ambito opensource/enterprise.
Cisco e un pò tutti gli altri firewall in ambito commerciale hanno il pregio di avere motori per la scanasione del traffico molto efficenti e sono completamente SPI (Stateful Packet Inspection)sono messi su hardware "curato",,,,,
Alla fine,come sempre,dipende dalle tue necessità........

I migliori firewall del mondo sono basati su BSD, ovviamente come dice zot vanno viste tutte le necessitá, tenendo conto anche della facilitá di gestione e risoluzione di eventuali problemi che contano piú della sicurezza intrinseca del software.