Sono stati mesi particolarmente pieni è non mi è stato possibile pubblicare Post, ricomincio oggi proprio su uno degli argomenti che ha destato più interesse nell’ultimo periodo, i Firewall NETASQ.
Tutto nasce dalla nostra recente certificazione a NetASQ Gold Partner, che ci ha permesso di approfondire ulteriormente i grossi vantaggi di questi UTM, a mio parere tra i migliori al momento sul mercato.
Non è una semplice recensione sugli apparati, ma mi piacerebbe usare la scusa della nuova serie per parlare dei vantaggi nell’utilizzo di apparati avanzati come gli UTM di NetASQ.
Prima di tutto chi è NETASQ, NetASQ è realtà Francesce che è appena stata acquisita da da Cassidian un colosso nel mondo della Sicurezza, tra le più importanti in ambito militare, e l’arrivo di Cassidian darà sicuramente una spinta in termini di diffusione soprattutto sul suolo americano dove oggi la presenza di NetASQ non è ampia, ma Cassidian porterà sicuramente Know-How Importante ed integrazioni con competenze sviluppate in casa, sono certo che questo apporto non farà altro che incrementare il già ampio bagaglio di contenuti, questa scelta da parte di Cassidian fa capire che si era sulla strada giusta perché avere un interesse da un colosso del genere significa che eravamo davanti ad una perla nascosta.
UTM, questo sconosciuto, a differenza di un Firewall un UTM (Unified Threat Management) è una forte evoluzione, in quanto non si limita solamente al controllo del flusso sulle porte dati e permettere l’accesso secondo specifiche regole, ma effettua una vera propria analisi attiva di quanto accade sulla rete e, secondo specifiche regole interviene, sarò breve su questo aspetto in quanto non è motivo diretto di questo articolo, ma ecco una serie di interventi che un UTM svolge rispetto ad un comune Firewall:
- Antivirus, si occupa di analizzare il traffico ed intervenire nel caso rilevasse virus (posta, navigazione, ftp) bloccando o avvisando dell’anomalia.
- Antispam, tipico del mondo posta, effettuare un’analisi antispam perimetralmente evita un sovraccarico sia della rete interna sia dei server interni, limitando drasticamente eventuali rischi
- VPN, tipicamente presente anche sui firewall, ma nelle ultime versioni degli UTM Netasq sono presenti VPN SSL, inoltre su NETASQ non esistono licenze da acquistare per attivare le VPN.
- Analisi Traffico secondo applicativi, questa è una delle più importanti funzioni di Netasq, è in grado di intervenire bloccando le singole applicazioni A PRESCINDERE DALLE PORTE UTILIZZATE, ed in molti casi i singoli servizi delle applicazioni (Download Messanger, Scarico file con estensione MP3, ecc.) questo permette vincoli specifici senza bloccare l’intero servizio
- Content Filtering, è la navigazione secondo specifiche tabelle categoriche, bloccando l’accesso a siti in modo dinamico (es. XXX, Casinò, Acquisti on-line, ecc.) le categorie possibili sono molte a partire dalle 15 messe a disposizione in Default.
- Load Balancing, la possibilità di gestire due o più connettività anche in 3G, mantenendo così continuità di servizio IN MODO trasparente anche in caso di perdita connessione
Come vedete rispetto ad un comune Firewall le differenze sono molte, si tratta di una vera e propria Appliance che permette una gestione della rete garantendo massima sicurezza.
Ovviamente l’utilizzo di questi apparati a differenza di un comune Firewall, richiede una competenza decisamente maggiore, in quanto gli aspetti da gestire sono molti e le possibili problematiche ed esigenze richiedono conoscenze tecniche.
