FIREWALL HARDWARE

[vumax(massimo)]

Immagino che i linux experts' qui presenti sappiano di cosa parlo...

io ne ho sentito parlare da poco, e mi hanno detto che e' formidabile rispetto ai firewall software tradizionali.

Così, se uno ha una macchina aggiuntiva neppure troppo potente, potrebbe dedicarla a tale importante compito.., la protezione del PC dagli attacchi dei malandrini    invadenti.

MI hanno consigliato la Gentoo linux firewall. in pratica un sistema operativo da installare su un pc a parte, il quale sara' collegato in rete  sia al modem che al Pc principale.

In questo modo si avra' il pc principale al sicuro perche' l'altro pc fara' da filtro al traffico internet.

In piu' il sistema operativo Gentoo linux firewall potra' sempre essere collegato 24ore su 24 permettendo ad esempio un ip fisso... per chi lo desidera... e si aggiornera' da solo.. morale della favola l'utente potra' pure dimenticarsi di questo firewall una volta installato il tutto!

Ora, forse riesco a mettere insieme una macchina in piu', e mi piacerebbe molto concretizzare questa cosa.

Qualcuno di voi ha gia' avuto esperienza in wuesto campo per eventuali dirtte?

ciao  da Massimo.

[MangiaErba]

Io ho un sistema inattaccabile (sfido chiunque) senza dedicare un'intera macchina allo scopo... un semplice script collegato allo script che apre l'adsl e il gioco è fatto...
Però se sei uno smanettone è comprensibile la voglia di sperimentare ...

[wubby]

Io ho un sistema inattaccabile (sfido chiunque) senza dedicare un'intera macchina allo scopo... un semplice script collegato allo script che apre l'adsl e il gioco è fatto...
Però se sei uno smanettone è comprensibile la voglia di sperimentare ...

Vogliamo l'IP per fare un po' di test... 

[luca#]

Vogliamo l'IP per fare un po' di test...

ehehe   

prima noi :mitr: poi  :fing: quindi tu

[MangiaErba]

Darvi l'IP ?

Nonono in campo di sicurezza la prima regola è ESSERE PARANOICI quindi anche se mi fido della mia configurazione l'IP rimane nascosto 

In realtà non me ne intendo granchè di sicurezza, a me piace programmare, le questioni di sicurezza le lascio ai sistemisti avanzati ... ad ognuno il proprio mestiere... ho comunque effettuato alcuni test che sembrano rilevare degnamente possibili buchi...

Li elenco qui sotto, così li potete provare e dirmi se sono realmente credibili.

http://www.auditmypc.com
http://www.pcflank.com/about.htm
http://www.goatlist.com 
http://www.dslreports.com/scan

[wubby]

Darvi l'IP ?

SI si si si si, ne faremo buon uso.  Stai tranquillo, sei tra amici no....? 

Nonono in campo di sicurezza la prima regola è ESSERE PARANOICI
quindi anche se mi fido della mia configurazione l'IP rimane nascosto 

Cmq. l'unico sistema sicuro è un sistema spento...
.
.
.
.
.
.
.
...dentro una cassaforte e sotto una colata di cemento! 

[luca#]

SI si si si si, ne faremo buon uso. Stai tranquillo, sei tra amici no....?


Cmq. l'unico sistema sicuro è un sistema spento...
.
.
.
.
.
.
.
...dentro una cassaforte e sotto una colata di cemento!

no no no... quello ancora da assemblare, il tuo si recupera

[wbonx]

A mio modesto parere, per un singolo sistema basta un firewall software, ma che sia un prodotto serio e configurato a dovere.Un firewall hardware a parte lo sfizio di metterlo su ha senso se si vogliono proteggiere contemporaneamente piu macchine senza aggravare il carico sulle cpu.

Un tempo avevo messo su un Pentium 66 distr Debian HD1giga 16mega ram creando una NAT all'interno della rete NAT fastweb e configurandolo a dovere come firewall, anche se efffettivamente il tutto era nato per nascondere le 5 macchine che c'erano dietro al router fastweb configurato per togliere la connessione ai contratti famiglia che avevano il limite dei 3 comp.

[MangiaErba]

no no no... quello ancora da assemblare, il tuo si recupera

E il tuo si assembla 

[luca#]

E il tuo si assembla

se ma non ci sono (ancora) dati sopra  :fing: :fing:  :adel: :adel:

[adrix]

Immagino che i linux experts' qui presenti sappiano di cosa parlo...

io ne ho sentito parlare da poco, e mi hanno detto che e' formidabile rispetto ai firewall software tradizionali.

