Enrico Pesce

Eccoci! Finalmente, dopo mesi di verifiche, sopraluoghi e riunioni ecco il risultato di un duro lavoro!

ed ora attendiamo una 100 Mbit in fibra!

Nei ultimi anni ho sentito uscire dalla bocca di molte persone paroloni come “copper speed”, “deep inspection”, “pattern matching”, “intrusion detection and prevention” e cosi via..

Per non parlare dei confronti tra uno o altri podotti, che cercano in ogni modo di differenziarsi tra l’uno e l’altro proponendo le solite cose con nomi diversi e con una confusione tale da far credere di avere sempre qualcosa di piu innovativo.

Parlare quindi di “deep inspection” per chi non vuole vendervi niente si intende semplicemente di un sistema che in tempo reale decodifica i pacchetti in transito con lo scopo di identificare anomalie secondo delle regole di confronto.

E’ importante capire questo semplice concetto perchè molti produttori vendono il proprio apparato come “copper speed”, avere un sistema di analisi IDS di certo non vuol dire leggere i dati a velocità rame.. (come si definisce la velocità del rame??)

Sorvolando sulla polemica di come vengono vendute certe funzionalità, solitamente un firewall per fare il “deep inspection” deve avvalersi di una scheda di calcolo ulteriore perchè logicamente il firewall non è nato per fare IDS, quindi se non acquistato, o se comunque non sufficiente, potenzialmente si può ridurre le potenzialità e la stabilità del vostro apparato.

Tutti gli IDS inclusi nei firewall hanno un insieme di firme (essenziali per definire le anomalie) inferiore ai veri IDS software dedicati come uno dei più famosi: SNORT. Questo fa già capire quindi come l’aggiunta di queste funzionalià di IDS (ma anche di ANTI SPAM e ANTI VIRUS) siano semplicemente degli optionals per far rendere il proprio sistema Firewall commercialmente piu appetible e utile ai piu creduloni e\o inesperti.

Un sistema Firewall\IDS “all in one” fa drasticamente diminuire la scalabilità dell’infrastruttura di rete. Immaginate di comprare una soluzione firewall con IDS e di voler sfruttare tale funzionalità aggiungendo molte regole di matching. Ci accorgeremo che piu regole inseriamo piu il carico di calcolo aumenta rubando risorse anche alla semplice funzione di firewalling.

Ha quindi senso investire su un firewall che probabilmente un giorno non potrà soddisfare le nostre esigenze di analisi IDS (o viceversa)? Sinceramente se implemento una soluzione IDS vorrei sfruttarla il piu possibile e vorrei che fosse scalabile. Preferirei un giorno sostiturie o il Firewall o l’IDS, ma non tutti e due.

Molto spesso le soluzioni piu complete e piu costose sono le meno produttive, ho molti esempi di soluzioni firewall vendute come “con questo sei apposto, fa tutto!”, alla fine va sempre a finire che metà delle funzioni non vengono abilitate perchè il prodotto non è in grado di gestirle tutte assieme!

Quindi, se volete proteggere la vostra rete con dei sistemi di analisi anti intrusione lasciate perdere gli appliance che fanno tutto e passate a qualcosa di professionale.

Ad ogni apparato il suo compito!! Un router deve fare routing, un firewall, firewalling, un IDS da IDS! Sennò tutti pontenzilmente si dovrebbero chiamare con lo stesso nome! ;)

Alla prossima con un bel articolo su SNORT!

Per fare dei backup si può pure pensare di spendere il meno possibile senza interessarsi di sistemi rindondati o di costosissimi storage high performance, logico tutto gira attorno al budget, ma in questi anni di crisi credo che l’importante sia avere un sistema che assicuri la coerenza dei dati con un software di backup open come Zamanda e un filesystem come ZFS o un sistema RAID professionale, per il resto, marchi e loghi famosi cadono in secondo piano!

Non ha senso a mio avviso investire su dischi costosissimi che comunque non creano perdita di dati in caso di guasto perchè comunque montati su sistemi RAID, il continuo progredire della tecnologia svaluta molto presto ogni cosa e comprare un disco da 500GB della EMC quando allo stesso costo ne puoi avere DUE da 1,5TB della Barracuda fa pensare.. (500GB contro 3TB!!)

Se l’integrità dei dati è comunque assicurata perchè spendere il doppio se non a volte il triplo (o anche di piu!)?

A fagiolo cade l’esempio di Backblaze, offre un servizio di backup su internet e come storage server usa un loro sistema progettato da zero su un’enclosure da 4U che ospita ben 45 hard disk

Fa ricordare prodotti come una SUN X4540 stessa flessibilità ma con costi superiori che toccano quasi 4 volte il costo di realizzazione del BACKBLAZE POD!

Peccato che un POD così non sia commercializzato, sarebbe bello trovare nel web almeno l’enclousure gia fatto per farsene uno homebrew!

Quante persone vorrebbero eliminare dal log del firewall Clavister i messaggi LogOpenFails che a poco servono?

Ecco qui una serie di immagini passo passo per non visualizzare piu questo log.

Ricordatevi di salvare la configurazione! ;)