[ smprobus @ 02.04.2013. 18:47 ] @
Drugari,

za potrebe jedne mreze od 50 racunara, 2-3 servera, je potrebna nabavka i administracija firewall uredjaja.
Mreza ima Cisco ruter i nekoliko sviceva, potrebno je nakaciti firewall pre cisco rutera a posle media konvertora.

Molim vas za predlog opreme (cena okvirno) i literature koja prati opremu.
Hvala svima!!!
[ optix @ 03.04.2013. 10:37 ] @
Odabir firewall-a zavisi od par bitnih stvari kao sto su: kolicina saobracaja koji ce kroz njega ici, da li ce se koristiti za drzanje ipsec (vpn) tunela, koliki saobracaj ce ici kroz te tunele i koilko tunela treba da podrzava, koje su sve funkcionalnosti koje treba da ispuni - tipa da li ce sluziti i kao remote access koncentrator (za koji broj sesija), da li je dovoljna kontrola saobracaja do L4 nivoa ili ti treba nesto sto moze da radi nezavisno i npr. url filtering, IPS, anti-bot, anti-spam i ostale egzotike...
[ andre2000 @ 03.04.2013. 11:32 ] @
Prosto moram da ti preporučim da pogledaš Palo Alto Networks firewall, ja sam skoro prešao na njega sa Cisco ASA i prezadovoljan sam. Slična priča, do 50 klijenata i nekoliko servera. Meni najmanji model radi posao, teram i ipsec vpn preko njega, kontrola saobraćaja i zaštita su mi mnogo bolji i bliži nego na asi. Doduše mreže nisu moja specijalnost, niti nemam neke posebne zahteve, ali ovo što mi treba sam sam namestio za dan dva. Cijena prava citnica, cca 2000 evra + soma evra godišnje licence za support, url filtering, threat prevention, anti-virus...

Edit: uređaj je zamenio na istom mestu prethodni Cisco ASA 5510, i kroz vpn konekciju mi aplikacije brže rade nego na asi
[ nkrgovic @ 03.04.2013. 15:21 ] @
Ono sto sam ja procitao o PA opremi meni deluje katastrofa. To je oprema pravljenja kao traffic filter, koja nema uopste standardan L3 firewall. Oni to prodaju kao "next generation", ali meni to nema smisla... Evo link, na brzinu, mada ima boljih:

http://www.checkpoint.com/beyondthehype/index.html

Da, jeste od konkurencije...

Takodje, ne razumem koncept da imas firewall PRE rutera. Firewall po svoj logici treba da stoji IZA rutera. Stavise, ja bi prvo proverio da li tvoj ruter moze da se nadogradi da bude i firewall - reci koji model imas.
[ Aleksandar Olujic @ 03.04.2013. 17:01 ] @
Super je PA ali cijena je PRAVA "sitnica" i portfolio je zaista mali. Samo nekoliko uredjaja, najmanji premalen za male lokacije, srednji prevelik za srednje i premalen za vece i veliki koji ima ludacke performanse i kosta kao vikendica na primorju. Mozda to odgovara americkim kompanijama (dzinovsko sjediste i male podruznice) ali u praksi je to vrlo nefleksibilno. Mnogo razumnija opcija je Fortinet (super izbor UTM uredjaja + wireless) i na kraju Checkpoint je opet krenuo sve da ih shamara sa novim uredjajima (e.g. 2200 zamjenjuje i mnogo skuplje njihove proizvode). Za malu infrastrukturu isplati se nadograditi postojeci Cisco ili na kraju ici sa Linux firewall-om i nekim GUI/wrapper interfejsom za iptables radi lakseg odrzavanja. Imati ruter iza firewall-a ima smisla samo ako taj "ruter" ne radi routing vec recimo VoIP a na kraju vecina rutinga moze danas da se radi na firewall-u. Citavu stvar treba posmatrati paralelno sa druge strane - koliko para mogu da potrosim na taj firewall u narednih 5 godina? Odgovor na to pitanje garantovano suzava izbor na par uredjaja :)

[ smprobus @ 03.04.2013. 18:59 ] @
ovako redom...

mislio sam prvo da stavim dva firewall uredjaja, interni i externi.
Meni prvenstveno treba zastita od spoljnih uticaja (faktora, napada=gruba rec).
Internet protok je 5 Mb/s, za sada nema ipsec tunela, ima nekoliko port forward komandi na servere i to je to...
I obzirom da je budzet dosta ogranicen planirao sam da ga stavim izmedju rutera i media konvertora (terminalne tacke provajdera).

