Appliance UTM perimetrale

[Tasslehoff]

A breve dovrò scegliere una appliance perimetrale che installeremo in una nuova sede e che andrà a sostituire il vecchio storico firewall aziendale factotum basato su CentOS.

Per capirci le funzionalità di questo dispositivo saranno:
- firewall
- vpn server (ipsec e ssl)
- IDS
- IPS
- eventuale antivirus e filtro perimetrale per schifezze

Le esigenze in termini di client e traffico sono abbastanza modeste pertanto non puntavo a modelli di fascia alta, anzi diciamo che più che sui modelli volevo raccogliere un po' di feedback sui produttori.
Al momento ho passato al setaccio i seguenti produttori/modelli:

• Cisco ASA serie 5500
  Ottimi dispositivi ma interfaccia CLI praticamente obbligatoria e features drasticamente castrate per fini commerciali (es numero di host interni limitato a seconda delle licenze).
  
• Juniper serie SSG
  Non userà JunOS ma ne sento parlare gran bene, prezzi e features decisamente più vantaggiosi della controparte Cisco, unico neo una certa ritrosia hardware (es interfacce Gbps solo su modello di fascia medio-alta con prezzi astronomici) per spingere i clienti verso i modelli di fascia alta.
  
• Fortinet serie Fortigate 60
  Ottima interfaccia e buona dotazione hardware, non ha le restrizioni sw di Cisco ne le restrizioni hw di Juniper, in compenso ha un prezzo che si pone circa a metà tra i due.
  Positivo il fatto che siano molto diffusi, negativo il feedback sul loro supporto.
  
• Stonegate
  Me ne hanno parlato molto bene sia in termini di features che di prezzi, da quanto ho sentito però sembrano essere una sorta di new entry.

Qualcuno ha avuto esperienza con questi oggetti e sarebbe così gentile da postare un suo feedback?
Altre proposte?

[Niam]

Qualche pensierino su Untangle?

[Wolfhwk]

Quote:

Originariamente inviato da Tasslehoff

A[*]Cisco ASA serie 5500
Ottimi dispositivi ma interfaccia CLI praticamente obbligatoria e features drasticamente castrate per fini commerciali (es numero di host interni limitato a seconda delle licenze).

Negli ASA la CLI non si usa più, ma ASDM.
La CLI la uso io per sport
Le licenze sono le seguenti:
- per 10 utenti, 50 e illimitato
- licenza Security Plus per maggior numero di connessioni VPN, più vlan e altro
- eventualmente monti moduli hardware aggiuntivi per funzioni di url filtering, antivirus, altre interfacce e IPS, etc.

Considera che questa politica dei prodotti castrati si applica solo ai modelli 5505 e 5510. Gli altri escono full e si comprano funzionalità e/o moduli hardware aggiuntivi in base alle esigenze. I partner Cisco non devono nemmeno spendere una fortuna grazie ai corposi sconti.

Se devi spendere meno di 800 euro, ti ritrovi con l' ASA 5505 con porte solo fastethernet.
Per avere la gigabit devi passare al modello superiore 5510, ma che è un altro Universo in confronto al 5505. I modelli in sù poi sono parecchi e c'è un aumento considerevole di prezzo.

Ora, non per difendere la Cisco su licenze e altro, ma il mio reparto ha installato negli anni ben qualche centinaio di ASA e devo dire che sono davvero eccezionali.
Performanti in tutte le condizioni e molto molto robusti sia fisicamente che lato codice.
La gestione dei log poi è un' altra bella chicca di questi prodotti.
ASA tienilo in considerazione per aziende più grandi e i modelli superiori 5510/20/40 etc

[malatodihardware]

Valuta anche Netasq oppure pfsense..

Inviato dal mio MB525

[Niam]

Quote:

Originariamente inviato da malatodihardware

Valuta anche Netasq oppure pfsense..

Inviato dal mio MB525

pfsense è un ottimo prodotto, soprattutto perchè è open. Però nativamente non implementa sistemi di IDP/IPS. Dovresti installarci sopra snort per ovviare al problema.

E non penso includa nessun antivirus. =(

[malatodihardware]

I pacchetti non sono nativi, ma direi che possono considerarsi parte della soluzione.
Per l'antivirus c'è un pacchetto aggiuntivo basato su ClamAV

In ogni caso se lo scopo principale è IDS\IPS\AV andrei su Netasq che in quell'ambito è uno dei top

[cisketto]

Quote:

Originariamente inviato da Tasslehoff

A breve dovrò scegliere una appliance perimetrale che installeremo in una nuova sede e che andrà a sostituire il vecchio storico firewall aziendale factotum basato su CentOS.

Per capirci le funzionalità di questo dispositivo saranno:
- firewall
- vpn server (ipsec e ssl)
- IDS
- IPS
- eventuale antivirus e filtro perimetrale per schifezze

Le esigenze in termini di client e traffico sono abbastanza modeste pertanto non puntavo a modelli di fascia alta, anzi diciamo che più che sui modelli volevo raccogliere un po' di feedback sui produttori.
Al momento ho passato al setaccio i seguenti produttori/modelli:

• Cisco ASA serie 5500
  Ottimi dispositivi ma interfaccia CLI praticamente obbligatoria e features drasticamente castrate per fini commerciali (es numero di host interni limitato a seconda delle licenze).
  
• Juniper serie SSG
  Non userà JunOS ma ne sento parlare gran bene, prezzi e features decisamente più vantaggiosi della controparte Cisco, unico neo una certa ritrosia hardware (es interfacce Gbps solo su modello di fascia medio-alta con prezzi astronomici) per spingere i clienti verso i modelli di fascia alta.
  
