Nieuwe proxy/firewall oplossing implementeren voor 250 man * - Netwerken

woensdag 15 juni 2005 10:34

Acties:

Verwijderd

Topicstarter

Op welke wijze reguleren jullie de Internet toegang voor jullie medewerkers?
Ik ben reuze benieuwd hoe dit in het “gemiddelde” Nederlandse middenbedrijf, ongeveer 250 werkplekken, geregeld is?

Bij het bedrijf waar ik werk gebruiken we bijvoorbeeld al jaren Microsoft Proxy Server 2.0 i.c.m. een Domain Security Group. Gebruikers die lid van deze groep zijn mogen vervolgens door een Check Point FW-1 door naar het Internet. Omdat de Proxy Server software nu toch echt oud begint te worden ben ik aan kijken naar vervanging. Er zijn echter zoveel mogelijkheden dat ik soms door de bomen het bos niet meer zie!

De meest logische stap zou volgens mij een ISA 2004 server zijn welke dan zowel de Proxy Server als de Check Point FW-1 vervangt. Dit is kostentechnisch natuurlijk ook zeer interessant, daar de jaarlijkse kosten voor de Check Point Subscription erg hoog zijn. Is dit qua veiligheid echter ook een volwaardige oplossing, wat voor ervaring hebben jullie hiermee?

woensdag 15 juni 2005 10:42

Acties:

Rolfie

www.isaserver.org.

Kijk daar eens rond zal ik zeggen.

woensdag 15 juni 2005 10:49

Acties:

Verwijderd

Topicstarter

Die site volg ik al een tijdje, alleen bekruipt me daar altijd het gevoel dat men wel heel erg pro-ISA is. Ik wil niet persé een ISA server, ik ben ook erg in alternatieven hiervoor geinteresseerd.

Wat ik vooral interessant vind is hoe andere organisaties dit oplossen, verse inzichten zo gezegd

woensdag 15 juni 2005 10:51

Acties:

PcDealer

HP ftw \o/

Check daarom Ervaring met "Proxy" servers / appliances

[ Voor 13% gewijzigd door PcDealer op 15-06-2005 10:52 ]

LinkedIn WoT Cash Converter

woensdag 15 juni 2005 11:28

Acties:

vliegjong

Bump!

Klein Watchguardje x500/700 oid. Super product. Goed secure en zeer goed in rapportage. Kent ook AD koppeling en dergelijk.

Ik ben een Nerd, jij ook? Dan zijn er namelijk 10 toffe mensen :)

woensdag 15 juni 2005 11:29

Acties:

stfn345

Isaserver is een veel te gecompliceerd product, gewoon een firewall als Kerio Winroute Firewall met Cobion filter.

kan werken als transparante firewall, maar ook als userbased en die kan je ook nog aan een active directory knopen voor authentication

[ Voor 38% gewijzigd door stfn345 op 15-06-2005 11:30 ]

woensdag 15 juni 2005 11:35

Acties:

PcDealer

HP ftw \o/

razorhead schreef op woensdag 15 juni 2005 @ 11:29:
Isaserver is een veel te gecompliceerd product,

[...]

Waarom?

LinkedIn WoT Cash Converter

woensdag 15 juni 2005 11:36

Acties:

Rolfie

razorhead schreef op woensdag 15 juni 2005 @ 11:29:
Isaserver is een veel te gecompliceerd product, gewoon een firewall als Kerio Winroute Firewall met Cobion filter.

kan werken als transparante firewall, maar ook als userbased en die kan je ook nog aan een active directory knopen voor authentication

We hebben het over 250man. Ik zou niet me bedrijfs gevoelige informatie achter een klein winroute firewalltje willen hebben draaien.

ISA server is ook niet zo;n gecompliceerd product, je moet het echter wel goed opzetten en je policies goed en zo straks mogelijk neer zetten.
ISA server werkt ook goed als transparante proxy.