Citao sam i ja o Fortinet tj. Fortigate platformi, koliko sam razumeo on ima neki web interface.
Najvaznije mi je da ne moram da procitam tonu manual guide da bi skapirao i konfigurisao osnovne stvari.
E sad ne znam ko ga distribuira u Srbiji i koja mu je cena?

Trenutno radi Cisco 1841 ruter sa 256MB DRAM i 64MB Flash.
Mislim da sam svima odgovorio.
Hvala unapred!
[ uporna_neznalica @ 03.04.2013. 21:41 ] @
Hardware:
1. Ako ti treba Gb network, onda soekris, model 6501 link (http://soekris.com/products/net6501.html )
2. Ako je dovoljan i 10/100 network, onda moze i alix, proizvodjaca pcengines (link http://pcengines.ch ), netiks ima na lageru nekoliko modela
Software:
OpenBSD -stable (link openbsd.org ); imas knjigu packet filter, sada je u pripremi novo izdanje knjige
Ta kombinacija ti je u rangu cisco/juniper, po meni je i bolja, (ali zbog mojih licnih preferencija).

Ako znas unix, ne treba da citas gomilu manuala, vrlo je jednostavno. Ako ne znas, onda zaboravi.
[ Aleksandar Olujic @ 04.04.2013. 17:31 ] @
http://www.fortinet.com/emeapartners/
Nisi odgovorio koliko planiras da potrosis u narednih tri/pet godina na taj uredjaj :) Uzgred, budzet nema puno veze sa topologijom bar ne u ovom slucaju. Ako ti ne treba ruter, skloni ga, ako ti je neophodan zadrzi ga ispred firewall-a.
[ andre2000 @ 05.04.2013. 08:13 ] @
Citat:
nkrgovic:
Ono sto sam ja procitao o PA opremi meni deluje katastrofa. To je oprema pravljenja kao traffic filter, koja nema uopste standardan L3 firewall. Oni to prodaju kao "next generation", ali meni to nema smisla... Evo link, na brzinu, mada ima boljih:

http://www.checkpoint.com/beyondthehype/index.html

Da, jeste od konkurencije...

Takodje, ne razumem koncept da imas firewall PRE rutera. Firewall po svoj logici treba da stoji IZA rutera. Stavise, ja bi prvo proverio da li tvoj ruter moze da se nadogradi da bude i firewall - reci koji model imas.



Ne bih da ulazim dalje u raspravu, rekoh mreže nisu baš moj fah, ali ovakav članak na Checkpoint sajtu mi zvuči kao predizborna kampanja, izgleda da ih mnogo žulja PA. Naravno da razne kompanije na razne načine rade isti/sličan posao, i prosto kad jedna kompanija reši da krene jednim putem i odbaci drugi put, naravno da će na svakog ko krene tim drugim putem gledati kao na ludaka.
[ nkrgovic @ 05.04.2013. 08:26 ] @
Nije da pricaju ovo i za Cisco, pa nije bas ni ja da je cista propaganda. Jesto to upakovano u marketing oblande, ali cinjenice stoje.

A to da "radi na drugi nacin". Cuj, to zvuci kao super prica ako ne znas o cemu se radi :D. Nemam ja nista protiv L5-L7 rada, to je JAKO korisno, ali firewall koji ne dira nista na L3 je, da prostis, supalj ko djevdjir. Jedno je "thinking outside the box", drugo je da ignorises mrezu.
[ andre2000 @ 05.04.2013. 08:40 ] @
Paaa, ne znam koji PA firewall su oni gledali, moj je postavljen kao L3 fw.

Edit: sorry, brzi prsti, ipak koristim uglavnom application filtere. Network adapteri su u L3 modu.

