Firewall - IPCOP -> BSD/Mikrotik

[lumka]

Zdravim,
rad bych si zde udelal takovy pruzkum tykajici se pouzivani ruznych firewallu. V zadnem pripade nechci rozpoutat zadny flame...

Provadel jsem pro znameho takovy "mensi bezpecnostni audit" v jedne male firme o ca 35 stanicich a 3 serverech (vse Windows), jako firewall slouzi prastary neudrzovany IPCOP na pofidernim zeleze.

Nyni padla idea tento stary kus srotu vymenit za spolehlivejsi a bezpecnejsi reseni. Osobne mam zkusenosti s placenymi firewally velkych hracu na trhu. Nicmene pro malou firmicku je resenim vydat se do neceho s malymi naklady ci takrka nulovymi za pouziti nektere z modifikovanych distribuci BSD atd...

Otazka na vas zni, jake distribuce pouzivate pro mensi firmy o priblizne stejnem poctu stanic? Mate zkusenosti s MikroTikem, pouzivate jej nekde? (MikroTik se mi celkem libi, ale jeste jsem jej nikde neimplementoval)

Pro upresneni:
pocet stanic a serveru za firewallem: 35, 2
max download/upload ve spicce: 25 Mbps/20 Mbps
nutnost filtrovani p2p a vybranich webovych stranek
nejlepe vytaceni VPN na firewall (neni podminkou)
co nejlepsi uroven zabezpeceni, podpora, aktualizace softu
ucelene reseni ala MikroTik nebo varianta postaveni zeleza a naliti nejakeho firewall distra


Dekuji

[Reklama]

[IDDQD]

*BSD?

[Pavel 'TIGER' Růžička]

Ono, když se to vezme horem dolem, tak by stačilo dát aktuální verzi IPCopu třeba do nějakého virtuálu. Když se to správně nastaví, tak to dělá to co má. Dnes už jsou i lepší distribuce. Mrkni na Distrowatch, tam toho je dost.

[Mirek Prýmek]

Sice bych byl rád za další BSDčkový počítač v provozu ale na tohle určitě ten Mikrotik. Je docela nepravděpodobný, že by potřebovali něco, co by MK neuměl, a dají se tam celkem jednoduše nastavit i trochu pokročilejší věci jako třeba shaping, což se může hodit.

[Pavel 'TIGER' Růžička]

No a co se týče nastavení Mikrotiku, neboj se toho, není to nic, co by se nedalo zvládnout. Navíc, všude se povalují nějaké návody

[Reklama]

[TomBA]

Roky používam a som spokojný s PFSense (firewall distribúcia postavená na BSD).

Napríklad u jedného klienta 1xPCiExpress doska so 4x1GBit Ethernet (predtým 1xPCI doska so 4X100MBit ethernet) + 2x onboard 1GBit.
Micro ATX, i5, malý SSD, dobrý Seasonic zdroj.
Mala spotreba, tiche, veľmi výkonné a rozširovateľné riešenie.

Routuje to 100MBit obojsmerne pre cca. 50 - 100 klientov (v priebehu dňa sa to mení) a cca. 5 serverov.
Na LAN strane je 5 sietí.
Sú tam otvorené stotisíce session.
Beží na tom OpenVPN server, squid server pre vačšinu tých LAN.
Vynikajúce rrd štatistiky, všetko jednoducho konfigurovatelne.

Za roky sme to postupne rozširovali do tohoto stavu, naprieč asi troma hlavnými verziami a x menšími aktualizáciami. Konfiguráky stále fungujú....
Pre tvoje potreby to postavíš na ľubovolnom malom atx stroji....

[lumka]

S PFSense jsem jiz mel cest, vypada moc slibne.

Libi se mi Mikrotik, dle prvniho dojmu relativne jednoduche nastaveni, plno fci. Jen by me zajimalo, zda koupit licenci a postavit nejake zelezo nebo zda poridit jiz nejaky routerboard s krabickou do racku. A pripadne jaky routerboard, aby utahl takovyto provoz. Nejak se tim budu muset zaobirat vice, Mikrotik se zda byti zajimave reseni za zajimave penize.