[ Voor 4% gewijzigd door Rolfie op 15-06-2005 11:37 ]

woensdag 15 juni 2005 11:47

Acties:

The Eagle

I wear my sunglasses at night

Wat je je in dit geval ook moet bedenken is dat het niet alleen de aanschaf en installatie van een nieuw / ander product is. Dat zijn slechts de initiele kosten. Je vergeet de beheers- en opleidingskosten. Sowieso zullen mensen met het nieuwe systeem / pakket moeten leren werken. Daarnaast heb je je beheerslasten, en die zijn zeker in de opstartfase van een pakket een stuk hoger als wanneer je het al een tijdje gebruikt.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

woensdag 15 juni 2005 11:50

Acties:

PcDealer

HP ftw \o/

The_Eagle schreef op woensdag 15 juni 2005 @ 11:47:
Wat je je in dit geval ook moet bedenken is dat het niet alleen de aanschaf en installatie van een nieuw / ander product is. Dat zijn slechts de initiele kosten. Je vergeet de beheers- en opleidingskosten. Sowieso zullen mensen met het nieuwe systeem / pakket moeten leren werken. Daarnaast heb je je beheerslasten, en die zijn zeker in de opstartfase van een pakket een stuk hoger als wanneer je het al een tijdje gebruikt.

Dat lijkt me niet onoverkomelijk gezien:

Omdat de Proxy Server software nu toch echt oud begint te worden ben ik aan kijken naar vervanging.

De meest logische stap zou volgens mij een ISA 2004 server zijn welke dan zowel de Proxy Server als de Check Point FW-1 vervangt. Dit is kostentechnisch natuurlijk ook zeer interessant, [...]

LinkedIn WoT Cash Converter

woensdag 15 juni 2005 17:14

Acties:

Verwijderd

Topicstarter

Dat is natuurlijk ook de kracht van het product ISA Server: het heeft de bekende Microsoft "Look & Feel" Omdat we al proxy server gebruiken is het eigenlijk een logische stap..

Aan de andere kant ben ik nog steeds erg gecharmeerd van Check Point, zeker de recent gepresenteerde NGX lijn ziet er goed uit. Maar ik vraag me gewoon steeds af of het de ENORME meerprijs waard is t.o.v. ISA Server? In echte Enterprise omgevingen waarschijnlijk wel, maar met 250 users... moeilijk, moeilijk!

woensdag 15 juni 2005 17:19

Acties:

jochemd

Misschien is het handig om bij het begin te beginnen: welke diensten moet je faciliteren en welke policy moet je handhaven?

woensdag 15 juni 2005 17:19

Acties:

Edho

Heeft Canon A570IS

Ik heb 110 werkplekken.
Heb op een redhat9 linux pc/server Squid draaien. communiceert met AD, dus makkelijk. Kostte me 2 jaar geleden de helft van ISA server (incl pctje met mirror) en ik heb er geen omkijken naar. Werk goed voor ons.

[ Voor 6% gewijzigd door Edho op 15-06-2005 17:20 ]

Edho

woensdag 15 juni 2005 21:25

Acties:

Verwijderd

Dat zal in dit geval natuurlijk anders zijn. Hij is al bekend met Proxy Server en zal dus minder moeite hebben met implementeren van een ISA Server oplossing. Als je kijkt naar kosten van training voor de overstap naar RedHat met Squid praat je over ontzettend veel geld. Kosten van hardware zijn vergeleken daarmee vrij laag.

Edit: en nog even een titelfix.

[ Voor 6% gewijzigd door Verwijderd op 15-06-2005 21:30 ]

woensdag 15 juni 2005 22:42

Acties:

Verwijderd

Topicstarter

Ondanks mijn gezonde interesse in alternatieve OS-en (heb o.a. nog 2 NetWare servers draaien) moet ik toch constateren dat we als organisatie steeds meer in de richting van een complete Microsoft omgeving gepushed worden. Een Linux oplossing zie ik niet 1,2,3 geaccepteerd worden, vooral i.v.m. support en zo. Ik zie dan bijvoorbeeld meer in een appliance, de betrouwbaarheid hiervan is erg hoog en beheer vaak simpel. Daarnaast word hierop vaak goede support door de leverancier geleverd.

Internet speelt inmiddels een dusdanig grote rol in de organisatie, en daarin zijn wij niet uniek denk ik, dat downtime nauwelijks nog een optie is. Aan de andere kant is er vanuit het management weinig bereidheid om de bijpassende investeringen te doen. What else is new..

