[Tanel]

Google otsinguga leiab ka -> http://www.google.ee/search?sourceid=navclient&aq=t&hl=et&ie=UTF-8&rlz=1T4GGLJ_etEE256EE256&q=watchguard+certifications

[Markos]

to vaegkuulja: Ja kui sul see all in one appliance ikaldab, siis ikaldab kogu võrk. IP osa tuleks ikka L7'st võimalikult eemal hoida. Cisco vpn (ipseci implementatsioon) käib läbi igasugustest kohtadest, ka nat ja sõbrad. Konsooli kartvad ja mittevaldavad nö "adminnid" tuleks kõik luuaga kokku pühkida ja saata tööjaamasi installeerima.

[kpihus]

[vaegkuulja]

[kurask]

[kpihus]

[kurask]

minul käib JA sinna vahele;)

mis ei välista tulevikus koostööd Teiega, tuleb lihtsalt feimipuu kasvama panna eks.

[Andrus Luht]

[Markos]

to vaegkuulja: Ohoh Enamus nendest kastidest räägib väga edukalt snmp'd.

to kurask: Kuna algandmeid on vähevõitu, siis raske öelda mida sul vaja oleks lõppudelõpuks, nagu ma ütlesin, featuuridest (ja võimsusest) sõltub hind. Igal juhul mina sinuasemel väldiks igasuguseid pessukate otsas ja tavaosside otsas elavaid appliancesi, secu gateway'sid jms. Muidugi, eks suurte Juniperide sees ole ka pessukas ja bsd, aga see on omaette teema. Soe soovitus on, kirjuta endale lahti täpselt mida vajad, prognoosi ja varuga soovitavalt. Näiteks 5 vpn tunnelit võimaldab tavaline Linksys'i seebikas ka edukalt gw to gw modes, throuhput on aga juba omette teema ja selle masina nö ruutimis/nattimisvõimsus on umbes kümnendik sellest mida sul vaja on, või kas ikka on vaja 100M ? äkki reaalselt vajad sellest võibolla 20% ainult, milleks siis raha raisata ? Lisaks, milliseid lisaomadusi see kast veel omama peaks, ruutingprotkollid ? port trunking ? Vlanid jpm.

[kpihus]

Iseenesest võiks muidugi maavõistluse korraldada, WG vs Juniper vs Cisco vs ... Ma ei tea, kas siin teiste tootjate esindajaid räägib kaasa, aga mina olen valmis väljakutse vastu võtma. Zürii ja hindamis kriteeriumid peaksid muidugi täielikult erapooletud olema.

[vaegkuulja]

[kurask]

Need töötunnid peaks sel juhul keegi kinni ka maksma, soovitatavalt siis tootjate esindajad. Muidu oleks nõus küll, endal olemas pädevad sõltumatud hindajad.
Aga ok, nali naljaks, tööaeg jookseb:)

[Andrus Luht]

[XR]

[Andrus Luht]

[Etz]

Ise....

Vaataks ikkagi Juniperi & Cisco kraami poole...

Käsurealt "suht" suurte võimalustega mõlemad...
Siiski antud "lähte andmetega" tutvudes, Juniper jääks peale...
Samas "on sul tõesti vaja" 100Mbit/s ... ( su küsimuste taset arvestades, siiski ehk mitte....)
Sealt ka oluline rahasääst...
(QoS`ist ehk oled miskit kuulnud...)

Või on see "lahmimise" teema... (vajaks miskit MEGAVÕIMSAT , sest kunagi, ehk....)

Igaljuhul, nagu on siin teemas juba tõestatud...
antud, eelarvest ei jagu... (AIO lahendused on nagu suht "nutused", nagu Markos eelpool tõestas juba)
Software lahendused, on "kehvakesed" (kujuta end olukorras, kus seda jooksutav masin , mingi M$ bugi tõttu üle võetakse...)

Mõelge kah ehk natuke...

Anyway... IGAL adminnil peaks "elementaarne konsooli haridus olema"...

