Cisco ASA 5505 cseréje - tippek?

Sziasztok!

Van egy Cisco ASA 5505 tűzfalunk, ami mostanra elég elavult, és az ASA 9.2-nél nem is tudom magasabb verzióra frissíteni, ami már szintén nem támogatott.

Egy szó, mint száz, javaslatokat kérnék, hogy mire cseréljük? (Leginkább Cisco vonalon maradnék.)

Jellemzően site-to-site vpn megy rajta.

 

Köszönöm a javaslatokat

Hozzászólások

Mondjuk ha váltani  "kell" az ASA-ról az FTD+FDM(vagy FMC) vonalra akkor én nem vennék Cisco firewall eszközt.

Nagyon nincs az még "kész". Persze ha az advanced (előfizetéses ) malware/threat/ips stb cuccokat használni is akarod akkor kénytelen vagy FTD imageval menni,de akkor inkább veszek egy "rendes" Palo Alto tűzfalat.

Melyik tűzfal az mostanában aminek nem Linux fut a control plane-jén?

Amiket én ismerek:

Forti-> Linux

Palo -> Linux

Cisco -> Linux (Itt az FTD-ben az IPS-t stb végző cucc az a Snort, de ugye a Cisco azt megvette, meg nyilván kérdés hogy mennyi modifikáció van az open source-hoz képest benne. De igazából a ruleset a lényeg úgyis. A WSA cuccokban meg Squid fut.)

Checkpoint -> Linux

Juniper -> FreeBSD (Well.. Újabban az (csak a high end?) SRX-eken egy Linux/KVM alapú hypervisor bootolja a FreeBSD image-t amiben aztán jailben futnak a szolgáltatások)

F5 -> Linux

 

És egy kis magyar vonakozás is syslog-ng a logging démon a Palo, Cisco (FTD), F5 cuccokon.

Szerkesztve: 2023. 11. 17., p – 15:28

Köszönöm az eddigi tippeket!

A FortiGate-et nem ismerem, Cisco-val már dolgoztam és a switchek is jellemzően Cisco-k.

Szóval inkább a Cisco FirePower 1010 eddig.

Van olyan tényező, ami a FortiGate mellett szól? (Az árát leszámítva, mert úgy látom, hogy árban jobb, mint a Cisco.)

Nekem azért tetszik, mert logikusan felépített, áttekinthető webes kezelőfelülete van. A FortiClient VPN is jól működik. Nekem gondjaim voltak pl. a Cisco Anyconnecttel.

Van még a Meraki MX sorozat, de annak rendszeresen meg kell újítani a licenszét, ami nem kis pénz.

Sophos-szal is dolgoztam, bár elismerem, hogy nem nagyon van elterjedve. Én Forti-t vennék, ha nekem kellene dönteni. S2S VPN, L2 VPN, Remote access VPN korrekt és egyszerű konfigurálni rajta.

Mondom ezt úgy, hogy dolgoztam ASA-val, Firepowerrel is. Cisco-nak a router és switch vonal inkább az erőssége.

Szerintem hatalmas hátránya a Cisco Firepowernek hogy bármilyen konfig change után pár perc homokóra amíg deployolódik. Próbálj meg egy nemtriviális hibát kidebuggolni így... És néha egyszerű dolgokért is izzadni kell, például NAT reflection... DHCP szerver egy csomó ideig nem is volt benne, talán most már van... De persze ne akarjál fix MAC-IP párokat allokálni! 20 éve a sulinet expresszes otthoni routerem tudta ezt...

Ezt a Cisco csőlátást pl. valamilyen teszt eszköz kérésével, bemutatóval ilyesmivel kezelhetnéd. Jóval értelmesebb ár-érték arányú történetek hozhatóak össze, ha nem vagy adott gyártóba teljesen beleszerelmesedve. Érdemes review-knak, értékelésnek utána nézni, hogy mennyire vált be.