Così, se uno ha una macchina aggiuntiva neppure troppo potente, potrebbe dedicarla a tale importante compito.., la protezione del PC dagli attacchi dei malandrini    invadenti.

MI hanno consigliato la Gentoo linux firewall. in pratica un sistema operativo da installare su un pc a parte, il quale sara' collegato in rete  sia al modem che al Pc principale.

In questo modo si avra' il pc principale al sicuro perche' l'altro pc fara' da filtro al traffico internet.

In piu' il sistema operativo Gentoo linux firewall potra' sempre essere collegato 24ore su 24 permettendo ad esempio un ip fisso... per chi lo desidera... e si aggiornera' da solo.. morale della favola l'utente potra' pure dimenticarsi di questo firewall una volta installato il tutto!

Ora, forse riesco a mettere insieme una macchina in piu', e mi piacerebbe molto concretizzare questa cosa.

Qualcuno di voi ha gia' avuto esperienza in wuesto campo per eventuali dirtte?

ciao  da Massimo.

Torniamo al topic che leggo solo ora, ti posso dire che i firewall hardware sono apparecchi dedicati al lavoro di "filtro" dei pacchetti, ad esempio Cisco Pix o Symantec appliances...
In modo similare sono firewall hardware i PC dedicati con una bella distribuzione linux come Smoothwall, IPCop, Redwall, Clarkconnect.....
Il firewall software è il client che si installa in windows giusto per non lasciare tutto aperto a manetta, un minimo di protezione lo da ..alla fine.

L'argomento è molto interessante perchè puoi cominciare con un vecchio pc (es pentium2 64MB disco da 3GB 2 schede di rete anche vecchie)

Ti serve un punto rete e una distibuzione tra quelle sopracitate, il setup se sei pratico di questi sistemi lo fai in 10 minuti poi sta a te scegliere se configurarti l'IPTABLE con VI a prompt (IPCop) oppure usare solo l'interfaccia web (Smoothwall)
Per intenderci, crei una macchina linux leggera con un IP interno (GREEN) e uno esterno ( RED - può essere DHCP su adsl o fibra) colleghi il tuo client con un cavo cross alla scheda interna con un ip simile e dopo aver letto tutte le FAQ configuri via pagina WEB il tuo sistema PROXY-FIREWALL e perfino VPN.

[Lucariello]

Torniamo al topic che leggo solo ora, ti posso dire che i firewall hardware sono apparecchi dedicati al lavoro di "filtro" dei pacchetti, ad esempio Cisco Pix o Symantec appliances...
In modo similare sono firewall hardware i PC dedicati con una bella distribuzione linux come Smoothwall, IPCop, Redwall, Clarkconnect.....
Il firewall software è il client che si installa in windows giusto per non lasciare tutto aperto a manetta, un minimo di protezione lo da ..alla fine.

L'argomento è molto interessante perchè puoi cominciare con un vecchio pc (es pentium2 64MB disco da 3GB 2 schede di rete anche vecchie)

Ti serve un punto rete e una distibuzione tra quelle sopracitate, il setup se sei pratico di questi sistemi lo fai in 10 minuti poi sta a te scegliere se configurarti l'IPTABLE con VI a prompt (IPCop) oppure usare solo l'interfaccia web (Smoothwall)
Per intenderci, crei una macchina linux leggera con un IP interno (GREEN) e uno esterno ( RED - può essere DHCP su adsl o fibra) colleghi il tuo client con un cavo cross alla scheda interna con un ip simile e dopo aver letto tutte le FAQ configuri via pagina WEB il tuo sistema PROXY-FIREWALL e perfino VPN.

Giuro di non essermi mai sentito cosi ignorante

[luca#]

Giuro di non essermi mai sentito cosi ignorante

[wubby]

Giuro di non essermi mai sentito cosi ignorante

Io ho lo stesso problema quando curioso nella sezione Motori... 

[luca#]

Io ho lo stesso problema quando curioso nella sezione Motori...

:adel:

[Morèl]

Scusate lor signori sienziati vorrei porre una domanda che forse direte . " ma va da n 'altra parte che non abbiamo tempo per ste caxxate !!  Allora io ho norton 2004 in uso gratuito ancora per un mese poi dovrei cacciare 50 eurozzi per continuare ad essere  protetto ,ma intanto su consiglio di alcuni di voi ho scaricato,  che dite basta sto affare per stare tranquilli oppure cos 'altro dovrei avere ? 

