NetASQ of Cisco voor hardware firewall *

Ik ben nou niet zo weg van de webinterface van Cisco. In mijn ervaring is deze niet afdoende en voor het echte werk kun je beter terugvallen op de telnet interface.

Ik kan je helaas niet zoveel vertellen over de Layer 7 ids.

De reden dat NetASQ goedkoper is dan Cisco, komt doordat je bij Cisco oa voor de naam betaald. Verder is NetASQ gebasseerd op Linux.

Ik heb geen praktijk ervaring met NetASQ, maar de specs zijn erg goed (en inderdaad vaak beter dan Cisco).

Op mij kwam je start post over alsof je zeer veel belang hechtte aan een web interface, misschien dat je beter iets kan rephrasen ? Waarom wil je webben als je ook cisco telnet ervaring hebt

Omtrend IPS nog een verklarend linkje gevonden :
http://www.nedsecure.nl/i...er_belicht.html~NSCcenter

Na wat kort leeswerk vraag ik me af of een los inline ips/ids systeem misschien niet veel beter is dan de ips functionaliteiten van de Pix 506-e

Upgraden van de firmware automatisch? Hier niet hoor.

Ik denk ook niet dat het uberhaupt wenselijk is wanneer zoiets uberhaupt mogelijk zou zijn. Dit zou namelijk betekenen dat er altijd een backdoor in de firewall zit. Net zoals het onwenselijk is dat de leverancier van je hardware erin zou moeten komen.

Ik had het over onze Cisco firewall. Ook tijdens mijn PIX advanced firewall training heb ik niets gehoord over het automatisch updaten van de firmware.

Ik heb geen ervaring met de netASQ, maar wel met de PIX. en als je dat ding is niet (goed) te configureren met de webinterface. Als je met die pix aan de gang wilt, zul je de commandline in moeten duiken.

niet dat het uit maakt, want of je het via de webinterface configureert of cia de commandline, je zult het concept moeten snappen waar je mee bezig bent. Of je dat via de cli of via de web doet, maakt kwa moeilijkheid niet uit.

Layer 7 IDS is toch vrij gecompliceerd? Volgens mij moet de firewall of IDS overweg kunnen met het gebruikte protocol, kan dit uberhaupt met de software die jullie gebruiken?

Verder denk ik dat VPN en IDS los van mekaar staan. Zo lang de tunnel opgebouwd is en van voldoende beveiliging is voorzien, zal IDS niet veel toevoegen. Het probleem van VPN is dat je client de meest zwakke schakel is, tenzij aan beide kanten een firewall met IDS staan. IPS/IDS lijkt mij meer van toepassing voor attack direct op jou firewall.

[ Voor 52% gewijzigd door Abom op 10-03-2005 13:44 ]

zover ik begrepen heb heeft de netasq firewall een ssh mogelijkheid en in de datasheets kan ik ook een rs-232 serial poort terug vinden.
en je kan schijnbaar ook een java programma van de ips firewalls af sleuren om platform onafhankelijk je firewall te configureren
bij mijn stage bedrijf gebruiken we alleen netasq firewalls in diverse varianten

[ Voor 24% gewijzigd door lordgandalf op 10-03-2005 21:15 ]

Ik snap je afwegingen niet zo. Je zegt dat de NetASQ meteen afvalt omdat die voornamelijk gericht is op thuisgebruikers. Als dat zo is waarom nog dit topic?

Als de NetASQ wel in staat is aan je VPN wensen te voldoen is de doelgroep geen reden om de NetASQ niet te willen gebruiken. Zoveel meer functionaliteit zit er niet in zwaardere firewalls en als je die functionaliteit al helemaal niet nodig hebt is het zowiezo geen reeel bezwaar.

Wel kun je je afvragen of de throughput van de NetASQ hoog genoeg is om je VPN verkeer te verwerken. Met 20 gebruikers zit je wel ongeveer aan de limiet die het apparaat ondersteund (de documentatie adviseert max 10 gebruikers, daar kun je vast wel iets overheen maar het is wel iets om rekening te houden) De throughput van de Cisco is met 16Mbit trouwens vergelijkbaar (mits NetASQ ook meet met 3DES) en ook daar zit je met 20 gebruikers redelijk aan de limiet. Voordeel is wel dat de cisco veel meer gelijktijdige connecties aankan. De vraag is dan weer wel of je dat ook nodig hebt. Hoeveel gebruikers zullen er daadwerkelijk via de firewall verbindingen opzetten?