A Fortinetnek a HRP a hazai képviselete, bár valszin viszonteladón keresztül tudod megvenni, de elvileg van általában teszt meg garinál csereeszköz. Egy partnernél Palo lett, bár még új, és még szállító menedzseli, de "so far so good". A másik versenyző a Fortinet volt, és valójában a beszállítón múlt, hogy "központilag" Palo-t virtuálisan tudnak adni szolgáltatás szerűen.

Azért azt tudni kell, hogy az amcsi léptékre tervezett cuccokat igen nehéz itthon kihajtani. Ez jelent egyben árazást is, nem szívbajosak, másrészt simán előfordulhat 100Mbit/sec-es WAN portos eszköz... :)

A processzorát. Nem az elméleti maximumról beszélek, hanem normál felhasználásról, miután nyilván gigás porttal vetted. Ha kihajtod, akkor ott vagy rossz a konfig, vagy rosszul választottál.

Azért léteznek 100-as porttal eszközök még, bár valszin már kihalóban, mert az USA piacon simán előfordulhat, hogy minimális a rendelkezésre álló sávszél, és akkor tessék itt van. Ez a gigabit minden bokorban, sőt lakossági 2G, meg mittom, ez erősen hazai trúváj, még tőlünk nyugatabbra is pislognak néha, hogy több van, mint DSL, az amcsiknál pedig hát vannak "a galaxy far far away" kategóriás helyek, legalábbis hálózatban. A másik, hogy ha technikailag van is erősebb sávszél, akkor kifizetni nem biztos, hogy van kedved.

Igazából, ha a CISCO felé húzol (eddig is ez volt), akkor mindegy, hogy mit mondunk, mert már eldöntötted. 

Ha viszont van lehetőséged másban is gondolkodni, akkor mindegyik nagy gyártó (CheckPoint, Fortigate) eszköze működni fog, de lehet, hogy kevesebbe kerül a megvalósítása.

Alap már mindenkinél az, hogy nem elég eszközt vásárolni, hanem szükséges valamilyen előfizetést (subscription), amivel kapsz garanciát az eszközre, és eléred a szoftverfrissítéseket, és szerintem ezen lehet inkább spórolni. 

(tegyük hozzá, hogy a CISCO de facto sok helyen standard, és nem szeretik, amikor egy "idegen" gyártó eszköze jelenik meg a hálózaton)

Checkpoint? A Checkpoint Quantum Maestro és Harmony Endpoint hallatán hidegrázás kerülget - főleg az utóbbitól. Brrrr....

Sajnos mindegyik gyártó, mindegyik termékének megvannak a maga bugjai. Amik sokszor javítatlanok maradnak. A kérdés, hogy a cég, az üzemeltetők mihez "szoktak már hozzá". Tapasztalatom alapján.

Írok én publikusan is. Semmi olyat nem fogok elárulni, ami akár a céget veszélyeztetni, akár IT biztonsági szempontból kritikus lenne.

Nemrégiben dolgoztam egy cégnél pár hónapig. Ott használtak Maestrot HA-ban. 6xxx-s modell volt, ha jól emlékszem. Alapvetően elég jól, megbízhatóan működött. Sok feature be volt rajta kapcsolva (NGFW): VPN koncentrátor, L3-L7 tűzfal, vírusszűrés, spam és phising védelem, IA kliens. Na, az IA kliens tudott bekavarni nagyon csúnyán. Nagyon nem volt mindegy, hogy milyen IA verzió fut, milyen OS-n és ehhez milyen Maestro sw verzió tartozik. 99 %-ban jól működött Windowson, MacOS-n és Linuxon is. Belső teszteknél előfordult, hogy picit el kellett térni a CP kompabilitási mátrixától. Persze Cisconál is előfordulnak hasonló jelenségek.
Szerencsére én nem piszkáltam a Maestrot. Konfigját olvastam, logokban kerestem. A logok átnyálazása, bennük való keresés tipikusan lassú tudott lenni: zéró visszajelzés, hogy talált valamit vagy lefagyott a felület. Nem szabadott kapkodni.

