Strona 1 z 1
ASA vs PaloAlto
: 27 kwie 2016, 12:03
autor: natash
Szukam rozwiązania dla zbudowania usługi Remote Access dla firemki ~2000 użytkowników. Zastanawiam się nad wyborem ASA vs Palo Alto, fakt jest taki, że obecne środowisko jest homogeniczne - CISCO, jak to się integruje z ISE na przykład, jakie widzicie plusy i minusy z wyboru Palo nad ASA? Ktoś ma jakieś doświadczenia, przemyślenia, dobre rady?
: 27 kwie 2016, 12:22
autor: michaliwanczuk
powiedz na czym zależy Tobie przy wyborze urządzenia?
: 27 kwie 2016, 12:23
autor: natash
Bezpieczeństwie, ale też nad integracją z obecnymi rozwiązaniami.
: 27 kwie 2016, 12:59
autor: Seba
natash pisze:Bezpieczeństwie, ale też nad integracją z obecnymi rozwiązaniami.
Trochę ogólnie piszesz:
- Jak definiujesz bezpieczeństwo?
Od jakiego momentu i/lub zestawu funkcjonalności system/rozwiązanie jest "bezpieczne"?
Jakie są te systemy do zintegrowania, tylko ISE?
Jakie systemy mają być użyte jako końcówki VPN np. Apple IOS, Android, WIN10, etc?
VPN SSL czy IPSec?
Przy integracji z ISE z użyciem Radius to ASA oczywiście działa, a że Radius sam z siebie jest protokołem otwartym to pewnie z Palo i większością innych rozwiązań w podstawowym zakresie zadziała. Biorąc pod uwagę ilość sesji, to pytanie czy te 2000 sesji ma być równocześnie, czy też równocześnie będzie mniejsza ilość, np. 200; to mocno wpływa na wyskalowanie urządzenia.
Np. dla 2k równoczesnych sesji musisz iść w kierunku ASA5545X
: 27 kwie 2016, 13:02
autor: saiqard
natash pisze:Bezpieczeństwie, ale też nad integracją z obecnymi rozwiązaniami.
Chyba musimy wyciągnąć szklaną kule
Napisz dokładnie jakie aspekty bezpieczeństwa i z czym to ma się zintegrować
: 27 kwie 2016, 13:15
autor: natash
Problem jest taki, że jestem trochę rzucony na szeroką wodę i szukam, czytam, bo projekt spory, a wiedzy na tą chwilę nie wiele
. Wytyczne są: zrobić Remote Access w firmie.
: 27 kwie 2016, 13:20
autor: Kyniu
natash pisze:Problem jest taki, że jestem trochę rzucony na szeroką wodę i szukam, czytam, bo projekt spory, a wiedzy na tą chwilę nie wiele
. Wytyczne są: zrobić Remote Access w firmie.
Jakie usługi mają być dostępne dla userów?
Z jakich urządzeń/systemów operacyjnych korzystają userzy?
: 27 kwie 2016, 13:22
autor: natash
Dostęp do zasobów w DC per IP/Port.
Stacje na których ma być cienki klient:
Win10, Mac OSX, Linux, Mobile Android i IOS.
ISE Tacacs i Radius Dot1x.
: 27 kwie 2016, 14:11
autor: jakubwlo
Najlepiej będzie jak spiszesz wymagania, które potrzebujesz i porównasz z tym co oferują wybrane przez Ciebie platformy.
Na twoim miejscu poza funkcjonalnościami zwróciłbym też uwagę na kwestie licencji ( szczególnie na platformy mobile) oraz czas wsparcia danej platformy ( ciekawe czy/kiedy ASA zostanie zastąpiona przez firepower?).
Polecam Ci się również zainteresować się platformami dedykowanymi do Remote Access np. Pulse Secure ( dawny Juniper SA).
No i testy. Wtedy zobaczysz co Ci najbardziej przypasuje.
Pozdrawiam
Jakub
: 27 kwie 2016, 14:18
autor: horac
natash pisze:Problem jest taki, że jestem trochę rzucony na szeroką wodę i szukam, czytam, bo projekt spory, a wiedzy na tą chwilę nie wiele
. Wytyczne są: zrobić Remote Access w firmie.
Powiem tak, wielokrotnie spotkalem sie ze stwierdzeniem: "ASA is not firewall is VPN termination device". Wielu amerykanow sie strasznie obrusza jak mowie Cisco ASA Firewall, to mnie za kazdym razem poprawiaja ze ASA to nie firewall. Firewall to Check Point a ASA to VPN concentrator. Mimo ze ASA ewoulowala od PIXA dosyc mocno, to nadal u wielu duzych klientow stereotyp ASA jako VPN jak widac pozostal. To oznacza:
1) ASA jest sprawdzona platforma dla Remote VPN acccess.
Rozwazylbym jeszczce router ze wzgledu na FlexVPN i DVTI.
Re: ASA vs PaloAlto
: 27 kwie 2016, 20:05
autor: PatrykW
natash pisze:Szukam rozwiązania dla zbudowania usługi Remote Access dla firemki ~2000 użytkowników. Zastanawiam się nad wyborem ASA vs Palo Alto, fakt jest taki, że obecne środowisko jest homogeniczne - CISCO, jak to się integruje z ISE na przykład, jakie widzicie plusy i minusy z wyboru Palo nad ASA? Ktoś ma jakieś doświadczenia, przemyślenia, dobre rady?
Jezeli myslisz o szeroko pojetym security to skup sie na dwoch platformach, na wypadek jezeli ta pierwsza zostanie skompromitowana. (Np Cisco / Juniper / Checkpoint etc....)
Lepiej abys nakreslil high level co chcesz osignac. Bo jak postawisz vyatte to tez masz src/dst ip/port PROTO
peace
Re: ASA vs PaloAlto
: 28 kwie 2016, 23:45
autor: polak
Wojtachinho pisze:Jezeli myslisz o szeroko pojetym security to skup sie na dwoch platformach, na wypadek jezeli ta pierwsza zostanie skompromitowana. (Np Cisco / Juniper / Checkpoint etc....)
Czyli zapinasz VPN,a potem w nim drugiego
natash ważniejsze od tego co wybierzesz będzie jak to wdrożysz.
Ja polecam w tym przypadku asa5545x w failover A/S.
Re: ASA vs PaloAlto
: 19 maja 2016, 10:44
autor: scoon
Palo Alto bardzo fajne rozwiązanie. Mam wdrożone u siebie i jestem mega zadowolony.
Kwestia budżetu ponieważ nie jest to tania zabawka sama w sobie, a licencje są jeszcze droższe.
Re: ASA vs PaloAlto
: 20 maja 2016, 10:16
autor: saiqard
Palo nie ma Global Protecta pod linuxa. Pytanie z w jakim stopniu chcesz korzystać z suplicanta na końcówce.
Re: ASA vs PaloAlto
: 20 maja 2016, 10:25
autor: Binkz
Fakt, oficjalna aplikacja GlobalProtect występuje dla Win/OSX/Android/iOS/ChromeOS. Palo wspiera zaś oficjalnie klienta VPNC dla Ubuntu/CentOS.