[vaegkuulja]

[Etz]

[vaegkuulja]

Tegelikult nende purkide HTTP viirustõrjest pole mitte midagi kasu, see on täiesti maha visatud raha. Asi on selles, et ega siis ükski müür ei kontrolli webi kaudu liikuvaid viirusi kõikide portide peal (see vajaks mingit superarvuti võimsust siis juba), vaid ikka 80 ja veel lisaks mingid adminni poolt määratud. Nüüd oleks väga naiivne loota, et viiruse levitajad on nii lollid, et lasevad viirusi downloadida 80 pordi peal, et müüri viirustõrjele lausa kandikul oma pahalane ette sööta. Ei, need võivad liikuda suvalise pordi peal, nii et müüri viirustõrje isegi ei liiguta ennast. Admin võib ju teised pordid kinni panna, ainult siis ei avane ka pooled legaalsed webisaidid, kuna reaalses elus toimub webiliiklus mitte ainult 80 vaid suvaliste muude portide peal.
Ainus võimalus on kontrollida webiliiklust vahetult enne proxy'sse sisenemist, kus kõik jookseb ainult kindla pordi peal. Nüüd aga otsiks mingit purki kus on kõik müür, viirustõrje ja proxy koos. Neid on olemas, kuid hind ei tule enam sugugi 30K kanti, vaid on palju ulmelisem. PC peal aga on selline valik suurem ja ka hinnad odavamad. Kui aga tahta purki ainult müüriga, ilma viirustõrje ja proxyta, siis milleks üldse tarkvara poole eest raha maksta - seda tarkvara on saada tasuta ja nõrkemiseni. Ning viimase-peal raua leiab ka PC-kujul kusagilt lihtsalt nurgast jõude vedelemast. Need Cisco, Netscreen ja muud kallimad purgid sobivad rohkem ISP'dele, kus pole vaja muud teha kui garanteerida pidevat ja stabiilset tuima trafficut tunduvalt rohkematele kui 300'le kliendile.
HTTP kaitses on aga veel üks nõrk koht - ssl krüptitud HTTPS, mida pole viirustõrje poolt võimalik kontrollida. Alles suht hiljuti ilmus töömasinate lokaalsetele viirustõrjetele võimalus kontrollida ka krüptitud ühendusi. Nipp on suht labane - lokaalne viirustõrje lihtsalt integreerub webibrowseriga ning ssl ühendus ei tekitata mitte webibrowseri ja webiserveri vahel, vaid viirustõrje ja webiserveri vahe, seega viiruskontrollil pole probleeme. Tulemüürida ja gatewayde puhul aga sama nippi on natuke raskem realiseerida ja esialgu ma ei teagi et veel oleks see tehtud.
Proxy serverid pole ka kõik sama kvaliteediga - näiteks targemad oskavad hoida ära browseri poolset timeouti viirustõrje töötamise põhjustatud viivise tõttu.

[mikk36]

vaegkuulja, viirus levib muid teid kaudu vaid siis, kui sa avad need muud teed
järgi jääb seega vaid 80 port, mille kaudu inimene ise alla laeb naiivselt viiruse, selle vastu see antiviirus aitabki et skännib läbi alla laetava faili reaalajas

[vaegkuulja]

[mikk36]

sisuliselt pole vahet et kas alla laetakse mingi suur fail või html fail

[Markos]

to vaegkuulja: Küll aga on http protokoll ise hõlpsasti äratuntav, edasi mõtle ise juba, superarvuti. Ei tasu selle windowsiga nii õhinasse minna, võrgunduse kohapealt on tegemist ühe suure nulliga, mis ei sobi praktiliselt millekski. Nagu juba mainitud, hoia võrk ja L7 lahus. Kui tekib vajadus mingisuguse av järele, siis rangelt eraldi kast (ilmselt mingi server või appliance) ja suunad sellest vajaliku liikluse läbi. Eks kasutatakse ka PC platvormil jooksvaid müüre, põhjaks siis enamasti linux või openbsd. Keegi ei keela sellist valmis meisterdada, mõlemate operatsioonisüsteemide kernelid omavad selleks väga laia ampluaad võimalusi. Ainuke aga selle juures on see, et pead võrgundusest ikka väga palju teadma, et müür oleks ka müür, mitte võrkkaed ja pc puhul on miinuseks seal pöörlevad kõvakettad, ning failisüsteemi haavatavus näiteks toite ootamatule kadumisele. Võid panna küll 2 ketast ja garanteerida toite, kuid flashi ja nvrami vastu sellega ikkagi ei saa. On olnud juhtumeid, kus flash jookseb segi, aga need on piisavalt harvad. Pealegi ei anna võrrelda nvrami sisu taastamist tftp'st ja operatsioonisüsteemi installi + konfigureerimist. Ühel juhul on sul võrk maas ehk mõnikümmend minutit, teisel juhul võibolla pool päeva. Korporatiivne tulemüür ei ole mingi ühe teenuse server, mille downtime oleks mingilgi määral aktsepteeritav.