Amivel többet foglalkoztam, az a Harmony Endpoint. Szépen össze lehetett drótozni a Maestro+IA klienssel, így elég szép végpontvédelmet lehetett megvalósítani + policyk enforcolása - pl: USB meghajtók letiltása; csak bizonyos személyek tudták az előre meghatározott USB pendrive-okat használni stb. Természetesen voltak user és gép szintű policyk is.
Csak sajnos akkor nagyon látszott, hogy a Harmony Endpoint még fejlesztési fázisban volt. CP persze nyomta, hogy milyen jó, de a valóságban derültek ki scenáriók, amik nem működtek. Folyamatosan nyálaztam a changelogot, hogy érdemes-e frissíteni vagy sem.
A legcikibb az volt, amikor találtam egy elég komoly bugot az Endpointban. Először mindenki húzta a száját, hogy kizárt, hogy ilyen bug előfordulna. Aztán prezentáltam. El is jutottam egy kanadai mérnökig. Egy Harmony Endpoint frissítéssel sikerült a bugot megszüntetni - valszeg más is jelezte feléjük az issue-t.
A HEP telepítése is megért egy misét. Könnyen ki lehetett nyírni / megszakítani / végtelen ciklusba kergetni a folyamatot, ha a user türelmetlen volt. Türelmetlen: fél órán át nem történt semmi a kliens gépen látszólag. Policyknál is figyelni kellett, hogy milyen telepítőcsomagot küld ki az ember.
2 verzió:
- Kimegy a full csomag, majd a policy-k frissítése után leszedi, ami nem kell. Ez csúnya dolgokat tudott művelni.
- Kimegy a legalapabb basic csomag, majd a policy feltelepíti a szükséges komponenseket. Ez stabilan és kiszámíthatóan működött, csak kellett hozzá +1-2 restart.

Ha érdekel, akkor privátban tudok adni elérhetőséget, akiktől kérdezhetsz (magyar rendszerintegrátor cég, CP-vel is foglalkoznak).

Harmony nálunk tervben sincs, szóval az nem érdekes, viszont mivel a CP időnként komoly kihívásokkal küzd teljesítmény terén, így merült fel a Maestro. Az aktuális OS illetve a Maestro ilyen jellegű korlátaitól tartok egy kicsit (nem csak én). Várhatóan én már nem (vagy nem sokat) fogok vele foglalkozni, még ha be is szerzik, de azért érdekel a dolog. Annyira viszont nem, hogy még egy integrátor felé is puhatolózzak, szóval köszönöm, de nem kérek kontktot.

senki nem említette ezt a márkát:

SonicWall - én ezt használok pár helyen.

For Whites Only meeting room!

Az a kérdés, hogy az S2S VPN-ek túlsó végein mik a jellemző eszközök, mert azokkal "működni" kell, nem elég "kompatibilis"-nek lenni - láttam már nagyon vegyes környezetben mágikus hibát hajkurászó kollégát rövid idő alatt nagyon kedves dolgokat motyogni az xyz termék fejlesztőinek családjára,felmenőire és egyéb viselt dolgaira vonatkozóan... Más esetben "csak" a lakonikus "benzin, gyufa" hangzott el...

Manapság szerintem, hacsak nem 1-2 óriás partner van, ahol a Cisco mondjuk becsípődés, akkor elég vegyes lehet. Partnernél Palo van már, és nemrég kellett két S2S VPN. Az egyik végpont Oracle Cloud, a másik pedig Fortinet, hogy ha jól sejtem. Simán felépültek, és mennek a VPN-ek, folyamatos forgalom van vele. Azt gondolom, hogy nagyobb nevet érdemes azért választani, mert talán van esély, hogy tesztelték az interakciót a többi hasonlóval.