Ma cosa ha NETASQ rispetto agli altri UTM ? qui ovviamente c’è un primo aspetto legato alla passione che personalmente ho sempre messo su NetASQ, ritengo che questi apparati abbiano come principale valore aggiuntivo “CHI LI CONFIGURA”, in quanto è esattamente come un computer, un pezzo di ferro inutile se qualcuno non è in grado di configurarlo correttamente, la prima valutazione NON deve essere sull’apparato ma su chi lo dovrà gestire e deve integrarlo all’interno dell’azienda.
Personalmente ritengo che NETASQ sia in grado di fare qualsiasi cosa, come faccio a dire questo ?
NetASQ di fatto è un’appliance Linux su base FreeBSD, estremamente modificata, direi che di FreeBSD sono rimaste davvero poche cose, ma comunque sufficienti a poter effettuare tutte quelle gestioni speciali magari non attualmente presenti sull’apparato ma che sono integrabili separatamente.
NetASQ inoltre ha un grosso vantaggio, ha ciò che si intende IPS (Intrusion Prevention System) integrato, a differenza di tutti gli altri UTM che lo hanno come modulo, cosa cambia ? prestazioni, non essendo un modulo ma una caratteristica integrata nel kernel permette prestazioni (ed affidabilità) decisamente maggiori, ma cos’è L’IPS? È il modulo più importante di un UTM, è il modulo che di fatto fa l’analisi ed interviene. Senza IPS, un UTM è un comune Firewall, in quanto NON fa alcuna analisi di quanto accade sulla rete ma semplicemente si limita a gestire le connessioni attive, molti spesso ritengono che la sola presenza di un Firewall all’interno di un’azienda possa salvaguardare da possibili problemi, ma è la corretta configurazione l’aspetto più importante.
Oggi molti degli attacchi derivano dal comune traffico internet sulla porta http, non bloccabile dai comuni firewall, solo apparati di questo tipo sono in grado di riconoscere questo tipo di attacchi e bloccarli, sia lato client che lato server, l’argomento richiederebbe un approfondimento a parte, Vi riporto ad un articolo di NetASQ, ma il concetto è che oggi non è possibile ritenere sicuro ciò che accade nella navigazione ed è quindi necessario effettuare un’analisi approfondita anche in tal senso.
Cerco sempre di fare molta attenzione ad articoli di questo tipo, perché rischiano di diventare estremamente tecnici, ma dall’altra alcuni aspetti ritengo siano basilari per valutare un apparato che di fatto è TECNICO.
Bene ma ora cos’ha creato NetASQ con la Serie S ?
- Nuovo Hardware, una generazione migliorata in termini di prestazioni dell’Hardware stesso
- Una caratteristica prima vincolata agli apparati della serie Middle, Log a bordo tramite SD (su altri brand, sono caratteristiche solitamente affidate ad apparati esterni), i Log sono utilissimi per capire cosa accade esattamente ed intervenire in modo più tempestivo sulla rete, oltre a conoscere cosa è accaduto esattamente i giorni precedenti.
- La serie Entry Level completamente FanLess, così da essere messa in qualunque ufficio senza aggiungere ulteriori rumori fastidiosi
- Dalla release 9.1 (di cui farò articolo appena disponibile) sarà possibile avere le firme dell’IPS aggiornabili separatamente dal Firmware, sembra un aspetto da poco, ma questo permette di avere apparati sempre aggiornati anche in presenza degli alert Zero-day
- Nell’Entry Level (U30S) hanno integrato la terza porta utilissima per effettuare Load Balancing, senza configurare VLAN e quindi aggiungere inutili complicazioni.
- Porte a 1000 anche su apparati entry level, e sugli apparati High-Range supporto moduli fibra 10GB
- Un’evoluzione generale sugli apparati, va considerato che nel 2008 si contavano c.ca 20 Connessioni per User, oggi se ne contano mediamente 50 (social, Cloud, RSS, ecc.) quindi apparati di rete che nel 2008 erano sufficienti potrebbero non esserlo più oggi.
