[FUG-BR] RES: Checkpoint FW-1

Renato Frederick frederick em dahype.org
Terça Novembro 28 11:02:55 BRST 2006 

Bom, utilizo aqui um checkpoint, deixe eu tentar dar meu relato de maneira
imparcial:

Se você vai fazer filtro de porta, até um conectiva 4.2 com ipchains(!)
funciona.

Afinal, tem gente que confunde até hoje filtro de pacotes com firewall
layer7.

O PF/IPF/IPFW/iptables/sunscreen/blablablabla são muito eficientes para
filtrar portas, mas possuem algumas deficiencias que o checkpoint, por
exemplo atende.

Exemplo, o NG com AI possui o smartdefense, que seria a solução L7 que o
snort/snortsam impelenta. Teria que entrar no site da checkpoint e do snort
pra verificar quão rápido eles são prá adicionar as assinaturas das
vulnerabilides detectadas e a partir daí tirar as conclusões sobre qual
seria mais seguro.

Essa solução smartdefente é totalmente configurada pelo usuário pela GUI,
parecida com as rules do snort. Se você tem 8 firewalls prá applicar uma
police, é mais fácil fazer em um e mandar o smartupdate atualizar do que
sair fazendo SCP/FTP em servidor.

Além disso, ao comprar o checkpoint você leva, além do filtro de pacotes/L7
uma gama de produtos, que, no conceito da checkpoint, auxiliam na segurança
da informação como um todo, desde a estação de trabalho remota até os
servidores da empresa.

Agora, não vamos falar mal do produto. Não é pseudo-vpn, ele cumpre o que
promete, ecriptando os dados que ali passam por uma rede insegura.
Além disso você pode fazezr ACL dependendo do estado do cliente, ex, se o
tráfego for prá porta 80 sem o cliente estar com o secureremote, vai ser
negado ou feito um túnel ssl com a CA do Checkpoint, pegando autenticação em
um servidor radius da empresa(ou ainda no proprio DB do checkpoint). Se o
cliente estiver com o secureremote vai ser transparente, etc etc.

Claro que isso não é só maravilha. Antigamente o checkpoint rodava em uma
gama de OS, desde NT até solaris, passando aí por AIX, etc etc.

Se houvesse uma tremenda falha no OS, não resolvida pelo usuário, o
checkpoint estaria comprometido. Ponto para nosso amigo open/free, que basta
um ipfw add deny all from any to me que evita qualquer acesso remoto.
Além disso, é extremamente irritante ter que instalar um windows 2000,
aplicar SP4 prá depois aplicar "n" hotfix prá depois instalar o checkpoint
:)
Deus sabe lá em um AIX o trabalho que deve dar se um disco queimar prá
voltar um backup com aquelas ferramentas obscuras de disco (TVTOC, RLIST,
RESGROUP...)

Sabendo disso a checkpoint fez os appliances. A ultima versão da nokia que
vi era um BSD(!), montado em 2U. Não sei a arquitetura, pois so usei a GUI.

A desvantagem do appliance é o preço, como todo sabemos, há aí um over,
mesmo se tratando de um intel-like rodando BSD.. Isso sai muito caro pra
empresa... Mas, do ponto de vista de uma garnde corporação, é mais fácil
comprar 2 appliances, deixar um redundante e em caso de queima, tirar do
rack e colocar outro, do que ficar esperando trocar servidor.

Enfim, acho que a empresa tem que ter necessidade(e tamanho e grana) prá
comprar uma solução destas. Se o perfil dela não exigir, estamos sim muito
bem servidor com Open/Free.

Neste meio do caminho tem também a cisco com o PIX, que faz um trabalho
excelente, apesar do preço ser ainda mais exorbitante.



> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br 
> [mailto:freebsd-bounces em fug.com.br] Em nome de c0re dumped
> Enviada em: segunda-feira, 27 de novembro de 2006 17:12
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: [FUG-BR] Checkpoint FW-1
> 
> O pessoal aqui do trabalho mais uma vez sem ter o que fazer, 
> vai comprar uma solução de VPN que vem com Firewall embutido, 
> da Checkpoint.
> 
> É muito triste essa decisão pq nós usamos PF há 4 anos e nem 
> ele nem o OpenBSD nunca nos deixou na mão em nada. 
> Infelizmente essa é uma decisão que independe de mim, e pelo 
> visto já está tomada.
> 
> O mais chato é que já desenvolvi uma solução boa de VPN com 
> OpenVPN, que funciona muito melhor e mais seguro, que essas 
> pseudo-vpn, como a da checkpoint.
> 
> Sei que o FW-1 não é "o mais seguro do mundo", como alarda o 
> fabricante. Dando uma rápida pesquisada no google , encontrei 
> vários services packs (muitos críticos) pra ele.
> 
> De qualquer forma, gostaria de saber do pessoal aqui da 
> lista, se alguem usa ou já usou e o que acharam a respeito, 
> enfim, quais os prós e contras em relação ao PF.
> 
> O governo alardou tanto que ia usar SL em tudo e no final, o 
> pessoal da chefia, que se diz "pró SL", vai fazer uma asneira dessas.
> 
> Fica registrada minha profunda tristeza com esse fato.
> 
> 
> []'s
> 
> -- 
> 
> No stupid signatures here.
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd