Biztonsági kérdések

Microsoft Windows

Sziasztok!

A segítségetek szeretném kérni... Tudom, nem egy UNIX-os oldalra illő téma, de bízok a széleskörű tudásotokban... Megkérdeztem másik fórumon is, de nem sok válasz jött. Nagyon kezd ellaposodni. Minden második téma ugyanarról szól, hiába van már a róla X nyitott téma, megkérdezik X+1-re is.... Emelett persze ilyen "Tud valaki crack-et?" vagy "Hol tudom letölteni?" című kérdések... Na mind1, nem ezt akarom firtatni.

Tehát: Van (egyenlőre még csak tervbe) 3 Win 2k3 server... Vállalati környezet, Vistás kliensek, kb. 100 db. A szerverek főbb feladatai: 1, proxy ; 2, mail szerver ; 3, web szerver. Persze az egész AD-ban, és még ilyen "apróbb" dolgok, mint WSUS, PXE, DHCP, VPN szerver... De most ez nem lényeges szempont.

Amik kellenének: Tűzfal, víruskereső, spamszűrő.

Az egész mindenség előtt lesz egy Cisco PIX, tehát a jó részét a külsö forgalomnak/támadásoknak megfogja.

A proxy server ISA, tehát ennek a gépnek nincs tűzfal gondja. Víruskereső kell rá. Amit én ismerek, Norton Anti Virus. Nagyon jó tényleg, de felzabál minden erőforrást, belassul tőle a gép nagyon. Bár egyesek szerint a 2007 már nem annyira... Személy szerint a kis NOD32-vel nagyon elégedett vagyok, de nem tudom, hogy ez vállalati környezetbe mennyire megfelelő/elfogadható.

A mail szerver exchange lesz (tervek szerint), erre kellene valami spamszűrő, de fogalmam sincs, hogy milyen spamszűrők vannak egyáltalán... Eddig ezt ajánlották: http://assp.sourceforge.net/ Nem ismerem... És ugyebár erre is kell tűzfal + víruskereső.

A webszerverre szintén tűzfal+víruskereső.

És még a Vistás kliensekre is kell... Tűzfalnak mondtak Comodo-t, ingyenes cégek számára is, és elég jól szerepel a tűzfaltesztekben, viszont nem telepíthető Vistára.

Huhh.. Szóval ilyen témakörbe kérném a segítséget: víruskereső és tűzfal windows platformon, kliens és szerver oldalo egyaránt. A leginkább olyanokat várnék, akik tapasztalatból tudják, hogy egy adott progi miért jó vagy nem jó. Persze minden hozzászólás szívesen fogadok!

Üdv!

[szerk] Van még ugyebár a McAfee VirusScan, amiről nem sokat hallani mostanába... Pedig régen nagy neve volt...

És itt egy kép (nemröhög) vázlatosan a dologról: http://kepfeltoltes.hu/view/071021/sablon_www.kepfeltoltes.hu_.jpg
Felül nem direktbe mennek a netre, ott lesz még a PIX.

  • 3310 megtekintés

( turul16 v | 2007. 10. 21., v – 18:12 )

Es, ha XP-t hasznalsz Vista helyett ?

Az a baj, hogy a megrendelő elvárja, hogy "modern" oprendszerrel és szoftverekkel oldjuk meg... Vagyis Vista + Office 2007 :S

Egyébként nekem is az volt az első gondolatom, nehogy azt hidd... :D

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

( Hunger | 2007. 10. 21., v – 18:40 )

És itt egy kép (nemröhög) vázlatosan a dologról: http://kepfeltoltes.hu/view/071021/sablon_www.kepfeltoltes.hu_.jpg

:)))))))))))))))))

Ok, sorry, de ez a kép nagyon ütött... :P

Nah:

1. Milyen Cisco PIX pontosan? Csak mert ha 501, akkor nem lehet DMZ-ben gondolkozni, ha nagyobb, akkor igen (márpedig DMZ eléggé jól jönne)
2. Ez lenne a teljes céges hálózat vagy ezek csak az új, beüzemelésre váró szerverek?
3. Miért akarsz külön tűzfalat telepíteni a Vistás kliensekre? A benne lévő Windows firewall miért nem jó?

Egyébként a NOD32 teljesen jól működik vállalati környezetben is, saját tapasztalat. A spam szűrésen pedig nem biztos, hogy érdemes spórolni... :)

Na ja, minden vagyok, csak nem grafikus... :D

A PIX pontos típusát nem tudom, a háló fizikai tervéért nem én felelek... Az én részem a hardver a gépek szempontjából, valamint a szoftverek és szerverkonfig. És még nem sokat tudok arról, hogy a kollega mit tervez, csak annyit, hogy PIX.

Ez egy teljesen új cégnél egy "induló", első és eddig egyetlen hálózat.

Windows tűzfal: Hát.... Nem tudom. Úgy gondoltam, hogy jobb lenne egy külön progi. De ha nem találok tűzfalat, akkor lehet marad a Windowsé.

Nem akarok spórolni a spamszűrésen. de mint mondtam, nem ismerem a lehetőségeket, ezt ajánlották eddig.

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

A PIX változatnak akkor mindenképp kérdezz utána, mert fontos, hogy legalább 515-ös legyen, amelyik támogat DMZ-t és lehet fejleszteni (további DMZ portokkal, memóriával bővíthető, failover-be köthető későbbiekben egy másikkal, stb.)

A webszervert minimum DMZ-be illene rakni, ha internet felé szolgáltat, nem csak az intranet számára. A mail szerver sem egy életbiztosítás, ha a belső hálózatban van és közvetlenül ő fogadja a leveleket. Célszerű a DMZ-ben egy jól lebiztosított mail relay beállítása, amely semmi mást nem csinál, csak a belső mail szerverrel tartja a kapcsolatot és küldi-fogadja a leveleket az internetől.

A Windows tűzfalat sokan lenézik, pedig a Vistában lévő megoldás rengeteg mindent tud (ki-be menő forgalmak szűrése alkalmazás szinten, protokoll és titkosítások ismerete és szabályozása, group policy-ből együttes és könnyű menedzselhetőség, stb.) és sokkal biztonságosabb, mint a közvéleményben általában emlegetett megoldások (ZoneAlarm és hasonlókat azonnal tessék elfelejteni). A Comodo még viszonylag tűrhető ezek közül, azonban az sem céges környezetbe ajánlott, hanem szintén csak otthonra (nem véletlenül írja a gyártó is, hogy "Personal Firewall").

Spam szűrésre van jópár megoldás, igazából leginkább csak a cég pénztárcáján múlik, hogy melyiket választja. Én nem akarom egyiket sem ajánlani, de általánosan elmondható, hogy az a jobb választás, amelyik több féle spam és vírus kereső motorral van felszerelve és képes integrálódni az exchangel a lehető legjobb mértékben.

Akár a windows alap mail szerverét, akár az exchange-t rá lehet venni valahogy, hogy relay-ként működjön?

Lassan úgy érzem kevés lesz a három szerver. A legjobban leterhelve a proxy és a WSUS lesz (A WSUS-t úgy gondoltam, hogy a mail szerverre teszem... Próbáltam elosztani a terhelést... De lehet, hogy a WSUS+PXE-nek célszerű lenne betenni még 1-et...)
--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

Az SMTP és az "összes többi" forgalom szétosztása a két netkapcsolatra sima ügy, ezt egy okosabb routerrel meg lehet oldani, ergo a két drót mehet a pixbe. DMZ azért, mert oda illik rakni a spamszűrőt, így az SMTP-forgalmat direktben nem kell beengedni a védett belső hálózatra: a spamfilter egyben alkalmazásszintű átjáróként funkcionál. Javasolt kifelé is átfolyatni valakin a leveleket, hogy az Exchange-re oly jellemző fejléceket kiganézza a kimenő levelekből.

