GoldenLine
Zaloguj się
Andrzej Chrzan

Andrzej Chrzan informatyk

Temat: jak dobrać dobry firewall do swoich potrzeb

Witam wszystkich,
jestem początkującym administratorem i potrzebuje pomocy w sprawie doboru firewalla do firmy.
Chce postawić mały serwer WWW w firmie i szukam firewalla-UTM, przy okazji chce zabezpieczyć całą sieć lokalną, ok. 100 komputerów, 2 łącza DSL 8Mb. Mam pare pytań:
1. Czy UTM może pełnić routera?
2. Jak dobrać moc firewalla do swoich potrzeb, dwa łącza 8 Mb chyba nie są dużym wyzwaniem dla UTM. Handlowiec zaproponował mi Fotrigate 110C, jego wydajność jest dość duża i zastanawiam się czy nie jest zbyt mocny, przepustowość IPS ma np. 450 Mbps. Ilość sesji to max. 400 000. Ile sesji może generować jeden użytkownik?
3. Czy jeśli mam modemy DSL to potrzebuje jakiś dodatkowych kart do UTM żeby to działało?

Z góry dziękuje za odpowiedzi, pozdrawiam
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

Zerknij na to :
http://www.synology.com/index.php?lang=default
Dodatki :
http://www.synology.com/dsm/dsm_app.php?lang=plk
Pełni rolę Rutera, Serwera VPN, i dużo innych fajnych ról :-)
Link do wypowiedziLink
Krzysztof Konieczny

Krzysztof Konieczny CEO/Dyrektor
Handlowy, Sun
Capital sp. z o.o.

Temat: jak dobrać dobry firewall do swoich potrzeb

Cześć
Postaram się skleić jakąś odpowiedź i polecić rozwiązanie, które oferujemy naszym partnerom w Polsce.

ad 1 - W większości przypadku tak, UTM-y posiadające zaawansowane rozwiązania do zarządzania usługami i ruchem na portach siłą rzeczy posiadają funkcje routera. UTM-y łączą w sobie wiele funkcji. Tak jak napisał Piotr jest to z reguły router, firewall, VPN, filtr www, antywirus na bramie, czasami nawet antyspam. Podstawą pracy zaawansowanego UTM powinien być mocno rozbudowany routing.

ad 2 - Do tej pory nie spotkałem się z tak zaawansowanymi łączami, które wyznaczałyby granice pracy UTM. W Twoim przypadku ważne jest żeby UTM potrafił sprawnie i wydajnie obsłużyć dwa niezależne od siebie DSL-e. Dobry UTM powinien posiadać technologię multiple internet connections z Load Balancing and Failover (wielowątkowa obsługa kilku łącz internetowych wraz z równowarzeniem ruchu i w razie awarii jednego łącza przełączania usług na drugie).
Co do ilości otwartych sesji jednego użytkownika to sprawa się ma wprost proporcjonalnie do tego w jaki sposób określony użytkownik wykorzystuje różne aplikacje, które komunikują się z usługami na zewnątrz Twojej sieci. Jeden użytkownik może mieć otwartych 10 sesji, inny 100. Nie ma reguły. Administrator dysponując dobrym UTM może określać maksymalną ilość otworzonych przez użytkownika sesji. Duża ilość otwartych sesji u mało zaawansowanego użytkownika może (podkreślam może) świadczyć o tym że coś ze stacją jest nie tak i np. na działa tam jakieś złośliwe oprogramowanie, które komunikuje się na zewnątrz.
ad 3 - Wystarczy modem :)

Ja polecam Kerio Control (wcześniej nazywał się Kerio WinRoute Firewall a jeszcze wcześniej WinRoute Pro). W chwili obecnej to UTM w wersji software dla platform Microsoft, VMware, software appliance i normalny UTM w formie appliance

Część informacji w pl znajdziesz w PDF:
http://www.suncapital.pl/pdf/Datasheet_Control_7_PL.pdf

więcej na stronie:
http://kerio.suncapital.pl/index.php/jednolite-bezpiec...

W przypadku pytań - zapraszam.
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

http://www.netfilter.org/
+
http://homestore.cisco.pl/
+
http://apache.org
+
http://www.mysql-apache-php.com/
+
http://www.beskid.net/~wladek/linux/apache2.html

Tyle w kwesti podstaw tematyki. Co do utm zgadzam się z panem Krzysztofem Koniecznym.

