Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Predlog za firewall

[es] :: Enterprise Networking :: Predlog za firewall

[ Pregleda: 5189 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Predlog za firewall02.04.2013. u 18:47 - pre 133 meseci
Drugari,

za potrebe jedne mreze od 50 racunara, 2-3 servera, je potrebna nabavka i administracija firewall uredjaja.
Mreza ima Cisco ruter i nekoliko sviceva, potrebno je nakaciti firewall pre cisco rutera a posle media konvertora.

Molim vas za predlog opreme (cena okvirno) i literature koja prati opremu.
Hvala svima!!!
 
Odgovor na temu

optix
CH

SuperModerator
Član broj: 7009
Poruke: 1867
2a00:1108:0:c000:.*



+101 Profil

icon Re: Predlog za firewall03.04.2013. u 10:37 - pre 133 meseci
Odabir firewall-a zavisi od par bitnih stvari kao sto su: kolicina saobracaja koji ce kroz njega ici, da li ce se koristiti za drzanje ipsec (vpn) tunela, koliki saobracaj ce ici kroz te tunele i koilko tunela treba da podrzava, koje su sve funkcionalnosti koje treba da ispuni - tipa da li ce sluziti i kao remote access koncentrator (za koji broj sesija), da li je dovoljna kontrola saobracaja do L4 nivoa ili ti treba nesto sto moze da radi nezavisno i npr. url filtering, IPS, anti-bot, anti-spam i ostale egzotike...

"99% of your thought process is protecting your self-conceptions,
and 98% of that is wrong."
 
Odgovor na temu

andre2000
Aleš Jindra
Beograd

Član broj: 62983
Poruke: 474



+97 Profil

icon Re: Predlog za firewall03.04.2013. u 11:32 - pre 133 meseci
Prosto moram da ti preporučim da pogledaš Palo Alto Networks firewall, ja sam skoro prešao na njega sa Cisco ASA i prezadovoljan sam. Slična priča, do 50 klijenata i nekoliko servera. Meni najmanji model radi posao, teram i ipsec vpn preko njega, kontrola saobraćaja i zaštita su mi mnogo bolji i bliži nego na asi. Doduše mreže nisu moja specijalnost, niti nemam neke posebne zahteve, ali ovo što mi treba sam sam namestio za dan dva. Cijena prava citnica, cca 2000 evra + soma evra godišnje licence za support, url filtering, threat prevention, anti-virus...

Edit: uređaj je zamenio na istom mestu prethodni Cisco ASA 5510, i kroz vpn konekciju mi aplikacije brže rade nego na asi
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Predlog za firewall03.04.2013. u 15:21 - pre 133 meseci
Ono sto sam ja procitao o PA opremi meni deluje katastrofa. To je oprema pravljenja kao traffic filter, koja nema uopste standardan L3 firewall. Oni to prodaju kao "next generation", ali meni to nema smisla... Evo link, na brzinu, mada ima boljih:

http://www.checkpoint.com/beyondthehype/index.html

Da, jeste od konkurencije...

Takodje, ne razumem koncept da imas firewall PRE rutera. Firewall po svoj logici treba da stoji IZA rutera. Stavise, ja bi prvo proverio da li tvoj ruter moze da se nadogradi da bude i firewall - reci koji model imas.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: Predlog za firewall03.04.2013. u 17:01 - pre 133 meseci
Super je PA ali cijena je PRAVA "sitnica" i portfolio je zaista mali. Samo nekoliko uredjaja, najmanji premalen za male lokacije, srednji prevelik za srednje i premalen za vece i veliki koji ima ludacke performanse i kosta kao vikendica na primorju. Mozda to odgovara americkim kompanijama (dzinovsko sjediste i male podruznice) ali u praksi je to vrlo nefleksibilno. Mnogo razumnija opcija je Fortinet (super izbor UTM uredjaja + wireless) i na kraju Checkpoint je opet krenuo sve da ih shamara sa novim uredjajima (e.g. 2200 zamjenjuje i mnogo skuplje njihove proizvode). Za malu infrastrukturu isplati se nadograditi postojeci Cisco ili na kraju ici sa Linux firewall-om i nekim GUI/wrapper interfejsom za iptables radi lakseg odrzavanja. Imati ruter iza firewall-a ima smisla samo ako taj "ruter" ne radi routing vec recimo VoIP a na kraju vecina rutinga moze danas da se radi na firewall-u. Citavu stvar treba posmatrati paralelno sa druge strane - koliko para mogu da potrosim na taj firewall u narednih 5 godina? Odgovor na to pitanje garantovano suzava izbor na par uredjaja :)

 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: Predlog za firewall03.04.2013. u 18:59 - pre 133 meseci
ovako redom...

mislio sam prvo da stavim dva firewall uredjaja, interni i externi.
Meni prvenstveno treba zastita od spoljnih uticaja (faktora, napada=gruba rec).
Internet protok je 5 Mb/s, za sada nema ipsec tunela, ima nekoliko port forward komandi na servere i to je to...
I obzirom da je budzet dosta ogranicen planirao sam da ga stavim izmedju rutera i media konvertora (terminalne tacke provajdera).

