Fórumok
Sziasztok!
Van egy Cisco ASA 5505 tűzfalunk, ami mostanra elég elavult, és az ASA 9.2-nél nem is tudom magasabb verzióra frissíteni, ami már szintén nem támogatott.
Egy szó, mint száz, javaslatokat kérnék, hogy mire cseréljük? (Leginkább Cisco vonalon maradnék.)
Jellemzően site-to-site vpn megy rajta.
Köszönöm a javaslatokat
Hozzászólások
Cisco fpr-1010 ?
+1
Futtathatsz rajta FTD vagy ASA image-t.
Az ASA-t ismered (gondolom) és VPN koncentrátornak is megfelelő.
...úgyis jönnek...
Mondjuk ha váltani "kell" az ASA-ról az FTD+FDM(vagy FMC) vonalra akkor én nem vennék Cisco firewall eszközt.
Nagyon nincs az még "kész". Persze ha az advanced (előfizetéses ) malware/threat/ips stb cuccokat használni is akarod akkor kénytelen vagy FTD imageval menni,de akkor inkább veszek egy "rendes" Palo Alto tűzfalat.
Nálunk csak Cisco van de már nem sokáig. A Cisco minden újabb terméke valami beta forever hulladék lett anomáliák sokaságával túlárazva opensource alapokra építve.
Ezekből az opensource-ot miért lényeges megemlíteni? Arra vezethető vissza a gebasz?
Nem gondolom, hogy maga az openszorsz forrás a probléma. :)
Melyik tűzfal az mostanában aminek nem Linux fut a control plane-jén?
Amiket én ismerek:
Forti-> Linux
Palo -> Linux
Cisco -> Linux (Itt az FTD-ben az IPS-t stb végző cucc az a Snort, de ugye a Cisco azt megvette, meg nyilván kérdés hogy mennyi modifikáció van az open source-hoz képest benne. De igazából a ruleset a lényeg úgyis. A WSA cuccokban meg Squid fut.)
Checkpoint -> Linux
Juniper -> FreeBSD (Well.. Újabban az (csak a high end?) SRX-eken egy Linux/KVM alapú hypervisor bootolja a FreeBSD image-t amiben aztán jailben futnak a szolgáltatások)
F5 -> Linux
És egy kis magyar vonakozás is syslog-ng a logging démon a Palo, Cisco (FTD), F5 cuccokon.
Ezért írtam, hogy nem kimondottan az openszorsz a probléma. :) A syslog-ng már rég nem kicsi és magyar: https://www.syslog-ng.com/company/
A syslog-ng (PE) -t valóban megvették nem új történet.
Ha megnézed a github-ot kb a fejlesztők 90%-a továbbra is magyar. Az Axoflow startuppal Bazsi is visszaszállt (kiszállt valaha?) a ringbe... :)
") SRX-eken egy Linux/KVM alapú hypervisor bootolja a FreeBSD image"
Ez de kurva jól hangzik...
SRX-ek meglepően jó cuccok voltak (még amikor foglalkoztam velük), a CLI (JunOS) pedig nagyságrendekkel jobb, mint a Cisco-s.
Szerintem ez mas csaladnal is igy van nem csak SRX-nel, MX-nel pl biztosan.
Nem. Még a jót is szarul integrálják. Bár már minden Linux és openssl.
ASA 5506-X?
Aláírás _Franko_ miatt törölve.
neut @
End of Sale : 2021 Aug. 2.
...úgyis jönnek...
Fortigate 30E v. 60E
Inkább a 40F illetve 60F sorozat, vagy ezek felett. Talán E sorozat már EOL, vagy az lesz hamarosan.
Köszönöm az eddigi tippeket!
A FortiGate-et nem ismerem, Cisco-val már dolgoztam és a switchek is jellemzően Cisco-k.
Szóval inkább a Cisco FirePower 1010 eddig.
Van olyan tényező, ami a FortiGate mellett szól? (Az árát leszámítva, mert úgy látom, hogy árban jobb, mint a Cisco.)
