Ervaring met "Proxy" servers / appliances

Pagina: 1
Acties:
  • 840 views sinds 30-01-2008
  • Reageer

  • Johnny E
  • Registratie: April 2000
  • Laatst online: 21-02 22:19
Momenteel ben ik me aan het orienteren mbt de aanschaf voor een proxy server voor ons bedrijf.
Gedurende de afgelopen 3 jaar hebben wij naar alle tevredenheid gedraait op een IPcop servertje welke middels de squid proxy ons 85 personen tellende bedrijf de toegang naar het internet verleende. Middels de Dansguardian pluging werd er aan content filtering gedaan.

Dit werkte allemaal tot volle tevredenheid, ware het niet dat de nu 7 jaar oude server toch echt zijn langste tijd gehad heeft.

Nu moet ik de keuze maken voor een nieuwe proxy server, deze moet in het DMZ komen te hangen en naast de proxy functionaliteit ook voor de authenticatie zorgen van ons nieuw aan te schaffen draadloos netwerk (als radius proxy naar IAS op het beveiligde netwerk). Het firewall deel van de oplossingen is in dit geval ondergeschikt omdat dit is afgevangen door een Nokia IP330

Uiteraard heb ik me verdiept in de materie en daarbij ben ik eigelijk tot de conclusie gekomen dat er 3 mogelijke oplossingen zijn waarmee ik dit doel kan bereiken.

De eerste is de een oplossing op basis van MS ISA Server 2004, de voordelen die ik zie is de relatieve eenvoud van de implementatie, de nadelen zijn de kosten en de veiligheid van het OS.

De tweede oplossing is een oplossing op basis van Astaro Security Linux, deze al dan niet aangeschaft op een Astaro Security Gateway. De voordelen van Astaro zijn dat het een hardened product is.

De laatste oplossing zou het zelf in richten van een Redhat, Suse of Solaris server zijn. Door de betrekkelijk kleine kennis van de genoemde OS-en lijkt deze optie echter al bij voorbaat afgeschreven.

Graag hoor ik wat jullie ervaringen zijn mbt de bovengenoemde producten en hoe jullie deze grof weg geïmplementeerd hebben?

Specs!


  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Waar wil je de proxy voor gaan gebruiken en wat wil je ermee tegen houden?
Voor content blocking zijn tegenwoordig ook hele goede producten van o.a. surfcontrol en websense te vinden.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 19-02 22:20

PcDealer

HP ftw \o/

ISA Server 2004 is het eerste wat in mij opkwam. Kosten: tuurlijk die zijn niet mals, maar een bedrijf met zoveel werknemers gaat toch niet alle licenties los aanschaffen en heeft daarom een "grootverbruikers" overeenkomst? Dan zal ISA er bij niet veel extra kosten.

Hoezo "veiligheid van het OS"? Ligt toch vaak aan de beheerder IMO.

[ Voor 5% gewijzigd door PcDealer op 05-06-2005 13:04 ]

LinkedIn WoT Cash Converter


  • Johnny E
  • Registratie: April 2000
  • Laatst online: 21-02 22:19
Uiteraard ben ik het eens dat een goed beheerde Windows server minstens zo veilig is als een goed geconfigureerde Linux server. De fouten worden inderdaad meestal door de Beheerder gemaakt, met een goede hardening van de server voorkom je een hoop problemen.

Ik heb inderdaad ook gekeken naar diverse Content filtering appliances, onze vestiging in de US gebruikt de Bluecoat producten welke een Websense filter implementeren. Deze hebben echter het nadeel dat ze mijn inziens niet geschikt zijn voor het beoogde wireless authenticatie verhaal.

Specs!


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

WebSense kan je met ISA2004 ook gebruiken (filter voor ISA) en samen met 2003 IAS kan je zelfs een quarantine policy gebruiken voor wireless/VPN gebruikers.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • Johnny E
  • Registratie: April 2000
  • Laatst online: 21-02 22:19
Hoe zit het met de prestaties van de server? Hoeveel clients worden er bediend met welke functionaliteit en op wat voor hardware platform? Kan iemand een kosten indicatie geven voor het websense filter?

Specs!


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Johnny E schreef op zondag 05 juni 2005 @ 13:40:
Hoe zit het met de prestaties van de server?
Welke Server?
Hoeveel clients worden er bediend met welke functionaliteit en op wat voor hardware platform?
Again: welke server?
Kan iemand een kosten indicatie geven voor het websense filter?
Jullie leverancier.