[M.]

Nějaké miniITX PC s ROS licencí toho umlátí víc, než Mikrotik hardware. Nicméně pro uvedené podmínky v zadání by mohl stačit RB2011, který se prodává i v rack verzi RB2011UAS-RM cca za 2 kKč. Ta RB2011 by  se ale mohla trochu zadýchat u toho VPNka. Pak s dostatečnou rezervou je RB1100AHx2 v racku, ale to je už 6 kKč, která má i HW podporu pro IPsec (starší a nedostupnou slabší variantu RB1100AH používám běžně na šifrování 100 Mbps linek).

[snajpa]

Uz bych mikrotik hardware do racku nebral, pokud od toho chces spolehlivost. Umiraji tomu zdroje (zkusenost s 1100AH, 1100AHx2 nekolik kusu). Also 1100AHx2 maji nejaky problem s TCP spojenimi (myslim primo z toho routeru, napr. SSTP tunel - ma silene nizkou propustnost, je potreba si pohrat poradne s nastavenim hw queues).

Doporucuju postavit si libovolnou x86 masinku s rozumnymi sitovymi cipy (cokoliv co podporuje linuxovy driver igb je sazka na jistotu) a nahrat tam RouterOS.

Je s nim ~0 starosti a starosti s HW si jde usetrit vhodnou volbou hardware.

CloudCore routery zatim nemuzu moc doporucit, RouterOS je na nich nedoladeny (napr. mi nefunguje poradne zadna forma sifrovaneho tunelu, i kdyz to meli v nedavnych 6.x opravit, porad to dela problemy).

[netinstall]

Mikrotiku bych se raděj velkým obloukem vyhnul. Na první pohled sice vypadá velmi líbivě, v reálu po delším používání však člověk zjistí, že to je neskutečná s*ačka. Mikrotik HW je neuvěřitelně nekoncepční. Namátkou bych uvedl, že např. klientské zařízení za pětikilo má voltmetr a teploměr, infrastrukturní deska za 8 tisíc nemá nic, RB800 má slaby zdroj, takže pokud je plně osazená wifi kartičkama tak se restartuje, na ether kabelu je potřeba ořezat flexo z konektoru aby bylo možne zavřít "dvířka" kryjící konektory, nevyhovující rozsah pracovních teplot, kvanta drobných detailů, která celek naprosto kazí. Mikrotik SW (někdy se mu říká RouterOS) je též problém, především plný bugů (Stačí sledovat nějaké to WHATISNEW nebojakstojmenuje a člověk pochopí. Nová verze 6.x je toho zářným příkladem, předchozí na tom nebyly jinak.) a také má tu vlastnost, že se za určitých okolností (které se nám doposud nepodařilo vyspecifikovat) začne chovat, jak to jenom říct, stochasticky. Např. jsem zažil, že firewall začal z ničeho nic dělat naprosté nesmysly, NAT začal natovat nesmyslné adresy apod. Vypomáhám s administrací sítě jednoho lokálního WISPa, je tam cca 150 zařízení a s kolegou jsme z Mikrotiku na větvi dnes a denně. Jsem zvědavej jaký překvápko nás čeká zítra po ránu...

[Pavel 'TIGER' Růžička]

S krabičkama bývají vždycky o něco větší problémy, než se stroji na míru. Sám si psal, na jakém železe běží ten IPCop, spíš už topné těleso, že? :-D A stroj běží a funguje. Právě takovou nějakou spolehlivost potřebuješ. A to žádná krabička nedá.