Ha van olyan alkalmazás, amit VPN-ről el kell érni, akkor azt célszerűen egy, a DMZ-ben elhelyezett terminálszerverről (vpn-ből csak az érhető el) illik engedni, így a vpn-en bejövő gépekkel szemben csak ezt az egy szervert kell védeni. Stb, lehet még ragozni...

A kimenő smtp és az összes többi forgalom szétválasztásához még pix sem kell, sima PBR (policy-based routing) elég hozzá.

Ahogy nézem, a PBR-t meg az alapvető szűréseket a PIX megcsinálhatja, akár keresztkábellel rá a forgalom az ISA külső lábára, ISA egyik lábán DMZ (akár egy másik keresztkábel, aminek a végén ott a spamszűrő) spamszűrővel, ISA harmadik lábán meg a belső hálózat, a többi lábat meg későbbiekre fenntartani.

( ricsip v | 2007. 10. 21., v – 20:13 )

OFF: Ezen ábra láttán minden -valaha is visio-t tervezésre használó- userben megpattan vmi :D :D

Persze nem fikázni akartam...

( sj | 2007. 10. 21., v – 20:43 )

Az assp egy perl nyelven irt statisztikai (Bayes-i) szuro. Elinditva raul a 25-os portra, o fogadja a leveleket, majd tovabbitja a belso mail szerver fele.

Kiprobalhatod meg a GFI MailEssentials nevi cuccot, ami kifejezetten exchange-hez van (szinten statisztikai szuro).

Ha belefer a budzsebe egy 60-70k HUF-os gep, akkor epithetsz belole egy Linux-os appliance-ot open source spamszurovel es antivirus cuccal (clamav), ami az assp-hez hasonloan tovabbitja a leveleket feldolgozas utan az exchange-re. Egy ilyen osszeallitasaban tudok segiteni.

De talalsz meg itt is antispam+antivirus termeket: http://yellowcube.hu/spamszurok/

PS: a rajzod nagyon ari (ugy ertem, sokat sebez :-)))))

ASK Me No Questions, I'll Tell You No Lies

Sajnos linuxos gép/szerver nem igen jühet szóba... Ragaszkodnak az MS termékekhez. Máskülönben nekem is az volt az első reakció, hogy ha mást nem is, a proxy-t, a mail és s webszervert linuxokkal kellene megoldani. De sajnos ez kilőve... Pedig a Squid és ISA közötti külömbség ég és föld. Kis házi tesztet csináltam: asztali gépemre (alul a konfig) win2k3 enterprise + isa 2004... Meg itt van az asztal alatt az én kis szerverem (ami amúgy is proxy nekem itthonra), amit most épp rugdosok :D, 433-as cerka, 160MB ram, suse 9.3, squid 2.5. Kliens egy volt: a laptopom. Hát ez a kis vacak gép megszégyenítete az ISA-t... Sokkal jobban pörög. (Hozzáteszem: a win servernek és az isa-nak is minden defaulton volt, épp csak a külsö-belső interfész állítottam be, meg 1-2 rule-t, tehát finomhangolással még ki lehet belőle csikarni egy kis teljesítményt...) De akkor is érezhetően gyorsabb volt a squid. De hát ez van, most windows-zal kell megoldani.

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

Korábban Sybari antispamet használtunk (felvásárolta a Microsoft őket, ha már ragaszkodik a vevő a Microsoft megoldásokhoz! :), nagyon jó volt. Most Ninját használunk: szűrésügyileg közelébe sem jön a Sybarinak. Jóval több spamet enged át, és szerintem jelentéskészítésben is gyengébb.

az assp egy mail proxy. nem feltetlenul a 25-os portra ul, szabadon allithato ; tovabba mar lattam 2k3 szerveren futni ; talan nemveletlenul van a konfigjaban a "run as windows service"
see :
http://www.eukom.hu/fgc/kepek/assp.jpg

talan az ecceru bayes szuresnel azert tobbet is tud, nezzuk csak meg a menut ott oldalt. (na jo nincs kibontva, de akkor meg nemferne oda :D )
alairom, perl kell hozza, es az meg nem ms termek.

( Todvard | 2007. 10. 21., v – 21:28 )

Mi McAfee VirusScan Enterprise-t használunk, rakhato ra opcionalisan Spyware szuro, kozponti felugyelet (EPO), szerverre es kliensre is telepitheto, stb. Az eroforras igenye elviselheto, de a NOD talan valamivel gyorsabb, szolgaltatasaiban kb egy szinten vannak, de IMHO a McAfee inkabb enterprise ready, mint a NOD.
Kliensekre en sem raknek tuzfalat, annak akkor van talan egyedul ertelme, ha a belso halozatra kerulhet be idegen, nem felugyelt gep.
A mail szervert en kette szednem, Exchange belso halora mailboxok tarolasara, DMZ-be egy masik mail szerver spam-et es virust szurni. Spamszuro spamassassin, viruskereso barmi, amit egy postfixra ra tudsz tenni (vagy alternativ megoldas penzeseknek: kivulre egy specialis mail szerver mail fogadasra es spam szuresre, mint pld: SurfControl, Brightmail, Barracuda, stb..)
Szoval: DHCP, WSUS, PXE, Exchange - ezeket en a belso halozatra raknam; webszervert es mail proxy DMZ-be.
Amit meg csinalnek: biztos, hogy belso halorol csak proxyn keresztul engednem ki a klienseket, AD group policyval csak komplex jelszot engedelyeznek, jelszovaltoztatast kotelezove tennem 1-2 havonta, az elozo 5-6 jelszo hasznalatat nem engedelyeznem, ha van wireless azt teljesen elszeparalnam a belso halotol, stb stb.. group policyval eyebkent sok mindent meg lehet meg tenni.

Azt hiszem a víruskeresők csatáját egy teszt fogja eldönteni... Itthon a teszt szervert leterhelem, és megnézem melyik mennyire fogja megenni a procit és a ramot....

Kerülhet be "idegen", mert lesz VPN is... Meg wifi is a laptopok/pda-k miatt. Persze nem idegenek, ott dolgoznak, de pl. behozzák a laptopot, vagy otthonról belépnek VPN-en...

Mint fentebb írtam, csak windows serveren vannak a buliba. Így is megéri szétszedni?

Csak proxyn keresztül mennek ki a userek. :) Ezért van. A jelszóváltási intervallum egyenlőre részletkérdés, hanyagolható, de azért köszi! :)

Külön lesz a wireless mindentől. 3 alhálót tervezünk: 192.168.1.0: vezetékes háló, fix kliensek; 192.168.2.0: wifi (RADIUS hitelesítés AD-ból), 192.168.3.0: IP telefonok (külső cég csinálja)

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

EgyELőre, N nélkül. Köszi. Vírusszűrésnél azt javaslom, hogy a desktop és a szerver más víruskergető terméket használjon, így ha az egyikben van valami sérülékenység, a teljes vírusvédelmi rendszered még nem borítható össze, illetve egy valahogy bejuttatott kártevőt nagy az esélye, hogy legalább az egyik eszközöd fel fog ismerni.

A spam- és vírusszűrésre én fizetős cuccok közül legutóbb a BrightMail-t láttam, ennek van Windows-os meg Linuxos verziója is (ez utóbbi a sendmail milter interfészére épül...). Ezt a szűrést mindenképp meggondolandó dedikált vasra tenni, kiegészítve (Az AD-ből szedve) a címzettek SMTP-időben történő ellenőrzésével.

Esetleg lehetne gondolkodni NAC alkalmazásában is, ekkor az idegen, illetve a nem megfelelően konfigurált/frissített gépek külön vlan-ba kerülnek (gondolom, az "alháló" az ebben az esetben vlan-t jelent), ahol frissíthetik a víruskeresőt, illetve a vendégek számára minimálisan szükséges erőforrásokat érhetik el.

"Vírusszűrésnél azt javaslom, hogy a desktop és a szerver más víruskergető terméket használjon"
+1

Kb ahogy néztem úgy jön ki gazdaságosan, ha klienseken NOD32 fut, szerveren meg kaspersky vírus kergető.. (annak is adj azért egy esélyt :))

Illetve mostmár windows-nál is meggondolnám, hogy nem e akartok ott is vírtualizálni, mivel 1-2 funckiót ott is remekül el lehetne különíteni ( ~jail )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Üllj le és kuss legyen!"..

Gyakorlati tapasztalat:
Az XP a belső hálózaton terjedő mindenféle kártevő ellen egy vírusírtóval jól helytáll, mióta többségében XP-t használunk nem volt olyan gond, hogy egymást ferőzték volna a gépek. Az emberi hüyeség ellen meg semmi nem véd! Néhány hetes példa: MSN-en valami zip-ben egy .jpg.exe kis programocska terjedt nálunk, persze hogy többen is megnyitották, annak ellenére, hogy angolul hívta fel magára figyelmet.
Az "idegen" gépek még mindig mehetnek külön vlan-ba, külön tüzfal beállításokkal...

( hnsz2002 v | 2007. 10. 21., v – 23:46 )

Kinn ugató kutya legyek, de a NAV-nak nincs Windows Serveren futó verziója? :S
Én úgy tudtam, hogy a Symantec Antivirus Corporate Edition kifejezetten vállalati környezetre, szerverekle lett tervezve... Márpedig gugliba beírom, letöltöm a trial, és kiírja, hogy csak Workstation, nem fut server oprendszeren...

[szerk] Most csak annyit írtam be, hogy antivirus for windows server. Találatok első néhány:
F-Secure
Avira

Vélemények, tapasztalatok esetleg?

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

NOD-hoz képest a Symantec Antivirus Corporate Edition egy rakás ***###***. Egyébként rosszul tudod. A Symantec Antivirus Corporate Edition a kliensek védelmét biztosítja központosított módon, persze szerverre is fel lehet tenni. Akkor, ha valaki megérti a működését. Valszeg az én hibám, de nekem nem sikerült, a NOD központi adminja sokkal könnyebben konfigurálható. Symantecről tértünk át NOD-ra, a migrálásnál többször előfordult, hogy a rendszeresn frissített Symantec uninstallálása után a NOD 2-10 kártevőt talált a gépen. Ezen kívül a NOD magyar supportja nagyon jó, többször leveleztem velük.

Mik

Symantec: Nekem sikerült megértenem (örököltem a csomagot, nem én választottam), nincs vele seemmi baj. Barátságtalan, de jól működik. A SyamntecAV belső szerverét én natúr kis XP-n szeretem üzemelteteni, mert akkor saját magán bekapcsolhatok minden paranoiás figyelést, és nem baj, ha nagyon lelassul emiatt: senkit nem zavar.
A kliensek telepítése minden GPO/AD istenharagja nélkül megy központosítottan róla, a csoportok/csoportházirendek kialakítása is remekül megy.

Viszont nem vennék ilyet, ha rajtam múlna. Ha csak a legkommerszebb file-okra (exe, dll, vbs, doc, xls, megmégpár) bekapcsolom az on-access scant, a gépek _iszonaytosan_ sokat lassulnak.

Igen... :P

Bocsi srácok, ha nagy a delay a válaszokban, de el vagyok havazva most (nem csak emiatt), de elolvastam mindent, és válszolni fogok később...
--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

( sj | 2007. 10. 22., h – 17:30 )

Majd a vegen erdekelne, hogy az egesz rendszer megis mennyibe kerult, tokkal vonoval, esetleg reszletes tetelekkel (vas, halozat, programok, licencek, support, betanitas, ...). De csak ha nem titok :-)

ASK Me No Questions, I'll Tell You No Lies

( mazursky | 2007. 10. 24., sze – 10:42 )

Szervusz!

A tűzfalra lenne egy ötletem, bár ez "csak" portszűrő, amennyire én tudom:

www.softperfect.com oldalról a firewall.

Kb egy hétig nem tudtam otthon a router-re kötött nyomtatón nyomtatni, mert ez lefogta az adatforgalmat. Szóval elég stabilnak tartom. Ingyenes, egy próbát megér. Csak ne felejts el a lista utolsó szabályának egy DENY_ALL (minden port, minden hálókari) tiltást, és akkor hatásos.

jó hálózatépítést ;~)

UI: majd figyelgetem a fórumon a végső bekerülési összeget; engem is érdekel a "mennyi?"

( hnsz2002 v | 2007. 10. 30., k – 13:19 )

Na akkor, mint ígértem, a végeredmény, amit kihoztunk belőle nagyvonalakban:

Hálózati eszközök: 


Cisco Catalyst 4948 48 port Switch 	5	8 000,00 USD
Cisco 2851 Router	2	5 000,00 USD
Cisco Catalyst 3560-E 24 port Switch	1	4 500,00 USD
032754 LCS6 fali kábel UTP,LSOH 305m 0,5mm 4x2	24	330,00 USD
51773 LCS6 patch kábel UTP, 2m 	230	8,50 USD
032700 LCS6 24xRJ45,UTP,1U patch panel,komplett	9	195,00 USD
Rackszekrény ESTAP 16U 19" 600x600mm	2	543,00 USD
Fali aljzat CAT6 2*RJ45	120	9,00 USD
APC Smart-UPS 2200VA	1	1 200,00 USD
Cisco ASA 5520	1	5 500,00 USD

Munkaállomás szoftverek: 


Windows Vista x64 HUN (1 éves Open licenc, 100 db)	1	45 630,00 USD
Office 2007 Professional (1 éves Open licenc, 30 db)	1	20 000,00 USD
NOD32	100	65,00 USD
Adobe Photoshop CS3	3	1 200,00 USD
Corel Draw X3	3	800,00 USD
AutoTask 3.73	5	60,00 USD
Everest Corporate Edition	1	100,00 USD
3DMark 2006 Professional	1	500,00 USD
Adobe Dreamweaver CS3	2	735,00 USD
Borland Delphi 2007 Enterprise 	10	2 000,00 USD

Munkaállomás hardver: 


Asus P5B	1	145,00 USD
Intel P-4 2000/800 LGA 775 1MB CORE DUO E2180	1	115,00 USD
DDR-II 512 MB 800 MHz Kingmax	2	25,00 USD
Samsung 80 GB SATA2/7200/8MB/3,5'	1	65,00 USD
GeForce 7300 128 MB PCX	1	60,00 USD
Chiftec SG-01SL-350	1	95,00 USD
17" Samsung 721N LCD 5ms 300cd/m2 800:1	1	288,00 USD
	1	25,00 USD

Szerver szoftver: 


Windows Server 2003 r2 x64 EN (25 user)	3	2 500,00 USD
Windows Server 2003, Client Access License 20-pack	12	800,00 USD
ISA 2004 standard edition	1	1 500,00 USD
Kerio Server Firewall	2	300,00 USD
Exchange 2007 x64 (25 mail fiók)	1	4 300,00 USD
Exchange user license	75	70,00 USD
Ninja spamszűrő (100 mail fiókra)	1	4 200,00 USD
NOD32	3	115,00 USD

Szerver hardver: 


Asus DSBF-D16/SAS	1	660,00 USD
Xeon Dual-Core 2.3Ghz 1.3Ghz FSB 4MB cache	1	600,00 USD
1 GB DDR3 Ram 1333 MHz Corsair Twin3x CL9	8	640,00 USD
IBM 36GB Ultra 160 SCSI LP Ultrastar 10000RPM 36LZX 80PIN 4MB Hard Drive 	5	250,00 USD
Thermaltake W0093RE 500W	1	90,00 USD
Chiftec BA-02B-B	1	65,00 USD
16/8/40/16x Pioneer 212D DVD-writer drive SATA	1	50,00 USD
Adaptec SCSI RAID 3410S	1	915,00 USD
APC Smart-UPS 2200VA	1	1 200,00 USD

