domanda su Cisco ATA 5505 (so già chi mi risponderà)

dato che do per scontato che chi mi risponderà ha un nome che inizia per W e finisce per olfhwk, se collegassi quindi un nas a una delle 8 porte del cisco e un pc, l'analisi del traffico avviene solo per i dati lan to wan e viceversa o anche lan to lan, perchè se fosse così il flusso dati sarebbe limitato a 150 mbps (velocità massima alla quale il router può ispezionare il traffico)
se si come potrei aggirare il problema

[Wolfhwk]

Eccomi.

E' anche LAN to LAN. Se le porte sono fastethernet hai la banda di 100Mbps per porta.

Però attenzione ad un dettaglio.

Stateful Inspection throughput up to 150Mbps

Dice stateful inspection, ovvero tiene in memoria le informazioni di stato delle connessioni UDP e dei flussi TCP quando richiesto e permette nuove connessioni solo se legate (related) contestualmente a quella origine.
Dunque nella maggior parte dei casi un tale controllo per il NAS non è richiesto e dunque verrà utilizzato il classico firewall stateless con la piena capacità di throughput.
150Mbps dunque sono richiesti per la WAN maggiormente e per le reti non sicure (potrebbe applicarsi alla DMZ ad esempio o ad una creata da te Ad Hoc). Il NAS di norma si trova nella rete sicura, inside, e dunque non necessita di controlli così severi.

Su wiki trovi una bella spiegazione a riguardo.

https://en.wikipedia.org/wiki/Stateful_firewall

[Wolfhwk]

Peraltro lo stateful inspection va configurato dove richiesto, logicamente sarà tra le Security Zones. Di norma con ASA c'è una metafora carina, la cascata. La rete inside ha livello di sicurezza 100, la DMZ di 50 e la WAN di 0. Il traffico può fluire tranquillamente dal 100 al 50 allo 0, ma non torna indietro, appunto come l'acqua di una cascata. Questo di default. Sta al tecnico poi impostare le access lists e lo stateful inspection per far tornare indietro l'acqua, e lì poi si applicano quei 150Mbps.
Comprendo comunque che quel valore è fuorviante se non si conosce un poco il prodotto.
Ti confesso anche che sto studiando anche io per capirci qualcosa degli ASA.

praticamente prima di procedere con l'analisi determina se i pacchetti sono:
se sono wan to lan o viceversa: SI
in casi lan to lan analizza i pacchetti solo per capire se sono di provenienza garantita, in caso negativo li analizza al 100% applicando i limiti di througput a 150 mbps per un lavoro ottimale
fin ora ho sempre dato per scontato che le porte fossero gigabit, e spero che sia così
un altra valanga di domande:
la funzione vpn è a pagamento, intendo dire che per attivarla bisogna pagare una licenza o qualcosa di simile
sarebbe una cosa interessante perchè mi piacerebbe estendere le capacità del nas dal livello locale lan a uno wan
allora non penso che basti attivare la funzione sul router, bisogna predisporre un infrastruttura in modo che sia accessibile ovunque, questo implica che o i dati si trovano in un server dedicato in affitto( impraticabile perchè la quantità di dati supera i 2tb) oppure si usa lo stesso nas come web server
vorrei capirci qualcosa in più

[Wolfhwk]

La VPN è disponibile anche con la licenza base. Varia il numero di connessioni simultanee per tipo di licenza.
Uhmmm, credo che le porte siano a 100Mbps. I modelli che usciranno verso dicembre (credo) saranno ovviamente gigabit e potenziati dal nuovo hardware.

lo spero , e spero che questo non faccia aumentare più di tanto il prezzo

perchè 284€ è già alto, il mio massimo è 300€ o giu di li, oltre quel limite mi darebbero del pazzo

[Wolfhwk]

Quote:

Originariamente inviato da k55mdts

praticamente prima di procedere con l'analisi determina se i pacchetti sono:
se sono wan to lan o viceversa: SI
in casi lan to lan analizza i pacchetti solo per capire se sono di provenienza garantita, in caso negativo li analizza al 100% applicando i limiti di througput a 150 mbps per un lavoro ottimale

Ricordati che di default fa solo la cascata. Il resto è personalizzabile.
Inoltre è risaputo che ASA è costantemente verificato e testato dalla NSA perché rispetti tutti i requisiti e standard di sicurezza. Una garanzia in più.

