Cisco ASA 5505 cseréje - tippek?

Nálunk csak Cisco van de már nem sokáig. A Cisco minden újabb terméke valami beta forever hulladék lett anomáliák sokaságával túlárazva opensource alapokra építve. 

Nekem nem tunik ugy mintha a palo mas arsavban mozogna mint a forti.

Ezt a gyártót az usa-ban nyomatják nagyon, azon kívül még egyik multinál se láttam használni amelyiknek tudomásom volt a daracenter infrastrukturájáról. Fortinet-et  Checkpoint-ot már inkább.

+1 a sophosra. Igazán jó és stabil valamint home verzió 50 kezelt ip címig teljesen ingyenes minden funkcióval együtt. 

A processzorát. Nem az elméleti maximumról beszélek, hanem normál felhasználásról, miután nyilván gigás porttal vetted. Ha kihajtod, akkor ott vagy rossz a konfig, vagy rosszul választottál.

Azért léteznek 100-as porttal eszközök még, bár valszin már kihalóban, mert az USA piacon simán előfordulhat, hogy minimális a rendelkezésre álló sávszél, és akkor tessék itt van. Ez a gigabit minden bokorban, sőt lakossági 2G, meg mittom, ez erősen hazai trúváj, még tőlünk nyugatabbra is pislognak néha, hogy több van, mint DSL, az amcsiknál pedig hát vannak "a galaxy far far away" kategóriás helyek, legalábbis hálózatban. A másik, hogy ha technikailag van is erősebb sávszél, akkor kifizetni nem biztos, hogy van kedved.

Írok én publikusan is. Semmi olyat nem fogok elárulni, ami akár a céget veszélyeztetni, akár IT biztonsági szempontból kritikus lenne.

Nemrégiben dolgoztam egy cégnél pár hónapig. Ott használtak Maestrot HA-ban. 6xxx-s modell volt, ha jól emlékszem. Alapvetően elég jól, megbízhatóan működött. Sok feature be volt rajta kapcsolva (NGFW): VPN koncentrátor, L3-L7 tűzfal, vírusszűrés, spam és phising védelem, IA kliens. Na, az IA kliens tudott bekavarni nagyon csúnyán. Nagyon nem volt mindegy, hogy milyen IA verzió fut, milyen OS-n és ehhez milyen Maestro sw verzió tartozik. 99 %-ban jól működött Windowson, MacOS-n és Linuxon is. Belső teszteknél előfordult, hogy picit el kellett térni a CP kompabilitási mátrixától. Persze Cisconál is előfordulnak hasonló jelenségek.
Szerencsére én nem piszkáltam a Maestrot. Konfigját olvastam, logokban kerestem. A logok átnyálazása, bennük való keresés tipikusan lassú tudott lenni: zéró visszajelzés, hogy talált valamit vagy lefagyott a felület. Nem szabadott kapkodni.

Amivel többet foglalkoztam, az a Harmony Endpoint. Szépen össze lehetett drótozni a Maestro+IA klienssel, így elég szép végpontvédelmet lehetett megvalósítani + policyk enforcolása - pl: USB meghajtók letiltása; csak bizonyos személyek tudták az előre meghatározott USB pendrive-okat használni stb. Természetesen voltak user és gép szintű policyk is.
Csak sajnos akkor nagyon látszott, hogy a Harmony Endpoint még fejlesztési fázisban volt. CP persze nyomta, hogy milyen jó, de a valóságban derültek ki scenáriók, amik nem működtek. Folyamatosan nyálaztam a changelogot, hogy érdemes-e frissíteni vagy sem.
A legcikibb az volt, amikor találtam egy elég komoly bugot az Endpointban. Először mindenki húzta a száját, hogy kizárt, hogy ilyen bug előfordulna. Aztán prezentáltam. El is jutottam egy kanadai mérnökig. Egy Harmony Endpoint frissítéssel sikerült a bugot megszüntetni - valszeg más is jelezte feléjük az issue-t.
A HEP telepítése is megért egy misét. Könnyen ki lehetett nyírni / megszakítani / végtelen ciklusba kergetni a folyamatot, ha a user türelmetlen volt. Türelmetlen: fél órán át nem történt semmi a kliens gépen látszólag. Policyknál is figyelni kellett, hogy milyen telepítőcsomagot küld ki az ember.
2 verzió:
- Kimegy a full csomag, majd a policy-k frissítése után leszedi, ami nem kell. Ez csúnya dolgokat tudott művelni.
- Kimegy a legalapabb basic csomag, majd a policy feltelepíti a szükséges komponenseket. Ez stabilan és kiszámíthatóan működött, csak kellett hozzá +1-2 restart.

Ha érdekel, akkor privátban tudok adni elérhetőséget, akiktől kérdezhetsz (magyar rendszerintegrátor cég, CP-vel is foglalkoznak).