miércoles, 1 de octubre de 2008


Interview

CASH: Niurka, muchas muchas gracias por brindarnos esta oportunidad de entrevistarte, sabemos que esta muy ocupada, pero ante todo gracias

NIURKA: Gracias a ti papi, pues no solo he tenido amantes en la farandula, todo esto lo he aprendido con relaciones anteriores tanto con un macho CCSP y un negrote friki que es Open-Be-esedero esos que odian a los linuxeros…

n1
Niurka, siempre tan femenina y segura, como un firewall bsd o cisco

CASH: OK, para empezar, cual de los 2 es mejor?

NIURKA: Ambos productos son muy buenos sin embargo la forma en la que aplican los criterios de seguridad son muy diferentes

En las soluciones firewall Cisco se manejan “niveles de seguridad” los cuales son aplicados en las interfaces y todo trafico de un mayor nivel transitando a un nivel menor es permitido, la interfaz publica debe tener nivel 0 , ya todo trafico que traspase de una zona de menor a si desea bloquear trafico saliente de interfaces de mayor seguridad a una menor, estos deben de definirse en listas de acceso y aplicarlas en la interface pertinente, en cambio pf todo tipo de trafico necesita ser tomado en cuenta, es decir, no supone que traficos deberian ser permitidos, es decil mi negro que el disenio de Cisco supone mas pol el hombre que lo esta configurando y es mas dificil defecarla feo por olvidos asi como la defeque to cuando me case con aquel ploductol de telenovelas que nomas me hizo suflil.

CASH: Cual es la ventaja de estos firewalls en comparativa a los “firewalls viejitos” de filtrado de paquetes?

NIURKA: En cisco se hace mucho incapie de que es un firewall ’stateful’ es decir, que cuando checa la politica del primer paquete de una conexion se crea una sesion y todos los paquetes y conexiones relacionadas a ese primer paquete son permitidas sin revisar las listas de acceso, en PF hay tambien seguimiento de estado usando el flag ‘keep state’ y ‘modulate state’ ambos soportan seguimiento de estado tanto para TCP como para UDP, en palabras que entiendas cash, una ves que identificas que no eres peligroso puedes pasar como juan por su casa sin aplicar todas las reglas…

n1
Este homble no podia tener el “state” ni con viagra

CASH: Otras cosas similares entre ambos?

NIURKA: Ambos permiten hacer grupos de hosts para aplicar las reglas, en Cisco se llama “object-group” y en pf “Variable expansion”

CASH: Que hay de seguridad a nivel de capa aplicacion

NIURKA:
En el control de navegacion, existe un mecanismo de accesar las paginas web a travez de un servidor proxy sin necesdad que el usuario haga ningun cambio en su pc, al recibie una peticion en el puerto web el firewall, reenvia la peticion al servidor proxy el cual hace la conexion para bajar la pagina y entregar el resultado al usuario interno es posible crear filtros por contenido, urls, restriccion de ancho de banda usado ,el proxy es posible instalarlo en el mismo firewall teniendo en cuenta que se etan agregando una posible vulnerabilidad mas sobre la cual estar encima, en otras palabras se recomienda ponerlo en otro host.

Cisco NO soporta transparente, el unico soporte es el uso de autorizacion de direcciones a travez de un servidor externo de websense un producto comercial y es necesario comprarlo por separado, ofrecida por una empresa que tiene miles de gentes navegando y clasificaqndo las paginas de internet, y al recibir la peticion el firewall manda el url al servidor ese y el dice si pasa o no….

n1
Con ambas soluciones puedes bloqueal de diferentes formas la pagina de playboy y las viejas cochinas que salen ahi

CASH: Que hay de acceso remoto desde el internet y medios inseguros?

NIURKA: En el sentido de VPN pf no hace ipsec pero BSD (cualquiera) tiene soporte a crear tuneles, tanto ipsec, pptp, openvpn, si bien no traen por default una interfaz grafica en si pero existen distribuciones que crean interfaz de administracion para estos servicios, Cisco tiene un limite de tuneles por licencia, en BSD es ilimitado y el limite lo dara la capacidad del hardware, como dicen los frikis, LOS FIERROS (sin albur).

En cuanto a accesos temporales a ciertas aplicaciones la contraparte a web-vpn esta authpf, en la cual un usuario remoto crea una sesion SSH y se autentifica, mientras este abierta la ventana de esa sesion SSH las reglas aplicadas a esa seccion se aplicaran a esa ip origen, asi nuestros datos siguen limpios y sin mancha como mi cu-cu.

CASH: Y algo sobre Virtualizacion y Respaldo?

NIURKA: Ambos equipos cuentan con sistemas de esquemas de reslpaldo y virtualizacion, la virtualizacion en PF es a nivel sistema operativo BSD y el esquema de respaldo es por medio de un sistema llamado carp, asi no te carga pifas cuando te truena el chikistriki.

CASH: huh?

NIURKA: El fairwall mi cash, el fairwall, asi le llamamos los conocedores…

CASH: Y al ser cisco, pues debe ser chingon pal ruteo no?

NIURKA: Pues Pix/asa no tiene funciones de ruteo avanzado (como los route-maps y esas madres de los routers) BSD tiene soporte a todos los protocolos de ruteo abiertos, apoyado en programas como Zebra y OpenBGP y lar reglas de PF permiten agregar decisiones de ruteo con clausulas como el route-to y reply-to, asi que si quieres echarte unas fumadas, usando un asa tendras que hacerlas en un dispositivo antes o despues de el.

CASH: Y que hay respecto a las pantallitas amigables pa configurarlos?

NIURKA: Cisco cuenta con entornos graficos de administracion basados en applets de java, un neofito es capaz de medio configurar un firewall y dejarlo jalando con este gui, sin necesariamente saber que chingados hizo, en el lado de pf existen distribuciones enfocadas a crear firewalls basados en FreeBSD/PF, la que mas aceptacion ha tenido es PFSense y ambos tienen la adorable interfaz de configuracion via Texto, que esa es para hombres como lo dijo un friki del Gulp! de esos hombres me gustan!

n1
mi siguente homble sera un lector de este blog, el que deje el comentario mas inseguro y/o configure totalmente un firegual me modo testo

CASH: Algunas Otras monerias?

NIURKA: Opcionalmente los appliance de seguridad Cisco tienen Modulos y servicios auxiliares para inspeccion de paquetes a bajo nivel (revisar el payload del paquete), estos van desde IPS, Antivirus, Entre otros

CASH: Ok, tus conclusiones…

NIURKA: Finalizalizando, hablando de seguridad y estabilidad, ambas soluciones son buenas y confiables, podras decidir cual usar basado en tu presupuesto y planeacion deseas hacer…

n1
Niurka concluye: Ambas solucionesle dicen ALTO a las conexiones indeseadas.

Esta entrevista fue hecha via e-mail a niurkamarkos@hotmail.com, no pudimos comprobar si realmente la respondio Niurka

No hay comentarios: