Pytanie o taki tandem.
Obecnie na styku stoi 2811, chcialbym dolozyc do tego UTM, pewnie jakis netasq.
Teraz pytanie - utm ma stac miedzy routerem a internetem?
Jak sadze, natowanie i vpny przeniesc wtedy na utm?
No i routing tez?
Tyle, ze wtedy po co mi router..
Help.
Cisco 2811 + UTM
A co dokładnie chcesz osiągnąć/?
2811 UTM nie jest, więć nie będę proponował pójścia w tę stronę, chociaż zawsze można podyskutować, ponieważ rozumienie co robi UTM też jest dość różne.
Jeśli UTM zapewni wszystkie funkcje, które masz teraz, a dodatkowo doda rzeczy dla których w ogóle rozważasz pójście w tym kierunku, to opcja jest jedna, zostawienie urządzenia, które wykonuję całą prace. Chociaż czasami warto jednak myśleć o kwestii rozłożenia funkcjonalności na dwa urządzenia. It's up to you.
2811 UTM nie jest, więć nie będę proponował pójścia w tę stronę, chociaż zawsze można podyskutować, ponieważ rozumienie co robi UTM też jest dość różne.
Jeśli UTM zapewni wszystkie funkcje, które masz teraz, a dodatkowo doda rzeczy dla których w ogóle rozważasz pójście w tym kierunku, to opcja jest jedna, zostawienie urządzenia, które wykonuję całą prace. Chociaż czasami warto jednak myśleć o kwestii rozłożenia funkcjonalności na dwa urządzenia. It's up to you.
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Pamiętaj że spora część obecnych na rynku UTM'ów zapewnia jedynie pozorne i złudne poczucie bezpieczeństwa. Jak już poznasz stronę sprzętową swojego UTM'a (np. brak dysku i 1 GB RAM pędzone jakimś małym ARM'em albo ATOM'em) i zaczniesz zadawać trudne pytania jak skanowane są załączniki poczty, jak skanowany jest pobrany przez użytkownika z sieci obraz płyty CD czy DVD to w pewnym momencie zaczniesz dowiadywać się ciekawych informacji. A to że załączniki ZIP'owane tak (oczywiście bez hasła) ale już RAR albo TAR to nie, że załączniki poczty tak ale tylko jak mniejsze niż xx MB, że obraz płyty jest "skanowany jako strumień" (cokolwiek autor miał na myśli). A jak już spytasz ile jest sygnatur AV i IPS, jak są dobierane, kto jest dostawcą silnika i sygnatur, etc. to zacznie się fajna zabawa.
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Juniper SRX ?
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
No tak - najpierw marketing - cytat z materiałów producenta:RuFiK pisze:Juniper SRX ?
zestaw zaawansowanych funkcji inspekcji warstwy aplikacyjnej (UTM – Unified Threat Management):
o system blokowania intruzów (IPS) – SRX wykorzystuje bazę sygnatur z dedykowanych rozwiązań Juniper IDP,
o antywirus – wbudowany silnik antywirusowy firmy Kaspersky
o antyspam – blacklisty dostarczane są przez firmę Sophos
o filtrowanie stron WWW – baza kategorii stron udostępniana jest przez firmę Websense
o content filtering - możliwość blokowania transmisji plików z wybranymi rozszerzeniami oraz wybranych typów MIME
A teraz rzućmy okiem na "bebechy" takiego SRX 100:
- zero możliwości rozbudowy, bez slotu na moduł jak ASA 5505 czy brak możliwości dołożenia RAM jak w, nota bene, znowu podam jako przykład ASA 5505
- wlutowane w płytę główną cztery kości pamięci o łącznej pojemności 1 GB
- dwie kości flash wlutowane na stałe (to już dziwna kombinacja z CF na płycie głównej w ASA 5505 wydaje się być sensowniejsza bo nie kombinowałem ale może da się zrobić jakiś upgrade tej karty)
- za interfejsy sieciowe odpowiada Marvell 88E6097-TAH1 czyli 8-PORT FE + 3-PORT GE MANAGED SWITCH (8 PHYS + 3 SERDES)
- mamy tam jeszcze VIA VT6212L 4-port USB 2.0 chip ale tylko jeden port USB jest dostępny dla użytkownika
- nie dane mi było zobaczyć co siedzi pod radiatorem ale z budowy płyty wynika że to jakiś SoC w rodzaju OCTEON'a czyli rdzeń ARM plus przydatki.
Wnioski:
- SoC może realizować część funkcji IPv4 sprzętowo np. IPSec, statefull firewall, NAT ale wszystkie pozostałe mechanizmy lecą na CPU zatem wydajność dalece zależy od liczby uruchomionych usług i obciążenia ruchem - pytanie co robi przeciążony - dropuje ruch (chyba nie o to nam chodzi) czy przepuszcza bez skanowania (zaraz zaraz, a bezpieczeństwo?).
- jedyny zasób pamięci jakim dysponuje ten sprzęt to RAM więc musi się w niej zmieścić system operacyjny, sygnatury AV, IPS - zbyt wiele tych sygnatur być nie może a i tak pozostaje pytanie ile wolnej pamięci zostaje na analizowanie ruchu użyszkodników?
- wlutowane w płytę 4 kości o łącznej pojemności 2 GB RAM !!!Kyniu pisze:A teraz rzućmy okiem na "bebechy" takiego SRX 100:
- zero możliwości rozbudowy, bez slotu na moduł jak ASA 5505 czy brak możliwości dołożenia RAM jak w, nota bene, znowu podam jako przykład ASA 5505
- wlutowane w płytę główną cztery kości pamięci o łącznej pojemności 1 GB
- brak możliwości dołożenia RAM jak w ASA 5505, gdzie można zamiast 256 albo 512 MB zrobić upgrade do 1 GB RAM który kosztuje tyle co 30% tego SRX
- ilość portów USB jest główną jest jednym z głównych parametrów urządzeń UTM
- SoC może realizować część funkcji sprzętowo ale wszystkie pozostałe mechanizmy lecą na CPU, więc jest na pewno gorzej niż w ASA 5505 pewnie wszystko robi nie w CPU (Celeron
) No tak, najpierw marketing, marketing.
A tak poważnie:
- SRX 100 jest platformą small business, do małego oddziału i nie ma sensu rozważać co zrobi jak się go przeciąży. Podobnie jak ASA 5505, Palo Alto PA-200, SSG5, Checkpoint 600, małe Forti itp. Jak ktoś go przeciąży to znaczy że źle dobrał sprzęt do swoich potrzeb.
- akurat SRX jest całkiem fajną platformą i można na nim wiele ciekawych rzeczy zrobić - choćby obsługa kilku VRF i PBR
- namiastka security i pozorne bezpieczeństwo wciąż jest lepsze niż brak bezpieczeństwa
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
IMO SRX dobry, tani sprzet niz ASA.
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Dlaczego ?Kyniu pisze:A no jak tak to faktycznie chyba nie ma sensu dalsza dyskusja.MiKel pisze: - namiastka security i pozorne bezpieczeństwo wciąż jest lepsze niż brak bezpieczeństwa
Jasne że najlepiej aby wszyscy posiadali NGFW, Proxy, WAF, DLP, DBF, Endpoint Security, uruchomione mechanizmy L2 Security, zapasowe DC, politykę bezpieczeństwa wraz z jej okresową weryfikacją i aktualizacją, systemu backupu wraz z okresowym odtwarzaniem w celu weryfikacji, kontrolę dostępu fizycznego, osobny etat na ABI, osobny dział na SOC itd. ale to jest utopia która w zdecydowanej większości firm nigdy nie nastąpi. I dla nich UTM może być dobrym rozwiązaniem. Z naciskiem na może.
Jeśli uważamy że namiastka security jest zła to instalujmy switche mydelniczki bez obsługi nawet 802.1q, na wyjściu korzystajmy z modemów operatora bo po co nam nawet router, AV na końcówkach odinstalujmy bo i tak nie chroni przed współczesnym malware.
UTM nie jest problemem.
Problemem jest ułuda bezpieczeństwa, którą tworzy, oraz producenci, którzy to tak pozycjonują.
Nie ma nic gorszego, co można zrobić klientowi, niż przekonać go, że właśnie ma zabezpieczoną sieć w wielu aspektach bo wstawił sobie magiczne pudełko.
Oczywiście na rynku SMB, jedynym gdzie w ogóle myślenie kategoriami UTM ma sens (co zdaje się umykać praktycznie całemu rynkowi próbującemu takie rozwiązania sprzedawać) to być może i dobre podejście, ale potem mamy do czynienia z rozgoryczonymi klientami, którym obiecywano cuda, a skończyli po pół roku z malwarem i innymi cudami. Nie mają pieniędzy na nic innego. I zostają z odrapanym z pazłotka problemem.
Każdy sprzedaje co ma i co potrafi, ale trzeba też szczerze ustawiać oczekiwania. SRX cudownym pudełkiem nie jest, ASA również.
Pisanie że 'pozorne bezpieczeństwo' jest lepsze niż cokolwiek jest - przepraszam - niepoważne. Namiastka owszem, ale trzeba wiedzieć, że to będzie namiastka.
Problemem jest ułuda bezpieczeństwa, którą tworzy, oraz producenci, którzy to tak pozycjonują.
Nie ma nic gorszego, co można zrobić klientowi, niż przekonać go, że właśnie ma zabezpieczoną sieć w wielu aspektach bo wstawił sobie magiczne pudełko.
Oczywiście na rynku SMB, jedynym gdzie w ogóle myślenie kategoriami UTM ma sens (co zdaje się umykać praktycznie całemu rynkowi próbującemu takie rozwiązania sprzedawać) to być może i dobre podejście, ale potem mamy do czynienia z rozgoryczonymi klientami, którym obiecywano cuda, a skończyli po pół roku z malwarem i innymi cudami. Nie mają pieniędzy na nic innego. I zostają z odrapanym z pazłotka problemem.
Każdy sprzedaje co ma i co potrafi, ale trzeba też szczerze ustawiać oczekiwania. SRX cudownym pudełkiem nie jest, ASA również.
Pisanie że 'pozorne bezpieczeństwo' jest lepsze niż cokolwiek jest - przepraszam - niepoważne. Namiastka owszem, ale trzeba wiedzieć, że to będzie namiastka.
W zasadzie się zgadzam - pozorne bezpieczeństwo zapewniane przez UTM jest dobre u klientów SMB (albo nawet wyłącznie Small Business), pod warunkiem o którym napisałeś - szczerego ustawienia oczekiwań. Natomiast niepoważne jest pisanie że pozorne bezpieczeństwo zapewniane przez UTM jest złe i nie warto w niego inwestować i lepiej zostać z niczym, podając przykłady Kynia.
Rzeczy o których pisał w kontekście bezpieczeństwa nie są spełniane nawet przez zaawansowane platformy - nie znam producenta który w swoim systemie Firewall zapewniłby inne skanowanie antywirusowe dużych plików niż flow-based, nie znam producenta który skanuje zaszyfrowane spakowane pliki, wreszcie nie znam producenta który w systemach antyspam nie ogranicza od góry wielkości skanowanych załączników.
Jeśli to są dla nas problemy to znam jedno rozwiązanie - platforma Wildfire z Palo Alto - 24 core'y, 128 GB RAM, ileśtam wirtualnych systemów wykonujących i skanujących kod pod kątem znanego i nieznanego malware - koszt jakieś 150 000 USD. Cenowo idealny na nasz rynek
Rzeczy o których pisał w kontekście bezpieczeństwa nie są spełniane nawet przez zaawansowane platformy - nie znam producenta który w swoim systemie Firewall zapewniłby inne skanowanie antywirusowe dużych plików niż flow-based, nie znam producenta który skanuje zaszyfrowane spakowane pliki, wreszcie nie znam producenta który w systemach antyspam nie ogranicza od góry wielkości skanowanych załączników.
Jeśli to są dla nas problemy to znam jedno rozwiązanie - platforma Wildfire z Palo Alto - 24 core'y, 128 GB RAM, ileśtam wirtualnych systemów wykonujących i skanujących kod pod kątem znanego i nieznanego malware - koszt jakieś 150 000 USD. Cenowo idealny na nasz rynek
Ale istnieją rozwiązania AV (czasem plus antyspam) dostępne w akceptowalnych pieniądzach (skoro firmę stać na dwa wózki widłowe a prezes jeździ autem za circa 300 tysięcy to uważam, że firmę stać, czy zechce wydać kasę to inna bajka) które radzą sobie z pobraniem obrazu ISO płyty CD/DVD, potrafią go podmontować, przeskanować, rozpakować archiwa spakowane raz za razem nawet 255 razy i jeszcze zaemulować end-userowi pasek pobierania żeby nie myślał, że jego przeglądarka zgłupiała i pliku nie pobiera.MiKel pisze:Rzeczy o których pisał w kontekście bezpieczeństwa nie są spełniane nawet przez zaawansowane platformy - nie znam producenta który w swoim systemie Firewall zapewniłby inne skanowanie antywirusowe dużych plików niż flow-based, nie znam producenta który skanuje zaszyfrowane spakowane pliki, wreszcie nie znam producenta który w systemach antyspam nie ogranicza od góry wielkości skanowanych załączników.
W zaleznosci od przeplywnosci lacza z ISP, potrzeby zapewnienia VPN, schematu LAN, obciazenia ruchem, istnienia DMZ - postawilbym UTM na zewnatrz (przed routerem od strony ISP) lub wewnatrz. W wiekszosci przypadkow UTM ma byc twoja granica sieci wewnetrznej. Tak jak ACL jest przetwarzany wczesniej niz routing po wejsciu pakietu na interfejs routera. Tak jak statefull firewall na routerze robisz na zewnetrznym interfejsie sieci.yatta pisze:Potrzebuje posadzic urzadzenie pozwalajace w miare prosty sposob filtrowac ruch, AV i tego typu rzeczy ktorych 2811 nie jest w stanie zrobic.
Pozostale uwarunkowania moga zmienic punkt widzenia, ale takie podejscie jest podstawowym.
Idac za Seba:
Moim zdaniem, warto pomyslec odwrotnie - czasem warto pomyslec o tym, zeby zostawic tylko jedno urzadzenie, bo znajac realia jest ono zwymiarowane tylko na ruch z ISP.Seba pisze:A co dokładnie chcesz osiągnąć/?
Jeśli UTM zapewni wszystkie funkcje, które masz teraz, a dodatkowo doda rzeczy dla których w ogóle rozważasz pójście w tym kierunku, to opcja jest jedna, zostawienie urządzenia, które wykonuję całą prace. Chociaż czasami warto jednak myśleć o kwestii rozłożenia funkcjonalności na dwa urządzenia. It's up to you.