Vooral vanwege dit laatste is ISA natuurlijk een erg goed te verkopen oplossing: in verhouding tot "echte" firewalls zoals Check Point of een Cisco PIX zijn de kosten minimaal en de mogelijkheden in een Windows omgeving erg uitgebreid.

donderdag 16 juni 2005 08:32

Acties:

Verwijderd

Kijk eens op www.watchguard.com dan: de Fireboxen zijn in diverse variantjes voorradig, en je kan met een paar software keys het model upgraden naar z'n grote broer als je bedrijf groeit. Het leuke is dat het ding niet heel duur is. Kijk maar eens wat ISA je gaat kosten (inclusief de zak chips waar het op moet gaan boeren) en dan naar de prijzen voor fireboxen. Ga dan eens kijken op het Net naar hoeveel gaten er gevonden worden in ISA en hoeveel gaten er in fireboxen gevonden worden, en het leven wordt vrij snel vrij eenvoudig. Iedereen kent ISA maar iedereen schiet er dus ook op.

donderdag 16 juni 2005 08:49

Acties:

PcDealer

HP ftw \o/

Verwijderd schreef op donderdag 16 juni 2005 @ 08:32:
Ga dan eens kijken op het Net naar hoeveel gaten er gevonden worden in ISA en hoeveel gaten er in fireboxen gevonden worden, en het leven wordt vrij snel vrij eenvoudig. Iedereen kent ISA maar iedereen schiet er dus ook op.

Net een Linux vs Windows argument. Dat zegt mij niet zo veel.

LinkedIn WoT Cash Converter

donderdag 16 juni 2005 08:55

Acties:

teigetjuh

Uit mijn ervaring (eerste ISA server, dus geen ISA2004) kan ik vertellen dat het proxy gedeelte prima werkt, echter het firewall-gedeelte is een ramp.... Poorten die je lijkt open te zetten, staan niet open en natuurlijk omgekeerd. Ik weet niet of dat in 2004 verbeterd is, maar anders is een ISA-server voor proxy-ing/authenticatie een goede oplossing en dan evt de FW-1 vervangen door een linux/machine die de firewalling doet. Beetje afhankelijk ook van wat je aan het web aanbiedt.
Een simpele website en wat mail zal geen probleem geven met alleen ISA, maar complexe zaken als AD-replicatie en streaming content (audio/video) gaat met ISA waarschijnlijk een hoop kopzorgen opleveren.

donderdag 16 juni 2005 10:27

Acties:

Caeruleus

Hier nog 2 aardige artikelen over ISA vs Checkpoint/Cisco. Let wel dat dit vanuit het ISA standpunt geschreven is, zal dus wel niet helemaal objectief zijn

http://www.isaserver.org/articles/2004tales.html
http://www.isaserver.org/...firewallcomparisonp1.html

no animals were harmed during the production of this message

donderdag 16 juni 2005 12:18

Acties:

Verwijderd

teigetjuh schreef op donderdag 16 juni 2005 @ 08:55:
Uit mijn ervaring (eerste ISA server, dus geen ISA2004) kan ik vertellen dat het proxy gedeelte prima werkt, echter het firewall-gedeelte is een ramp.... Poorten die je lijkt open te zetten, staan niet open en natuurlijk omgekeerd.

Zonder je te willen beledigen, maar dat is een kwestie van beheer. De logica in ISA 2000 is prima te volgen zolang je door hebt hoe de verschillende filters werken (harde Packet Filters en aparte Protocol Rules). Als jij een protocol toevoegt met een bepaalde poortenconfiguratie en die toevoegt aan de toegestane protocollen voor je client hosts staan die poorten ook gewoon open en wordt het verkeer toegelaten.

ISA is een prima firewall, juist de combinatie van firewall en proxy/authenticatie is een hele sterke. Bovendien is ISA2004 nog een stuk volwassener geworden en zeker gemakkelijker te beheren.

donderdag 16 juni 2005 23:13

Acties:

Verwijderd

Topicstarter

offtopic: Ligt het trouwens aan mij, of heeft die man van Isaserver.org echt zo'n enorme bril??

bedankt voor jullie reakties zover, hoe zijn de ervaringen t.a.v. de betrouwbaarheid van ISA 2004? Ik heb hier zelf eigenlijk wel vertrouwen in, als ik zie hoe robuust onze laatste Windows Server 2003 machines zijn.

Zou het verstandig zijn om nog een extra hardware packetfilter voor de ISA te plaatsen of is dit overbodig?