[vaegkuulja]

[vihur]

Heips,

Kui on huvi i:se ehitada:

http://www.soekris.com/
http://www.countersiege.com/doc/pfsync-carp/
http://www.kernel-panic.it/openbsd/carp/OpenBSD_firewalls.pdf

[vaegkuulja]

[Etz]

[Tanel]

[mikk36]

[Angrist]

Teema tundus läbi lugedes kuidagi Watchguardi promospamm olevat.

Viskasks enda kommi ka sekka. Ütlen ette, et ma pikka aega M$ mees olnud ning sellst ka suht suur M$ eelistamine, kuigi on plju asju ka Nix peal tehtud.

Esimene asi mida tulemüürinduse puhul vaadata on raha.
Ühesõnaga palju maksab see kui etevõttes mingi info ära varastatakse ja palju maksab kui see maha lastakse ja palju sa oled nõus välja käima selle vältimiseks.

Secjuuriti teadaolevalt ei piirdu ainult tulemüüiga vaid on pisike osa sellest, ning kui muudel tasemetel on trvanõuded piisavalt täidetud siis tulemüür niiväga oluline ei olegi. Ok aga tagasi teemasse.

Kodukasutajale on väga hea suvaline ca 1000 kroonine kast nurka ja asi vask.
Ettevõttele ca 10 -20 kasutajat sobib mõni Zywall.
20 - 100 kasutajat on mõttekas kasutada juniperi.

Sellest edasi on juba see, kui tahad saada paremat tulemüüri kas funktsionaalsuse või biokeemia (loe mõttetult raske konfimisvajadus) jaoks.

Cisco puhul on kahjuks Eesti support suht nigel ning ise tehtud linuxi kastiga on jube jama peale admini väljavahetamist. Kunagi oli Barricade üpriski asjalik asi, aga viimasel ajal hääbub kuidagi ära. Watchguardi kohta ma misket kostma ei hakka kuna selle kohta siin niigi palju räägitud ning minu suurimaks küsimuseks on see, et kes seda ka hallata oskaks kui ma adminni vahetada tahan. Vastus kstajaliides on nii lihtne et isegi iga loll saab ellega hakkama ei ole hea sest ma ei taha, et minu müüre ja serverid haldaks mõni loll.


Ise soovitaks ISA-t aga sinna vaja ka asjalikku adminni külge kes teab täpselt mida ta teeb. Isa funktsionalsus tuleb välja enterprisedel kellel ka muidu palju muud M$ sodi kasutusel.

Igaljuhul kui tegemist ISA või mõne Nix kastga siis soovitaksin võtta mõne 5000 seeria xeon prosega raua alla.


Aga igl juhul soovitaksin kõigepealt ettevõtte sees korda teha:

1. Kasutajaõigused paika.
2. Ebavajalikud teenused kinni
3. Viirusetõrje Paika.
4. Masinate tulemüürid käima.
5. Updatemise protsess käima.
6. Failide permisioonid paika. (alates 2003 everyone ei ole enam everone, niiet sellega lihtsam)
7. Paned veel IPSeci käima ja Radiusega Certidega krüpteeritud Wifi ka.

Noh ja siis kui oled need asjad ära teinud on tulemüüri küsimus juba hmm tunduvalt vähem oluline.

Kui kvatsed müüris Layer 7 -t iltreerima hakata siis jälgi, et see layer 7 skännimise süsteem sul hiljem ka attatchmendid ja muu sodi ka õieti kokku tagasi paneks.


Muidugi on tore osta ülimegamüür ning siis Wep-iga wifipurk samasse võrku, või kasutaja koduvõrku ning kasutajakoduvõrk VPN-iga ilusti ettevõte võrgu külge instaleerida

[kpihus]

Noh see et ka loll saab hakkama ei tähenda, et ainult loll saaks hakkama. Saavad ka targad. Lihtsalt õppimis kõver on suhteliselt kasutajasõbralik muud midagi. Üldiselt kannatab juniperi ja watchguardi suhteliselt samase patta panna. Aga lihtsalt watchguardi hallatavus on vähe lihtsam. Samas juniperi tugevuseks peab mainima, et neil lähevad võimsas otsas seadmed kaugemale välja kui watchguardil. Üks oluline erinevus on ka veel see, et WG paneb rohkem rõhku layer 7 skännimisele, samas layer3 ja 4 on ka täiesti tasemel olemas (koos kõikvõimalike kellade ja viledega) juniper tundub, aga rohkem panustavat just 3 ja 4 layeri peal, 7 layerit skännib ka, kui väga vaja. Aga üldiselt kes soovib see proovib, foorumi kaudu nagunii inimesi teise usku ei keera.