Eigenlijk is het grote nadeel van de NetASQ ten opzichte van de Cisco (even afgezien van de subjectieve beoordeling van de reputatie van het merk) het ontbreken van een webinterface. Daar staat een Java interface tegenover. De kwaliteit van die interface kan slecht zijn maar ook juist erg prettig werken, zonder hem gezien te hebben valt daar geen zinnig woord over te zeggen, net zomin als over de kwaliteit van de Cisco webinterface. Mijn ervaring met de webinterface van Cisco is trouwens dat deze niet altijd even goed de gegevens die via de CLI zijn ingegeven weergeeft. Het door elkaar heen gebruiken van de Webinterface en de CLI is wat mij betreft dan ook niet echt aan te bevelen.

Qua VPN performance zitten beide firewalls zo'n beetje aan de grenzen van de mogelijkheden. Als de 20 gelijktijdige(!) VPN gebruikers ook makkelijk 30 gebruikers kunnen worden heb je hier een probleem.

Wat betreft IDS mogelijkheden maakt het natuurlijk niets uit of men wel of geen VPN gebruikt. Als een trojan rare dingen gaat doen moet het IDS het detecteren, ongeacht of er wel of geen VPN gebruiker bij de zaken betrokken is. Wel is het zo dat VPN gebruikers vaak buiten de controle van de systeem administrator vallen waardoor de kans bestaat dat de gebruikers thuis geen goede Antivirus producten gebruiken en die via het VPN op het bedrijfsnetwerk introduceren. Maar het is maar de vraag in hoeverre een IDS hier echt een oplossing voor is. Je kan het wat mij betreft vergelijken met het alarm aanzetten maar de voordeur open laten staan. Ja, je wordt gewaarschuwd als er iets gebeurt maar ondertussen zijn je spullen wel weg. Beter is het om (ook) een goed Antivirus software gebruik thuis af te dwingen. Ditzelfde geldt trouwens ook voor een WLan. Ook daar kunnen gebruikers met slecht beschermde computers op het netwerk komen.
Bij ons wordt bij VPN en WLAN gebruikers automatisch gecontroleerd of de antivirus software aanstaat en up to date is. Zo niet, komen ze het netwerk niet op. Bot, maar wel zo veilig.

Tot slot de vraag waarom Cisco zoveel duurder is. Dat heeft gedeeltelijk met service en kwaliteit te maken, maar ook omdat consultants vaak standaard Cisco adviseren. Mensen zijn bereid veel te betalen voor een Cisco apparaat, dus vraagt Cisco veel. Wel kun je je afvragen of de besparing zinvol is. Bedenk dat de firewall zo'n 3 jaar mee moet gaan (vaak meer, maar goed) en dat als de NetASQ meer problemen heeft als de Cisco firewall er regelmatig gebruikers met problemen geconfronteerd gaan worden. In dat geval is het initiele prijsverschil snel terugverdient aan minder consultancy, minder verloren uren op de meest onmogelijke momenten en ook altijd prettig, minder stress bij het personeel. Enkel om die reden zou ik in ieder geval geen sweex router neerzetten Maar of de NetASQ inderdaad meer problemen oplevert als de Cisco zou ik niet weten. Maar als de organisatie graag Cisco wil, moet je erg veel goede argumenten hebben om met iets anders te komen.

Verder is het bij ons een platvorm en heeft het volgens mij een hardware 3des key generator aan boord
Hier werken 25 thuiswerkers, die foto's uploaden en citrixen. Meestal zitten er 10-15 gelijktijdig te werken en dat gaat redelijk, wat minder als er veel geupload wordt, natuurlijk, 2,3 mbit halfduplex is gewoon te weinig en glasvezel te duur.
NetASQ support is erg goed, die fransen begrijpen ook wel dat ze geen naam hebben dus moeten werken voor de kost.
Wij doen alles met AES en nog staat die netasq voor 98% te idlen.
Performance van de NetASQ zal het niet zijn. Tools zijn duidelijk, alleen windows gebaseerd, althans degene die wij gebruiken. Ook is het zo dat kame (free en netbsd ipsec-vpn) een van de meest flexibele en meest compatible ipsec implementaties is die er is. Ik weet niet wat mac osx's eigen ipsec implementatie is maar kan makkelijk zijn dat die geport is van freebsd (net als linux in de 2.6 gedaan heeft), dus dan hoef je die vieze ipsec clients van cisco niet te gebruiken. Zoek anders eens contact met NetASQ......

