[FUG-BR] RES: RES: Checkpoint FW-1
Renato Frederick
frederick em dahype.org
Terça Novembro 28 12:14:01 BRST 2006
> Ok, mas pelo que andei lendo, essas "assinaturas" chegam e
> você tem que acreditar que a checkpoint fez um bom trabalho,
> pois você não pode sem sequer verifica-las, quanto mais
> alterá-las. Só nisso já acho uma tremenda vantagem do Snort.
As assinaturas são baseadas nos advisores da CERT dentre outros. Ao
atualizar é aberto embaixo um link do que aquilo está protegendo, por ex,
proteçao do kazaa versão X.x.x.x, ou proteção contra worm de windows,
conforme boletim de segurança XYZ da MS, etc etc.
>
> Ou seja, se o fabricante fizer alguma cagada você tá fud****.
Sim, da mesma maneira que se o diretorio rules/ do snort for compilado
errado e você, como administrador não fazer um teste no laboratório antes de
por em produção, pode por tudo parado.
Da mesma maneira que você não sabe se o database do clamav está certo ou
não...
Acho que isto depende das precauções do administrador de rede, seja a
solução open ou não.
> Isso realmente é interessante, mas acho que o FWBuilder tem
> isso tambem...
Com certeza é importante.
>
> Cara, essa VPN clientless deles não é uma VPN nem aqui nem na china.
> Isso sim é um gateway SSL. Uma VPN ecripta trafego aleatório
> de uma rede a outra, não um tráfego específico (HTTPS). Além
> do mais, isto cria mais pontos "não confiáveis".
Opa.. Quem falou que não há client?
A checkpoint tem o secureremote/securecliente/clientless. Procure no livro
que o colega indicou o que os 3 fazem.
Você pode fazer vpn host-rede rede-rede bem como suporte clients sem vpn,
utilizando o que você informou acima.
Você está se referindo a ferramenta errada. Essa que você falou acima serve
para adicionar ssl para um trafego web não encriptado.
Exemplo, voce tem um servidor web que não suporta ssl. Ou você tem um apache
que não foi compilado com suporte ao ssl. Daí o checkpoint atua como ssl
entre o cliente até o checkpoint. Ficando o tráfego entre o
servidor-checkpoint normal.
Para utilizar vpn, você utiliza ro securecliente em modo office.
>
> Quem garante que o admin do cyber cafe que teu cliente tá
> acessando tem antivirus, sistema atualizado, maquinas confiáveis etc ?
Pensando nisso o administrador pode fazer policies e obrigar o cliente a
usar o securecliente, que faz toda a politica de segurança na rede dele, com
o desktop security, dentre outros.
>
> Essa checagem de antivírus que eles alegam fazer via browser,
> tambem é conversa pra boi dormir. Checagem de virus via IE.
> Só pode piada né ?
Não, é layer7. ele pega o tráfego daquele objeto que você especificou (ex,
ftp) e transparentemente analisa. Se for detectada alguam condição é
bloqueado.
> Pois é... isso que mata. Firewall que é administrado via windows...
> pô, fala sério, que piada de mau gosto. Se os caras pelo
> menos tivessem um cliente UNIX, até mesmo uma interface WEB
> seria mais fácil de digerir. O jeito é conectar o cabo de
> rede só quando for administrar mesmo.
Você cria policies dentro do checkpoint(na verdade elas já vem ocultas), que
so permite a estação cliente de trabalhar. Mas, se você tiver o conhecimento
suficiente, pode editar o script na mão, com o vi, acessando a estaçao via
ssh.
> Como assim ? O sistema rodando no appliance é um BSD ? O
> FW-1 não é um OS tipo um IOS da cisco que roda em cima do hardware ?
Não. É o IPSO.
Toda a velocidade alegada por eles se dá porque o OS é muito bom e o
processador é dedicado a isto.
Logo, você tem um processaodr bacana que fica dedicado só a passar pacotes
pro programa(otimizado) e de uma interface a outra.
>
>
> -----------------------
>
>
> Minha maior bronca com esses firewalls propietários é que
> regularmente você tem que aplicar patches. Os patches do FW-1
> pelo que li você nem pode ver quais são as vulnerabilidades
> que estão sendo corrigidas. Os patches do windows pelo menos
> te falam o que estão corrigindo (embora de uma maneira tosca).
Pode sim:
Service Pack information, download access, and a description of how these
vulnerabilities are addressed can be accessed at:
http://www.checkpoint.com/techsupport/alerts
>
> Pode ser uma opiniao só minha, mas acho inadmissivel você
> aplicar mais que três patches por ano em um serviço crítico
> como um firewall.
>
Creio que o fabricante tem que ser íntegro, admitir o problema e dar a
solução o tanto antes possível.
Bons programas não se medem pela quantidade de SP que são liberados, mas sim
pela estabilidade/performance/integridade.
Mas é uma opiniao :)
Mais detalhes sobre a lista de discussão freebsd