Moj glas ide za ASA-u. Prvo - bezbedniji je jer garantovano fails open, tj. ako se nesto desi (pokvari, sta god), ne moze doci do upada. Drugo, ima mnogo manje problema u proslosti, trece ima veci uptime i konacno ASA ima jednostavno manje sta da se "pokvari". Za ISA-u moras da imas server, pa moras da imas Windows OS, pa ISA-u, sve to ima svoje probleme... Ovako uzmes jednu spravu i miran si.

Zahvaljujem.

Zaboravio sam da napomenem da bi se ISA nalazio na serveru i Windows OS koje svakako moram da imam (zbog nekih drugih stvari).

Tim pre. Jako je losa ideja da firewall stoji na istom serveru kao jos neki servis.

Hm...evo i moje 2 pare, sto bi rekli na americkim forumima:

@ nkrgovic

ISA/TMG - ako se stopira iz nekog razloga servis (sto mi se nije desilo u prethodne 3 godine), ISA je kompletno blokirana u smislu protoka - "fails open"

ISA ima milion i jedan feature koji nema 90% drugih uredjaja (ne poredim ga direktno sa Ciscom koji je pomenut).

Nadgledanje aktivnih konekcija je lepota, isvestavanje (reporting) je tako detaljno, da mozes da pravis bukvalno statistike i da vidis koji user ide gde,...itd.itd.itd znaci reporting je majka, nisam siguran kako to radi na Ciscu.

Za ove 3 godine, nisam imao ama bas nikakvih problema, a publishing nekog sajta pod tim i tim imenom, da se rutira na tu i tu adresu sa tim i tim uslovima....toliko detaljno... nema sanse... (samo nemoj da instaliras crackovan GFI Web Monitor, jer moze da ti obori ISA server :))))))))))))

ISA vrsi pred-autentifikaciju (da ne prevodim sa engleskog), vrsi inspekciju HTTPS saobracaja (tacnije TMG, po sistemu man-in-the-middle) i ima jos tone i tone feature-a koji ostali firewalli nemaju ni izbliza, URL filtering, itd

Naravno, nista nije savrseno, ali je management ISA/TMG-a verovatno x puta laksi/brzi od velikog broja drugih firewall-a..

Imas trial, probaj pa vidi kako ti se cini...


Pozz

P.S. slazem se da generalno ne bi trebao da drzis nista posebno pametno osim ISA/TMG na tom serveru, to je ipak Firewall/VPN/Proxy itd...mozda neki eventualno slican proizvod, kao GFI Web Monitor, koji neverovatno dobro dopunjuje ISA server, zlo i naopako kako radi - samo nemoj da koristis crackovanu varijatnu, dobices pretnje putem emaila direktno od GFI-a - iskusio u mojoj firmi :)))


_{[Ovu poruku je menjao optix dana 28.03.2010. u 15:35 GMT+1]}

Cisco ...
ISA nam pravi nevidjene probleme ...
Narocito sa VPN ...
Valjda bas zato sto je nakrcana opcijama ...
Sa Ciscom sam jedino imao probleme sa prasinom u ventilatorima ... na 2950 ...
Ali to nije tema ...
U svakom slucaju, ne verujem softverskim resenjima, pogotovo kad dolaze i MS kuhinje ...

Cisco ASA5510-SEC-BUN-K9 sa security plus licencom jos bolje resenje ...

Mada, s obzirom da se tek "kucis" razmislio bih i o novoj seriji Cisco ISR G2 rutera ...
Imaju servisne module, koji mogu da ti rade kao Windows ili Linux ili ...



_{[Ovu poruku je menjao srndach dana 26.03.2010. u 18:06 GMT+1]}

U predlogu rešenja koje sam dobio, osim pomenutog firewall, stoji i CISCO ISR ruter druge generacije. A planiramo i VPN.

Dakle, do sada 2 points ASA, 1 point ISA. Evrovizijski :D

cao,

da i ja dam moje misljenje na temu, imam solidnog iskustava sa ASA firewall-om i dosta slabijeg sa ISA fw-om. Moje misljenje je da ti ASA fw igra ulogu ako hoces veliki broj ipsec konekcija ili web ssl (vpn) i ako ti treba obican l3/l4 firewall, sto se tice ISA firewall-a meni su sva ta softwerska resenja .. bzvz, iz prostog razloga sto se oslanjaju na sigurnost o.s-a koji ih hostuje. Po meni najbolje ti je resenje da uzmes neki firewall novije generacije koji nudi content filtering i application recognition. Ja licno imam iskustva sa paloalto firewall-ima od istoimene firme i za to sto tebi treba po meni oni su mnooogo bolje resenje i od ISA i od ASA firewall-a.


P.S i naravno od ISR-a (g2).. koji ne uzimam za ozbiljno kao firewall..

