Shorewall vs Cisco Pix.

Du kan ikke sammenligne dem på den måde, den bedste løsning er den firewall derbedst opfylder de krav og udfordringer virksomheden stiller, nogle gange vil det være en netfilter baseret firewall og nogle gange vil det være en pix. En meget væsentlig faktor er hvilken viden virksomheden besidder, selv ikke den dyreste firewall giver nogen form for sikkerhed hvis den er fejlkonfigureret.

Pix Fordele.

Dedikeret boks der er "tunet" til opgaven
billig
giver god sikkerhed, har stateful inspection
Cisco har helt imminent service
pix'en spiller glimrende sammen med cisco's andet udstyr.
Properitært styresystem.

pix ulemper:
Properitært styresystem.
hvis man har menge cisco enheder i sit miljø, kan et hul have effekt på alle enheder.
Kan være lidt bøvlet at sætte op, hvis man ikke kender til cisco

Netfilter fordele:
Meget fleksibel og let at udvide
Gratis
Modulær og kan udbygges med f.eks. squid og jennea for forøget sikerhed.
Freeswan kan implementere VPN
kan utrolig meget, men er lidt bøvlet at arbejde med hvis du ikke kender sproget

Ulemper.
Bygger oven på et kendt operativsystem, et hul i dette vil også være i firewallen.
Kræver stor viden om både sikkerhed og linux.
Hvis man har et linux miljø kan et hul i linux give adgang hele vejen ind

Pointen er at en analyse at den enkelte virksomheds behov, vil kunne pege på hvilken løsning derer den bedset, samt om man evt skal ud i en kombination af de to

Nå må jeg tilstå at jeg aldri har testet ut noen Pix til hundre tusen kroner, men til gjengjeld diverse varianter av Linux/Netfilter baserte firewalls. Min kjenskap til Pix firewall er således begrenset til det som framgår av alminnelig fagliteratur rundt Firewalls og nettverksikkerhet og ellers de tekniske data for diverse Cisco Pix firewall.

Ellers så kan man vel ikke sammenlikne Shorewall som er et stykke softeware, et program for konfigurering av Linux Firewall, med Cisco Pix som er er en en elektronisk boks med hardware og programmer som er laget for et bestemt formål.

Man kan jo vende litt om på problemstillingen:

Kan en hardware firewall basert på alminnelig PC teknologi og Linux operativsystem matche de tekniske spesifikasjonene for en Pix firewall (Hvilken Pix ?)

Svaret på dette spørsmålet må vel bli et noenlunde klart: Ja det kan den.

Linux firewall ivaretar selvfølgelig statefull inspection og de fleste andre kjente firewall prinsipper.

Når det gjelder den praktiske tilnærmingen så finnes det jo en lang rekke varianter av Linux firewall fra produkter som har en meget enkel konfigurering via web til prdukter som bare kan konfigureres "manuelt" fra console. 

Enkle: http://www.smoothwall.org/ http://www.m0n0.ch/wall/ (Egentlig FreeBSD)

Litt mer krevende: http://www.zelow.no/floppyfw/ (Men ikke veldig krevende.)

Skal man optimalisere i forhold til en "teoretisk sikkerhet" så er vel en minimalistisk Linux a la Floppyfw tingen. Her finnes det ikke en eneste server funksjon og ingen mulighet for remote pålogging. Kan også eventuelt settes opp i bridge mode slik at det ikke finnes noen ip å rette et angrep mot.

Ellers så er det vel riktig at en firewall i seg selv bare er en del av en hel sikkerhetsproblematikk. Den support man kan få fra en kommersiell leverandør kan vel være verdt hele prisdiferansen.

Den totale design av nettverket og den innebygde sikkerhet som helhet kan vel ha større betydning enn akkurat hvilken type hardware firewall man har valgt. En feil (forkert) konfigurert firewall kan jo også være lik med ingen firewall. Ved å ta utgangspunkt i rimelig utstyr så kan man på den annen side ta seg råd til å sette opp flere firewalls og dele inn i flere sikkerhetssoner, hvis man ønsker det.

Ellers så må man vel kunne si at man får meget kraftig hardware til firewallbruk ved å ta utgangspunkt i en alminnelig Pentium 4 PC og Linux.

Appropos Floppyfw så fantes denne historisk kun som "Floppyfirewall" med booting fra floppy. I dag så finnes den i flere varianter bla en 10 MB variant som passer for elektroniske lagringsmedier som CP Flash og USB Stick og ellers for CD. Med "klassisk" floppy oppsett så kjører man uten hd og med skrivebeskyttet floppy og ingen mulighet for remote pålogging, kun console. Har aldri hørt om noen som har hacket en slik.

Fant ellers en side med litt prisantydning og slikt. Ser at man kan få en "Pix" for mindre enn 3000,- Kr ..

http://www.tribecaexpress.com/ciscoPIX.htm

Det er vel overveiende sansynlig at en PC basert Linux firewall vil kunne yte bedre (på grunn av forskjellen i hardware),  men så koster den jo også hurtig mer enn 3000,- Kr.