[ Voor 23% gewijzigd door Bas! op 14-03-2005 15:28 ]

Ikzelf heb 2 cursussen voor de NetASQ gevolgd. ADMIN en EXPERT, deze heb ik beide overigens gehaald. Ook ben ik bekend met de Cisco.

Ik kan 1 ding zeggen deze firewall is geweldig. Super interface en zeer betrouwbaar. Ik vind hem beter dan de Cisco.

Bij de Cisco is het zo dat command line een must is om te kennen.
Ook qua support. Hier is NetASQ ook zeer goed in.

[ Voor 28% gewijzigd door danny230681 op 29-03-2005 12:12 ]

Je zou ook kunnen overwegen om niet zomaar op het publieke Internet aan te sluiten, maar op een besloten zorgnetwerk. Op zo'n moment hoef je je minder zorgen te maken over de veiligheid.
Bovendien kan een gezondheidscentrum dan gebruik maken van additionele diensten. Denk aan het electronisch versturen van receptberichten, het ontvangen van labuitslagen vanuit ziekenhuizen of het raadplegen van verzekeringsmaatschappijen. Overigens is het niet zo dat elk zorgnetwerk dezelfde dienstverlening heeft. Het is aanbevolen om in eerste instantie contact op te nemen met de softwareleverancier van het gezondheidscentrum - vaak hebben zij een advies om aan te sluiten op óf een regionaal initiatief (zoals www.rheco.nl in de regio Eindhoven) of op een landelijk initiatief (eHealthNet of www.ezorg.nl).

[ Voor 4% gewijzigd door Verwijderd op 29-03-2005 19:01 ]

Of je neemt al je DSL verbindingen af bij dezelfde ISP en vraagt of ze die in een VRF-VPN kunnen stoppen. Dan kun je alles aan elkaar knopen zonder via het publieke netwerk te gaan, je verbindingen worden dan gelijk bij de ISP aan elkaar geknoopt.

Verwijderd schreef op vrijdag 01 april 2005 @ 00:16:
Of je neemt al je DSL verbindingen af bij dezelfde ISP en vraagt of ze die in een VRF-VPN kunnen stoppen. Dan kun je alles aan elkaar knopen zonder via het publieke netwerk te gaan, je verbindingen worden dan gelijk bij de ISP aan elkaar geknoopt.

Dit is leuk als je meerdere vaste locaties hebt maar niet echt praktisch als je met thuiswerkers te maken hebt.

bij onze provider (noem geen naam ) nemen we veel "mpls" wolken af

het grote voordeel hiervan is dat je direct in hun netwerk zit en geen tunnels/vpn clients nodig hebt

het is gewoon heel erg handig,

we hebben een aantal groten klanten die bij kantoortjes hebben met 1 a 2 man personeel, een beetje onzin om daar een firewall neer te zetten. Een simpele adsl verbinding met een goede speedtouch config doet wonderen en is goedkoop. (EN JA, het is stabiel!)

je krijgt bij zo'n omgeving een stukje van een grote Cisco firewall, hier kan je eventueel nog wat dingen dichtzetten als je dat zou willen

Verwijderd schreef op vrijdag 01 april 2005 @ 10:06:
[...]


Dit is leuk als je meerdere vaste locaties hebt maar niet echt praktisch als je met thuiswerkers te maken hebt.

Als gaat voor compleet veilig is dit een reële optie . . . . .

Vervolgens neem je 1 verbinding met internet vanaf je centrale locatie, zet daar een goede firewall op, en alle aangesloten dsl verbindingen hebben via die ene centrale firewall toegang tot internet.

[ Voor 26% gewijzigd door Verwijderd op 03-04-2005 17:10 ]

richardkraal schreef op vrijdag 01 april 2005 @ 11:03:
bij onze provider (noem geen naam ) nemen we veel "mpls" wolken af

het grote voordeel hiervan is dat je direct in hun netwerk zit en geen tunnels/vpn clients nodig hebt

het is gewoon heel erg handig,

we hebben een aantal groten klanten die bij kantoortjes hebben met 1 a 2 man personeel, een beetje onzin om daar een firewall neer te zetten. Een simpele adsl verbinding met een goede speedtouch config doet wonderen en is goedkoop. (EN JA, het is stabiel!)

je krijgt bij zo'n omgeving een stukje van een grote Cisco firewall, hier kan je eventueel nog wat dingen dichtzetten als je dat zou willen

KPN Epacity?
Het bedrijf waar ik werk gebruikt het in een netwerk van ongeveer duizend locaties, met een zeer positieve ervaring. Vooral de stabiliteit en de performance zijn zeer goed.