ASA vs PaloAlto

wszystko inne - NIE licząc sprzętu typu SOHO!!!

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
natash
wannabe
wannabe
Posty: 308
Rejestracja: 07 gru 2005, 00:00

ASA vs PaloAlto

#1

#1 Post autor: natash » 27 kwie 2016, 12:03

Szukam rozwiązania dla zbudowania usługi Remote Access dla firemki ~2000 użytkowników. Zastanawiam się nad wyborem ASA vs Palo Alto, fakt jest taki, że obecne środowisko jest homogeniczne - CISCO, jak to się integruje z ISE na przykład, jakie widzicie plusy i minusy z wyboru Palo nad ASA? Ktoś ma jakieś doświadczenia, przemyślenia, dobre rady?

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

#2

#2 Post autor: michaliwanczuk » 27 kwie 2016, 12:22

powiedz na czym zależy Tobie przy wyborze urządzenia?
Michał

natash
wannabe
wannabe
Posty: 308
Rejestracja: 07 gru 2005, 00:00

#3

#3 Post autor: natash » 27 kwie 2016, 12:23

Bezpieczeństwie, ale też nad integracją z obecnymi rozwiązaniami.

Seba
CCIE/CCDE Site Admin
CCIE/CCDE Site Admin
Posty: 6223
Rejestracja: 15 lip 2004, 20:35
Lokalizacja: Warsaw, PL

#4

#4 Post autor: Seba » 27 kwie 2016, 12:59

natash pisze:Bezpieczeństwie, ale też nad integracją z obecnymi rozwiązaniami.
Trochę ogólnie piszesz:
  • Jak definiujesz bezpieczeństwo?
    Od jakiego momentu i/lub zestawu funkcjonalności system/rozwiązanie jest "bezpieczne"?
    Jakie są te systemy do zintegrowania, tylko ISE?
    Jakie systemy mają być użyte jako końcówki VPN np. Apple IOS, Android, WIN10, etc?
    VPN SSL czy IPSec?
Przy integracji z ISE z użyciem Radius to ASA oczywiście działa, a że Radius sam z siebie jest protokołem otwartym to pewnie z Palo i większością innych rozwiązań w podstawowym zakresie zadziała. Biorąc pod uwagę ilość sesji, to pytanie czy te 2000 sesji ma być równocześnie, czy też równocześnie będzie mniejsza ilość, np. 200; to mocno wpływa na wyskalowanie urządzenia.
Np. dla 2k równoczesnych sesji musisz iść w kierunku ASA5545X
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein

saiqard
wannabe
wannabe
Posty: 328
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

#5

#5 Post autor: saiqard » 27 kwie 2016, 13:02

natash pisze:Bezpieczeństwie, ale też nad integracją z obecnymi rozwiązaniami.
Chyba musimy wyciągnąć szklaną kule :)
Napisz dokładnie jakie aspekty bezpieczeństwa i z czym to ma się zintegrować :)

natash
wannabe
wannabe
Posty: 308
Rejestracja: 07 gru 2005, 00:00

#6

#6 Post autor: natash » 27 kwie 2016, 13:15

Problem jest taki, że jestem trochę rzucony na szeroką wodę i szukam, czytam, bo projekt spory, a wiedzy na tą chwilę nie wiele :). Wytyczne są: zrobić Remote Access w firmie.

Kyniu
wannabe
wannabe
Posty: 3424
Rejestracja: 04 lis 2006, 16:23

#7

#7 Post autor: Kyniu » 27 kwie 2016, 13:20

natash pisze:Problem jest taki, że jestem trochę rzucony na szeroką wodę i szukam, czytam, bo projekt spory, a wiedzy na tą chwilę nie wiele :). Wytyczne są: zrobić Remote Access w firmie.
Jakie usługi mają być dostępne dla userów?
Z jakich urządzeń/systemów operacyjnych korzystają userzy?
Always start with why do you need this?, not how will we do it?.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure.

natash
wannabe
wannabe
Posty: 308
Rejestracja: 07 gru 2005, 00:00

#8

#8 Post autor: natash » 27 kwie 2016, 13:22

Dostęp do zasobów w DC per IP/Port.

Stacje na których ma być cienki klient:
Win10, Mac OSX, Linux, Mobile Android i IOS.

ISE Tacacs i Radius Dot1x.

Awatar użytkownika
jakubwlo
rookie
rookie
Posty: 14
Rejestracja: 22 kwie 2009, 07:24
Lokalizacja: Katowice

#9

#9 Post autor: jakubwlo » 27 kwie 2016, 14:11

Najlepiej będzie jak spiszesz wymagania, które potrzebujesz i porównasz z tym co oferują wybrane przez Ciebie platformy.