[kris28]

Sobida võiks ideaalselt Cisco 2821 masin. Varustatud advanced enteprise softiga. iga kell teeb juniperidele ära. kui kunagi oleks vaja deploida voipi siis on ka asendamatu. odavamad juniperi asjad lihtsalt blokkisid voip Masin suudab ruutida läbi 250mb ja seda vist isegi kryptoga. . sisse on ehitatud vpn akseleraator. lisaks ssl vpn. Tulemyyr on application tasemel, igasugu dosid võb ära usnustada. qos vajab märkimist ning kindlasti inrusion prevention system mis blokib kõik pahalased sisse - välja . näiteks uuema flash viiruse võttis kohe maha masinat saab hallata java interfeisi kaudu ka algaja admin. isendis mis mul on on lisaks 16prt 10/100 ja 1 gibabit layer 3 switch. ehk kruuteril siis kokku 19 porti neist 3 gigabiti. Saaksin sobjekti soodalt myyija või isegi rentida. Samas on odavamalt saadaval ka cisco 7200 ruuter mis on jõudluselt identne kuid 2 100 mbit, muud võimalused on samad va lisaks dubleeritud toited

[kurask]

Nüüd ei viitsi uut teemat teha, aga vaja on purki mis oskaks teha 20-50 vpn tunnelit ja siis otstesse (kontoritesse) purgid mis oskaks ühte tunnelit.


senised variandid:
variant 1) Rb/1000U + Rb/450 - 8000 EEK + 1250 EEK + km
variant 2) ZYWALL USG-200 + zywall 2 plus - 11500 EEK + 2500 EEK + km

ja pakkuge julgelt oma variante.
esimene eelistus oleks mugavus konfimisel.

Ja kui keegi viitsib siis äkki selgitaks mulle mis vahe on ipsec ja ssl vpnil tänapäeval.

lingid:
link
link
http://www.zyxel.com/web/product_family_detail.php?PC1indexflag=20040908175941&display=72723&CategoryGroupNo=E9703FA6-033D-44BF-B0B3-104562A3359B

[High-Q]

üldises mõistes suurt vahet pole, mõlemat kasutatakse samal eesmärgil: võimaldada oma asutuse töötajatel turvaline ligipääs asutuse sisevõrku.
tehniliselt aga on vahe kliendis ja protokollis: kui ipseci puhul peab kasutama eeldefineeritud site-to-site tunnelit või spetsiaalset lõpptarbija arvutisse installitud rakendustarkvara, siis SSL-i puhul piisab keskseadme ülessättimisest ja ühendavaks kliendiks piisab HTTP over SSL toega veebibrauser, millele vastava määratud välisaadressi toksimisel avaneb autentimise portaal.
SSL-il on just lõpptöötaja jaoks mitmeid eeliseid: võimaldab ligipääsu mitte ainult töötaja enda arvutist (vaid ka näiteks AIP-st või netikohvikust), kus muidu oleks ipsec klienti pidanud installima (mida ei lubata ja alati pole softi käepärast); teatud võrkudes (kehvasti ehitatud) võib olla ipsec passthrough olla keelatud või limiteeritud, https-i tavaliselt kinni ei keerata, võimaldab paremini lõpptarbijat enne sessiooni alustamist autentida/autoriseerida ja kontrollida (enamikel tänapäeva äriklassi seadmetel on võimalus enne sessiooni alustamist kontrollida kaugelt lõppmasina tervist: viiruseid, nuhkvara, keylogereid, patche/uuendusi jne.

miinused on: site-to-site lahenduseks vast ssl ei ole mõeldud, seni kindlasti kõrgem "per klient" hind (st maksad sellise mugavuse ja lisafeatuuride eest)

[vaegkuulja]

[Andrus Luht]

On ainult üks kindel ja põhimõtteline vahe SSL ja IPSEC põhistel VPN'idel. See on teise osapoole kindel tuvastatavus. Kui SSL puhul on veel võimalik, et keegi keyloggeriga näppas kasutaja/parooli ning toimetab omasoodu siis IPSEC puhul on PKI põhine osapoolte kontroll ja seansi krüpteerimine ning siin pole keyloggerist ega ka trafficu pealtkuulamisest suurt abi. Turvalisuse aste on tükk maad kõrgem. See on ka peamine põhjus, miks kõrgemat turvalisust vajavad tegelased ei kasuta elades SSL põhist VPN'i.

