[vaegkuulja]

[Etz]

[Tanel]

[mikk36]

[Angrist]

Teema tundus läbi lugedes kuidagi Watchguardi promospamm olevat.

Viskasks enda kommi ka sekka. Ütlen ette, et ma pikka aega M$ mees olnud ning sellst ka suht suur M$ eelistamine, kuigi on plju asju ka Nix peal tehtud.

Esimene asi mida tulemüürinduse puhul vaadata on raha.
Ühesõnaga palju maksab see kui etevõttes mingi info ära varastatakse ja palju maksab kui see maha lastakse ja palju sa oled nõus välja käima selle vältimiseks.

Secjuuriti teadaolevalt ei piirdu ainult tulemüüiga vaid on pisike osa sellest, ning kui muudel tasemetel on trvanõuded piisavalt täidetud siis tulemüür niiväga oluline ei olegi. Ok aga tagasi teemasse.

Kodukasutajale on väga hea suvaline ca 1000 kroonine kast nurka ja asi vask.
Ettevõttele ca 10 -20 kasutajat sobib mõni Zywall.
20 - 100 kasutajat on mõttekas kasutada juniperi.

Sellest edasi on juba see, kui tahad saada paremat tulemüüri kas funktsionaalsuse või biokeemia (loe mõttetult raske konfimisvajadus) jaoks.

Cisco puhul on kahjuks Eesti support suht nigel ning ise tehtud linuxi kastiga on jube jama peale admini väljavahetamist. Kunagi oli Barricade üpriski asjalik asi, aga viimasel ajal hääbub kuidagi ära. Watchguardi kohta ma misket kostma ei hakka kuna selle kohta siin niigi palju räägitud ning minu suurimaks küsimuseks on see, et kes seda ka hallata oskaks kui ma adminni vahetada tahan. Vastus kstajaliides on nii lihtne et isegi iga loll saab ellega hakkama ei ole hea sest ma ei taha, et minu müüre ja serverid haldaks mõni loll.


Ise soovitaks ISA-t aga sinna vaja ka asjalikku adminni külge kes teab täpselt mida ta teeb. Isa funktsionalsus tuleb välja enterprisedel kellel ka muidu palju muud M$ sodi kasutusel.

Igaljuhul kui tegemist ISA või mõne Nix kastga siis soovitaksin võtta mõne 5000 seeria xeon prosega raua alla.


Aga igl juhul soovitaksin kõigepealt ettevõtte sees korda teha:

1. Kasutajaõigused paika.
2. Ebavajalikud teenused kinni
3. Viirusetõrje Paika.
4. Masinate tulemüürid käima.
5. Updatemise protsess käima.
6. Failide permisioonid paika. (alates 2003 everyone ei ole enam everone, niiet sellega lihtsam)
7. Paned veel IPSeci käima ja Radiusega Certidega krüpteeritud Wifi ka.

Noh ja siis kui oled need asjad ära teinud on tulemüüri küsimus juba hmm tunduvalt vähem oluline.

Kui kvatsed müüris Layer 7 -t iltreerima hakata siis jälgi, et see layer 7 skännimise süsteem sul hiljem ka attatchmendid ja muu sodi ka õieti kokku tagasi paneks.


Muidugi on tore osta ülimegamüür ning siis Wep-iga wifipurk samasse võrku, või kasutaja koduvõrku ning kasutajakoduvõrk VPN-iga ilusti ettevõte võrgu külge instaleerida

[kpihus]

Noh see et ka loll saab hakkama ei tähenda, et ainult loll saaks hakkama. Saavad ka targad. Lihtsalt õppimis kõver on suhteliselt kasutajasõbralik muud midagi. Üldiselt kannatab juniperi ja watchguardi suhteliselt samase patta panna. Aga lihtsalt watchguardi hallatavus on vähe lihtsam. Samas juniperi tugevuseks peab mainima, et neil lähevad võimsas otsas seadmed kaugemale välja kui watchguardil. Üks oluline erinevus on ka veel see, et WG paneb rohkem rõhku layer 7 skännimisele, samas layer3 ja 4 on ka täiesti tasemel olemas (koos kõikvõimalike kellade ja viledega) juniper tundub, aga rohkem panustavat just 3 ja 4 layeri peal, 7 layerit skännib ka, kui väga vaja. Aga üldiselt kes soovib see proovib, foorumi kaudu nagunii inimesi teise usku ei keera.

