[Discussioni] [m.lusini a palazzochigi.it: Re: Articolo sulla tecnologia Open Source]

Marco Ermini markoer a markoer.org
Mer 28 Mar 2001 15:07:20 CEST 

Simo Sorce wrote:
> 
[...]
> > Se posso dire la mia (spero!) mi sembra una risposta certo discutibile
> > (soprattutto sulla questione del firewall) ma sicuramente ne' ignorante ne' in
> > malafede. E' invece una risposta abbastanza saggia, espressa da un punto di
> > vista non totalmente condivisibile, ma si vede che viene da una persona
> > tecnicamente molto competente e scevra da fanatismi e pregiudizi.
> 
> Saro' paranoico (o prevenuto), ma secondo me il tecnico non e' fanatico
> ma non certo scevro da pregiudizi riguardo al software libero quando
> cita:
>   "ritengo che Linux sia un ottimo sistema per gestire posta elettronica
> Internet
>   e servizi di base come DNS, allo stesso tempo non lo sceglierei mai
> per
>   fare da Firewall per la rete della Presidenza, perché semplicemente
> non
>   è (ancora?) in grado di farlo, né come base per un sw commerciale, né
>   tantomeno con un sw opensource."
> 
> Se leggete bene quel _tantomeno_ significa che il tizio HA pregiudizi
> verso qualunque software opensource a prescindere da quale sia e che
> possa girare sotto linux. Qui non ha imparzialmente dato un giudizio su
> un software in particolare ma ha condannato tutta una categoria
> (software opensource su Linux), e se non e' pregiudizio questo.....

Se mi permetti, e' il mio stesso pregiudizio. Mi ripeto: io avendo un budget
virtualmente infinito non userei mai Linux, ne' _tantomeno_ (se il problema e'
il "tantomeno"...) un software opensource o non opensource come firewall. Va'
da se' che sulla mia ADSL casalinga non ci mettero' mai un Cisco Catalyst, e
Linux va piu' che bene, ma se facessi la rete del Governo o di una grossa
multinazionale non baderei certo a spese.



> > [...]
> >
> > > Perfetto, proprio a questo pensavo, tra l'altro. E cioe':
> > >
> > > a) far vedere che IIS NON e' lo stato dell'arte (...);
> >
> > Non ne vedo l'utilita'. Forse non e' tua intenzione polemizzare, ma ti faccio
> > notare che questa *e'* una polemica. Condivido invece il punto di vista del
> > non essere polemici: IIS e' un software molto diffuso e la giustificazione del
> > suo utilizzo stava nella facilita' nel reperire know-how, non nella sua
> > presunta superiorita' tecnica.
> 
> Mah, anche questa della reperibilita' di know-how mi pare una
> giustificazione e neanche tanto valida per l'uso di IIS. Per Apache si
> trovano tonnellate di know-how finanche alla lettura del codice (e
> scusami se e' poco), cosa che IIS non puo' dare.

Mi sa che confondi il significato di "know-how". *Ovviamente* lui intendeva
"persone con know-how" e ti assicuro che si trovano molti piu' gonzi che fanno
click sull'Enterprise Manager di Microsoft che geek che editano e ricompilano
Apache. E scusami se e' poco...

Bada bene, non sto dicendo che tutto cio' e' "buono" ed e' "ottimale", ma che
un vero ingegnere ed un buon capo progetto usa quello che ha al meglio senza
pregiudizi, si tratti di hardware come di persone, e queste persone hanno un
certo curriculum informatico e certe competenze. Per lui era meno costoso
trovare gente che conoscesse IIS che Apache, e lavorando anche io nel
"body-renting" ti assicuro che ha ragione al 100%.