[Wolfhwk]

Quote:

Originariamente inviato da k55mdts

lo spero , e spero che questo non faccia aumentare più di tanto il prezzo

perchè 284€ è già alto, il mio massimo è 300€ o giu di li, oltre quel limite mi darebbero del pazzo

Il mercato dell' usato o semi-nuovo è un' altra ottima risorsa.

[PhoEniX-VooDoo]

ah un esperto cisco, proprio quello che mi serviva!

è da tempo che medito l'acquisto di un Cisco SG 300-10 per unire un po l'utile al dilettevole, nel senso che vorrei fare un po di esperienza su uno switch managed ma non riesco a capire se sarebbe una cagata o cosa..

in casa ho un serverino con 2 ethernet su cui gira Proxmox con 3-4 VM e poi vari PC / HTPC.

Vorrei mettere su un po di VLAN, fare qualche test/monitor di performance/traffico ecc.

cosa ne dici? puoi anche risp in pvt (nel senso, se hai voglia di rispondere prima di tutto )

di solito compro roba nuova ma se dovesse costare una mazzata dovrò prenderlo usato, tanto basta resettarlo e via!
poi avendo uno chassis metallico dovrebbe non danneggiarsi, l'unico elemento variabile è se il contenuto originale della scatola è completo
o se è un pezzo difettoso principalmente è la mia principale preoccupazione

[Wolfhwk]

Quote:

Originariamente inviato da PhoEniX-VooDoo

cosa ne dici? puoi anche risp in pvt (nel senso, se hai voglia di rispondere prima di tutto )

Ti dirò sinceramente, è un modello che non conosco. Dalla carta sembra molto buono e si configura tutto tramite la web interface. Poi non costa nemmeno più di tanto.

-

[Wolfhwk]

k55mdts, puoi comperare usato l' ASA 5505 full licensed con il modulo AIP-SSC-5.
A quel punto il macchinario davvero pialla le montagne

me ne sono accorto solo ora che nel sito c'è scritto FE che sta per fast ethernet
come faccio a capire se è full licesed o meno il router?
sarebbe importante perchè non vorrei in futuro avere problemi, intendo dire che una volta che l'ho comprato, non dovrò più sborsare soldi
questo elemento aggiuntivo come funziona e dove lo compro?

[Wolfhwk]

In genere chi lo vende lo specifica anche.

Per il modello 5505 si chiama Security Plus license.
E prevede più connessioni -> da 10000 a 25000
Più VLAN -> da 3 vlan a 20
Massimo numero di sessioni VPN IpSec -> da 10 a 25.

La security plus è solo per i modelli 5505 e 5510.
Poi c'è tutto un insieme di feature e virtualization licenses, ma che sono valide per i modelli superiori.

Il 5505 può anche montare un modulo hardware aggiuntivo che ha la funzione di IPS.

quelli con il security plus costano il doppio di uno normale
resterei sulla versione base
CISCO-ASA-5505-APPLIANCE-WITH-SW-10-USER-ASA5505-BUN-K9-

[Wolfhwk]

Attenziò, che quel modello è per massimo 10 macchine in LAN.

ASA 5505 APPLIANCE WITH SW 10 USER

C'è anche 50 user e Unlimited.

Sì, lo so che Cisco è logorroica con tutte ste licenze, ma non è stata pensata per uso domestico. Generalmente le grandi aziende usano i 5505 per i branch office e i teleworker e quelle che hanno la partnership con Cisco (dipende dal livello poi) li prendono quasi gratis.

non ho capito, cosa dovrei comprare
ovvero il 5505 ha certe prestazioni e ciao, lo compro ed è finita lì
o sbaglio
una volta compro, lo configuro e basta, non ho più problemi
dovrei comprare qualcos'altro, a dire il vero una volta che ho speso 284€ più spedizione, non vorrei altre grane
ho già ampliato il budget sul futuro router del 40%, e sono stato generoso
dovrei aumentarlo?

scusa ma se io lo prendo e in lan ci collego tramite switch più di 10 macchine, tipo 12, quelle 2 in più cosa ca..zo fanno
perchè dovrei acquistare una licenza per far funzionare più macchine?
non basterebbe fare vari modelli, uno che gestisce 10 macchine, uno da 50, un altro da 100 etc etc

[Wolfhwk]

Spendi quella cifra lì se riesci a limitarti a 10 computer. Altrimenti credo aumenti di 50 euro per averne Illimitati.

Praticamente se compri l'ASA con 10 utenti, sei limitato a quelli, se non fai un upgrade della licenza.
Eh sì, una volta comperato ti dura 20 anni