 

[luca#]

non basta ma è già qualcosa

Se hai bisogno di antivirus gratuiti dai uno sguardo qui:
http://www.free-av.com/
e qui:
http://www.grisoft.com/us/us_index.php

:adel:

[adrix]

Raga sono commosso cioè porcoddue mi sento ignorante pure io quando parlano di regolazione dell'anticipo scusate se sono entrato troppo nel dettaglio a causa della mia passione per le cose che ti fanno diventare matto finchè non le capisci (in questo solo le donne superano linux)

Ora, caro Morèl sebbene tu dell'altra sponda (k  ) ti reputo degno e sono sicuro che prima o poi el to fièu ti riporterà sulla retta via pertanto ti incoraggio fin da subito con una lista spropositata di software gratuiti - i 50 euro spendili in benzina, pastiglie freni, corone.... 

http://www.snapfiles.com/freeware/freeware.html

[Morèl]

GraZIE ADRIX  ora provvederò a scaricare quello che mi dici . Ti prometto che la prima volta che ci vediamo ti offro  e ti provi pure sto kappone che è roba per DURI  quello e si eh !! 

[Nessuno]

MafDiMer

[adrix]

Beh... visto che non tutti hanno capito cosa intendevi... che ne diresti di spiegare quello che hai scritto anche in "profanese" ?!? 

ohi ohi scusa il ritardo eccomi! 

intanto ecco un link commerciale ma caruccio (pieno di link alle descrizioni in pdf degli arnesi)
http://www.napolifirewall.com/hardfirewall.htm

Vorrei premettere che non sono un genio innato in materia, quello che so è merito del capo che ti piazza nel ced e ti dice "ora fai funzionare quel coso"...
il coso software (ad es. zonealarm) è un filtro che riceve analizza e ritrasmette, anche chiudendo tutte le porte qualcosa passa cmq (protocolli dhcp ops.. in profanese dei segnali entrano SUL TUO PC e poi vengono analizzati dal programma)
il coso hardware (apparecchio o anche pc firewall-linux) riceve i pacchetti e prima di mandarli SUL TUO PC li analizza o li DROPPA se correttamente configurato, se sono pacchetti "cattivi" tipo tentativi di intrusione li blocca.
In gergo tecnico c'è una parola molto bella per descrivere il proxy firewall... BASTIONE.
Hai presente quei muraglioni medievali dalla cui cima i soldati gettavano ettolitri di olio bollente sul nemico per tenerlo lontano? 

Il tuo firewall hardware ha certamente + opzioni di zonealarm, se impari a conoscerle puoi rendere la tua navigazione + rapida e sicura... sotto con le traduzioni!!!!

[Marco fango]

Vorrei distinguere le due funzioni.
Il firewall hardware lavora sulle comunicazioni, il firewall software lavora sui files e sui processi che vengono eseguiti sul client.

Mi spiego meglio.
Il Bastione (bella definizione) protegge le vostre macchine da attacchi mirati a fingere delle richieste di servizio per poi manomettere i dati o i servizi in uso.
Ad esempio una connessione esterna al vostro server di posta per generare centinaia di messaggi Spam.
In questo caso un tentativo di connessione viene effettuato sulla vostra macchina tramite un qualche pacchetto che contiene comandi per il server stesso, e che dialoga col server su una porta di comunicazione che il firewall dovrebbe negare.
In pratica la configurazione del Firewall Hardware deve prevedere il passaggio, da e per il web, delle sole funzioni che l'azienda ha bisogno di mettere o ricevere da Internet (la Posta, la navigazione, alcuni trasferimenti di files specifici come FTP).
La funzione Proxy è legata alla navigazione ma per il momento molliamola sennò non veniamo a casa più.
Non è una protezione, serve solo a semplificare il giro Internet.

Diverso il lavoro di un Antivirus evoluto, con funzioni di Personal Firewall, o Firewall Software.
Immaginiamo di ricevere una Email con un Virus particolare all'interno di un allegato.
Entra nella nostra rete come messaggio di Posta, il Firewall Hardware la interpreta come normale messaggio e non può che farla passare.
Se il nostro server di Posta non ha Content Scanning, Antivirus evoluti o altre cose, non effettua un controllo degli allegati alle Email e non rileva di conseguenza nulla.
La mail arriva quindi alla nostra casella di Posta (sul server) dove noi col Client di Posta (Outlook) la apriamo.
L'esecuzione avviene ora sul Client, il nostro PC, dove noi scarichiamo ed apriamo l'allegato.
L'allegato Virus ha, ad esempio, lo scopo di chiamare in telnet tutte le macchine presenti nella nostra rete.
Qui interviene il personal firewall, che rileva la presenza, nell'allegato o nei servizi che esso chiama, di una forma di attacco, blocca l'esecuzione in corso, segnala l'attacco e, generalmente chiede istruzioni.

