Toon posts:

Wat voor soort firewall voor meerdere drukke sites?

Pagina: 1
Acties:

donderdag 15 mei 2008 19:50

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 02-02 21:41

Battle Bunny

Topicstarter
Ik heb een aantal machines die op dit moment, elk via een eigen IP adres, direct aan 't Internet hangen (rack bij XS4All). Aangezien elke machine z'n eigen (Windows... ) Firewall draait is het een onhandelbaar zootje. Daarbij is het zo dat als er een lek gevonden is in Windows, iemand mogelijkerwijs mijn machine(s) kan overnemen, wat pas geleden gebeurde.

Mijn idee is een machientje neer te zetten die alle 8 externe IPs heeft en alle data forward naar de juiste server.

Ik heb al wat rond gekeken maar heb nog geen idee waar ik naar zoek. Hoe heet zoiets? Een router? Load balancer? Firewall? Ook weet ik niet of het verstandig is een nieuwe server neer te zetten (met bijvoorbeeld een Linux distro), of dat er hardware oplossingen zijn.

Een paar eisen waar het aan moet voldoen:

-Heel betrouwbaar
-8 of liever 16 externe IPs aan kunnen (twee subnets)
-100mbit/sec kunnen verstuwen
-500+ concurrent connections aan kunnen
-Packetfiltering, zodat mijn Windows machientjes weer iets veiliger zijn
-Via Web Interface te configgen
-Niet alleen HTTP(S) aankunnen maar ook FTP, RDP (+filecopy)
-Extra leuk zou zijn als ik een soort toggle heb om aan te geven dat de server down is, en dat het apparaat dan een statische (in te stellen) pagina serveert als "This server is down, please wait blabla contact us at [bedrijf]".

Het is overigens niet "voor thuis", dus is "gratis" niet van primair belang.

Heeft iemand tips om mij op de goede weg te helpen?

donderdag 15 mei 2008 19:52

Acties:
  • Gé Brander
  • Registratie: September 2001
  • Laatst online: 09-03 08:20

Gé Brander

MS SQL Server

ISA Server?

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

donderdag 15 mei 2008 19:53

Acties:

Verwijderd

Reverse proxy?

donderdag 15 mei 2008 19:57

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 02-02 21:41

Battle Bunny

Topicstarter
ISA is een Windows product. Het liefst zou ik een Linux / non-Windows OS zijn, zodat een fout hierin niet meteen alle machines aanvalt. Daarbij is ISA voor zover ik weet niet zo super snel en is het een beetje overkill (met al die rules, stateful packetfiltering ,etc).

R0ck3t, wat bedoel jij met "Reverse proxy?" ?

donderdag 15 mei 2008 20:02

Acties:

Verwijderd

"Een reverse proxy is een centrale server waarmee één of meerdere HTTP en HTTPS diensten ontsloten worden naar gebruikers. Wanneer HTTP requests binnen komen op de reverse proxy worden deze request bekeken en doorgezet naar achter liggende (web)servers; bijvoorbeeld in een DMZ. Simpel gezegd is een reverse proxy een soort webserver die de informatie die hij toont ophaalt bij andere servers. Een reverse proxy wordt voornamelijk in gezet voor HTTP verkeer, maar door aanpassingen kunnen ook HTTPS request worden afgehandeld. Het is zelfs mogelijk om nog ander verkeer af te handelen, maar dat moet per geval beoordeeld worden. "

Lijkt me precies wat je nodig hebt, of niet?

donderdag 15 mei 2008 20:04

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 14:56

sh4d0wman

Attack | Exploit | Pwn

Wat is je budget en hoe belangrijk zijn de sites? Er zijn veel oplossingen te verzinnen, van freeware tot peperduur. Dus enige aanvullende info zou nuttig zijn ;)

Je geeft aan dat Linux de voorkeur heeft. Heb je zelf genoeg ervaring om dat op te zetten en in te stellen? Anders is het misschien verstandiger om voor een hardware oplossing te kiezen. Die draaien in feite ook Linux (meestal een afgeleide van BSD) maar daar heb je ten minste fatsoenlijke support op en als een engineer hem heeft ingericht kun je het daarna zelf makkelijk via de webinterface beheren.