Żadna sieć podłączona do internetu nie jest siecią bezpieczną. Bezpieczeństwo to temat rzeka. Najpierw skonfiguruj sprzętowo. W kwestii pytań codo bezpieczeństwa podanego softu i jak to zrobić, żeby zdenerwować intruzów, jestem dyspozycyjny.

Co do bezpieczeństwa komputerów z systemem Microsoftu, żaden nie jest bezpieczny. Zobacz:

http://www.cert.gov.pl/portal/cer/8/91/Podszywanie_sie...

Zobacz także, że żaden firewall, antywirus, anyspam, antymalware nie filtruje "zaufanych" aktualizacji automatycznych. Za ich pomocą, systemy Microsoftu pozwałają robić co tylko chcesz. Są one "zaufane" dla reszty oprogramowania. Zreszta pamiętacie SP3 dla WindowsXP? ;)
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

AD 1 tak
AD 2 Dane w tabelkach to jedno, natomiast przy włączonych i prawidłowo skonfigurowanych modułach IPS, antivirus, application control, DLP to ten model może być za słaby. Lepiej kupić trochę lepsze urządzenie i wykorzystać wszystkie funkcje jakie oferuję, a niżeli męczyć się później z wydajnością.
AD 3 Do Fortigate-a nie trzeba żadnych kart.Michał Wojtkowiak edytował(a) ten post dnia 27.03.12 o godzinie 21:24
Link do wypowiedziLink
Paweł C.

Paweł C. ,

Temat: jak dobrać dobry firewall do swoich potrzeb

Michał Wojtkowiak:
AD 1 tak
AD 2 Dane w tabelkach to jedno, natomiast przy włączonych i prawidłowo skonfigurowanych modułach IPS, antivirus, application control, DLP to ten model może być za słaby. Lepiej kupić trochę lepsze urządzenie i wykorzystać wszystkie funkcje jakie oferuję, a niżeli męczyć się później z wydajnością.
AD 3 Do Fortigate-a nie trzeba żadnych kart.


Twierdzisz, ze FGT-110C jest zbyt slabe dla okolo 100 userow????
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

opensource utm:

http://www.pfsense.org/
http://www.untangle.com/
http://www.endian.com/

i
http://m0n0.ch/wall/
http://www.ipcop.org/Marek Trebicki edytował(a) ten post dnia 04.04.12 o godzinie 09:53
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

Znowu odkopuje ten stary temat. Miało być o firewall-u, ale pamiętajcie, że jeśli wychodzi atak, atakuje się nie zaporę a usługi. Jeżeli hacker wie co atakuje, powiedzmy httpd z php czy dot.net, tomcata, wybrany serwer ftp, wybrany serwer email, wybrane jądro systemowe, wybrany system operacyjny, etcetc, atak na 100% się powiedzie(nie mówimy tutaj o dzieciakach skryptowych).

Dając do publicznej wiadomości(np. skan nmapem, użycie netcat czy telnet), stajesz się sam potencjalną ofiarą. Pamiętaj, że jeśli ściągasz opensource, co jest lepsze od ściągnięcia wersji binarnych, dostajesz źródła. Pamietaj, zanim wykonasz polecanie ./configure, make i make install(w przypadku linuxa), troszkę te źródła pozmieniaj, a przede wszystkim odpluskw je, przeleć jakimś odpluskwiaczem. Dopiero potem buduj oprogramowanie i je konfiguruj.

Bardzo dobrym wyborem oprogramowania na serwery jest SUSE Enterprise Server. I to nie reklama. Stracisz dane, włamią Ci się do sieci i kto za to odpowie? W przypadku dystrybucji open, jak openSuse, Fedora, Debian, Ubuntu, etcetc nikt. Innym rozwiązaniem jest komercyjny solaris od oracle i serwery komercyjne oracle.

To jest z grubsza poruszony temat bezpieczeństwa usług. Więcej nie napisze, i tak już za dużo napisałem. Na czymś muszę zarabiać jednak ;)
Link do wypowiedziLink
Pierre W.

Pierre W.

