:strip_exif()/u/8402/Untitled-2.gif?f=community)
Hey, ik zit te kijken naar een ASA5510, om een bestaande netwerkconfiguratie voor een project beter te beveiligen dan nu het geval is.
Ik wil een stuk of 6 webservers in een DMZ gaan zetten (staan nu direct aan het net met een host-based ipsec filter), en daarachter een stuk of 10 backend servers. Van de webservers naar het internet gaat nu ongeveer 60-80Mbit, en de verwachting is dat dit boven de 100Mbit uit gaat komen.
De servers staan nu colocated, en we hebben nu een 100Mbit uplink, maar dit zal straks een 200Mbit trunk worden of een 1Gbit uplink.
plaatje:
De extra veiligheid in de oplossing zit het vooral in het feit dat ik een single point of entry heb, in tegenstelling tot nu. Als een machine compromised is, kan ik op de firewall access disablen, nu moet ik toegang zien te krijgen tot een machine en de netwerkkaart disablen of het ipsec policy aanpassen. Daarnaast wil ik nu ook dat machines in de DMZ geen connecties meer kunnen initiëren naar het internet. Dit voorkomt dat als er een sql injection vulnerability in een van de applicaties zit, dat een script kiddy root kits kan downloaden.
Mijn keuze is nu gevallen op de ASA5510 secplus, omdat deze qua prijs redelijk interessant is, ca 2100 piek excl. Dan krijg je 2 Gbit interfaces en wat 100Mbit interfaces. Daarnaast ben ik redelijk handig geworden met de ASA5505, daar heb ik er een stuk of 6 van in beheer nu, en ik heb het gevoel dat ik die redelijk goed ken. Ik heb niet zoveel zin om op korte termijn veel te gaan studeren om de firewalls van een andere fabrikant goed te gaan leren.
Vraag 1: ik sta open voor feedback op mijn plannetje tot zover
Op zich moet dit volgens mij voldoen aan de huidige eisen. Ik zit dus nog wel een beetje met backups in mijn maag. Vraag 2: Hoe doen jullie dit? Ik ben nog aan het twijfelen om een aparte backupserver in de DMZ te zetten, of om een enkele backupserver met 2 nics in de verschillende vlans te hangen (zoals in plaatje), en vervolgens die machine helemaal dicht te spijkeren (is BSD machine).
Backups trekken door de firewall is security-wise de meest gewenste optie, maar dan haal ik maximaal 100Mbit, en dan wordt mijn backup window wel erg groot. Wil ik in de Cisco een extra GB nic, moet ik upgraden naar de ASA5520 of een 4*GB module kopen, in beide gevallen kom ik op > 5000 EUR uit.
En ook al zou ik dat doen, de ASA5510 heeft maar een throughput van 300Mbps, en de ASA5520 een throughput van 450Mbps. vraag 3: weet iemand hoe die throughput is gedefinieerd? Ik kan het zo niet vinden. Is het zo dat de 5510 maximaal 300Mbps kan natten, of kan ie uberhaupt maar maximaal 300Mbps routen en gaat dan de rem erop? Is het in totaal, of per interface? Beetje zonde van de 1Gbit interfaces als ie in totaal maar 300Mbps zou kunnen doorlaten.. Ik zoek me het apelazerus op de cisco site, maar ik kan het zo niet vinden..
Ik wil een stuk of 6 webservers in een DMZ gaan zetten (staan nu direct aan het net met een host-based ipsec filter), en daarachter een stuk of 10 backend servers. Van de webservers naar het internet gaat nu ongeveer 60-80Mbit, en de verwachting is dat dit boven de 100Mbit uit gaat komen.
De servers staan nu colocated, en we hebben nu een 100Mbit uplink, maar dit zal straks een 200Mbit trunk worden of een 1Gbit uplink.
plaatje:
De extra veiligheid in de oplossing zit het vooral in het feit dat ik een single point of entry heb, in tegenstelling tot nu. Als een machine compromised is, kan ik op de firewall access disablen, nu moet ik toegang zien te krijgen tot een machine en de netwerkkaart disablen of het ipsec policy aanpassen. Daarnaast wil ik nu ook dat machines in de DMZ geen connecties meer kunnen initiëren naar het internet. Dit voorkomt dat als er een sql injection vulnerability in een van de applicaties zit, dat een script kiddy root kits kan downloaden.
Mijn keuze is nu gevallen op de ASA5510 secplus, omdat deze qua prijs redelijk interessant is, ca 2100 piek excl. Dan krijg je 2 Gbit interfaces en wat 100Mbit interfaces. Daarnaast ben ik redelijk handig geworden met de ASA5505, daar heb ik er een stuk of 6 van in beheer nu, en ik heb het gevoel dat ik die redelijk goed ken. Ik heb niet zoveel zin om op korte termijn veel te gaan studeren om de firewalls van een andere fabrikant goed te gaan leren.
Vraag 1: ik sta open voor feedback op mijn plannetje tot zover
Op zich moet dit volgens mij voldoen aan de huidige eisen. Ik zit dus nog wel een beetje met backups in mijn maag. Vraag 2: Hoe doen jullie dit? Ik ben nog aan het twijfelen om een aparte backupserver in de DMZ te zetten, of om een enkele backupserver met 2 nics in de verschillende vlans te hangen (zoals in plaatje), en vervolgens die machine helemaal dicht te spijkeren (is BSD machine).
Backups trekken door de firewall is security-wise de meest gewenste optie, maar dan haal ik maximaal 100Mbit, en dan wordt mijn backup window wel erg groot. Wil ik in de Cisco een extra GB nic, moet ik upgraden naar de ASA5520 of een 4*GB module kopen, in beide gevallen kom ik op > 5000 EUR uit.
En ook al zou ik dat doen, de ASA5510 heeft maar een throughput van 300Mbps, en de ASA5520 een throughput van 450Mbps. vraag 3: weet iemand hoe die throughput is gedefinieerd? Ik kan het zo niet vinden. Is het zo dat de 5510 maximaal 300Mbps kan natten, of kan ie uberhaupt maar maximaal 300Mbps routen en gaat dan de rem erop? Is het in totaal, of per interface? Beetje zonde van de 1Gbit interfaces als ie in totaal maar 300Mbps zou kunnen doorlaten.. Ik zoek me het apelazerus op de cisco site, maar ik kan het zo niet vinden..
Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!
:strip_exif()/u/16622/121823.gif?f=community)