Hát, így ez lett a vége, durván 60 millióból jött ki.... :D

Lehet kritizálni, biztos vannak benne dolgok, amik nem jók, rossz párosítások... A végefele már nagyon szorított az idő, sietni kellett.... A beadási határidőn től vagyunk, úgyhogy változtatni már nem tudunk rajta, ha jó tanácsot kapok, max a fejembe próbálom elraktározni. :P

A vége PIX helyett ASA lett, mert rájöttünk, hogy "felesleges" a gigabites hálózat meg a szervernek a majd 4Gbites áteresztőképessége, amikor az egész egy 100Mbit-es PIX-en megy keresztül. És ahogy náztük, nincsen bele gigabites modul.

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

jah. legkozelebb kezdd ugy a kerdest, hogy a "penz nem szamit".
mind1; most legalabb kiszamolhatom, hogy ahol az assp kiszolgal ~900 postafiokot, ott mennyit kerhettem volna el ; meg ott is, ahol csak 3-400 kozott. Ha elfelezem az assp fejlesztokkel, meg akkor is joljartam volna. :D)

Jah, most már ASA-ra érdemes alapozni, ez egyértelmű (egyes változatok most olcsóbbak is, mint a PIX: bevezető ár :). Az első leírásodból azt vettem le, hogy a PIX már meg van, azért nem kezdtem el ASA irányába javaslatokat tenni.

Egyébként a 3DMark miért kell a kliensekre? :)

A szerver szoftver resz kapcsan nem vilagos, hogy

- vajon 3x $2,500-ba (=$7,500) kerul a w2k3 a 3 db szerverre?
- 1 evre kerul a ninja $4,200-ba / 100 user?

Ja, es a jo tanacs?

1. Ha vindozehoz ragaszkodik az ugyfel, legyen a zsebeben sok misi...
2. Keszit(s)unk neked egy szamitast, hogy ugyanezt (na jo, legyen hasonlot) open source cuccokkal megis mennyibol lehetett volna kihozni
3. Az arakat egymas melle tenni, es sokaig nezni....

ASK Me No Questions, I'll Tell You No Lies

Én nem akarom az ms-t védeni, de a photoshop, corel, delphi, stb programok miatt muszáj windowst telepíteni a kliensekre, windows 2003server meg kell az ad miatt. Sokmindent viszont meg lehetett volna oldani open source cuccokkal, de mivel ez egy ms+cisco verseny ezért nem sok esélyük lett volna a továbbjutásra:)

(amúgy szerintem az a csapat fog nyerni amelyik a legdrágább megoldást dolgozza ki:))

Kész gépeket sem szerver sem kliens oldalon nem akartunk venni, mert szvsz ugyanabból a pénzből jobb teljesítményű gépet lehet összerakni, ugyanis sokszor csak az a kis matriát kell megfizetni az eszközökön. Kétségtelen, hogy jók, stabilak, de sztem az asus-ok is nagyon jók.

[szerk] mellesleg sehol nem volt írva, hogy intel/dell/hp támogatná a versenyt :P
--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

Blah, nem egyértelmű tényleg, sorry... Ezt a "költségvetési táblázat"-ból kopiztam ki, egy táblázat oszlopai... :P
Az ár tehát mindig a megnevezésben leírt dolgokra vonatkozik. Az a szám darabszám, ahány kell, a számoláshoz kellett.
Tehát a W2k3 server darabja annyi, a ninja 1 évre 100 userre annyi (így kértem az ajánlatot, így nem tudom mennyi pl. 1 évre 10 user esetén...)