• Fortinet serie Fortigate 60
  Ottima interfaccia e buona dotazione hardware, non ha le restrizioni sw di Cisco ne le restrizioni hw di Juniper, in compenso ha un prezzo che si pone circa a metà tra i due.
  Positivo il fatto che siano molto diffusi, negativo il feedback sul loro supporto.
  
• Stonegate
  Me ne hanno parlato molto bene sia in termini di features che di prezzi, da quanto ho sentito però sembrano essere una sorta di new entry.

Qualcuno ha avuto esperienza con questi oggetti e sarebbe così gentile da postare un suo feedback?
Altre proposte?

Troppo generiche le esigenze, servono info in piu:

Tipologia di connessione e velocità?
Cosa ci devi mettere dietro?
Quante utenze VPN devono gestire?
E' un infrastruttura critica per la quale hai SLA stringenti?
Necessiti di HA(Hight avalability)


Premesso quanto sopra personalmente gli ASA li ho eliminati dalla mia infrastruttura di core passando sui prodotti Fortinet con risultati eccellenti.

Di quelli che hai nominato tu in particolare(60C) guardati bene le specifiche in quanto sono modelli entry level:

Product Name FortiGate-60C
Firewall Throughput 1518 Bytes 1 Gbps
Firewall Throughput 512 Bytes 1 Gbps
Firewall Throughput 64 Bytes 1 Gbps
Firewall Max Concurrent Session 400,000
Firewall New Sessions per second 3,000
IPS Throughput 135 Mbps
IPSec Throughput 512 Byte Packet 70 Mbps
Antivirus Throughput (Proxy) 20 Mbps
Antivirus Throughput (Flow) 40 Mbps
Total Network Interfaces 2 x 10/100/1000 WAN port
1 x 10/100/1000 DMZ port
5 x 10/100/1000 internal switch
ExpressCard slot

In particolare se ti servono servizi IPS e AV ti conviene prenderlo in confezione Bundle in quanto ha anche la licenza per i predetti servizi(altrimenti si acquistano a parte) e considera anche i prezzi del rinnovo delle licenze IPS e AV su base annuale o pluriennale(a prezzo decisamente ridotto)

Per quello che è la mia esperienza(gestisco una rete distribuita in 790 sedi nel territorio nazionale) come piattaforma Firewall la famiglia Fortigate ha decisamente superato l'ASA(ultimo modello che ho configurato è il 5580) sia in termini di performance che nella più tecnica parte dei servizi UTM.

Per quanto riguarda ASA:

Negli ASA la CLI non si usa più, ma ASDM.
La CLI la uso io per sport

Non penso proprio, come in ogni prodotto di fascia enterprise la gui ti aiuta nella fase gestionale della Routine, ma per cose molto più specifiche e di alto livello la CLI resta sempre insuperabile e insostituibile.

In merito al resto:

Stonegate: non puoi nemmeno metterlo a paragone con Fortinet e Cisco

[Tasslehoff]

Ringrazio tutti per i feedback, alla fine ho scelto e ordinato un Fortigate 60C che dovrebbe arrivarmi a breve (mi ha contattato oggi il distributore per avvisarmi che oggi mi avrebbero spedito il pezzo).

Riguardo alla subscription per il momento si è deciso di optare solo per Forticare base senza bundle IPS e AV, preferiamo partire così e prenderci un po' la mano, magari tra un anno vedremo se sarà il caso di integrare anche le altre features.

Sui requisiti purtroppo sono rimasto un po' vago perchè ancora oggi non è chiaro nemmeno a me quanti saranno precisamente i client (si parla di acquisizione di altre società), inizialmente saremo una ventina di utenti, tendenzialmente andremo a crescere ma senza arrivare a numeri tali da mettere in crisi un dispositivo del genere, almeno a giudicare dalle specifiche.
Non solo, ad oggi (il trasloco è previsto tra una quindicina di gg) non è ancora chiaro se nella nuova sede verrà installata una ADSL o una SDSL, il che vi da l'idea di quanto sia caotica questa transizione...

Cmq si tratta di una sede operativa dove saranno hostati soltanto servizi strettamente necessari allo sviluppo e dove gran parte degli utenti farà attività che vanno poco oltre il browsing.
Anche in tema di VPN per ora di certo c'è una connessione punto-punto con la server farm remota, anche se non escludo che si continuerà a mantenere l'attuale configurazione con openvpn utilizzando un server interno (per una pura questione di tempistiche e disponibilità per configurare una nuova vpn) e forse una vpn punto-punto con la sede di un cliente.

Vedremo come evolverà la situazione, quel che è certo è che fin'ora il rapporto con i fornitori è stato abbastanza caotico e all'insegna della disinformazione.
Anche solo riguardo alle subscription i commerciali con cui ho parlato per settimane hanno fatto di tutto tranne che darmi un resoconto chiaro su cosa c'è e a cosa serve, hanno tutti cercato di indirizzarmi al bundle omnicomprensivo e più costoso senza nemmeno cercare di capire se quelle features ci servissero...
Pensavo che i commerciali che si occupano di software, licensing e server fossero casinari poco informati, ma dopo aver messo il naso dentro il comparto networking devo ricredermi, in ambito commerciale la disinformazione sulle reti è una specie di sport nazionale e arrivare a parlare con qualcuno di tecnico è un'impresa a dir poco titanica...

[Wolfhwk]

Quote:

Originariamente inviato da cisketto

Non penso proprio, come in ogni prodotto di fascia enterprise la gui ti aiuta nella fase gestionale della Routine, ma per cose molto più specifiche e di alto livello la CLI resta sempre insuperabile e insostituibile.

Il mio era un commento ironico.
Non gestisco 790 sedi ( ) nè millanto particolare esperienza, ma fino a lì ci arrivo.