Na twoim miejscu poza funkcjonalnościami zwróciłbym też uwagę na kwestie licencji ( szczególnie na platformy mobile) oraz czas wsparcia danej platformy ( ciekawe czy/kiedy ASA zostanie zastąpiona przez firepower?).

Polecam Ci się również zainteresować się platformami dedykowanymi do Remote Access np. Pulse Secure ( dawny Juniper SA).

No i testy. Wtedy zobaczysz co Ci najbardziej przypasuje.

Pozdrawiam
Jakub

horac
wannabe
wannabe
Posty: 72
Rejestracja: 18 kwie 2016, 21:04
Lokalizacja: CCIE

#10

#10 Post autor: horac » 27 kwie 2016, 14:18

natash pisze:Problem jest taki, że jestem trochę rzucony na szeroką wodę i szukam, czytam, bo projekt spory, a wiedzy na tą chwilę nie wiele :). Wytyczne są: zrobić Remote Access w firmie.
Powiem tak, wielokrotnie spotkalem sie ze stwierdzeniem: "ASA is not firewall is VPN termination device". Wielu amerykanow sie strasznie obrusza jak mowie Cisco ASA Firewall, to mnie za kazdym razem poprawiaja ze ASA to nie firewall. Firewall to Check Point a ASA to VPN concentrator. Mimo ze ASA ewoulowala od PIXA dosyc mocno, to nadal u wielu duzych klientow stereotyp ASA jako VPN jak widac pozostal. To oznacza:

1) ASA jest sprawdzona platforma dla Remote VPN acccess.

Rozwazylbym jeszczce router ze wzgledu na FlexVPN i DVTI.

Awatar użytkownika
Wojtachinho
wannabe
wannabe
Posty: 1664
Rejestracja: 31 paź 2008, 16:05
Lokalizacja: UK
Kontakt:

Re: ASA vs PaloAlto

#11

#11 Post autor: Wojtachinho » 27 kwie 2016, 20:05

natash pisze:Szukam rozwiązania dla zbudowania usługi Remote Access dla firemki ~2000 użytkowników. Zastanawiam się nad wyborem ASA vs Palo Alto, fakt jest taki, że obecne środowisko jest homogeniczne - CISCO, jak to się integruje z ISE na przykład, jakie widzicie plusy i minusy z wyboru Palo nad ASA? Ktoś ma jakieś doświadczenia, przemyślenia, dobre rady?
Jezeli myslisz o szeroko pojetym security to skup sie na dwoch platformach, na wypadek jezeli ta pierwsza zostanie skompromitowana. (Np Cisco / Juniper / Checkpoint etc....)

Lepiej abys nakreslil high level co chcesz osignac. Bo jak postawisz vyatte to tez masz src/dst ip/port PROTO :)

peace
.ılı..ılı.

http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call :)

Do you have questions about CCIE.pl board ?
Just mail me :) patryk@ccie.pl

Awatar użytkownika
polak
wannabe
wannabe
Posty: 233
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: ASA vs PaloAlto

#12

#12 Post autor: polak » 28 kwie 2016, 23:45

Wojtachinho pisze:Jezeli myslisz o szeroko pojetym security to skup sie na dwoch platformach, na wypadek jezeli ta pierwsza zostanie skompromitowana. (Np Cisco / Juniper / Checkpoint etc....)
Czyli zapinasz VPN,a potem w nim drugiego :)

natash ważniejsze od tego co wybierzesz będzie jak to wdrożysz.
Ja polecam w tym przypadku asa5545x w failover A/S.
King Kong ain't got shit on me!

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 276
Rejestracja: 28 paź 2008, 12:24

Re: ASA vs PaloAlto

#13

#13 Post autor: scoon » 19 maja 2016, 10:44

Palo Alto bardzo fajne rozwiązanie. Mam wdrożone u siebie i jestem mega zadowolony.
Kwestia budżetu ponieważ nie jest to tania zabawka sama w sobie, a licencje są jeszcze droższe. :)

saiqard
wannabe
wannabe
Posty: 328
Rejestracja: 09 lip 2012, 22:10
Lokalizacja: Wałbrzych/Wrocław

Re: ASA vs PaloAlto

#14

#14 Post autor: saiqard » 20 maja 2016, 10:16

Palo nie ma Global Protecta pod linuxa. Pytanie z w jakim stopniu chcesz korzystać z suplicanta na końcówce.

Binkz
fresh
fresh
Posty: 8
Rejestracja: 16 gru 2010, 15:39

Re: ASA vs PaloAlto

#15

#15 Post autor: Binkz » 20 maja 2016, 10:25

Fakt, oficjalna aplikacja GlobalProtect występuje dla Win/OSX/Android/iOS/ChromeOS. Palo wspiera zaś oficjalnie klienta VPNC dla Ubuntu/CentOS.

ODPOWIEDZ