Dobro se raspitaj za ISR G2 ...
Ima i imace opasan set funkcija, harverski realizovanih ...
Sto se tice VPN ...
Velik broj Cisco strucnjaka je proporucio da se VPN konekcije terminiraju na ruterima, a ne na ASAma ... ali kod nas to nije bas izvodljivo, prosto nemamo rutere na svim udaljenim lokacijama ...
ASA je ipak i prevashodno firewall ...
U svakom slucaju, nova generacija rutera je vrlo interesantna, a ruteri provereno dobro rade kao FW ...

Zahvaljujem na odgovorima. Koliko vidim, ipak je bolja opcija hardverski FW. Naročito, jer bih za ISA morao da kupujem dodatni server, licencu za Windows OS...

Ako bih morao da biram dao bih svoj glas ASA uredjaju bez dvoumljenja. Eventualno radi jos bolje optimizacije 2900 ISR G2 serija sa Security bundle-om na sebi za sve-i VPN, routing i sve ostalo...ali ako bih mogao da napravim resenje na taj postojeci server bih postavio ESXi free hipervizor, na njega virtuelni Windows server koji ti vec radi sta god da treba da radi a druga virtuelna masina bi bila CentOS Linux sa firewall funkcionalnoscu. I pokrio si sve uz super ustedu u lovi plus sve mora da radi kao sat :)...

Moj predlog ide Cisco-u..
Hardware-rski je, mnogo manja verovatnoca da se izbaguje, usled kvara
Isa nisam koristio, tako da ne mogu s sigurnoscu da govorim, ali MS resenja mi ne ulivaju neku preveliku sigurnost i stabilnost..

@ Svi, jel neko koristio kerio winroute firewall, kao resenje za firewall, vpn server... ?
Cisto me interesuju vasa misljenja o njemu..
Ja ga koristim vec duze vreme, i u potpunosti sam zadovoljan njime..

Veoma se lako podesava inbound & outbound traffic.Dozvoljeni traffic moze da se skenira nekim AV Enginom (Avast!, Avg, ClamAv, DrWeb, NOD32, Sophos, mozda i KAV).U realnom vremenu prikazuje sve aktivnosti u mrezi, naravno i loguje sve to.Limitira bandwidth, poseduje load balancing kao i connection failover. VPN.. itd..

A da ti ovo malo pojasnis?

Kako se vrsi inspekcija https saobracaj? man-in-the-middle ? O cemu ti pricas? Sta, ISA ima tehnologiju koja je razbila enkripciju ???

hmm.. mozda nesto u fazonu klasicnog man-in-the-middle napada ..
- presretne https saobracaj u toku uspostavljanja sesije (dok jos nije https)
- u ovom trenutku se vidi url kom korisnik pristupa
- ona kreira https konekciju sa udaljenim serverom, a klijentu prezentuje svoj ssl sertifikat koji dinamicki kreira za domen koji je klijent trazio i taj sertifikat potpise interno isa sa svojim CA serverom. A njen CA sertifikat sa kojim potpisuje certifikate koji se prezentuju klijentu ubaci u klijentski windows preko neke ad polise ..?!

pretpostavljam da bi nesto ovako bilo moguce.. pogotovu sto ISA fw moze poprilicno dobro da se integrise sa AD-om.

Moguce je ali ja bi bio zesce pissed da meni to proba da uradi... Da ne zelim nesto kriptovano, ne bi to gurao kroz SSL.

Da ne spominjem da to sprecava korisnika da zna KAKAV je SSL sertifikat udaljenog sajta.

Pa i bice kriptovano na delu mreze koji je nesiguran. Ovo je prvenstveno namenjeno enterprise korisnicima gde je bitnije da ne dovlacis nedozvoljeni sadrzaj kroz https sesiju nego da imas privatnost..

Ovo radi i cisco (sa ironportom sigurno), AFAIK generalno svi koji reklamiraju https inspekciju, rade na nacin koji je opisao gandalf tj. dve SSL sesije (od klijenta do "FW-a" i od "FW-a" do remote HTTPS servera). Mislim da kada iniciras SSL sesiju (kao klijent) dobije upozorenje da ce biti splitovana na dva dela, i takodje cak mozes da definises kakojim remote sajtovima uopste mozes da pravis SSL.

Poz,
Milenko.

Bravo Gandalf,

da, dobro si objasnio u principu - http://www.microsoft.com/foref...nt-gateway/en/us/features.aspx , pa ko zeli da pogleda...

@ nkrgovic
Ako sam dobro upucen, ti si CCIE guru (ili to bese Gandalf :), tako da razumem tvoj razmisljanje, i slazem se da je CISCO, CISCO i glupo ga je porediti sa nekim soft resenjima. Ali za 1600$, tesko da mozes da dobijes sve feature-e koji dolaze uz ISA, tj novi TMG (Threat Management Gateway, novo ime za ISA server).