[kris28]

Sobida võiks ideaalselt Cisco 2821 masin. Varustatud advanced enteprise softiga. iga kell teeb juniperidele ära. kui kunagi oleks vaja deploida voipi siis on ka asendamatu. odavamad juniperi asjad lihtsalt blokkisid voip Masin suudab ruutida läbi 250mb ja seda vist isegi kryptoga. . sisse on ehitatud vpn akseleraator. lisaks ssl vpn. Tulemyyr on application tasemel, igasugu dosid võb ära usnustada. qos vajab märkimist ning kindlasti inrusion prevention system mis blokib kõik pahalased sisse - välja . näiteks uuema flash viiruse võttis kohe maha masinat saab hallata java interfeisi kaudu ka algaja admin. isendis mis mul on on lisaks 16prt 10/100 ja 1 gibabit layer 3 switch. ehk kruuteril siis kokku 19 porti neist 3 gigabiti. Saaksin sobjekti soodalt myyija või isegi rentida. Samas on odavamalt saadaval ka cisco 7200 ruuter mis on jõudluselt identne kuid 2 100 mbit, muud võimalused on samad va lisaks dubleeritud toited

[kurask]

Nüüd ei viitsi uut teemat teha, aga vaja on purki mis oskaks teha 20-50 vpn tunnelit ja siis otstesse (kontoritesse) purgid mis oskaks ühte tunnelit.


senised variandid:
variant 1) Rb/1000U + Rb/450 - 8000 EEK + 1250 EEK + km
variant 2) ZYWALL USG-200 + zywall 2 plus - 11500 EEK + 2500 EEK + km

ja pakkuge julgelt oma variante.
esimene eelistus oleks mugavus konfimisel.

Ja kui keegi viitsib siis äkki selgitaks mulle mis vahe on ipsec ja ssl vpnil tänapäeval.

lingid:
link
link
http://www.zyxel.com/web/product_family_detail.php?PC1indexflag=20040908175941&display=72723&CategoryGroupNo=E9703FA6-033D-44BF-B0B3-104562A3359B

[High-Q]

üldises mõistes suurt vahet pole, mõlemat kasutatakse samal eesmärgil: võimaldada oma asutuse töötajatel turvaline ligipääs asutuse sisevõrku.
tehniliselt aga on vahe kliendis ja protokollis: kui ipseci puhul peab kasutama eeldefineeritud site-to-site tunnelit või spetsiaalset lõpptarbija arvutisse installitud rakendustarkvara, siis SSL-i puhul piisab keskseadme ülessättimisest ja ühendavaks kliendiks piisab HTTP over SSL toega veebibrauser, millele vastava määratud välisaadressi toksimisel avaneb autentimise portaal.
SSL-il on just lõpptöötaja jaoks mitmeid eeliseid: võimaldab ligipääsu mitte ainult töötaja enda arvutist (vaid ka näiteks AIP-st või netikohvikust), kus muidu oleks ipsec klienti pidanud installima (mida ei lubata ja alati pole softi käepärast); teatud võrkudes (kehvasti ehitatud) võib olla ipsec passthrough olla keelatud või limiteeritud, https-i tavaliselt kinni ei keerata, võimaldab paremini lõpptarbijat enne sessiooni alustamist autentida/autoriseerida ja kontrollida (enamikel tänapäeva äriklassi seadmetel on võimalus enne sessiooni alustamist kontrollida kaugelt lõppmasina tervist: viiruseid, nuhkvara, keylogereid, patche/uuendusi jne.

miinused on: site-to-site lahenduseks vast ssl ei ole mõeldud, seni kindlasti kõrgem "per klient" hind (st maksad sellise mugavuse ja lisafeatuuride eest)

[vaegkuulja]

[Andrus Luht]

On ainult üks kindel ja põhimõtteline vahe SSL ja IPSEC põhistel VPN'idel. See on teise osapoole kindel tuvastatavus. Kui SSL puhul on veel võimalik, et keegi keyloggeriga näppas kasutaja/parooli ning toimetab omasoodu siis IPSEC puhul on PKI põhine osapoolte kontroll ja seansi krüpteerimine ning siin pole keyloggerist ega ka trafficu pealtkuulamisest suurt abi. Turvalisuse aste on tükk maad kõrgem. See on ka peamine põhjus, miks kõrgemat turvalisust vajavad tegelased ei kasuta elades SSL põhist VPN'i.