Palo-t erdemes megnezni meg a forti mellett.
Miert szamit milyenek a switchek?
Az árát is :D
Nekem nem tunik ugy mintha a palo mas arsavban mozogna mint a forti.
Én úgy emlékszem, hogy amikor legutóbb RFP-t írtunk ki, a PA magasabb árban volt. (attól még azt vettünk)
Lehet csak a potenctialis uj ugyfeleknel toljak le jobban a gatyat, par hete meg majdnem FG=>PA migracio lett a vege egy pakk FG lic renew-nak, de vegul az FG is letolta a gatyat, igy maradt minden a helyen:)
+1 Palo
Ezt a gyártót az usa-ban nyomatják nagyon, azon kívül még egyik multinál se láttam használni amelyiknek tudomásom volt a daracenter infrastrukturájáról. Fortinet-et Checkpoint-ot már inkább.
Nalunk (nemet multi) van Palo Alto, illetve Barracuda meg mellette. Fortinet-rol en nem hallottam meg :)
Nálunk pl. van Palo Alto (sajnos Checkpoint is). Nem USA, európai cég.
Van Palo és tipikusan Cisco helyre kerül mert egy árban van de legalább nem beta hulladék. Egyszerűbb, grafikusabb, mindenben jobb mint a Cisco.
Korábban nekem is volt Palo-hoz szerencsém hazai szervezetnél - igaz, az csak a külső tűzifa volt, a VPN-t meg a belső tűzfalat egy másik eszköz "vitte".
Nekem azért tetszik, mert logikusan felépített, áttekinthető webes kezelőfelülete van. A FortiClient VPN is jól működik. Nekem gondjaim voltak pl. a Cisco Anyconnecttel.
Van még a Meraki MX sorozat, de annak rendszeresen meg kell újítani a licenszét, ami nem kis pénz.
Sophos-szal is dolgoztam, bár elismerem, hogy nem nagyon van elterjedve. Én Forti-t vennék, ha nekem kellene dönteni. S2S VPN, L2 VPN, Remote access VPN korrekt és egyszerű konfigurálni rajta.
Mondom ezt úgy, hogy dolgoztam ASA-val, Firepowerrel is. Cisco-nak a router és switch vonal inkább az erőssége.
+1 a sophosra. Igazán jó és stabil valamint home verzió 50 kezelt ip címig teljesen ingyenes minden funkcióval együtt.
Szerintem hatalmas hátránya a Cisco Firepowernek hogy bármilyen konfig change után pár perc homokóra amíg deployolódik. Próbálj meg egy nemtriviális hibát kidebuggolni így... És néha egyszerű dolgokért is izzadni kell, például NAT reflection... DHCP szerver egy csomó ideig nem is volt benne, talán most már van... De persze ne akarjál fix MAC-IP párokat allokálni! 20 éve a sulinet expresszes otthoni routerem tudta ezt...
Ezt a Cisco csőlátást pl. valamilyen teszt eszköz kérésével, bemutatóval ilyesmivel kezelhetnéd. Jóval értelmesebb ár-érték arányú történetek hozhatóak össze, ha nem vagy adott gyártóba teljesen beleszerelmesedve. Érdemes review-knak, értékelésnek utána nézni, hogy mennyire vált be.
A Fortinetnek a HRP a hazai képviselete, bár valszin viszonteladón keresztül tudod megvenni, de elvileg van általában teszt meg garinál csereeszköz. Egy partnernél Palo lett, bár még új, és még szállító menedzseli, de "so far so good". A másik versenyző a Fortinet volt, és valójában a beszállítón múlt, hogy "központilag" Palo-t virtuálisan tudnak adni szolgáltatás szerűen.
Azért azt tudni kell, hogy az amcsi léptékre tervezett cuccokat igen nehéz itthon kihajtani. Ez jelent egyben árazást is, nem szívbajosak, másrészt simán előfordulhat 100Mbit/sec-es WAN portos eszköz... :)
100Mbit/sec-es WAN portot nehéz itthon kihajtani???