Zelf heb ik gewerkt met hardware fw's waaronder Netscreen, Cisco ASA en binnenkort krijgen we Fortinet spul. Met name de Cisco ASA vond ik prettig om mee te werken.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 15 mei 2008 20:11

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 02-02 21:41

Battle Bunny

Topicstarter
Als een reverse proxy dan ook RDP kan routeren en misschien dingen als Oracle, MySQL, etc (m.a.w., elk protocol moet mogelijk zijn), dan wel.

We hebben 1 site waar 200-500 gebruikers (kinderen ;-) tegelijk actief zijn. Daarnaast drie Terminal Servers (die zijn wel belangrijk) waar tot 60 man tegelijk op werken (worden er steeds meer) en nog een andere webserver waar een serieuze site draait.

Het kost ons niet duizenden Euro's als de boel plat gaat, maar vervelend is het wel en ik wil het tot een minimum beperken. Budget, tja. Ik zou denken dat tussen de 1000 en 2500 toch wel iets leuks te regelen valt?

Helaas heb ik weinig ervaring met Linux, zeker niet met het firewall / secure maken er van.

Op zich qua config zou het niet moeilijk moeten zijn, lijkt me.

Extern Intern
x.y.z.1 -> 192.168.0.1
x.y.z.2 -> 192.168.0.2
etc

[ Voor 16% gewijzigd door Battle Bunny op 15-05-2008 20:12 ]

zaterdag 17 mei 2008 11:30

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 02-02 21:41

Battle Bunny

Topicstarter
*bump*

Toch nog iemand tips?

zaterdag 17 mei 2008 19:32

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

Misschien dat een Fortigate appliance iets voor je is ? De 200A is een leuk ding maar veel duurder dan je budget. Wellicht dat de 100A binnen je budget valt :)

'Maar het heeft altijd zo gewerkt . . . . . . '

zaterdag 17 mei 2008 22:07

Acties:

Verwijderd

Ik weet niet hoeveel geld je te besteden hebt maar anders zou je eens de netscreens van Juniper moeten bekijken.

http://www.juniper.net/pr...lash_ipsec_vpn/index.html

http://www.juniper.net/pr...creen_5_series/index.html

[ Voor 20% gewijzigd door Verwijderd op 17-05-2008 22:09 ]

dinsdag 20 mei 2008 14:58

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 02-02 21:41

Battle Bunny

Topicstarter
Na wat zoekwerk heb ik het idee dat die Netscreens en Fortigate dingen meer bedoeld zijn om anders-om te werken (i.e., het beveiligen van client pcs binnen het netwerk). Ik wil juist meerdere servers beschermen tegen hacks.

Uiteindelijk ben ik hier uitgekomen:
http://www.defzone.com/lang/en/Defzone_300sg

Iemand hier ervaring mee? Erg leuk prijsje en lijkt te doen wat ik wil.

dinsdag 20 mei 2008 16:16

Acties:
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 14:56

sh4d0wman

Attack | Exploit | Pwn

Ik snap wat je bedoeld. De fw in je link ken ik niet maar ik zat nog aan iets anders te denken. Is er geen mogelijkheid bij xs4all om je servers achter een fw te krijgen? Misschien goedkoper dan wanneer je dit zelf gaat doen. (mits uberhaupt mogelijk natuurlijk)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 20 mei 2008 17:14

Acties:
  • Battle Bunny
  • Registratie: Oktober 2001
  • Laatst online: 02-02 21:41

Battle Bunny

Topicstarter
Hmm, inderdaad een idee. Na wat snuffelen op de site denk ik helaas niet. Daarbij is het toch ook wel fijn om dit in eigen hand te houden.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq