ASA5585-SSP-IPS20 | IPS jaki

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA5585-SSP-IPS20 | IPS jaki

#16

#16 Post autor: art »

Już abstrahując od tego, że na razie to półprodukt - choć zapewne uważasz inaczej ;-), to jaką książkę polecisz oprócz tej wspomnianej wcześniej ? Jest dostępna tylko w wersji kindle, a ja takiego ustrojstwa nie posiadam.

A i jeszcze jedno, wspomniałeś o smart license: czy to oznacza że muszę coś nowego dokupić, gdzieś wystąpić o przeniesienie licencji itp ?
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#17

#17 Post autor: mihu »

art pisze:Już abstrahując od tego, że na razie to półprodukt - choć zapewne uważasz inaczej ;-), to jaką książkę polecisz oprócz tej wspomnianej wcześniej ? Jest dostępna tylko w wersji kindle, a ja takiego ustrojstwa nie posiadam.

A i jeszcze jedno, wspomniałeś o smart license: czy to oznacza że muszę coś nowego dokupić, gdzieś wystąpić o przeniesienie licencji itp ?
"półprodukt" - jako firewall - classic czy NGFW zgodzę się, jako IPS nie ;), FP ma jeszcze sporo problemów wieku dziecięcego ale jest lepiej.

pisałem jakiś czas temu i albo byla promocja, albo bug w Amazonie bo książka była za free (teraz £30, bylo chyba £40+ wcześniej). Kindle to super "ustrojstwo" :) , ale nie musisz go posiadać, akurat do książek technicznych hardwarowy kindle się średnio nadaje, ale jest apka która działa na iOS, macOS czy Windows (edit: zapomniałem o Androidzie) - znaczne lepsze do szybkiego szukania informacji w tego typu książkach, ale do innych książek sama przyjemność.

Książka, o której wspomniałem jest dedykowana pod FP i FTD i nie jest zła, na początek nawet bym powiedział ze dobra+, po prostu oczekiwałem więcej.

jest jeszcze "Cisco Next-Generation Security Solutions", właśnie powoli przeglądam, ale ta obejmuje tez ASe. Ale parę rzeczy się z niej dowiedziałem. Poza tym Cisco docs i implementacje.

Smart License - na razie nic nie musisz robić, ale z czasem wiekszosc produktow Cisco (wszystkie?) będzie z tego korzystało. W ISE jest to opcjonalne, w FP zależy od platformy - do 6.1 ASA FirePower Services opcjonalne , na hardwarze FP mus. Nie wiem jak w innych produktach. Zeby sobie oszczędzić roboty później i zaczac się do tego przyzwyczajać warto do nowych implementacji FP (i ISE) zacząć korzystać ze smart license.

trochę offtopic : chyba znalazłem dosyć nieprzyjemnego buga w FMC4500 - NIC czasem nie działa ...
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA5585-SSP-IPS20 | IPS jaki

#18

#18 Post autor: art »

Ok, thx. A z tego formatu to da rady wydrukować albo przerobić na PDF, bez żadnych zbędnych cudów ?

Jako IPS jest OK ale ASA mi sprzedano jako NGFW i mówiono, że już za chwil parę będzie soft unifikujący zarządzanie :D A tu nadal klops i zapewne ten impas potrwa jeszcze ze 2 lata :) wtedy ogłoszą, że jest super nowe urządzenie z FTD, a na starych ASA'ach będzie można zainstalować FTD ale połowa funkcji nie będzie działać, bo nie jest supported :)

Licencje to temat rzeka, nowy cennik Cisco będzie wyglądał mniej-więcej tak:
1. kupujesz switcha, switch działa, kręci wentylatorem ale nie możesz ustawić VLAN'ów - musisz kupić licencję VLAN basic
2. Szczęśliwy ustawiasz VLAN'y, konfigurujesz porty ale chcesz nadać przełącznikowi adres IP do zarządzania (odblokowuje również SNMP, syslog itp), niestety nie możesz - musisz kupić licencję IP basic - kupiłeś.
3. Chcesz skonfigurować podstawowe zasady dotyczące bezpieczeństwa: bez licencji security basic nie da rady. Kupiłeś
4. No to teraz podpinasz switcha do hostów, kurde coś nie działa. Czytasz i teraz już wiesz, potrzebujesz licencję: client traffic basic. Kupiłeś
5. Wkręciłeś switcha do szafy ale za około pół roku nagle przestaje przekazywać ruch - myślisz sobie co u licha. Grzebiesz, szukasz, testujesz a tu nic. Jedynie działa management port. W końcu przedarłeś się przez gąszcz dokumentów, licencja typu: CLIENT traffic basic pozwalała na przesłanie 500TB danych. Wyczerpałeś limit, możesz dokupić dodatkową licencję tego samego typu lub już pozwalającą na przesyłanie danych bez limitów.
6. itd ;)
Ups I switched again =)

Kyniu
wannabe
wannabe
Posty: 3595
Rejestracja: 04 lis 2006, 16:23
Kontakt:

Re: ASA5585-SSP-IPS20 | IPS jaki

#19

#19 Post autor: Kyniu »

art pisze:Licencje to temat rzeka, nowy cennik Cisco będzie wyglądał mniej-więcej tak:
To ja zapytam w takim razie "jak nie Cisco to co?". Miałem i mam kontakt do czynienia z wieloma vendorami z różnych obszarów technologii. I zawsze i wszędzie jest tak samo. Ba, powiedziałbym, że w Cisco jest to i tak w miarę poukładane. Miałeś kiedyś do czynienia z produktami Alcatel-Lucent? Tam jest tak jak to barwnie opisałeś - każda funkcjonalność to osobna licencja. Licencje się kupuje i kupuje i kupuje i zawsze na koniec dnia się okaże, że coś nie zostało kupione. I to nie jest tak, że dzieje się tak tylko np. w sieciówce czy rozwiązaniach zunifikowanej komunikacji. Widziałeś model licencyjny serwera baz danych Oracle? Tego nikt nie ogarnia, nawet sprzedawcy Oracle. I to nie jest tak, że ten problem dotyczy tylko tych największych firm czy najdroższych produktów. Weź takie SYNOLOGY które produkuje proste NASy a ostatnio postanowili produkować routery - chyba dwa mają w tej chwili w ofercie. Do niedawna jak kupowałeś NASa SYNOLOGY to wszystko było w cenie. Ale już nie jest. Chcesz Mail Plus - płać za każde dodatkowe konto (w paczkach i oczywiście "Dołączone licencje można zastosować tylko do jednego urządzenia Synology NAS i nie można ich przenieść do innego urządzenia Synology NAS po aktywacji"). Chcesz wykorzystać NAS'a jako rejestrator video do systemu CCTV to możesz użyć aplikacji Surveillance Station - och no tak, oczywiście najpierw musisz kupić licencje. Kupiłeś router SYNOLOGY i chciałbyś skorzystać z VPN'a? Jasne, tylko wiesz, najpierw kup "Licencja Synology Client VPN Access License umożliwia dodawanie jednoczesnych kont użytkowników, które mogą uzyskiwać dostęp do funkcji Synology SSL VPN, WebVPN, i SSTP w VPN Plus. Domyślnie jedna bezpłatna licencja jest instalowana na wszystkich urządzeniach Synology obsługujących VPN Plus. Można zakupić dodatkowe licencje dla jednoczesnych kont użytkowników zgodnie z potrzebami." Niedługo wszystko będzie "subskrypcyjne". I dla jasności - ja nie popieram tego stanu rzeczy - ale tak już jest.
CCNA: R&S, Security, Wireless, Collaboration. MCSE: Cloud Platform and Infrastructure, Server Infrastructure. ITIL: Foundation. PPL(A)
https://www.facebook.com/itserviceskielce/ :: https://www.linkedin.com/company/itservicespoland :: https://www.linkedin.com/in/krzysztofkania/

Awatar użytkownika
art
wannabe
wannabe
Posty: 416
Rejestracja: 04 lip 2011, 10:25

Re: ASA5585-SSP-IPS20 | IPS jaki

#20

#20 Post autor: art »

Ale ja też nie jestem za obecnym stanem rzeczy, poniekąd wyśmiewam go :) Z alcatel lucent nie miałem styczności ale już z MS tak i tam też jest niezła szopka :)) I widzę że Cisco tez idzie tą drogą,, jeszcze trochę czasu minie i będzie potrzebny cały budynek ludzi na ogarnięcie tych ich licencji...
Ups I switched again =)

mihu
wannabe
wannabe
Posty: 762
Rejestracja: 10 kwie 2006, 10:37
Lokalizacja: Kraina Deszczowcow

Re: ASA5585-SSP-IPS20 | IPS jaki

#21

#21 Post autor: mihu »

art pisze:Ok, thx. A z tego formatu to da rady wydrukować albo przerobić na PDF, bez żadnych zbędnych cudów ?
bez cudów nie. w dużym skrócie da się zdjąć DRMa, ale potrzebujesz czytnik przypisany do swojego konta (ale z najnowszymi numerami seryjnymi nie działa, ale się nie zagłębiałem), a potem calibre i powinno działać ale nie wiem jak z formatowaniem
art pisze: Jako IPS jest OK ale ASA mi sprzedano jako NGFW i mówiono, że już za chwil parę będzie soft unifikujący zarządzanie :D A tu nadal klops i zapewne ten impas potrwa jeszcze ze 2 lata :) wtedy ogłoszą, że jest super nowe urządzenie z FTD, a na starych ASA'ach będzie można zainstalować FTD ale połowa funkcji nie będzie działać, bo nie jest supported :)
zalezy co potrzebujesz jak pełny feature z ASy to musisz jeszcze poczekać. tak jak pisałem RVPN (AnyConnect), już jest ale tylko w od kodu 6.2.1, który działa tylko na sprzecie FP, a i tak są ograniczenia - nie ma autentykacji lokalnej. w 6.1 był spory zonk (imho) z L2L VPNami, wystarczy że jeden site ma dynamiczne IP i wszystkie są traktowane jak dynamiczne, czytaj tylko one zainicjują VPNa
Kyniu pisze:To ja zapytam w takim razie "jak nie Cisco to co?"
jak zwykle zależy do czego, może CheckPoint, Palo Alto? Juniper zawsze kulał z RVPN, JunosPulse ponoć fajnie wygląda (po tym jak J go sprzedał), ale to kolejny produkt.

Licencje - nie jest tak źle, ale wygląda na to że każdy produkt (wliczając switche) będzie chciał połączenia do Internetu, żeby się połączyć z serwerem licencji. ale tak jak cloud jest ostatnio w modzie tak i zaczynają subskrypcje (hello Meraki)


dla mnie największą bolączką przy FP/FTD jest wymóg dedykowanego portu mgmt, a jak chcemy wszystko ładnie zcentralizowwać na jednym FMC, a nie używać lokalne FDMy, to klapa bo ten port musi być po stronie WANu - 2 NICi i dwa adresy (nie licząc HA), fajna byłaby opcja żeby można było użyć portu outside też do komunikacji z FMC.


@Kyniu - ciekawa informacja o zmianach w Synology (ciekawe czy QNAP poszedł tą samą drogą) ale to już jest kpina z klientów.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"

ODPOWIEDZ