Wellicht is het handig om eerst nog even globaal onze situatie qua belasting te schetsen:

-2Mbit vaste glasvezel naar buiten
-ongeveer 150 users van de 250 hebben op dit moment Internet toegang waarvan er gemiddeld 30 tegelijk aktief zijn
-hosten eigen websites (ongeveer 10 verschillende) met een paar honderd bezoekers per dag
-ongeveer 30 users hebben een notebook met een IPsec VPN client waarvan er gemiddeld 10 tegelijk aktief zijn
-ongeveer 50 servicemonteurs ontvangen en verzenden via PDA's gedurende de werkdag gegevens van en naar een interne SQL server
-plannen om in de nabije toekomst site to site VPN verbindingen op te zetten naar buitenlandse dochter ondernemingen

Zijn er mensen die een vergelijkbare situatie met één ISA Server draaien?

donderdag 16 juni 2005 23:55

Acties:

Brahiewahiewa

boelkloedig

Verwijderd schreef op donderdag 16 juni 2005 @ 23:13:
...Zijn er mensen die een vergelijkbare situatie met één ISA Server draaien?

Ze zijn er misschien wel, maar die kunnen niet rekenen. Als je ISA server down is, zitten er potentieel 60 mensen stil, vermenigvuldigd met een uurtarief van 50 €, kost downtime dus 3000 € per uur; na 1 uur heb je die tweede server al terugverdiend.

QnJhaGlld2FoaWV3YQ==

vrijdag 17 juni 2005 05:44

Acties:

PcDealer

HP ftw \o/

Brahiewahiewa schreef op donderdag 16 juni 2005 @ 23:55:
[...]
Ze zijn er misschien wel, maar die kunnen niet rekenen. Als je ISA server down is, zitten er potentieel 60 mensen stil, vermenigvuldigd met een uurtarief van 50 €, kost downtime dus 3000 € per uur; na 1 uur heb je die tweede server al terugverdiend.

Idd. Failover, load balancing, zijn woorden die nu in mij opkomen.

LinkedIn WoT Cash Converter

vrijdag 17 juni 2005 06:25

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Brahiewahiewa schreef op donderdag 16 juni 2005 @ 23:55:
[...]
Ze zijn er misschien wel, maar die kunnen niet rekenen.

Onzin. Ik draai met 2 loakties, aan de buitenkant zit een Cisco PIX 506 en een PIX 515, daar achjter zit een ISA 2000 Server. Op de grootste lokatie zijn er ongeveer 20 mensen tegelijk online van de 120 werkplekken. Uitval daarentegen zou helemaal niet zo'n ramp zijn, internet is immer niet onze corebusiness en dient puur ter ondersteuning. In ons geval heeft het dus helemaal geen nut om een 2e server in te richten.

Daar komt nog bij dat Windows 2000/ISA 2000 op goede (HP) hardware helemaal niet stuk gaat. Voor Server 2003 geldt dat natuurlijk helemaal.

Bottomline: het hangt van de situatie af.

[ Voor 4% gewijzigd door Jazzy op 17-06-2005 06:26 ]

Exchange en Office 365 specialist. Mijn blog.

vrijdag 17 juni 2005 06:55

Acties:

joopv

[patriottistische mode]

Je zou ook eens naar het firewall product van het Nederlandse Tunix kunnen kijken.

Uitstekende support vanuit Nijmegen - inclusief eventuele custom oplossingen, alles in 1 doos, geen noodzaak tot externe packetfilters, gebaseerd op transparante proxy's. Redundantie mogelijk.

[/patriottistische mode]

vrijdag 17 juni 2005 08:34

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Nog even aanvullend over bovenstaande.

Zijn er mensen die een vergelijkbare situatie met één ISA Server draaien?

Qua belasting kan iedere nieuwe server (single Xeon 3 GHz) prima uit de voeten, loadbalancing lijkt me niet echt aan de orde dus. Als het gaat om redundancy dan is het misschien een goed idee om ISA in de Enterprise-versie te kopen. Je richt dan 2 servers in waarmee je een zgn. ISA Array maakt. Gezien het belang van internet voor jullie bedrijf lijkt redundancy me zowiezo wel een goed plan.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 17 juni 2005 08:44

Acties:

DukeBox

Edho schreef op woensdag 15 juni 2005 @ 17:19:
Ik heb 110 werkplekken.
Heb op een redhat9 linux pc/server Squid draaien. communiceert met AD, dus makkelijk. Kostte me 2 jaar geleden de helft van ISA server (incl pctje met mirror) en ik heb er geen omkijken naar. Werk goed voor ons.