A processzorát. Nem az elméleti maximumról beszélek, hanem normál felhasználásról, miután nyilván gigás porttal vetted. Ha kihajtod, akkor ott vagy rossz a konfig, vagy rosszul választottál.
Azért léteznek 100-as porttal eszközök még, bár valszin már kihalóban, mert az USA piacon simán előfordulhat, hogy minimális a rendelkezésre álló sávszél, és akkor tessék itt van. Ez a gigabit minden bokorban, sőt lakossági 2G, meg mittom, ez erősen hazai trúváj, még tőlünk nyugatabbra is pislognak néha, hogy több van, mint DSL, az amcsiknál pedig hát vannak "a galaxy far far away" kategóriás helyek, legalábbis hálózatban. A másik, hogy ha technikailag van is erősebb sávszél, akkor kifizetni nem biztos, hogy van kedved.
Igazából, ha a CISCO felé húzol (eddig is ez volt), akkor mindegy, hogy mit mondunk, mert már eldöntötted.
Ha viszont van lehetőséged másban is gondolkodni, akkor mindegyik nagy gyártó (CheckPoint, Fortigate) eszköze működni fog, de lehet, hogy kevesebbe kerül a megvalósítása.
Alap már mindenkinél az, hogy nem elég eszközt vásárolni, hanem szükséges valamilyen előfizetést (subscription), amivel kapsz garanciát az eszközre, és eléred a szoftverfrissítéseket, és szerintem ezen lehet inkább spórolni.
(tegyük hozzá, hogy a CISCO de facto sok helyen standard, és nem szeretik, amikor egy "idegen" gyártó eszköze jelenik meg a hálózaton)
A CheckPoint SPLAT- után a Fortigate megváltás volt évekkel ezelőtt. Szerencsére a SPLAT már EoL :)
Checkpoint? A Checkpoint Quantum Maestro és Harmony Endpoint hallatán hidegrázás kerülget - főleg az utóbbitól. Brrrr....
Sajnos mindegyik gyártó, mindegyik termékének megvannak a maga bugjai. Amik sokszor javítatlanok maradnak. A kérdés, hogy a cég, az üzemeltetők mihez "szoktak már hozzá". Tapasztalatom alapján.
Használtok Maestrot? Privátban írhatnál tapasztalatokat, illetve érdekelne, hogy mekkora hardverek vannak rákötve.
Nicknevem+gmail címre tudsz írni.
Írok én publikusan is. Semmi olyat nem fogok elárulni, ami akár a céget veszélyeztetni, akár IT biztonsági szempontból kritikus lenne.
Nemrégiben dolgoztam egy cégnél pár hónapig. Ott használtak Maestrot HA-ban. 6xxx-s modell volt, ha jól emlékszem. Alapvetően elég jól, megbízhatóan működött. Sok feature be volt rajta kapcsolva (NGFW): VPN koncentrátor, L3-L7 tűzfal, vírusszűrés, spam és phising védelem, IA kliens. Na, az IA kliens tudott bekavarni nagyon csúnyán. Nagyon nem volt mindegy, hogy milyen IA verzió fut, milyen OS-n és ehhez milyen Maestro sw verzió tartozik. 99 %-ban jól működött Windowson, MacOS-n és Linuxon is. Belső teszteknél előfordult, hogy picit el kellett térni a CP kompabilitási mátrixától. Persze Cisconál is előfordulnak hasonló jelenségek.
Szerencsére én nem piszkáltam a Maestrot. Konfigját olvastam, logokban kerestem. A logok átnyálazása, bennük való keresés tipikusan lassú tudott lenni: zéró visszajelzés, hogy talált valamit vagy lefagyott a felület. Nem szabadott kapkodni.
Amivel többet foglalkoztam, az a Harmony Endpoint. Szépen össze lehetett drótozni a Maestro+IA klienssel, így elég szép végpontvédelmet lehetett megvalósítani + policyk enforcolása - pl: USB meghajtók letiltása; csak bizonyos személyek tudták az előre meghatározott USB pendrive-okat használni stb. Természetesen voltak user és gép szintű policyk is.
