gateway soho

[Tasslehoff]

Stiamo per configurare la rete di una nuova sede operativa dove la topologia sarà abbastanza semplice, ma per decisioni del management non ci si vuole sporcare le mani con un semplice gateway basato su linux o bsd, soluzione che abbiamo utilizzato fin'ora.

La topologia prevederà la suddivisione della rete in 3 differenti subnet:
- subnet tecnica con client del personale tecnico, server di sviluppo e dispositivi di vario genere
- subnet commerciale/guest con accesso a web e a pochi dispositivi di uso comune (es stampanti)
- subnet vpn

Viste le necessità stiamo quindi valutando una appliance hardware che agisca da gateway, firewall perimetrale e concentratore vpn.
Non avendo molta familirità con questo genere di dispositivi mi stavo rivolgendo prima di tutto a Cisco con l'ASA 5505, dispositivo carino che però mi sembra troppo castrato da limitazioni legate alle licenze piuttosto che da politiche commerciali esageramente macchinose (in pieno stile Cisco...).

Come alternativa mi stavo informando sui firewall Juniper che non sembrano male, in particolare il modello SSG5, anche se (budget permettendo) anche la serie SRX con Junos OS sembra davvero attraente.

Qualcuno ha esperienza con i prodotti Juniper?
Avete alternative da proporre?

[Gian_Carlo]

Juniper fa prodotti ottimi: penso che ti troverai bene!

[Alfonso78]

Quote:

Originariamente inviato da Tasslehoff

con un semplice gateway basato su linux o bsd, soluzione che abbiamo utilizzato fin'ora.

Curiosità: cosa avete utilizzato fin'ora e cosa avresti voluto utilizzare nella nuova sede come gateway su macchina dedicata?

[Wolfhwk]

Oh grande Tassle,

Juniper fa dei firewall decenti, il resto è da vedere
Hai guardato anche qualcosa di Checkpoint? Preferibile secondo me.
Il Cisco asa non lo prendere, troppo limitato da scelte di...marketing. A meno che non ti orienti verso le serie maggiori dello stesso firewall (con conseguenti costi incrementati notevolmente).


Edit. OMG, i checkpoint costano un' assurdità. Non me li ricordavo così cari.

Vai di Juniper, sono certamente meglio di un Cisco ASA 5505.

[Tasslehoff]

Quote:

Originariamente inviato da Alfonso78

Curiosità: cosa avete utilizzato fin'ora e cosa avresti voluto utilizzare nella nuova sede come gateway su macchina dedicata?

Fin'ora abbiamo utilizzato una soluzione custom nostra con una macchina linux (centos) configurata di tutto punto usando iptables come firewall.
Sicuramente una soluzione più laboriosa però credo molto più flessibile di qualche appliance o distribuzione ad hoc tipo ipcop (o simili).

Ovviamente la macchina in questione non si limitava a questo, faceva un po' di tutto, reverse proxy, proxy socks e http, vpn server ssl, dns interno, webserver, insomma di tutto un po'.
Figurati che fino ad un paio di anni fa girava su un HP Netserver dei bei tempi (Pentium II 233MHz), quando ancora HP faceva server a prova di bomba

Da una parte sono curioso di provare anche una soluzione commerciale come queste di Juniper piuttosto che altri dato che non ho esperienza in merito (sono sistemista prevalentemente di area applicativa/sistemi sempre in giro per clienti, capita raramente di mettere mano alle componenti di rete), dall'altra devo ammettere che preferirei una soluzione simile a quella che abbiamo adottato fin'ora proprio per la flessibilità massima che comporta.

Diciamo che il management spinge per una soluzione più commerciale anche perchè vede la configurazione e manutenzione di un firewall custom come una attività non strategica (meglio staffare le risorse dai clienti dove si possa fatturare che perdere tempo nella gestione degli asset aziendali), per cui spinge verso una soluzione commerciale pseudo black-box dove una volta fatta la configurazione il lavoro è fatto, alla peggio in caso di guasto o disastro se ne compra un'altro identico e si applica l'ultima configurazione valida per ripartire.

Punto di vista discutibile imho, anche perchè gli aggiornamenti andanno cmq fatti, le esigenze cresceranno ed è impensabile credere che rimarranno cristallizzate nel tempo, e anche in caso di disastro non è pensabile che un pincopallino qualunque (es una segretaria) possa ordinare un nuovo fw, collegarlo correttamente e ripristinare la configurazione del precedente guasto in totale autonomia...
Vabbè soldi loro, scelta loro, per come la vedo io è un pezzo nuovo si cui mettere le mani che fa cmq curriculum ed esperienza.

Dimenticavo, grazie a tutti per il feedback

[malatodihardware]

Valuta anche Netasq, a livello di IPS\IDS secondo me è uno dei migliori..

[Wolfhwk]

Quote:

Originariamente inviato da Tasslehoff

Diciamo che il management spinge per una soluzione più commerciale anche perchè vede la configurazione e manutenzione di un firewall custom come una attività non strategica...

Sì ma, non ricordo bene se juniper ha una GUI, ma l' ASA della cisco te lo devi configurare bene bene con la command line. Ha una sintassi diversa da IOS, più semplice.
Insomma, c'è da divertirsi, altrochè "strategie di business -> configura e lascia come è finchè non si rompe"
Per il monitoring puoi anche usare la GUI dell' ASA.


PS. Chi nominerà ASDM verrà punito

[Tasslehoff]

Quote:

Originariamente inviato da malatodihardware

Valuta anche Netasq, a livello di IPS\IDS secondo me è uno dei migliori..

Interessanti anche quelli, faccio un po' fatica però a trovare documentazione di dettaglio a parte qualche brochure genericissima.

Quote:

Originariamente inviato da Wolfhwk

Sì ma, non ricordo bene se juniper ha una GUI, ma l' ASA della cisco te lo devi configurare bene bene con la command line. Ha una sintassi diversa da IOS, più semplice.
Insomma, c'è da divertirsi, altrochè "strategie di business -> configura e lascia come è finchè non si rompe"
Per il monitoring puoi anche usare la GUI dell' ASA.


PS. Chi nominerà ASDM verrà punito

Rotfl
Ricordo che quando feci la CCNA (ormai son passati 10 anni, me ne ricordo come se fosse ieri... ) sui vecchi 827 chi osava lamentarsi per la mancanza di una gui veniva sonoramente cazziato
Da me cmq mi aspetto che arriveranno anche con questa richiesta vista la poca "familiarità" che hanno i responsabili con le cli...

Per le appliance juniper da quanto ho visto la serie SSG hanno una gui web based piuttosto completa e ben fatta (e infatti non sono basate su Junos), la serie SRX invece è basata su Junos e ha una gui penosa e lentissima, praticamente tutto è da fare via cli.

[malatodihardware]

Quote:

Originariamente inviato da Tasslehoff

Interessanti anche quelli, faccio un po' fatica però a trovare documentazione di dettaglio a parte qualche brochure genericissima

Per Netasq c'è una demo online (user & psw = demo)
https://demo.netasq.com/

Qui trovi un quickstart in italiano:
http://netwhat.altervista.org/docs/QUICKSTART.pdf

Mentre qui c'è la wiki di guida (sempre in italiano):
https://netwhat.wiki.zoho.com/

A livello di sicurezza è l'unico firewall certificato dall'Unione Europea..

[trottolino1970]

Quote:

Originariamente inviato da Tasslehoff

Stiamo per configurare la rete di una nuova sede operativa dove la topologia sarà abbastanza semplice, ma per decisioni del management non ci si vuole sporcare le mani con un semplice gateway basato su linux o bsd, soluzione che abbiamo utilizzato fin'ora.

La topologia prevederà la suddivisione della rete in 3 differenti subnet:
- subnet tecnica con client del personale tecnico, server di sviluppo e dispositivi di vario genere
- subnet commerciale/guest con accesso a web e a pochi dispositivi di uso comune (es stampanti)
- subnet vpn

Viste le necessità stiamo quindi valutando una appliance hardware che agisca da gateway, firewall perimetrale e concentratore vpn.
Non avendo molta familirità con questo genere di dispositivi mi stavo rivolgendo prima di tutto a Cisco con l'ASA 5505, dispositivo carino che però mi sembra troppo castrato da limitazioni legate alle licenze piuttosto che da politiche commerciali esageramente macchinose (in pieno stile Cisco...).

Come alternativa mi stavo informando sui firewall Juniper che non sembrano male, in particolare il modello SSG5, anche se (budget permettendo) anche la serie SRX con Junos OS sembra davvero attraente.

Qualcuno ha esperienza con i prodotti Juniper?
Avete alternative da proporre?

Io purtroppo sono fissato sempre con lo stesso hardware: una bella routerboard e risolvi tutti i problemi.


sent from mg iPhone 3GS 32 giga white

[Wolfhwk]

Quote:

Originariamente inviato da Tasslehoff

Rotfl
Ricordo che quando feci la CCNA (ormai son passati 10 anni, me ne ricordo come se fosse ieri... ) sui vecchi 827 chi osava lamentarsi per la mancanza di una gui veniva sonoramente cazziato
Da me cmq mi aspetto che arriveranno anche con questa richiesta vista la poca "familiarità" che hanno i responsabili con le cli...

Per le appliance juniper da quanto ho visto la serie SSG hanno una gui web based piuttosto completa e ben fatta (e infatti non sono basate su Junos), la serie SRX invece è basata su Junos e ha una gui penosa e lentissima, praticamente tutto è da fare via cli.

Io vengo da bash e vi e quindi pensa te come le vedo le GUI superflue
Dunque, limitandomi agli ASA, la GUI è buggata, lenta, macchinosa e incasinata, inefficiente e spesso ci scappano un paio di comandi in più arbitrariamente inseriti da asdm se non fai caso a qualche box checkato (e magari non te ne accorgi se non ispezioni con calma i comandi che sta per implementare).
Non è un prodotto da prendere alla leggera, ma va configurato per bene rigorosamente via cli, come faresti con una implementazione di iptables, squid etc.
Negli anni ho avuto modo di trastullarmi con i firewall juniper e gli asa (se non i PIX) e quello che ho notato è che i cisco sono più stabili e soffrono meno di bug loschi in condizioni che mai ti aspetteresti e nel caso si trovi qualcosa, l'assistenza tecnica è migliore. Mentre i juniper non hanno limitazioni commerciali strane e hanno più feature.

Questo sempre secondo la mia umile opinione.

[Wolfhwk]

Quote:

Originariamente inviato da trottolino1970

Io purtroppo sono fissato sempre con lo stesso hardware: una bella routerboard e risolvi tutti i problemi.


sent from mg iPhone 3GS 32 giga white

Fammi indovinare, magari Mikrotik

[trottolino1970]

Quote:

Originariamente inviato da Wolfhwk

Fammi indovinare, magari Mikrotik

esattamente, non mi sembri della stessa idea come mai?
io la uso da almeno 10 anni, da quando per comprare una licenza per pc dovevi sperare che qualcuno ti rispondesse.

Mi piacerebbe sapere cosa ne pensi e qualora non fossi (magari giustamente) della mia stessa idea, capire il perchè, magari sono io che mi sono fermato a questo hardware quando in realtà a parità di costi potrei avere hardware migliore.

[barzokk]

Quote:

Originariamente inviato da Tasslehoff

...
La topologia prevederà la suddivisione della rete in 3 differenti subnet:
- subnet tecnica con client del personale tecnico, server di sviluppo e dispositivi di vario genere
- subnet commerciale/guest con accesso a web e a pochi dispositivi di uso comune (es stampanti)
- subnet vpn

alla faccia del SOHO, questo sarebbe un small/home office ?
in un soho ci metto ddwrt o openwrt su un WRT54GL da 50 euro

[Wolfhwk]

Quote:

Originariamente inviato da trottolino1970

esattamente, non mi sembri della stessa idea come mai?
io la uso da almeno 10 anni, da quando per comprare una licenza per pc dovevi sperare che qualcuno ti rispondesse.