Tutte le funzioni oggi presenti sulla serie S, (a parte quelle fisiche) sono anche presenti sulla precedente versione, anche questa è una delle caratteristiche di NETASQ, porta dietro compatibilità sui propri apparati fin dove è possibile, mantenendo così un’elevata longevità sugli apparati stessi.
Poi ci sono tutti gli aspetti che ho sempre apprezzato di NETASQ
- TUTTO COMPRESO, Nessun limito di utenti (se non quello fisico dell’apparato), nessun limite di VPN, nessuna licenza aggiuntiva necessaria per qualsiasi funzione dell’IPS
- Analisi del Traffico HTTPS, cosa che oggi è tipicamente usata dagli utenti per superare i limiti nelle aziende ed accedere a siti di Social Network bloccati (se nella vostra azienda facebook è bloccato, provate ad andare su https://www.facebook.com)
- Possibilità VPN SSL, cosa significa ? che anche dove la VPN è bloccata (alberghi, aziende, operatori TLC, ecc.) potete accedere alla rete aziendale tramite appliance SSL assolutamente sicura, accedendo quindi ai dati aziendali da qualsiasi luogo.
- Possibilità VPN su apparati mobili (IPAD, Iphone, ecc.)
- SPNEGO, una delle cose più interessanti per chi lavora a dominio, permettendo di vincolare la navigazione sugli utenti e NON sugli IP in modalità SSO, quindi senza alcuna pagina d’accesso, l’utente è sufficiente che si collega al suo computer e poi a seconda delle regole impostate sul server può navigare sui siti decisi
- Possibilità di contratti con cambio apparato entro 4 Ore in caso di guasto.
- Possibilità di apparati in HA, in modo da dare continuità dei servizi in caso di rottura
Dove Integrare apparati di questo tipo ? a mio parere ormai dovunque, non vedo un vero “dove” ma semplicemente sono una necessità vista l’evoluzione delle reti negli ultimi anni, ormai bloccare porte o altro è diventato estremamente limitativo in quanto molti servizi non si basano più su singole porte ma da specifico traffico che è necessario riconoscere (quanti avranno avuto problemi sulle proprie reti aziendali con il VOIP o con l’FTP ?)
Poi c’è tutto l’aspetto puramente legato alle prestazioni, ma qui mi addentrerei su concetti forse un po’ complicati, voglio solo dare un esempio così da rendere l’idea degli apparati, ma se volete approfondire qui trovare il PDF di tutta la gamma
L’U30S (Entry Level) oggi è in grado di Gestire analisi di traffico con IPS attivo fino a 400Mb/s, 100Mb/s di VPN IPSEC, 75.000 Connessioni simultanee e fino a 5.000 connessioni al secondo. Evito gli altri in quanto sarebbe solo uno snocciolare di cifre, ma quanto sopra può far rendere l’idea di quanto anche l’entry level è un apparato con funzioni estremamente evolute e prestazioni adeguate a realtà fino a 40/50 Utenti
Atik oggi ha superato la certificazione Expert di NetASQ, diventando Gold Partner, questa scelta è stata una naturale evoluzione per poter lavorare su esigenze decisamente più complesse che non si limitino alla gestione di connettività aziendali ma anche ad aspetti decisamente più evoluti e critici dove questo tipo di certifiche ti permettono di maturare la giusta conoscenza.
Un ultimo aspetto interessante è la promozione presente su NETASQ di Trade-in / Trade-UP
Trade-IN Permette il passaggio a NetASQ da altro produttore con una scontistica estremamente interessante
Trade-UP permette invece una scontistica altrettanto interessante per passare da un prodotto NetASQ della precedente generazione (Serie F o Serie U) alla nuova serie US, sempre nella politica di NetASQ di mantenere allineati i proprio clienti sull’ultima generazione di apparati.
Per informazioni, a parte la solita disponibilità qui sul blog, non esitate a scrivere anche direttamente via Mail, r.esposito at atik.it