> > > b) che un firewall libero funzia come (se non meglio) di uno proprietario,
> > >    con in piu' una maggiore facilita' di integrazione con S. proprietario,
> > >    grazie alla disponibilita' del codice;
> >
> > Su questo Rubini mi sembra abbia espresso un punto di vista molto
> > condivisibile. Esistono comunque Firewall commerciali che girano su Linux,
> > comunque e' condivibile il fatto che il firewall sia meglio implementarlo
> > (avendo un budget virtualmente infinito, come dovrebbe essere il caso del sito
> > Web del Governo) con una apparecchiatura Hardware dedicata tipo Cisco o
> > Juniper: sicuramente dal punto di vista della gestione si e' molto meno proni
> > ad errori che nel configurare degli script ipchains!
> 
> Non so quanto un firewall proprietario sia molto meglio di uno fatto con
> software libero, purtroppo (lo dico seriamente) nel tempo ho visto molti
> buchi sui prodotti che citi (Cisco in testa) e non ho mai visto una
> risposta cosi' veloce (meno di 24 ore per la patch) come quelle viste
> nel SL. Conosco anzi dei prodotti CIsco che tuttora, dopo alcuni mesi
> dall'annuncio di alcuni bachi (minori per fortuna) non abbiano delle
> patch disponibili.
> Secondo me questo e' un punto di fondamentale importanza quando si
> sceglie un prodotto per la sicurezza!!
> (E gli errori di configurazione si fanno con tutti i tool, tutto dipende
> dalle qualita' di chi lo configura non dai mezzi per farlo)

Stai solevando una questione di principio che qui non ha senso. Mi spiace, ma
stai sbagliando del tutto il punto di vista, e ti consiglio di rileggerti la
risposta di Rubini. Il kernel di Linux non c'entra un tubo - su questo sono
d'accordo con te - ma mi fidero' sempre di piu' della configurazione di
default dell'ultimo Cisco (che chiude tutto cio' che non sia porta 80 e fa
cadere *ogni* connessione idle se e' inattiva da due minuti) che delle regole
ipchains scritte da Tizio o da Caio (quelle si' che sono prone a buchi, altro
che il kernel di Linux!!!): su questo non potrai farmi cambiare idea.


[...]
> > > d) sottolineare come grosse multinazionali abbiano adottato il SL (e le sue
> > >    varianti ...) proprio per le applicazioni in questione;
> >
> > Per applicazioni simili sicuramente, ma di sicuro nessuna organizzazione
> > decente che destini un budget decente alla DMZ usa dei PC come firewall,
> > quindi di sicuro Linux e' escluso.
> 
> Perche'? Linux non gira mica solo sui "PC"!

No, ma poco piu'.

> Gira su una marea di
> appliance e hardware piu' disparato (e' stato addirittura provato un
> porting su apparati Cisco).

Ma non te lo certifica certo la Cisco. Mi spiace, un conto e' un sistema
embedded fornito dalla IBM con BSD/OS, un conto e' un hackeraggio di Linux su
un vecchio Cisco. Quando questi hackeraggi saranno molto diffusi e saranno uno
standard, ed io potro' comprare uno scatolotto che non e' "Cisco con Linux" ma
"Firewall TizioCaio" che guardacaso ha Linux dentro, allora sara' un altro
paio di maniche. Ma se devo "farlo girare" come firewall non e' affidabile, e'
solo un esperimento.



[...]
> > E infatti, secondo me dall'alto della sua "statura" il signore non aveva tutti
> > i torti...
> >
> 
> Beh per essere uno che si interessa di SL lo supporti bene il software
> proprietario ;)
> (scherzo)

Io sostengo il SL nel modo migliore: ovvero, quando non e' adatto, non lo
impiego. Gli evito figure di m***a, se mi passi il neologismo. Come il signore
di "statura", e come ogni engeneer di rispetto, ricerco gli strumenti migliori
in ogni cosa che faccio: per certe cose Linux e' imbattibile, ma questo non
vuol dire che devo usarlo a tutti i costi.


ciao ciao ciao

-- 
Marco Ermini
http://www.markoer.org - ICQ # 50825709
There are two major products that come out of Berkeley: LSD and UNIX.
We don't believe this to be a coincidence.      -- Jeremy S. Anderson

More information about the discussioni mailing list