Ho aspettato un po’ prima di realizzare un articolo sulla V9, il nuovo Firmware di casa NetASQ, non volevo semplicemente elencare le nuove caratteristiche così come esposte nella documentazione, ma ci tenevo a dare una mia “impressione su strada” del prodotto.
Ho preferito approfittare anche della ricertificazione alla V9 così da confrontarmi con altri tecnici e vedere le relative differenze e le impressioni di chi come me utilizza abitualmente NetASQ, oltre a chiarire gli aspetti forse un po’ più incerti.
Prima di tutto quindi quali sono le novità di questo aggiornamento:
-
Gestione dell’Appliance da WEB e non più tramite l’Unified Manager, questo permette di svincolarsi da un pc ed aggiornare il tutto anche da mac, Linux o anche Ipad, permette quindi di poter lavorare sul firewall quasi da qualsiasi postazioni, senza emulazioni varie per chi è più abituato ai mac. Ovviamente comporta un certo rallentamento dell’interfaccia ma a parte un primo momento di smarrimento devo dire che mi da molte più soddisfazioni del vecchio Manager, intuitiva, semplice e veloce.
Mantiene tutte le funzioni tipiche dell’applicativo rendendo comunque semplice la configurazione ed aggiungendo tante scorciatoie:
- La possibilità di trascinare gli oggetti
- Il Search degli oggetti digitando la porta o le lettere elenca gli oggetti corrispondenti, FANTASTICO!
- Ottimi help in fase di configurazione regole se ci sono regole che si sovrappongono
- I Widget del Dashboard utili e comodi
- Rifatto completamente il motore riguardante i Filtri, oggi le NAT ed i FILTRI sono la stessa cosa, rendendo tutto estremamente più intuitivo e semplice da usare, a mio parere è anche tutto più veloce, facendo prove con un U30 su una connessione a 100MB (Fastweb) ho notato che passando dalla 8 alle 9 le prestazioni sono aumentate di un buon 20%…ma magari è solo la mia impressione.
- Possibilità di disabilitare e/o selezionare per ogni singola regola IPS/IDS/Firewall, in parole povere posso disabilitare su una singola regola qualsiasi tipo di analisi oppure semplicemente decidere di analizzarla e loggarla senza filtrarla, è estremamente utile in quelle condizioni di siti particolarmente “rognosi” oppure dove semplicemente viene richiesta massima liberta magari su specifiche route. Prima tutto questo non era possibile in quanto non c’era la possibilità di assegnare differenti profili di sicurezza su singole rules dei filtri, l’applicazione avveniva in modo globale. Per riuscirci era necessario lavorare direttamente sui file di configurazione e sinceramente non sempre era così semplice trovare una soluzione. Secondo me questa è la rivoluzione principale di questa V9, posso di fatto avere profili diversi per ogni regola, più restrittivi o meno con estrema facilità.
- Un’altra interessantissima funzione e l’analisi sull’SSL, quindi ftps/https/smtps/pop3s diventano tutti pacchetti analizzabili e di conseguenza filtrabili, i vantaggi di tutto questo ? è possibile bloccare la navigazione anche sulla base di siti in SSL, (prima spesso era la strada per accedere a facebook e simili) è possibile controllare il traffico di posta SSL e molto altro, l’analisi del pacchetto SSL è una novità propria della V9, non presente sulle precedenti versioni, l’integrazione di questo sistema è forse un po’ complesso, ma capito il meccanismo è fantastico
- La Gestione dei Time Object, completamente rivista. Ora è possibile dare ad una singola regola (prima era necessario farlo sull’intero profilo) una gestione temporale, quindi la possibilità di attivarsi o meno a seconda di un orario, sia in modo programmato o anche una singola volta, i vantaggi di questa soluzione sono innumerevoli, ad esempio la più semplice che mi viene in mente è svincolare la navigazione in specifici orari (come in pausa), ma come queste posso crearne centinaia svincolandomi dal limite dei 10 profili della precedente versione.