En als je slim bent informeer je bij diezelfde toko die ook de overige websense filters heeft geleverd, misschien kan je op die manier een leuke deal sluiten.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


  • Johnny E
  • Registratie: April 2000
  • Laatst online: 21-02 22:19
Heb net even gezocht en een Websense filter kost voor 150 gebruikers rond de € 3500,- excl onderhoud.

Voor servers is onze huidige standaard de HP Proliant DL380 G4. Voor een dergelijke oplossing denk ik dan aan een Single Xeon 3,2Ghz, 1GB en 2x 73GB in Raid 1, uiteraard met redundant power en fan. Volgens mij moet dat voldoende zijn voor een dergelijke oplossingen.

Ik zal Maandag eens kijken of ik test lab kan opzetten met een Websense en Surfcontrol trial en de ISA 2004 MSDN.

Specs!


  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 19-02 22:20

PcDealer

HP ftw \o/

Er wordt een complete hard-/software oplossing door HP geleverd met een ISA Server 2004 appliance.

Zoek zoek.
HP ProLiant DL320 Firewall/VPN/Cache Server
Pricing

Meer info:
ISA Server 2004 Trial
Interactive training
Community
Standaard kosten

[ Voor 75% gewijzigd door PcDealer op 05-06-2005 15:48 ]

LinkedIn WoT Cash Converter


  • Johnny E
  • Registratie: April 2000
  • Laatst online: 21-02 22:19
Bedankt voor de feedback tot nu toe.

Het lijkt er op dat de combinatie ISA 2004 en Surfcontrol de oplossing is die prijs technisch erg vriendelijk is. Een 3 jarig Surfcontrol pakket is voor ongeveer € 2500 aan te schaffen.

Heeft iemand hier ervaring mee?

Specs!


Verwijderd

nogal hoge kosten voor nog geen 100 medewerkers..

uit het hele verhaal is mij niet duidelijk geworden wat je eisen zijn vwb het filteren van content..?

als je dan toch gaat testen, kijk dan ook ff naar die astaro.
de (demo)software van de appliance kun je ook downloaden en op een servertje/pc'tje knallen.
zie astaro.com

kosten zijn veel lager en ook een high availability optie is mogelijk!

suc6

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Of kijk even naat een van de volgende firewalls die ook ondersteuning heeft voor zowel websense als surfcontrol, en waarmee je toch een stuk goedkoper uit bent.

- netscreen
- fortinet
- clavister

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • Johnny E
  • Registratie: April 2000
  • Laatst online: 21-02 22:19
De hardware buiten beschouwing houdend, zijn de kosten van Astaro zijn niet echt laag te noemen. Voor de Base license met een 3 jaar durende update service ben je € 2260 kwijt. De Surf protection optie kost daarna nog eens € 3300 voor 3 jaar.

Het is dus maar een fractie goedkoper dan MS ISA 2004 icm Surfcontrol.
Ik ben het met je eens dat de kosten niet mals zijn.

Specs!


  • Movinghead
  • Registratie: November 2001
  • Laatst online: 01-06-2025

Movinghead

ing.

zelfs Aladdin eSafe zou een goede optie zijn.

- Heeft een goede content filter
- Anti Spam filter
- Anti Virus filter
- SMTP AV filter

  • Predator
  • Registratie: Januari 2001
  • Laatst online: 20-02 16:41

Predator

Suffers from split brain

Ik heb nog niemand over een appliance zien spreken, maar als je dat toch zou overwegen, kijk dan eens naar Blue Coat.

Ze ondersteunen onbox al meteen een hoop content filters zoals surfcontrol, websense, smartfilter, en nog een paar andere ook.

Er is ook een agent beschikbaar om NTLM of andere authenticatie te doen voor je gebruikers.
Je kan ook verschrikkelijk ver gaan in het definieren van policy. Ze ondersteunen ook zowat alles wat je maar met een proxy wil doen.
De support die je krijgt van Blue Coat is ook zeker 1 van de betere in de IT sector.

Kwa Proxy appliance zijn Blue Coat's wel bij de allerbesten, maar je hebt dan natuurlijk ook enkel een Proxy. De hele box is gewoon zou in elkaar gezet om proxy te zijn, heeft zijn eigen OS en doet ook niets anders dan Proxy'n. Natuurlijk dat ie dat dan ook erg goed doet.

Het hangt er vanaf wat je wilt.