[vaegkuulja]

[Andrus Luht]

[vaegkuulja]

[oddotriin]

Pean oma praeguses kohas ka Cisco ASA-l põhinevat SSL VPN-i haldama. Tuleb tunnistada, et kohati on selle töölesaamisega päris palju peavalu. Esiteks nagu juba öeldud, on vaja admin õigusi ja õiget firewalli konfi. Seega AIP-d võib mängust välja jätta. Lisaks inimeste enda koduarvutid on tihti nii spagettiks keeratud, et samuti ei pruugi õnnestuda asja tööle saada. Näiteks ActiveX lihtsalt ei installeeru või näiliselt installeerub, aga pärast Add-on komponentide nimekirjas pole ja ühedust ikka tööle ei saa. Lisaks müriaad erinevaid personal tulemüüre, kes üritavad weebibrausimist turvata sajal erineval viisil.
Ehk siis see ilus teooria, et SSL VPN lubab teile ühenduse suvalisest arvutist ei pea paika. Aga just selle argumendiga on antud juhul see siia firmasse maha müüdud

[kurask]

A seda et minul ei ole vaja, et workstation oskaks end autentida kuskile, minul on vaja vaid kontorite vahelisi LANe.

[vaegkuulja]

[Pailaps]

kurask, mitte , et sa mu arvamust arvestad, kuid piilu:

SnapGear SG565, SG580, SG710 mudelite poole, vpn tunneli loomiseks kasutavad seadmed Openvpni. Asi on odav, kuid ropult töökindel, väiksematel karpidel on 32MB mälu, suurematel rohkem.

Openvpn on hetkel vähemalt minule parim ssl vpn tunneli loomise tarkvara. Karpidele jagab tuge McAffe.

[kurask]

mcaffee oma nüüd, a kes neid eestis müüb?

[Osiris]

Jõudu.

Nüüd siis sellise probleemi ees, et kasutatava tulemüüri tootearendus lõpetati ära ja soovitati muretseda uus süsteem.

Kuid kuskohast üldse alustada.

Kuna kõiki tulemüüride võimalustest ei tea siis ei oska neid ka nii tahta.

Kasutajaid oleks nii 100 ringis.

Põhiline oleks rünnete tuvastus (nii sissepoole kui ka väljapoole).
DNS server kindlasti ja spämmitõrje ning viirustõrje.
DMZ võimalus võiks ka olla.

Ehk keegi teadjam annab suuna kätte kuhupoole vaadata ja kuskohast uurida.


Parimat,
PCman

[Andrus Luht]

IPCop üsna hea vabavaraline...

[Osiris]

[kurask]

http://www.clarkconnect.com/ nii tasuta kui tasulised versioonid. Tasutal vist ei olnud piiranguid. mark0 soovitab ka seda.

[Drake]

Nagu ikka - iga li** kiidab oma rahategijat.
Pmst kõikidest nendest vabavara müüridest jättis kõige parema mulje PFsense - täiesti tasuta, arendatakse hoolega, kõik featuurid töötavad ja nagu Checkpointil - tema isaks on BSD/FreeBSD.
Ründetuvastuseks siis Snort IDS ja muidiki huvitavaid mooduleid/pluginaid. Võimaldab normaalselt site-to-site ja client-to-GW vpn-e (openVPN, ipsec), HA võimalus on olemas jne.

Valikuid on ofc veel palju:
smoothwall (suht lihtne), m0n0wall (ka freebsd peale ehitatud), untangle (peaks olema enterprise class ja võimaluste rohke, kuid jõle kohmakas ja aeglane), Endian (kah kohmakas, võimalus võtta appliance, palju featuure) jne jne.

Otsuse tegemiselt võta aga julgelt kõik valikud ette ja testi läbi, eks näis mis sulle sobib. PFsense tundus ainuke mõistlik tasuta "mid-size enterprize" class müür olevat.

d.

[vaegkuulja]