-
La possibilità di decidere per ogni singola regola, il tipo di controllo come dicevamo al punto C ma oltre all'”inspection level” possiamo per ogni regola:
- Cambiare profilo di di configurazione del singolo “Inspection level” quindi decidere l’aggressività da usare sulla singola regola
- Attivare/disattivare Antivirus
- Attivare/disattivare Antispam
- Attivare/disattivare/URL Filtering
- Attivare/disattivare SMTP Filtering
- Attivare/disattivare FTP Filtering
- Attivare/disattivare SSL Filtering
Tutto questo per ogni singola regola, permettendo così un dettaglio nella configurazione enorme rispetto a prima
-
Vorrei terminare con l’analisi, oltre a quanto presente prima e quindi sia il real-time che il report, ho apprezzato enormemente il Dashboard presente con una visione precisa della situazione del firewall, permettendo anche un’analisi veloce delle nuove regole, senza necessariamente aprire il real-time, la ritengo utilissima come funzione, moltissimo tempo risparmiato. Oltre agli Alarms inoltre ho una situazione precisa delle risorse, degli aggiornamenti e di quant’altro potrebbe interessarmi sull’operatività del firewall.
Altro aspetto, che era presente anche prima della V9 è l’enfatizzare maggiormente i prodotti Virtuali, NetASQ ormai ha una gamma completa di Firewall completamente Virtuali questo permette di ridurre l’hardware nell’infrastruttura, gestire ancora più facilmente eventuali anomalie Hardware evitando così l’HA (Alta Affidabilità), e soprattutto permette di adeguare la propria infrastruttura in modo molto semplice.
La scelta di prodotti virtuali per la gestione perimetrale di una rete a volte si scontra con l’opinione comune dei tecnici, che ritengono debbano essere hardware dedicati ed affidabili a gestire il perimetro di una rete e non amano molto l’idea di portare il tutto su una Virtuale, però ho avuto modo di provarla e di “giocarci” e sinceramente inizio a ricredermi, diciamo che per ora sono sicuramente la soluzioni migliore per i laboratori, ma anche in produzione possono avere il loro perché.
La gamma NetASQ rimane la più recente, e quindi tutta la serie UTM
Dalle Fisiche:
Dall’U30 con 2 porte e 80MB/s di VPN aes all’ NG5000-A con 22 Porte Gigabit, 1.5GB/s AES e fino a 2.500.000 di connessioni
Alle Virtuali:
dalla V50 50ip protetti, 100.000 connessioni alle VU ip illimitati 3.000.000 connessioni
e la serie VS, specificatamente per i server, quindi adatti ad alto traffico ma con un numero limitato di IP protetti da gestire
Un altro aspetto per me fantastico di tutta le gamma UTM di NetASQ è il NON vincolare le licenze alla quantità di utenti simultanei, cosa che ho sempre odiato sui firewall, NetASQ ha un costo prodotto a prescindere dagli utenti collegati, ovviamente è necessario valutare attentamente l’apparato da utilizzare a seconda del traffico previsto, ma aldilà di questo per assurdo posso mettere un U30 anche in una realtà con centinaia di utenti senza alcun blocco, probabilmente rallenterà enormemente la rete, però è possibile, questo non è possibile sulle virtuali per ovvi motivi di opportunità, essendo la velocità di calcolo vincolata dall’hardware.
Il mio amore per i firewall NetASQ è tangibile, forse a volte un po’ troppo evidente o di parte, ma sono riuscito a fare cose assolutamente fantastiche con questi apparati, devo dire poi che il continuo aggiornamento del motore ips permette di stare tranquilli su qualsiasi tentativo d’accesso, ne rileva davvero un’infinità in modo dettagliato e preciso, ecco forse a volte fin troppo, ma meglio un falso allarme in più che un passaggio non voluto, quando faccio notare ai clienti cosa accade nelle loro reti, si meravigliano come se fosse strano che ci sia gente che cerca di sbirciare dalla porta….
Molti si chiedono poi “si vabbè ma che vantaggi mi da un firewall??” sembra banale ma Vi assicuro che spesso mi viene fatta questa domanda e spesso il semplice “acquistare” un firewall mette mentalmente al sicuro la gente dai rischi relativi, non ci si rende conto che un firewall di fatto è una scatola vuota se non correttamente configurato, ecco alcune delle cose più interessanti che si possono fare con un NetASQ,
-
Navigazione controllata secondo tipologie di siti con la possibilità di vincolare l’accesso per IP/ ma anche per UTENTE (se presente dominio, o con proprio Database) anche in SSO (Single Sign On) con SPNEGO o con i certificati, questo significa che in una tipica rete a dominio posso decidere quali utenti possono andare e dove, anche usando i gruppi del dominio stesso, rendendo tutto estremamente semplice nella configurazione e completamente trasparente all’utente.