[Ovu poruku je menjao andre2000 dana 05.04.2013. u 10:00 GMT+1]
[ smprobus @ 05.04.2013. 17:41 ] @
mislim da ce Fortigate 40C ili Fortigate 60C biti dobar izbor.
Duo 2 WAN ports, 5 LAN switched ports, DMZ, 1Gbps throughput, 200000sessions, IPSec, SSL...
[ Aleksandar Olujic @ 18.04.2013. 11:22 ] @

A evo i Checkpointovog odgovora

Check Point 1100 Series starting at $ 599

http://www.checkpoint.com/products/1100-appliances/index.html
[ urkozamanje @ 08.09.2013. 18:23 ] @

A sta se ovde misli o Mikrotiku u toj ulozi?

Ovo je ono sto ja znam o RouterOS-u (na kojem trce Mikrotikovi):

Citat:
Mikrotik Security


Mikrotik RouterOS is routing operating system based on Linux 2.6 kernel and has all the functionalities and flexibility of FLASK (Flux Advanced Security Kernel) architecture.
Its main characteristic is implementation of SELinux forcing mandatory access control (MAC) limiting user applications only to a minimum level of privileges required for task completion. This approach significantly limits/eliminates possibilities of programs and system services compromising with methods such as Buffer Overflow, Structured Exception Handler, Local Privilege Escalation, Stack Smashing, NULL dereference, etc.

The effect of such closed architecture is elimination of ACL mechanisms where there is no concept of super-user, completely eliminating dependence on setuid/setgid mechanisms. With this concept Mikrotik has applied highest security standards in design and implementation of RouterOS system. This can be easily checked by browsing any prominent public and up-to-date exploit databases and a fact that it is impossible to find any known exploit for this system.

Apart from system security level, MikrotikOS also conforms to very high security standards in user access security. Various protocols such as IPSec, PPTP, PPPoE, OpenVPN, SSTP, L2TP, IPIP, GRE, EOIP, SSH and system modularity segregation provide Mikrotik with ability to comply to the highest possible security standards.

Furthermore, system designed in this way enables easy applications on various architectures (single processor and multiprocessor, PC and PowerPC, and embedded systems). Security mechanisms on any of supported IDE, SATA, CF, SD or USB media eliminate comprising of the system even with direct physical access. This is especially emphasized if used on Mikrotik RouterBoard platform (as proposed for your project) since they all have coupled memory modules with system installation (operating and backup) which makes it practically impossible to change/modify any core system module by user side (protect the user from himself or herself).

Another valuable aspect of system security is the fact that user access parameters are stored in system memory unable to be accessed by user (loss off access parameters results in deletion of user access configuration parameters) which disables possibility of exploiting user to map vectors of attack on a system or any of its parts.

Nevertheless, user access and management has been kept simple and flexible with terminal access available through api, ftp, ssh, telnet, winbox, www and www-ssl. By the way, admin/management interface GUI is, at same time, sleek and comprehensive.




Mikrotik IDS/IPS

Mikrotik RouterOS has a very extensive set of firewall functionalities, such as:

· Complete packet inspection
· Protocol detection at application layer
· P2P filtering
· Traffic classification/management:
o by MAC addresses, IP addresses, IP ranges, IP address classes, etc.
o ports or range of ports
o IP protocol
o Protocol options (ICMP types and codes, TCP statuses, IP options and MSS)
o By input/output interface
· Control and marking of internal traffic
· DSCP (Differentiated Services Code Point)
· Deep inspection (packet contents)
· Control over speed and schedule of packets routing
· Packet size
· Etc.

One of the most effective combinations to use for complete IDS/IPS solution is Mikrotik with Snort (open source IDS software)





[ Aleksandar Đokić @ 08.09.2013. 22:30 ] @
Mikrotik nema (jos uvek) enterprise funkcije kao sto su detektovanje napada (IDS/IPS), integrisani antivirus i sl.

Ukoliko ti to ne treba TIk je sasvim dobar firewall (ako se podesi kako treba). Moguce je putem L7 regex-a i skripti odraditi neke stvari ali ipak to nije to.