Mi piacerebbe sapere cosa ne pensi e qualora non fossi (magari giustamente) della mia stessa idea, capire il perchè, magari sono io che mi sono fermato a questo hardware quando in realtà a parità di costi potrei avere hardware migliore.

I router Mikrotik fanno tutto, direi pure il caffè macchiato. E questo mi ricorda i Cisco in ambito aziendale (anche se gli ultimi usano ovviamente moduli specialistici, conformi poi alle esigenze e alle dimensioni dell' impresa ). Dunque, la Mikrotik in ambito SOHO è piuttosto imbattibile. Di sicuro preferisco la Mikrotik rispetto a edimax, netgear, tp-link etc
Questo grazie alla stabilità operativa dei suoi prodotti, ottima. E ovviamente le tante tante features.

[trottolino1970]

Quote:

Originariamente inviato da Wolfhwk

I router Mikrotik fanno tutto, direi pure il caffè macchiato. E questo mi ricorda i Cisco in ambito aziendale (anche se gli ultimi usano ovviamente moduli specialistici, conformi poi alle esigenze e alle dimensioni dell' impresa ). Dunque, la Mikrotik in ambito SOHO è piuttosto imbattibile. Di sicuro preferisco la Mikrotik rispetto a edimax, netgear, tp-link etc
Questo grazie alla stabilità operativa dei suoi prodotti, ottima. E ovviamente le tante tante features.

finalmente uno che la pensa come me

[Wolfhwk]

Finora non ho visto mai nessuno dubitare delle capacità dei Mikrotik.
Ora con calma provo a fare un po' delle loro certificazioni (MTCRE, MTCWE etc).

[trottolino1970]

Quote:

Originariamente inviato da Wolfhwk

Finora non ho visto mai nessuno dubitare delle capacità dei Mikrotik.
Ora con calma provo a fare un po' delle loro certificazioni (MTCRE, MTCWE etc).

Sperando che ci perdonino l'off topic ti posso dire che esiste molta gente "scettica" sull'uso dei mikrotik

[Wolfhwk]

Uh? E perchè mai? Forse è gente che non ha lavorato con molti prodotti diversi ed è quindi superficiale nelle valutazioni.

Spostiamoci in pvt in caso, altrimenti ci castigano.

[Tasslehoff]

Quote:

Originariamente inviato da barzokk

alla faccia del SOHO, questo sarebbe un small/home office ?
in un soho ci metto ddwrt o openwrt su un WRT54GL da 50 euro

Beh francamente se un'azienda da una ventina di dipendenti non ha nemmeno la possibilità di spendere 300 euro per dotarsi di un minimo di infrastruttura perimetrale...
Non dico di dotarsi di infrastruttura di classe carrier, ma il minimo per poter lavorare decentemente e con un minimo di supporto e affidabilità.

Cmq per la cronaca e ragionandoci con calma stavo pensando che una possibile architettura con una appliance perimetrale di fascia bassa (es Juniper SSG5 o ASA 5505) da usare anche come router tra le diverse subnet potrebbe tramutarsi in un clamoroso collo di bottiglia nei trasferimenti sulla rete locale.
O si passa ad una appliance di fascia un po' più alta con interfacce Gbps (e il prezzo in quel caso salirebbe ad almeno 1000-1500 euro) oppure stavo pensando di affiancare all'appliance low-cost uno switch managed Gbps layer 3.

Stavo dando un'occhiata agli HP ProCurve serie 1910, avete feedback in merito?
Dando un'occhiata all'infrastruttura di rete dei clienti dove mi trovo vedo che HP è molto gettonata sugli switch periferici negli armadi di distribuzione, mentre per il core vedo o Cisco o Foundry Networks (ora Brocade).

Quote:

Originariamente inviato da Wolfhwk

Uh? E perchè mai? Forse è gente che non ha lavorato con molti prodotti diversi ed è quindi superficiale nelle valutazioni.

Spostiamoci in pvt in caso, altrimenti ci castigano.

Per quanto mi riguarda potete continuare tranquillamente, la cosa interessa parecchio anche a me in ottica di una possibile sostituzione del mio attuale vecchio SOHO77 che comincia ad avere qualche problema meccanico sul connettore di alimentazione