Drugo, takodje razumem zasto ljudi ne vole MS resenja (pare, pare, pare... kao i bug-ovita istorija raznih softvera), ali mislim da ne treba previse da osudjujete MS, da nije njih, ko bi gurao opensource zajednicu da pravi kvalitetniji, gui-orijented software itd..., koliko update-e firmware-a hardware-a radi pod linuxom ??? Vecina pod DOS okruzenjem.. no to je druga tema, da ne skrecem...

Kvalitet nekog mreznog uredjaja/servera/storage-a, lezi 95% u njegovom software-u, po meni. Naravno podrazumeva se neka hardware-ska stabilnost i brzina, itd...a windows (serverska varijanta) je dosao do tako zrelog nivoa, da je to bruka (2008 i 2008 R2)... napucan sa featurima i radi zlo dobro... i kao takav predstavlja jako dobru osnovu za neke serverske proizvode...

Ko nije radio sa MS serverskim proizvodima, normalno je da ga ne voli i da ne zna sta je sve MS u mogucnosti... ne kazem da je MS bogom dan za sve i svasta...daleko od toga... Ja licno radim i sa Hyper-V, ali nikada preodukcijsko okruzenje ne bih stavljao na to.. Ipak je VmWare daleko ispred MS - -zelim da kazem da nisam 100% orjentisan na MS...ali takodje ne volim kada ga ljudi osudjuju a da ga realno ne poznaju dovoljno dobro...

Cisto moje misljenje, nadam se da nece da me bicuju :)))

Poz

@ cyBerManIA

Upravo sam skinuo Winroute Firewalll, kao VmWare applicance, pokrenuo, malo cacako i jako sam prijatno iznenadjen - pokusaj kopije ISA/TMG-a.

Skoro identican raspored u konzoli, pravilima za klijente itd... cena za 50 korisnika je tacno 1600$ isto kao ISA/TMG servera, samo sto kod ISA/TMG-a imas jos milion i jedan feature koji ovde nemas.... Kerio je dosta, cini mi se, laksi za konfiguraciju, i nije previse GEEK-orijented....mislim, pravljen je sa beginer-admin gui-jem u smislu komplesnosti. Ali zavisno od tipa firme, moze da regularno vrsi posao...

@andrija:

Verovatno je Gandalf CCIE... ja nisam. Ali ovo nije pitanje ukusa i navike, cak ni mogucnosti - ovo je pitanje sigurnosti. Jednostavno, hardverski firewall ima manje stvari koje je moguce razbiti. Na softverskom firewall-u ti imas OS plus firewall, plus korisnike, plus... mnogo toga. Na hardverskom uradjaju ima mnogo manje stvari koje mogu da budu ugrozene. Jednostavno smanjujes broj vektora upada, nista vise.

Plus, ISA ne kosta samo 1600$, treba ti i dedicated server za to, plus dedicated OS licenca. Instalirati firewall za mrezu na server na kome se vrti jos n stvari je JAKO glupo resenje, sve i da predpostavis da neki Windows server vec postoji (a ne mora da postoji) - a pouzdan server, plus OS licenca su jos cca 2000$ minimum.

Pazi, sto se tice cene, slazem, da kosta, kosta...a naravno da neces drzati jos n stvari na njemu... ali ako ti licenciranje nije bitno (ne kazem da nije, ali ima dosta firmi kojima nije), onda lepo vrtis ISA server za dz, na OS-u takodje za dz - nije da ovo preporucujem, ali eto, postoji mogucnost :) i imas celo resenje za samo cenu servera, ili nekog malog zutog koji stoji u cosku i skuplja prasinu :)

Sto se tice FW od pomenuta dva ja bi ti preporucio cisco ASA i tu neces pogresiti.
Sto se tice moga iskustva, radio sam sa dosta raznih FW-la i od svih najbolji mi je ASA. btw jos uvek radim :)

Medjutim, Pre nedelju dana sam bio na Security seminar-u gde su nam predstavili jos jedan FW koji me je isto odusevio.
Upitanju je FortiGate - > www.fortinet.com. Recimo FGT-500A je u klasi ASA 5510 sa time sto ti nudi nesto vise od ASA.

Cena jeste $1000 skuplja ali za te pare dobijas sledece (nesto zbog cega bi pre uzeo Fortigate):

- Integrisan Antivirus
- IPS
- Mogucnost da kreiras 10 Virtualnih FW-a
- 2 x 10/100/1000 interface
- URL filtering
- EAL4+ Firewall
- QoS

Vise informacija cisco vs fortinet mozes videti ovde: http://vrssecure.com/Documents/Fortinet-vs-Cisco-ASA.pdf


Bez ozbira ako uzmes cisco neces pogresiti nikako, ali ipak FortiGate nudi dosta vise.

Poz
Sale