Ik ben persoonlijk niet echt voorstander van die prop alles maar in 1 box dingen.
Firewall / antivirus / proxy / anti-spam / ID(P)S / ...
Als het boekhoud pakket er nou ook nog op draaide ... :+

Natuurlijk is het goedkoper dan alles dedicated aan te kopen, maar je zit ook voor alles vast aan 1 fabrikant. Je hebt nooit het perfecte product voor jou wensen, en nooit alle functionaliteit die dedicated producten bieden.

Maar ja, dat is nou eenmaal een keuze die je maakt.

Ik ben zelf een voorstander van appliances voor taken zoals Proxy / firewall / ID(P)S / e-mail security relays / enz. Je hebt er minder onderhoud aan, de support is meestal erg goed, en debug gaat meestal sneller. Backup is simpel (export config), en upgraden ook (upload image en reboot).
Nadeel is wel dat als het niet in je software zit, je er weinig aan kunt veranderen.
Je kan niet eventjes gewoon ergens programma'tje gaan downloaden en installeren.

Zoals ik zei, het is een keuze...

De schaal (en dus vaak -> budget) bepaalt natuurlijk ook al veel.

[ Voor 3% gewijzigd door Predator op 07-06-2005 21:28 ]

Everybody lies | BFD rocks ! | PC-specs


  • rapture
  • Registratie: Februari 2004
  • Nu online

rapture

Zelfs daar netwerken?

Ik zou http://www.clarkconnect.com/ eens bekijken, Linux gateway/firewall met onder andere proxyserver aanboord. Vanaf het moment dat het voor commerciële doeleinden gebruikt wordt, dan kost het wel geld en je krijgt support ervoor. Ik zie mensen problemen posten in hun forum en de klanten worden direct geholpen (men logt ff in de Linux-bak en past wat aan), de rest moet maar wachten op patches.

Het is zo simpel te beheren alsof je bezig bent met router in te stellen, geen ingewikkelde Linux-gedoe. Het is ideaal voor kleine schaal, als je niet te ver boven 50 man gaat. Als je grote netwerken (met groot budget dus) moet voorzien van een proxyserver dan ga je beter voor dedicated oplossingen in de posten hierboven.

[ Voor 29% gewijzigd door rapture op 07-06-2005 21:45 ]


Verwijderd

Predator schreef op dinsdag 07 juni 2005 @ 21:27:

Ik ben persoonlijk niet echt voorstander van die prop alles maar in 1 box dingen.
Firewall / antivirus / proxy / anti-spam / ID(P)S / ...
Als het boekhoud pakket er nou ook nog op draaide ... :+

Natuurlijk is het goedkoper dan alles dedicated aan te kopen, maar je zit ook voor alles vast aan 1 fabrikant. Je hebt nooit het perfecte product voor jou wensen, en nooit alle functionaliteit die dedicated producten bieden.
Hier staat natuurlijk tegenover dat een alles in 1 box zorgt dat je maar met 1 support afdeling te maken krijgt en ook belangrijk dat de onderdelen op elkaar aansluiten en er geen functionaliteit mist óf dubbel aanwezig is waardoor de appliances elkaar in de weg zitten. Elk voordeel heeft zijn nadeel, maar vaak is een All in one oplossing de betere keuze gegeven dat er een beperkt budget is.

  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 19-02 22:20

PcDealer

HP ftw \o/

Predator schreef op dinsdag 07 juni 2005 @ 21:27:
Ik heb nog niemand over een appliance zien spreken, maar als je dat toch zou overwegen, kijk dan eens naar Blue Coat.
Moet je toch beter naar mijn vorige post kijken.
Johnny E schreef op zondag 05 juni 2005 @ 15:07:

Voor servers is onze huidige standaard de HP Proliant DL380 G4. Voor een dergelijke oplossing denk ik dan aan een Single Xeon 3,2Ghz, 1GB en 2x 73GB in Raid 1, uiteraard met redundant power en fan. Volgens mij moet dat voldoende zijn voor een dergelijke oplossingen.
Ze hebben dus wel wat geld te makken. DL320 heeft minder specs: draait op een P4 en er is keuze uit SCSI of SATA. Er kunnen twee schijven in.

LinkedIn WoT Cash Converter


  • Pumbaa82
  • Registratie: Maart 2001
  • Laatst online: 21-03-2024
Heb voor mijn afstudeerproject een ISA 2004 server moeten implementeren voor een bedrijf met net iets meer als 100 werknemers.