[Pavel 'TIGER' Růžička]

Mikrotiku bych se raděj velkým obloukem vyhnul. Na první pohled sice vypadá velmi líbivě, v reálu po delším používání však člověk zjistí, že to je neskutečná s*ačka. Mikrotik HW je neuvěřitelně nekoncepční. Namátkou bych uvedl, že např. klientské zařízení za pětikilo má voltmetr a teploměr, infrastrukturní deska za 8 tisíc nemá nic, RB800 má slaby zdroj, takže pokud je plně osazená wifi kartičkama tak se restartuje, na ether kabelu je potřeba ořezat flexo z konektoru aby bylo možne zavřít "dvířka" kryjící konektory, nevyhovující rozsah pracovních teplot, kvanta drobných detailů, která celek naprosto kazí. Mikrotik SW (někdy se mu říká RouterOS) je též problém, především plný bugů (Stačí sledovat nějaké to WHATISNEW nebojakstojmenuje a člověk pochopí. Nová verze 6.x je toho zářným příkladem, předchozí na tom nebyly jinak.) a také má tu vlastnost, že se za určitých okolností (které se nám doposud nepodařilo vyspecifikovat) začne chovat, jak to jenom říct, stochasticky. Např. jsem zažil, že firewall začal z ničeho nic dělat naprosté nesmysly, NAT začal natovat nesmyslné adresy apod. Vypomáhám s administrací sítě jednoho lokálního WISPa, je tam cca 150 zařízení a s kolegou jsme z Mikrotiku na větvi dnes a denně. Jsem zvědavej jaký překvápko nás čeká zítra po ránu...

A co bys chtěl, máš to v názvu ... mikro tik ... až se nabažíš, tak z toho budou makro tiky. ;-D Ono se to dá postavit o dost levněji a na leččems. Třicet počítačů v pohodě utáhne i virtuál na serveru. Ono se to často také nesmyslně předimenzovává vzhledem k internetové konektivitě ...

[M.]

Nepodléhejte iluzi, že teď je tam PC, které 10 let jelo, a že nové pojede také 10 let, zdechne úplně po stejné době, jako ta MK krabička. To se dneska nenosí, dělat věci tak, aby vydržely.
U MK je tradiční problém kondíky, jakmile je trochu víc v teple, nafouknou/vytečou za 2 roky, stačí je vyměnit a jede se dál (druhá nejčastější věc je odpálený ethernet, ale to se týká ISPíků, co to montují po střechách/půdách).
Ostatní se sere přibližně podobně, jako cokoliv jiného (vycházím z pohledu na síť s tisícovkou krabic, kde jsou RB, Cisco, Juniper). I to množství chyb a problémů je relativně obdobné u řady platforem, každá má svého démona. :-)
Jo, že vyrábí občas dosti nelogické krabičky je pravda, zkrátka když jedna konečně jede, tak ji obrací na X způsobů.

Stále si myslím, že pro dané zadání a 25 Mbps je to RB2011 v racku velmi rozumná volba. Pochybuji, že za 2.000 Kč seženu ekvivalentní PC v 1U do racku. U toho RB2011 vidím jen to VPN slabinu, ten CPU toho moc neušifruje, záleží na použité VPN technologii.
Varianta virtuální router je možnost, ale moc bych nepřeháněl, občas se to nechová nejlépe. I to Cisco, které prodává teď virtuální routery jako hotový image (CSR 1000V), tam má řadu ale. Hlavní je, aby virtualizační HW/platforma měla síťovky s hardwarovou virtualizací (). Ale pro danou úlohu a těch 25 Mbps by to mělo být také OK s čímkoliv.

[Pavel 'TIGER' Růžička]

Když si to PC sestaví a nekoupí žádné z těch, co cpou výrobci do obchoďáků, tak nevidím důvod, proč by deset let nemohlo jet. Když se mu dá ta správná péče ....

[TomasP]

Též bych asi využil MikroTika, pro tento trafic je to dostatečné, jen s tou VPN se asi trošku zadýchá, pokud to bude v nějaké hůř chlazené mistnosoti, tak stačí přidat nějaký malý ventilátor a je pohoda, stavět pro to nový HW se mi zdá trošku přehnané.