1. Windows-os hálót akart, minőségi, "időtálló" cuccokból, tessék. :)
2. Tudom jól, szivesebben csináltam volna linux-szal, de hát ez van...
3. Sokáig néztük és arra jutottunk, hogy nem nekünk kell kifizetni :)))) [szerk] Amúgy egy akkora vállalatnak, mint az M$ vagy a Cisco sztem nem sok 60 millió egy komplett hálózatra...

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

Most, hogy átolvastam még1* a hozzászolásaimat, még mindig nem egyértelmű... :D
Tehát a 60 millió mint végösszeg forintban értendő, annak ellenére, hogy az árakat USD-ben írtam.

A fent leírt szerverből 3, mind szoftver mind hardver terén. Valamint a leírt kliens konfigból 105 db, a szoftverekkel együtt (bár az sztem kivehető a táblázatból)

:P

--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

Akkor a szerver oldali szoftverek koltsegei igy alakultak:

Windows Server 2003 r2 x64 EN (25 user) 3 * 2 500,00 USD = $7,500
Windows Server 2003, Client Access License 20-pack 12 * 800,00 USD = $9,600
ISA 2004 standard edition 1 * 1 500,00 USD = $1,500
Kerio Server Firewall 2 * 300,00 USD = $600
Exchange 2007 x64 (25 mail fiók) 1 * 4 300,00 USD = $4,300
Exchange user license 75 * 70,00 USD = $5,250
Ninja spamszűrő (100 mail fiókra) 1 * 4 200,00 USD = $4,200
NOD32 3 * 115,00 USD = $345
------------------------------------------------------------------------

Total: $33,295 =~ 6 misi HUF

Jol szamoltam?

ASK Me No Questions, I'll Tell You No Lies

Igen, valójában 4 4948-as kell meg 1 2851, a +1 azért van, mert a követelmény úgy szólt, hogy minden alkatrészből legyen 5% tartalék (PC, hálózati eszközök)... Hát itt az 5% az +1-et jelent...
a 2851 egy 24 portos, ez a szerverek switche, a 2*2 4948-as pedig az IDF/MDF switchei.
--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

( Mac | 2007. 10. 30., k – 13:33 )

Nézd meg vírusra a CA termékeit. Az E-Trust ITM tartalmaz spy szűrőt is, ezen felül 2 kereső motor van benne (én ez egyiket használom real time-ra, a másikat pedig ütemezett vizsgálatra). Tapasztalataim szerint nem terheli a rendszert észrevehetően. Levelezést is tudja szűrni (Exchange, Lotus - én mondjuk Lotus-on használom).

Ja és vállalati, távoli admin, telepítés, deploy, ...

( zolo | 2007. 10. 30., k – 20:18 )

Ha egy nagy aram es gazszolgaltatonal "megteszi" SMTP gatewaynek a linux, akkor gyanitom nalatok is megtenne;)
Hozzateszem, hogy nagy M$ tamogatottsag van a vezetesetol.

nah, ezt sem ide akartam...

( Jason v | 2007. 10. 30., k – 20:37 )

Háénnemtom, de a ugye nem ezek a gépek közül lesz a PDC meg a BDC?

Mert a windows nagyon visít, ha a p/bdc-n fut web meg mail...
Kérdezd erről meg pl a Baseline Security toolt. (2k3 tartozék)

--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.

Tudtommal 2003 szervernél már nincs PDB meg BDC... Az NT4-be volt, 2000 és 2003 szerveren már egyenrangúak a DC-k. (javítsatok, ha rosszul tudom)
--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit

( hnsz2002 v | 2007. 11. 07., sze – 16:35 )

Bejutottunk a középdöntőbe! :D
:örül:
--
OpenSuSE 10.3, Celeron 2,4Ghz, 768MB, 2*160GB IDE Raid0, FX5200, SBLive! E400
OpenSuSE 10.2, Acer Aspire 5020, AMD Turion 64bit @ 1,8Ghz, 1GB, 80GB Toshiba, Mobility Radeon X700 PCI-E 128MB/128bit