Ik heb deze ook op een HP Proliant DL380 moeten installeren, werkt fantastisch.

Grootste voordeel (in mijn mening) van ISA ten opzichte van een console based linux oplossing, is het feit dat je overzicht hebt van wat er allemaal gebeurd en dat je zelf ook weet wat je hebt ingesteld. Daarnaast is het natuurlijk belangrijker dat je je weg kan vinden in een OS dan een OS te installeren waar je te weinig van af weet, maar wat wel 'veilig' zou zijn.


De ISA Server 2004 appliance die PCDealer aandraagt is eigenlijk gewoon een server met ISA 2004 voorgeinstalleerd, ideaal als je geen tijd hebt om zaken uit te zoeken. Maar maak bij een appliance niet de fout dat je denkt dat het wel goed is allemaal en er niet meer naar om kijken. (totdat je merkt dat je ergens een patch hebt gemist, en een lek hebt)

Mocht je met ISA server aan de slag gaan : www.isaserver.org

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12:14

Jazzy

Moderator SSC/PB

Moooooh!

Voor een vergelijkbare omgeving (120 gebruikers) draai ik ISA 2000 in integrated mode op een Windows 2000 server. Die draait soepeltjes op Proliant DL320 met een Pentium III 800, 2 GB geheugen en een 18 GB harddisk. Dan staat de server nog steeds uit zijn neus te eten.

Daar moet ik wel bij zeggen dat er geen filters oid draaien maar dan nog steeds kun je met een single processor DL380 of zelfs DL360 jaren uit de voeten. Daar zou ik gerust wat op besparen als ik jou was.

Ik ben benieuwd naar je ervaringen in het lab, mede omdat ik binnenkort ga updraden naar ISA 2004 en we overwegen om te gaan filteren.

Exchange en Office 365 specialist. Mijn blog.


  • PcDealer
  • Registratie: Maart 2000
  • Laatst online: 19-02 22:20

PcDealer

HP ftw \o/

Pumbaa schreef op woensdag 08 juni 2005 @ 09:49:
[...]
De ISA Server 2004 appliance die PCDealer aandraagt is eigenlijk gewoon een server met ISA 2004 voorgeinstalleerd, ideaal als je geen tijd hebt om zaken uit te zoeken. Maar maak bij een appliance niet de fout dat je denkt dat het wel goed is allemaal en er niet meer naar om kijken. (totdat je merkt dat je ergens een patch hebt gemist, en een lek hebt)

Mocht je met ISA server aan de slag gaan : www.isaserver.org
Zie daarom ook link
What's installed:
Microsoft® Internet Security and Acceleration Server 2004 Standard Edition
Pre-hardened version of Microsoft® Windows® Server 2003 Standard Edition
HP Virus Throttle Software
Dat scheelt, maar ik mag er bij zo'n aanschafprijs toch wel van uitgaan dat men een professional aan het werk zet?

LinkedIn WoT Cash Converter


Verwijderd

Pre-hardened version of Microsoft® Windows® Server 2003 Standard Edition
Als ik dit zo hoor denk ik aan een local security template die geladen wordt....
Eerder een verkoop argument dan iets wat niet leest op isaserver.org....

Ik denk dat je hier niet veel van moet van verwachten. Er zijn handleidingen genoeg te vinden over het " hardenen" van windows op internet.

Het gaat bijna altijd om de configuratie, niet om de installatie.
Ik heb genoeg ISA servers gezien die volledig open stonden omdat de admin er niet uit kwam en alles maar open heeft gezet.....

onder het motto " he, het werkt. Nu zit ik er niet meer aan....

  • Bas
  • Registratie: Juni 1999
  • Niet online

Bas

aka BannieMove

BlueCoat (SG400) icm websense en eventueel ICAP (voor koppeling met antivirus pakket). Is echt een super apparaat (heb er onlangs een geplaatst). Kosten zijn iet mals, maar zeker voor grotere organisaties echt WAUW!!!. meer info op www.bluecoat.com

Tjielp... een vogel.


  • Adze
  • Registratie: Juli 2001
  • Laatst online: 21-02 16:01

Adze

CCNP !

Astaro Security Gateway is misschien iets om te proberen. Dat is een out-of-the-box pakket (incl. appliance). Speciaal bedoeld om bedrijfsnetwerken veilig aan het inet te koppelen.

linkje

Offtopic:
En voor thuis gebruik is de software gratis
/Offtopic:
Pagina: 1