Citao sam i ja o Fortinet tj. Fortigate platformi, koliko sam razumeo on ima neki web interface.
Najvaznije mi je da ne moram da procitam tonu manual guide da bi skapirao i konfigurisao osnovne stvari.
E sad ne znam ko ga distribuira u Srbiji i koja mu je cena?

Trenutno radi Cisco 1841 ruter sa 256MB DRAM i 64MB Flash.
Mislim da sam svima odgovorio.
Hvala unapred!
 
Odgovor na temu

uporna_neznalica
chez_moi

Član broj: 312039
Poruke: 46
*.dynamic.isp.telekom.rs.



+7 Profil

icon Re: Predlog za firewall03.04.2013. u 21:41 - pre 133 meseci
Hardware:
1. Ako ti treba Gb network, onda soekris, model 6501 link (http://soekris.com/products/net6501.html )
2. Ako je dovoljan i 10/100 network, onda moze i alix, proizvodjaca pcengines (link http://pcengines.ch ), netiks ima na lageru nekoliko modela
Software:
OpenBSD -stable (link openbsd.org ); imas knjigu packet filter, sada je u pripremi novo izdanje knjige
Ta kombinacija ti je u rangu cisco/juniper, po meni je i bolja, (ali zbog mojih licnih preferencija).

Ako znas unix, ne treba da citas gomilu manuala, vrlo je jednostavno. Ako ne znas, onda zaboravi.
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: Predlog za firewall04.04.2013. u 17:31 - pre 133 meseci
http://www.fortinet.com/emeapartners/
Nisi odgovorio koliko planiras da potrosis u narednih tri/pet godina na taj uredjaj :) Uzgred, budzet nema puno veze sa topologijom bar ne u ovom slucaju. Ako ti ne treba ruter, skloni ga, ako ti je neophodan zadrzi ga ispred firewall-a.
 
Odgovor na temu

andre2000
Aleš Jindra
Beograd

Član broj: 62983
Poruke: 474



+97 Profil

icon Re: Predlog za firewall05.04.2013. u 08:13 - pre 133 meseci
Citat:
nkrgovic:
Ono sto sam ja procitao o PA opremi meni deluje katastrofa. To je oprema pravljenja kao traffic filter, koja nema uopste standardan L3 firewall. Oni to prodaju kao "next generation", ali meni to nema smisla... Evo link, na brzinu, mada ima boljih:

http://www.checkpoint.com/beyondthehype/index.html

Da, jeste od konkurencije...

Takodje, ne razumem koncept da imas firewall PRE rutera. Firewall po svoj logici treba da stoji IZA rutera. Stavise, ja bi prvo proverio da li tvoj ruter moze da se nadogradi da bude i firewall - reci koji model imas.



Ne bih da ulazim dalje u raspravu, rekoh mreže nisu baš moj fah, ali ovakav članak na Checkpoint sajtu mi zvuči kao predizborna kampanja, izgleda da ih mnogo žulja PA. Naravno da razne kompanije na razne načine rade isti/sličan posao, i prosto kad jedna kompanija reši da krene jednim putem i odbaci drugi put, naravno da će na svakog ko krene tim drugim putem gledati kao na ludaka.
 
Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..


+655 Profil

icon Re: Predlog za firewall05.04.2013. u 08:26 - pre 133 meseci
Nije da pricaju ovo i za Cisco, pa nije bas ni ja da je cista propaganda. Jesto to upakovano u marketing oblande, ali cinjenice stoje.

A to da "radi na drugi nacin". Cuj, to zvuci kao super prica ako ne znas o cemu se radi :D. Nemam ja nista protiv L5-L7 rada, to je JAKO korisno, ali firewall koji ne dira nista na L3 je, da prostis, supalj ko djevdjir. Jedno je "thinking outside the box", drugo je da ignorises mrezu.
Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'
 
Odgovor na temu

andre2000
Aleš Jindra
Beograd

Član broj: 62983
Poruke: 474



+97 Profil

icon Re: Predlog za firewall05.04.2013. u 08:40 - pre 133 meseci
Paaa, ne znam koji PA firewall su oni gledali, moj je postavljen kao L3 fw.

Edit: sorry, brzi prsti, ipak koristim uglavnom application filtere. Network adapteri su u L3 modu.