Temat: jak dobrać dobry firewall do swoich potrzeb

Adrian Stolarski:

To jest z grubsza poruszony temat bezpieczeństwa usług. Więcej nie napisze, i tak już za dużo napisałem. Na czymś muszę zarabiać jednak ;)

Dla mnie to bardziej zbiór półprawd i innych niedorzeczności :)

pozdrawiam

PK

PS : Masz racje, za dużo już napisałeś :)
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

Dlaczego półprawd i niedorzeczności? Jeżeli chodzi o dyskusje i konstruktywną krytykę jestem otwarty. Skanuje twój system, widze httpd-2.4.1, wchodze na rynek rosyjski, kupuje zero-day exploit plus kilka backdoorow na poziomie jądra systemowego. Najprostsza droga.

Ale masz racje za dużo pisze. Robię testy penetracyjne i pomagam zabezpieczac systemy, ale tylko jak mi za to płacą.
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

Adrian Stolarski:
jakich odpluskiwacza urzywasz?

ps,
RotflOnline.pl wyglada na niezle zabezpieczona przed publika ;)
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

ps,
RotflOnline.pl wyglada na niezle zabezpieczona przed publika ;)

Luz tam mialo być coś innego, pojdzie w ciągu miesiąca coś innego. Tam jest hosting na php, obecnie twra migracja na java. Tam poleci najprawdopodobniej na dniach jakies rowiązanie w kwestii reklamy. Jednak PHP jest to PHP. Bardzo małe możliwości. A może domena zostanie...

W kwestii nowej wessji rotfla,, rozważaliśmy dot.net i java. Jednak zdecydowanie java lepsza. Raz napisana klasa wykoryztsasz i w jsp, i Rich Ajax Platform i Rich Client Platform, w aplikacjach desktopowych, aplikacjach na smartphone, tablety, terminale, a nawet wrzucisz do maszynki gdzie wrzucasz monete a dostajesz gume balonową ;)

Co do opluskwiaczy, własnych nie podaje jeszcze, ale jest dużo oprogramowania komercyjnego. Są zestawy testów, które większości przypadków wystarczają. Przeważnie sie pisze coś, co szuka wadliwych funkcji, w [przypadku php niezabezpieczonych zmiennych. Niektore zestawy testów sugerują także co zmienić, aby to lepiej i bezpieczniej smigało.

Ps. jak keidys w kwestii pracy inzynierskiej, chcialem pokazac autohackera, nikt mi nie chciał promować tego kodu. Myślę że nie chcieli wchodzić w temat SI iprogramowania neurologistycznego.

Ps2. Sorry za lakoniczna odpowiedź, ale dzisiaj nie mam formy już, żeby coś napisać. Panie Marku, jeśli chce pan nazwy narzedzi komercyjnych, postaram panu się je na dniach napisać.

Ps3. szczerze doradzam wszystko trzymacć poza firmą, np. podpisać umowę z Oracle, SUSE czy IBM na obsługę firmy. Będzie to tansze niz zatrudnienie gromady informatyków,a bezpieczeństwo będzie utrzymane na bardzowysokim poziomie. Innym rozwiązaniemjest wejście na jakąś dziką architekturę: stary ibm os/2, BeOS, czy plan9.

Ps.4 Jeżeli pokażecie swiatu, czego używacie, cona jakim porcie pracuje, jaki macie system operacyjny, etcetc, sami sie prosicie o atak. Pretensje wtedy można mieć tylko do siebie.
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

Rozruszam ten temat specjalnie dla pana Marka Trebickiego. Z testowanie to raczejzaczynam od przeglądów kodu, a potem oczywiście testy jednostkowe, funkcjonalne. W testowaniu i przeglądach specjalizuje się parę firm od Parasoftu (http://www.parasoft.com/) zaczynając a na Smart Bear (http://smartbear.com/) kończąc. Jeżeli np. chodzi o testowanie PHP, polecam każdemu dwa produkty:

Selenium(http://http://seleniumhq.org/) i Jenkins. A najlepiej Jenkins i https://wiki.jenkins-ci.org/display/JENKINS/Selenium+Pl....

W razie dalszych pytań o narzędzia do zautomatyzowanych testów, proszę o prywatne wiadomości.
Link do wypowiedziLink

konto usunięte

Temat: jak dobrać dobry firewall do swoich potrzeb

Adrian Stolarski:

a dziekuje!!
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

jaki firewall?




Wyślij zaproszenie do
Anuluj