Hier soortgelijk, 21.000(!) werknemers alleen SLES8+squid en dan 3 stuks in een cluster met gezamelijke cache op een san.

vrijdag 17 juni 2005 11:26

Acties:

Verwijderd

Brahiewahiewa schreef op donderdag 16 juni 2005 @ 23:55:
[...]
Ze zijn er misschien wel, maar die kunnen niet rekenen. Als je ISA server down is, zitten er potentieel 60 mensen stil, vermenigvuldigd met een uurtarief van 50 €, kost downtime dus 3000 € per uur; na 1 uur heb je die tweede server al terugverdiend.

Het is niet helemaal correct om ervan uit te gaan dat alle mensen die gebruik maken van het internet niet kunnen werken als men geen internet verbinding heeft. Zo wordt er bij PDAs bv vaak data gebufferd voordat de verbinding gemaakt wordt. Is de verbinding niet beschikbaar kan de data later alsnog verstuurd worden. 1,2,3 of meer uren downtime hoeven dan geen enkele invloed te hebben. Als de sevicemonteurs echter via de PDAs hun volgende opdracht krijgen, ligt wel het werk stil maar pas nadat hun huidige taak is afgerond.

In het algemeen vind ik dat als je websites host en binnen een organisatie van 250 man met meer dan 150 man internet gebruikt enige vorm van redundancy echter wel op zijn plaats is. Want hoe je ook rekent, je kan ervan uitgaan dat je binnen 2 jaar die extra investering hebt terugverdiend.

zaterdag 18 juni 2005 15:36

Acties:

Verwijderd

Jazzy schreef op vrijdag 17 juni 2005 @ 06:25:
[...]
Daar komt nog bij dat Windows 2000/ISA 2000 op goede (HP) hardware helemaal niet stuk gaat. Voor Server 2003 geldt dat natuurlijk helemaal.

Dit is wel heel naief...

maandag 27 juni 2005 11:22

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

En TS, hoe staat het? Wat vond je van de ISA 2004 demo? Heb je al een keuze gemaakt of ben je nog met alternatieven bezig?

Verwijderd schreef op zaterdag 18 juni 2005 @ 15:36:
[...]

Dit is wel heel naief...

Niet naief hoor, eerder een beetje kort door de bocht. Wat ik maar wil zeggen dat er steeds over downtime wordt gesproken maar dat die in de praktijk natuurlijk maar minimaal zal zijn.

Exchange en Office 365 specialist. Mijn blog.

maandag 27 juni 2005 22:29

Acties:

Adze

CCNP !

Misschien is Astaro wat je zoekt? www.astaro.com

Je kunt hem 15 dagen gratis proberen...

offtopic:
En is zelfs gratis voor thuis gebruik
/offtopic:

[ Voor 30% gewijzigd door Adze op 27-06-2005 23:00 ]

maandag 27 juni 2005 23:03

Acties:

Gomez12

Jazzy schreef op maandag 27 juni 2005 @ 11:22:
En TS, hoe staat het? Wat vond je van de ISA 2004 demo? Heb je al een keuze gemaakt of ben je nog met alternatieven bezig?
[...]
Niet naief hoor, eerder een beetje kort door de bocht. Wat ik maar wil zeggen dat er steeds over downtime wordt gesproken maar dat die in de praktijk natuurlijk maar minimaal zal zijn.

Wat is minimaal??? Ik heb ooit eens een keer een directielid gehad dat net zo dacht. Even keurig voorgerekend dat bij een sla van 99,9% de dienstverlening ( 40 uur x 52 weken x 0,01 ) 20,8 uur in werktijd niet werkend zou mogen zijn, toen even lekker voorgerekend hoeveel 20,8 uur ongeveer aan inproductiviteit x aantal medewerkers zou kosten, met dat kostenplaatje was de directie het gelijk eens dat er gewoon een nieuwe server kon komen...

En over downtime die in de praktijk maar minimaal is : praktijkgevalletje, 1 server die bijna compleet redundant uitgevoerd was ( alleen raid controller en mobo niet ) klapt de raid controller van 5.000 euro er na 2 maanden uit. Kost een dag om een vervanger te krijgen ( geen corrupte data ). Dit is gewoon een dag productie, op dit moment wordt er gewoon een schaduw server ernaast opgebouwd omdat 500 man zonder systeem (voor 1 dag) iets meer kost dan een 2e computer ernaast die misschien een bruikbaarheid van 0,000001 heeft.

Als het fout gaat dan zijn de kosten iets hoger dan je in 1e instantie denkt.

dinsdag 28 juni 2005 19:55

Acties:

zenith

Neem een bluecoat! Privmsg maar als je interesse hebt.