Csak sajnos akkor nagyon látszott, hogy a Harmony Endpoint még fejlesztési fázisban volt. CP persze nyomta, hogy milyen jó, de a valóságban derültek ki scenáriók, amik nem működtek. Folyamatosan nyálaztam a changelogot, hogy érdemes-e frissíteni vagy sem.
A legcikibb az volt, amikor találtam egy elég komoly bugot az Endpointban. Először mindenki húzta a száját, hogy kizárt, hogy ilyen bug előfordulna. Aztán prezentáltam. El is jutottam egy kanadai mérnökig. Egy Harmony Endpoint frissítéssel sikerült a bugot megszüntetni - valszeg más is jelezte feléjük az issue-t.
A HEP telepítése is megért egy misét. Könnyen ki lehetett nyírni / megszakítani / végtelen ciklusba kergetni a folyamatot, ha a user türelmetlen volt. Türelmetlen: fél órán át nem történt semmi a kliens gépen látszólag. Policyknál is figyelni kellett, hogy milyen telepítőcsomagot küld ki az ember.
2 verzió:
- Kimegy a full csomag, majd a policy-k frissítése után leszedi, ami nem kell. Ez csúnya dolgokat tudott művelni.
- Kimegy a legalapabb basic csomag, majd a policy feltelepíti a szükséges komponenseket. Ez stabilan és kiszámíthatóan működött, csak kellett hozzá +1-2 restart.
Ha érdekel, akkor privátban tudok adni elérhetőséget, akiktől kérdezhetsz (magyar rendszerintegrátor cég, CP-vel is foglalkoznak).
Harmony nálunk tervben sincs, szóval az nem érdekes, viszont mivel a CP időnként komoly kihívásokkal küzd teljesítmény terén, így merült fel a Maestro. Az aktuális OS illetve a Maestro ilyen jellegű korlátaitól tartok egy kicsit (nem csak én). Várhatóan én már nem (vagy nem sokat) fogok vele foglalkozni, még ha be is szerzik, de azért érdekel a dolog. Annyira viszont nem, hogy még egy integrátor felé is puhatolózzak, szóval köszönöm, de nem kérek kontktot.
senki nem említette ezt a márkát:
SonicWall - én ezt használok pár helyen.
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
+1 erre is. Igazán jó megoldás és ár érték aranyba főleg.
Ilyet (OPNsense appliance) használ valaki komolyabb környezetben?
A DEC4240 / DEC4280 már elég komoly cuccnak néz ki.
DEC2685-ös van egy, kb. 8 hónapja. 60+ fős iroda, 2xWAN, OpenVPN, Unbound, CrowsSEC, etc. Cisco 5506-X-et váltott, problémamentes eddig.
Az a kérdés, hogy az S2S VPN-ek túlsó végein mik a jellemző eszközök, mert azokkal "működni" kell, nem elég "kompatibilis"-nek lenni - láttam már nagyon vegyes környezetben mágikus hibát hajkurászó kollégát rövid idő alatt nagyon kedves dolgokat motyogni az xyz termék fejlesztőinek családjára,felmenőire és egyéb viselt dolgaira vonatkozóan... Más esetben "csak" a lakonikus "benzin, gyufa" hangzott el...
Manapság szerintem, hacsak nem 1-2 óriás partner van, ahol a Cisco mondjuk becsípődés, akkor elég vegyes lehet. Partnernél Palo van már, és nemrég kellett két S2S VPN. Az egyik végpont Oracle Cloud, a másik pedig Fortinet, hogy ha jól sejtem. Simán felépültek, és mennek a VPN-ek, folyamatos forgalom van vele. Azt gondolom, hogy nagyobb nevet érdemes azért választani, mert talán van esély, hogy tesztelték az interakciót a többi hasonlóval.
Palo Alto esetében nem nagyon tudok olyan partnerről, ahol gond lett volna a VPN felépítésével, pedig jó néhány van.