[vaegkuulja]

[Andrus Luht]

[vaegkuulja]

[oddotriin]

Pean oma praeguses kohas ka Cisco ASA-l põhinevat SSL VPN-i haldama. Tuleb tunnistada, et kohati on selle töölesaamisega päris palju peavalu. Esiteks nagu juba öeldud, on vaja admin õigusi ja õiget firewalli konfi. Seega AIP-d võib mängust välja jätta. Lisaks inimeste enda koduarvutid on tihti nii spagettiks keeratud, et samuti ei pruugi õnnestuda asja tööle saada. Näiteks ActiveX lihtsalt ei installeeru või näiliselt installeerub, aga pärast Add-on komponentide nimekirjas pole ja ühedust ikka tööle ei saa. Lisaks müriaad erinevaid personal tulemüüre, kes üritavad weebibrausimist turvata sajal erineval viisil.
Ehk siis see ilus teooria, et SSL VPN lubab teile ühenduse suvalisest arvutist ei pea paika. Aga just selle argumendiga on antud juhul see siia firmasse maha müüdud

[kurask]

A seda et minul ei ole vaja, et workstation oskaks end autentida kuskile, minul on vaja vaid kontorite vahelisi LANe.

[vaegkuulja]

[Pailaps]

kurask, mitte , et sa mu arvamust arvestad, kuid piilu:

SnapGear SG565, SG580, SG710 mudelite poole, vpn tunneli loomiseks kasutavad seadmed Openvpni. Asi on odav, kuid ropult töökindel, väiksematel karpidel on 32MB mälu, suurematel rohkem.

Openvpn on hetkel vähemalt minule parim ssl vpn tunneli loomise tarkvara. Karpidele jagab tuge McAffe.

[kurask]

mcaffee oma nüüd, a kes neid eestis müüb?

[Osiris]

Jõudu.

Nüüd siis sellise probleemi ees, et kasutatava tulemüüri tootearendus lõpetati ära ja soovitati muretseda uus süsteem.

Kuid kuskohast üldse alustada.

Kuna kõiki tulemüüride võimalustest ei tea siis ei oska neid ka nii tahta.

Kasutajaid oleks nii 100 ringis.

Põhiline oleks rünnete tuvastus (nii sissepoole kui ka väljapoole).
DNS server kindlasti ja spämmitõrje ning viirustõrje.
DMZ võimalus võiks ka olla.

Ehk keegi teadjam annab suuna kätte kuhupoole vaadata ja kuskohast uurida.


Parimat,
PCman

[Andrus Luht]

IPCop üsna hea vabavaraline...

[Osiris]

[kurask]

http://www.clarkconnect.com/ nii tasuta kui tasulised versioonid. Tasutal vist ei olnud piiranguid. mark0 soovitab ka seda.

[Drake]

Nagu ikka - iga li** kiidab oma rahategijat.
Pmst kõikidest nendest vabavara müüridest jättis kõige parema mulje PFsense - täiesti tasuta, arendatakse hoolega, kõik featuurid töötavad ja nagu Checkpointil - tema isaks on BSD/FreeBSD.
Ründetuvastuseks siis Snort IDS ja muidiki huvitavaid mooduleid/pluginaid. Võimaldab normaalselt site-to-site ja client-to-GW vpn-e (openVPN, ipsec), HA võimalus on olemas jne.

Valikuid on ofc veel palju:
smoothwall (suht lihtne), m0n0wall (ka freebsd peale ehitatud), untangle (peaks olema enterprise class ja võimaluste rohke, kuid jõle kohmakas ja aeglane), Endian (kah kohmakas, võimalus võtta appliance, palju featuure) jne jne.

Otsuse tegemiselt võta aga julgelt kõik valikud ette ja testi läbi, eks näis mis sulle sobib. PFsense tundus ainuke mõistlik tasuta "mid-size enterprize" class müür olevat.

d.

[vaegkuulja]