Diciamo quindi che per poche macchine e per strutture poco complesse ci si può arrangiare con un personal firewall, ma che se andiamo a mettere sul web aziende da 20-30 macchine in sù, un firewallino hardware dà una bella mano.
Firewallino che si può anche montare con un vecchio PC e due schede di rete.
Una appunto verso l'esterno e una verso l'interno.

[Nessuno]

MafDiMer

[PapiOrso]

Carissimi, innanzitutto ben ritrovati dopo il mio lungo periodo di silenzio.
Posto perchè io lavoro su un sistema informatico di un certo livello.

Un firewall hardware è un'apparecchiatura (o un pc) a parte.

Un firewall software è un programma installato sul pc che deve proteggere.
I frw hd richiedono conoscenze ed esperienza di settore per essere configurati ADEGUATAMENTE.

I frw sw sono destinati alla protezione di rete "consumer" che oramai è indispensabile ed in genere si autoconfigurano.

Detto questo è detto tutto; se qualcuno ha piacere di farsi aumentare il mal di testa può tranquillamente acquistare un firewall harware.

Per i coraggiosi suggerisco Digicom per due buone ragioni:

1) E' un prodotto italiano con istruzioni in italiano ed interfaccia di programmazione italiana.

2) Hanno un servizio di assistenza clienti abbastanza pronto e fidelizzato.

SE avete a cuore la vostra sicurezza e privacy seguite le solite regole. Antivirus sempre aggiornato. Browser serio (Ottimo Mozilla Firefox). Scegliete accuratamente le mail da aprire sennò buttatele. Non iscrivetevi a tutti i siti del mondo. No siti "gratis", no siti porno, no warez. Non installate tutti i programmi che vi capitano, sistema funzionante non si tocca!

La sicurezza informatica inizia sempre da "dentro", comperate qualsiasi manuale e lo leggerete sempre in premessa.

Ciao a tutti da Ferdi

[Marco fango]

Allora... Qual'è la differenza tra quello software e quello hardware ?
O sono la stessa cosa, solo che uno è un programma (come siamo abituati a considerare) installato su un PC, mentre l'altro è un "programmino" nel firmware di una eeprom dentro un router, collegato poi al PC ?
Parlo di Firewall da solo, senza pacchetti strani, tipo "Norton-faccio-tutto-io"... niente Anti Virus, Protezioni Bambini, Salva Configurazioni, Caffè la mattina e c@zz@te varie... 

Il firewall hardware pensalo come un pc con due schede di rete, in pratica un router.
Solo che la logica di routing è legata alle regole che vengono fissate nel pacchetto software (il programma firewall) che gira sulla stessa macchina.
Questo oggetto (il pc , le due schede, il programma firewall che gira sopra) lo usi per interconnettere due rami di rete , o un ramo di rete (i tuoi pc aziendali) e internet.

Il firewall software, o personal firewall, è come te lo descrive Alias, un oggetto legato alla tua macchina, alle tue funzioni, quasi autoconfigurante.
Personalmente diffido un po' di tutti gli oggetti che dovrebbero proteggere e si autoconfigurano....comunque alla peggio protegge troppo (non ti consente più cose che ti servono).

[raulico]

Ciao,
non sapeve che qui si parlasse del mio pane quotidiano.
Allora cerco di essere semplice.
Firewall hardware:
hardware dedicato a fare funzionare softwares (che siano statefull inspection o ip filter, a seconda della complessità del software firewall) che sono adibiti  al controllo e/o permesso/diniego delle comunicazioni passanti dal software/hardware stesso.
Firewall software:
programma dedito all'analisi delle connessioni passanti, mediante regole statiche/dinamiche, quindi a seconda della complessità, avrai regole a livello ip o per firewall piu complessi, anche a livello tcp/udp, oppure che compiono azioni ben definite in base al raggiungimento di soglie di eventi (ids).

