[FUG-BR] RES: Checkpoint FW-1
c0re dumped
ez.c0re em gmail.com
Terça Novembro 28 11:40:34 BRST 2006
> O PF/IPF/IPFW/iptables/sunscreen/blablablabla são muito eficientes para
> filtrar portas, mas possuem algumas deficiencias que o checkpoint, por
> exemplo atende.
>
> Exemplo, o NG com AI possui o smartdefense, que seria a solução L7 que o
> snort/snortsam impelenta. Teria que entrar no site da checkpoint e do snort
> pra verificar quão rápido eles são prá adicionar as assinaturas das
> vulnerabilides detectadas e a partir daí tirar as conclusões sobre qual
> seria mais seguro.
Ok, mas pelo que andei lendo, essas "assinaturas" chegam e você tem
que acreditar que a checkpoint fez um bom trabalho, pois você não pode
sem sequer verifica-las, quanto mais alterá-las. Só nisso já acho uma
tremenda vantagem do Snort.
Ou seja, se o fabricante fizer alguma cagada você tá fud****.
> Essa solução smartdefente é totalmente configurada pelo usuário pela GUI,
> parecida com as rules do snort. Se você tem 8 firewalls prá applicar uma
> police, é mais fácil fazer em um e mandar o smartupdate atualizar do que
> sair fazendo SCP/FTP em servidor.
Isso realmente é interessante, mas acho que o FWBuilder tem isso tambem...
> Além disso, ao comprar o checkpoint você leva, além do filtro de pacotes/L7
> uma gama de produtos, que, no conceito da checkpoint, auxiliam na segurança
> da informação como um todo, desde a estação de trabalho remota até os
> servidores da empresa.
> Agora, não vamos falar mal do produto. Não é pseudo-vpn, ele cumpre o que
> promete, ecriptando os dados que ali passam por uma rede insegura.
Cara, essa VPN clientless deles não é uma VPN nem aqui nem na china.
Isso sim é um gateway SSL. Uma VPN ecripta trafego aleatório de uma
rede a outra, não um tráfego específico (HTTPS). Além do mais, isto
cria mais pontos "não confiáveis".
Quem garante que o admin do cyber cafe que teu cliente tá acessando
tem antivirus, sistema atualizado, maquinas confiáveis etc ?
Essa checagem de antivírus que eles alegam fazer via browser, tambem é
conversa pra boi dormir. Checagem de virus via IE. Só pode piada né ?
> Além disso você pode fazezr ACL dependendo do estado do cliente, ex, se o
> tráfego for prá porta 80 sem o cliente estar com o secureremote, vai ser
> negado ou feito um túnel ssl com a CA do Checkpoint, pegando autenticação em
> um servidor radius da empresa(ou ainda no proprio DB do checkpoint). Se o
> cliente estiver com o secureremote vai ser transparente, etc etc.
>
> Claro que isso não é só maravilha. Antigamente o checkpoint rodava em uma
> gama de OS, desde NT até solaris, passando aí por AIX, etc etc.
>
> Se houvesse uma tremenda falha no OS, não resolvida pelo usuário, o
> checkpoint estaria comprometido. Ponto para nosso amigo open/free, que basta
> um ipfw add deny all from any to me que evita qualquer acesso remoto.
> Além disso, é extremamente irritante ter que instalar um windows 2000,
> aplicar SP4 prá depois aplicar "n" hotfix prá depois instalar o checkpoint
> :)
Pois é... isso que mata. Firewall que é administrado via windows...
pô, fala sério, que piada de mau gosto. Se os caras pelo menos
tivessem um cliente UNIX, até mesmo uma interface WEB seria mais fácil
de digerir. O jeito é conectar o cabo de rede só quando for
administrar mesmo.
> Sabendo disso a checkpoint fez os appliances. A ultima versão da nokia que
> vi era um BSD(!), montado em 2U. Não sei a arquitetura, pois so usei a GUI.
Como assim ? O sistema rodando no appliance é um BSD ? O FW-1 não é
um OS tipo um IOS da cisco que roda em cima do hardware ?
-----------------------
Minha maior bronca com esses firewalls propietários é que regularmente
você tem que aplicar patches. Os patches do FW-1 pelo que li você nem
pode ver quais são as vulnerabilidades que estão sendo corrigidas. Os
patches do windows pelo menos te falam o que estão corrigindo (embora
de uma maneira tosca).
Pode ser uma opiniao só minha, mas acho inadmissivel você aplicar mais
que três patches por ano em um serviço crítico como um firewall.
--
No stupid signatures here.
Mais detalhes sobre a lista de discussão freebsd