NetASQ ha un suo Database nativo e sempre aggiornato con molte categorie: academic, Advertisement, Arts, Bank, Business, Employment, Entertainment, Illegal, IT, News, Online, Pornography, Proxy, Shopping, Society, Wares.
Ed è quindi possibile l’inibizione o meno degli utenti a questi siti e ad altre liste create personalmente.
Oppure è possibile utilizzare un database di terze parti molto più vasto che è quello di Optenet
- Transparent Proxy, altra arma fondamentale in mano a Netasq, permette un proxy affidabile e preciso ma senza modifiche lato client, in quanto filtrerà tutto direttamente sulla porta nativa, tutto in completa trasparenza.
- Transparent Mode, è forse una delle caratteristiche più interessanti di NetASQ, il permettere di entrare in una rete “in punta di piedi” come dico sempre io. E’ possibile, configurarlo all’interno di una rete mettendolo sulla stessa classe, quindi, se la Vostra rete è nella classica 192.168.0.0/24, collegata direttamente ad un router, per integrare il firewall, dovreste o cambiare la classe della rete locale o del router, in quanto solitamente i firewall richiedono di “routare” la rete per poterla gestire…bene NetASQ NO!, può lavorare in modo trasparente, senza necessità di routing, questo permette spesso di poterlo introdurre anche in realtà dove non c’è il tempo di effettuare modifiche sull’infrastruttura, o dove molto semplicemente…non si vuole.
- Antivirus ed Antispam su navigazione, posta, ftp. Spesso si ritiene sia sufficiente avere l’antivirus sul computer, ma assicuro che questo protegge solo in parte dai possibili problemi, un firewall impedisce completamente l’accesso alla rete locale, e non vincola l’analisi del problema al client, la protezione perimetrale è fondamentale sulle reti, ed è esattamente quanto può fare un Firewall.
- Bilanciamento o Backup sulla connessione, quindi la possibilità in tutta trasparenza, in caso di perdita delle connettività di attivare una connessione d’emergenza, oppure di gestire il traffico in modo bilanciato
-
Controllo continuo su possibili attacchi, l’IPS permette un’analisi tramite un proprio database interno di anomalie che possono corrispondere a possibili attacchi o tentativi d’accesso non autorizzato o semplici anomalie non standard, utilizzando sia delle “firme” (come ad esempio utilizzo di comandi non autorizzati sull’SMTP o url con caratteri anomali) che possono far rilevare l’anomalia sia dei comportamenti (come ad esempio uno scanport, emule) permettendo quindi un’analisi molto approfondita su quanto succede. Soprattutto in presenza di server pubblicati ritengo “FONDAMENTALE” munirsi di soluzioni di questo tipo.
Evito di approfondire ora questo argomento, ma un adeguato IPS è ciò che differenzia un firewall da un ottimo firewall.
- VPN, la Versione 9 di NetASQ oltre a gestire le classiche VPN IPSEC, gestisce le semplici PPTP, ma anche le SSL VPN.
- Il Vulnerability Manager prima chiamato SEISMO è un analizzatore di vulnerabilità, valuta tutte le macchine nella protected evidenziando quali possono essere a rischio sicurezza e richiedere quindi patch/Service pack ed aggiornamenti, quest’analisi la fa per un database enorme di prodotti e di rischi conosciuti su tantissimi servizi ed applicativi, Vi assicuro che provare il VM su una rete tradizionale è quasi sconfortante da quanto rileva, e fa capire quanto nelle reti moderne a volte si sottovalutano certi aspetti, credo che sia un servizio fantastico dei NetASQ, è giustamente un prodotto Extra che si acquista separatamente ma sinceramente lo propongo sempre in fase di vendita.
Cos’altro dire su NetASQ ed in particolare sulla 9, è un’esperienza da provare le sue ultime caratteristiche a mio parere lo rendono di fatto il miglior apparato di sicurezza sul mercato.
Non dovrei fare il “commerciante” ma un’altra cosa affascinante è la possibilità di acquistare un firewall NetASQ con una promozione che si chiama “Trade-UP” e permette di cambiare il Vostro firewall, di qualsiasi marca con un NetASQ, SUPERVALUTANDOLO, io almeno ci farei un pensierino, chi entra nel tunnel NetASQ difficilmente ne esce !
Buon NetASQ a tutti!