[Ovu poruku je menjao andre2000 dana 05.04.2013. u 10:00 GMT+1]
 
Odgovor na temu

smprobus
noemploy, admin

Član broj: 275044
Poruke: 38
*.dynamic.isp.telekom.rs.



Profil

icon Re: Predlog za firewall05.04.2013. u 17:41 - pre 133 meseci
mislim da ce Fortigate 40C ili Fortigate 60C biti dobar izbor.
Duo 2 WAN ports, 5 LAN switched ports, DMZ, 1Gbps throughput, 200000sessions, IPSec, SSL...
 
Odgovor na temu

Aleksandar Olujic
none

Član broj: 247504
Poruke: 127
194.8.63.*



+15 Profil

icon Re: Predlog za firewall18.04.2013. u 11:22 - pre 133 meseci

A evo i Checkpointovog odgovora

Check Point 1100 Series starting at $ 599

http://www.checkpoint.com/products/1100-appliances/index.html
 
Odgovor na temu

urkozamanje
Milosavljevic Marko

Član broj: 36977
Poruke: 138
178.152.51.*



Profil

icon Re: Predlog za firewall08.09.2013. u 18:23 - pre 128 meseci

A sta se ovde misli o Mikrotiku u toj ulozi?

Ovo je ono sto ja znam o RouterOS-u (na kojem trce Mikrotikovi):

Citat:
Mikrotik Security


Mikrotik RouterOS is routing operating system based on Linux 2.6 kernel and has all the functionalities and flexibility of FLASK (Flux Advanced Security Kernel) architecture.
Its main characteristic is implementation of SELinux forcing mandatory access control (MAC) limiting user applications only to a minimum level of privileges required for task completion. This approach significantly limits/eliminates possibilities of programs and system services compromising with methods such as Buffer Overflow, Structured Exception Handler, Local Privilege Escalation, Stack Smashing, NULL dereference, etc.

The effect of such closed architecture is elimination of ACL mechanisms where there is no concept of super-user, completely eliminating dependence on setuid/setgid mechanisms. With this concept Mikrotik has applied highest security standards in design and implementation of RouterOS system. This can be easily checked by browsing any prominent public and up-to-date exploit databases and a fact that it is impossible to find any known exploit for this system.

Apart from system security level, MikrotikOS also conforms to very high security standards in user access security. Various protocols such as IPSec, PPTP, PPPoE, OpenVPN, SSTP, L2TP, IPIP, GRE, EOIP, SSH and system modularity segregation provide Mikrotik with ability to comply to the highest possible security standards.

Furthermore, system designed in this way enables easy applications on various architectures (single processor and multiprocessor, PC and PowerPC, and embedded systems). Security mechanisms on any of supported IDE, SATA, CF, SD or USB media eliminate comprising of the system even with direct physical access. This is especially emphasized if used on Mikrotik RouterBoard platform (as proposed for your project) since they all have coupled memory modules with system installation (operating and backup) which makes it practically impossible to change/modify any core system module by user side (protect the user from himself or herself).

Another valuable aspect of system security is the fact that user access parameters are stored in system memory unable to be accessed by user (loss off access parameters results in deletion of user access configuration parameters) which disables possibility of exploiting user to map vectors of attack on a system or any of its parts.

Nevertheless, user access and management has been kept simple and flexible with terminal access available through api, ftp, ssh, telnet, winbox, www and www-ssl. By the way, admin/management interface GUI is, at same time, sleek and comprehensive.




Mikrotik IDS/IPS

Mikrotik RouterOS has a very extensive set of firewall functionalities, such as:

· Complete packet inspection
· Protocol detection at application layer
· P2P filtering
· Traffic classification/management:
o by MAC addresses, IP addresses, IP ranges, IP address classes, etc.
o ports or range of ports
o IP protocol
o Protocol options (ICMP types and codes, TCP statuses, IP options and MSS)
o By input/output interface
· Control and marking of internal traffic
· DSCP (Differentiated Services Code Point)
· Deep inspection (packet contents)
· Control over speed and schedule of packets routing
· Packet size
· Etc.

One of the most effective combinations to use for complete IDS/IPS solution is Mikrotik with Snort (open source IDS software)






---- nasa online podrska je trenutno offline ----

 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.adsl-a-12.sezampro.rs.



+638 Profil

icon Re: Predlog za firewall08.09.2013. u 22:30 - pre 128 meseci
Mikrotik nema (jos uvek) enterprise funkcije kao sto su detektovanje napada (IDS/IPS), integrisani antivirus i sl.

Ukoliko ti to ne treba TIk je sasvim dobar firewall (ako se podesi kako treba). Moguce je putem L7 regex-a i skripti odraditi neke stvari ali ipak to nije to.
 
Odgovor na temu

[es] :: Enterprise Networking :: Predlog za firewall

[ Pregleda: 5189 | Odgovora: 14 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.