La struttura è così basata:

scheda di rete----><--strato software--><---scheda di rete

il firewall è lo strato software, che in base a regole statiche e/o dinamiche, permette o blocca il transito da e/o per scheda verso scheda (che ora chiamo Nic aka Network Interface Card)
nei software a scarsa protezione, si ragiona seguendo regole statiche che si basano su semplici permessi da una nic all'altra e si generalizzano in  ingress ed egress (entranti e uscenti), e si basano sull'inspezione della prima parte della trama del pacchetto che passa dallo strato software, e cioè ip sorgente e ip destinazione.
la dinamicità e complessità è molto restrittiva, e quindi anche la raffinatezza di protezione.
In firewall moderni (io sono checkpoint+nokia orientato) invece, oltre a seguiree queste prima grezze strutture di permission, c'è inoltre l'ispezione del payload e dello stream generato o sequenziale, al primo scambio di saluti che avviene e tutto quello che ne segue, dopo l'avvenuto scambio di comunicazioni.
non tutti sanno che la prima fase di comunicazione tra una nic e un altra (che sia il tuo modem verso un sito web o altro esempio per grandi linee)
è il saluto a 3 vie (3 ways handshake), e cioè la stessa cosa che accade tra due sconosciuti ipotetici, il primo dice (molto semplicisticamente):
ciao mi chiamo XXXX, vuoi parlare con me?
e l'altro dovrebbe rispondere:
ciao XXX , accetto di parlare con te, però quando mi rispondi, per non confondere le discussioni generiamo un numero e incrementiamo questo numero, in modo da farmi capire che stai rispondendo a quella determinata discussione;
e quindi XXX dirà:
ok yyy, da ora ti rispondo seguendo la tua procedura incrementale (vedi win98 e il suo pid semplice).
Questa è la base di molte comunicazioni, anche quella telematica.
E' naturale che non tutte le schede di rete del mondo esterno, sono degli interlocutori affidabili o di buoni propositi, e quindi nasce l'esigenza di usare uno strato software che monitorando tutto questo chiacchiericcio, sia in grado di capire e/o eseguire determinate regole generate dal sistemista o da chi li gestisce, o che sia in grado di capire (stiamo parlando sempre del sistemista, ma qui ne fa le veci il firewall) se è bene rispondere oppure fare finta di non sentire, senza nemmeno dire: no! non ti rispondo (meglio on time out che un closed port) passo e chiudo.
non voglio confondere le idee, quindi mi fermo qui, ma se hai altri dubbi, fai domande specifiche.
Anche se di base i *nix users ne sanno sempre un po di piu dei win* users, visto che per installare un windows basta premere sempre il tasto next, mentre per un *nix devi capire cosa sia un fqdn e magari te lo spiega pure.
non voglio aprire una diatriba, tra i due mondi, ma se vuoi smanettare con *nix, prova prima con software gia precompilati allo scopo, e qui ho visto che hai i consigli giusti, e poi magari ti dedichi alla tua "customizzazione".
securepoint.de dava una interessante versione precompilata abbastanza sicura di default, ma visto che sono checkpoint, non sono tanto piu aggiornato nel campo gratuito, ma ne trovi a palate su *nix, e sono tutte buone.
ciao

[Nessuno]

MafDiMer

[raulico]

be si, non c'è poi tanta differenza.
il software (firewall) non fa altro che gestire l'hardware su cui gira.
Per esempio ho dell'hardware con 16 schede di rete, quindi 16 sorgenti, quindi il software firewall gestirà le 16 sorgenti, e io stabilirò cosa fare in base alle richieste del pacchetto, a secondo da dove proviene, cosa richiede e che cosa vuole fare.
Di solito i routers hanno un minimo di protezione attuabile, visto che permettono delle acl (access control list), ma non sono delle garanzie.
E' naturale che se gestisci il database mondiale degli accessi di Fort Knox, ti servirà ben altro, ma per un utenza casalinga basta e avanza.
Ci sono varie tecniche di protezione, che non sto qui ad elencare, una intelligente è la honeypot (vaso di miele), metti in rete un pc che chiamerai archivio_carte_di_credito.amex.com e vedrai che succede, ma l'honeypot è nato per un'altro scopo.
i firewalls hardware (la definizione confonde le idee, io direi firewall con hardware dedicato) non sono altro che cpu,ram, device di rete e altro, quindi dei pc.
a casa uso questo tipo di topologia, un router che blocca determinati protocolli (icmp,netbios,tftp,http,telnet) e che ruota tutto verso un hardware dedicato Nokia su cui gira Checkpoint.
su ebay si trova tutto a pochissimo.
p.s. è naturale che vige lo stesso discorso degli antivirus.... senza aggiornamenti costanti, sono inutili o un palleativo di protezione
ciao