IDS/IPS/FW řešení pro hosting

[piter_sk]

Zdravim,

potreboval by som odporucit riesenie ids/ips/firewall pre hostingovu firmu. Datovy objem ktorym manipulujeme sa pohybuje okolo 1Gbps, puntualne 2Gbps a mame dobre nasliapnute na rast. Dost nam zalezi na pps, v beznej premavke sa pohybujeme okolo 150Kpps rozdelenych medzi 4 FW, ale cim dalej tym castejsie nas trapia utoky, ktore by sme chceli zastavit, alebo aspon uregulovat tymto systemom. Zacali sme pozerat produkty cisco, juniper, fortinet, watchguard etc..., ale z jednania s obchodnymi zastupcami moc mudry niesom, kazdy chvali svoje, malokto mi povie na rovinu kolko pps znesie ten ktory system atd. Urcite budeme testovat zapozicane kusy od roznych vyrobcov, ale skusenosti z praxe su to co nam neda ani testovanie, ani obchodni zastupcovia...

vdaka

[Reklama]

[Rootless Rooter]

mrkni sa na Sourcefire NGIPS

[Rhinox]

Ja osobne s tim skusenost nemam, vim jen od kamarada kterej taky dela v mensi hostingove firme ze pouzivaji reseni od Cisco (ASA) a jsou spokojeni (az na tu cenu a licencovani). Jestli se nepletu, nedavno Cisco uvedl na trh novou serii "next generation firewall" 55**-X a kamarad rikal ze se to da koupit za nakou zavadeci cenu ktera je snad nizsi nez starsi generace. Predtim tam mel neco od juniperu a pamatuju ze na to hodne nadaval...

[Rootless Rooter]

IDP od juniperu je docela peklo - sialene licencne/cenove podmienky,cely ten IDP engine je mimoriadne nestabilny,management je mozny vyhradne cez java-based NMS...
testoval som ich IDP 800  - nic moc...

[piter_sk]

mrkni sa na Sourcefire NGIPS

zaujimave, mrknem to. vdaka

[Reklama]

[Croo]

Checkpoint, mají vynikající GUI, přehledné a taky možnost centralizované správy více FW.

[Rootless Rooter]

checkpoint - dalsi z rady 'all-in-one' vyrobkov :[
asi je uz vazne prec doba,kedy fw bola jedna krabica,idp/ids druha,web proxy dalsia,atd... - ale kazda si to svoje robila na plny vykon a kvalitne.
problem je,ze OP potrebuje zaclenit IPS/IDS system do stavajucej infrastruktury a checkpoint asi nebude ta spravna volba,kedze v sebe integruje prvky,
ktore OP[tazatel] uz v infrastrukture ma [FW/proxy/AV/VPN...]
ale zda sa,ze takto je uz 'trend' nastaveny - takmer kazdy hrac na poli IDS/IPS uz ma to 'svoje' riesenie a ponuka ho ako 'UTM' ci 'NGFW/NGIPS' ...

[Rootless Rooter]

odpovedam sam sebe,ale neva - silno by som doporucil produkty od firmy Vyatta.
http://www.vyatta.com/product/vyatta-network-os/x86-servers

[piter_sk]

checkpoint vyzera zaujimavo, posuvam dalej. Ale na druhu stranu mam tiez strach z all-in-one rieseni - hlavne koli impaktu pokazeneho hardwaru. Vyatta je zaujimava, ale po pokusoch s linuxami na x86 cpu uz asi taketo riesenie neprejde. beztak to kuknem a pohladam feedback , ze co na to ostatny.
vdaka.

[Rootless Rooter]

vyatta je sice debian-based ale okrem community [free] verzie maju hw boxy za $$$,s plnou podporou.
ja by som sa toho nebal.
len pre zaujimavost - cca pred pol rokom som testoval vyatta 6 core proti juniper ssg550m za ucelom zrovnania vykonu IPSec VPN.
vyatta vyhrala s prehladom - vdaka podpore AES-NI instrukcnej sady pre Intel CPU mala vykon o 30-35% lepsi [AES-256-CBC/SHA1 tunel]

[mmm]

Checkpoint je mozne ruzne licencovat, je to urcite na jednani s obchodniky. Pokud nechcete/nepotrebujete IPS/AV/IA/CF funkcionality tak muzete urcite vzit jen zakladni licence kde je primarne FW/NAT. Pak bude i prostupnost FW mnohem rychlejsi. Mohu se pripadne pokusit doporucit dodavatele reseni Checkpoint nebo Fortinet se kterym je mozne probrat detaily ohledne propustnosti ze skutecneho provozu a licencovani. [mike at pcking dot cz]

[j]

Obecne cisco - funguje, pokud nastaveni vyhovuje tak roky bez problemu. Potiz byva s novinkama, ktery cisco implementuje tak nejak ... (IPv6 trebas ...) cena je ponekud ... vyssi. Pokud pak potrebujes nejakou ne uplne standardni konfiguraci, doporucuju se poinformovat primo na ni, klido se ti muze stat, ze nasledne zjistis, ze neco takovyho proste nastavit nelze ... (a to klido presto, ze to umi kazda blba krabka za par stokorun).

Ale pokud ti jde o reseni utoku, mel bys to predevsim probrat se svejme pripojovatelema, poinformovat se, jaky technologicky moznosti jsou na jejich strane a tomu prizpusobit nakupy. Bez spoluprace s nima tak jako tak driv nebo pozdejs narazis na stav, kdy to snina resti budes muset ... a pak trebas  narazis na to, ze tvoje vybaveni neni tak uplne kompatabilni.

[piter_sk]

Cisco vnimam ako "isty pich", akurat mam strach presne z toho co pises, ze sa nebude dat nakonfigurovat a okrem toho scriptovanie z dola (z lokalnych firewallov) je o dost zlozitejsie podla toho co mi vypravaju.
Co sa tyka toho checkpointu, zaradili sme ho do vyberu, uvidime ako dopadne pri priamom porovnani s ostatnymi (ostatni su watchguard, juniper, aj ked ten je len do poctu, fortinet, cisco a zoznam rastie), kontakt na miestneho obchodnika si vyhladame sami, jelikoz som v zahranici
dakujem za rady.