Il laboratorio e la metodica di testing
Il test ha richiesto circa centodieci ore uomo per la parte di setup/review/performance testing e trenta per quella di penetration test (pentest). Da questo computo è stato escluso il tempo richiesto per l'installazione effettuata dagli Isv. Per quanto riguarda il deployment del laboratorio di testing, abbiamo mantenuto pressappoco l'impostazione dello scorso anno; questo per la ragione fondamentale che, così come organizzato, ha avuto feedback positivi dagli incaricati tecnici dei vendor che sono venuti a installare le loro soluzioni. Anche in questo caso, comunque, sono state utilizzate due diverse linee di testing, la prima delle quali è stata impiegata per il pentest e le "impressioni d'uso" e l'altra per le prove di performance. A ogni Isv è stato chiesto di fornire l'ultima release disponibile del prodotto, e di farla installare da personale tecnico da lui designato. Questo per un'evidente ragione di uniformità delle installazioni, che si presume essere state fatte da tecnici profondi conoscitori del prodotto. Dove questo non è avvenuto, il personale tecnico di It Labs è stato messo in condizioni dal produttore di lavorare autonomamente. Come piattaforma di riferimento per i prodotti software abbiamo imposto Windows, chiedendo ai produttori di appliance qualcosa di paragonabile. Le macchine installate nel laboratorio erano Windows 2000 (Web/FTP server in DMZ), Linux SuSe 7.2 (Mail, DNS, sempre in DMZ), Linux RedHat 7x con Oracle 8.1 in LAN, più un client Windows 9x/2000 (Laptop, LAN Client). L'hardening è stato ridotto all'essenziale, in quanto è il firewall a dover essere testato non le macchine target.