Firewall keuze - event - Netwerken

donderdag 4 augustus 2016 16:22

Acties:

Topicstarter

Hi,

Wij organiseren 1x per jaar een training event voor onze klanten (+-120 personen) waarbij we over 10 verschillende zalen training verzorgen over onze verschillende oplossingen.
Daar in sommige trainingen er gewerkt wordt met malware hebben wij uiteraard nood aan een firewall en een fysieke scheiding van de verschillende zalen.
Nu omdat dit slechts 1x per jaar gebruikt gaat worden kunnen we hier niet over een groot budget beschikken.

De setup die we hebben is om per training zaal een switch te plaatsen voor de studenten en die wordt dan in een apart vlan geuplinked naar een firewall. Daarom dat er een nood is aan +-16 interfaces.
De uplink naar het internet is een dedicated 100mbit link.

Nu zou ik graag gebruik willen maken van een budget vriendelijke (lees goedkope) oplossing. Mijn eerste gedacht was om dit te doen via Mikrotik spullen maar ik had toch graag een iets gebruiksvriendelijke oplossing gezien zodat de admins deze firewall kunnen beheren.
Het probleem is dat de hardware voor mikrotik enkel voor RouterOS gebruikt kan worden en ik dus op zoek ben naar een hardware oplossing waar we eventueel Pfsense (of iets anders) op kunnen installeren.

Als er nog andere voorstellen zijn dan hoor ik het graag.

donderdag 4 augustus 2016 16:35

Acties:

Frogmen

Kortom je zoekt een router firewall die 10 vlans kan routeren en voorzien is van een uitgaande firewall. Wat moeten de admins kunnen beheren. Welke functionaliteit moet de firewall hebben? Volgens mij moet je met iets als PFsense heel ver kunnen komen.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

donderdag 4 augustus 2016 16:45

Acties:

PerfectPC

100 Mbps is niet zo veel, dat kan je prima met oude (spare) hardware oplossen. Gewoon de vlan's van de verschillende subnetten als virtuele interfaces aanbieden bij de pfSense en dan kom je toe met 1 of 2 NIC's.

donderdag 4 augustus 2016 16:47

Acties:

DJSmiley

Een simpel minipctje met 2 nics (een intel nuc of vergelijkbaar, alleen even iets met 2 netwerkkaarten) en een 24 poorts switchje?

Maar goed, een Mikrotikje kan natuurlijk ook prima, en is een stuk goedkoper. In hoeverre moet het echt beheerd worden? als je gewoon een 16-tal subnetjes wilt met ieder een eigen netwerkje hoef je dat maar 1x te configgen.

donderdag 4 augustus 2016 17:00

Acties:

hardyke_

Topicstarter

Wij willen graag elke training interface termineren op de firewall rechtstreeks.
Kwestie dat we kunnen ingrijpen als er iets misgaat. Dit over een extra vlanned switch laten verlopen is ook mogelijk natuurlijk maar is weer een component extra.

Op de firewall willen we deftige logging en eventueel bepaalde hosts kunnen identificeren en containen.
Graag hadden we visibiliteit gehad qua applicaties enz. Dus niet enkel wat traffiek reporting.

Qua filtering willen we op applicaties filteren zodat niet iedereen zijn bittorrent client opensmijt.

[ Voor 22% gewijzigd door hardyke_ op 04-08-2016 17:06 ]

donderdag 4 augustus 2016 17:53

Acties:

Rolfie

hardyke_ schreef op donderdag 04 augustus 2016 @ 17:00:
Wij willen graag elke training interface termineren op de firewall rechtstreeks.
Kwestie dat we kunnen ingrijpen als er iets misgaat. Dit over een extra vlanned switch laten verlopen is ook mogelijk natuurlijk maar is weer een component extra.

Op de firewall willen we deftige logging en eventueel bepaalde hosts kunnen identificeren en containen.
Graag hadden we visibiliteit gehad qua applicaties enz. Dus niet enkel wat traffiek reporting.

Qua filtering willen we op applicaties filteren zodat niet iedereen zijn bittorrent client opensmijt.

Of wel, eerst even beter je requirements beschrijven. Must have, nice to have zijn hierin belangrijke punten.
Butget is er natuurlijk ook 1. Maar zoals ik het zie, bijna iedere moderne server met pfsense voldoet al. Eventueel met wat extra quad netwerkkaarten. Eventueel met een 2de server voor syslog van je firewall rules voor je history.

donderdag 4 augustus 2016 18:09

Acties:

CyBeR

💩

hardyke_ schreef op donderdag 04 augustus 2016 @ 17:00:
Wij willen graag elke training interface termineren op de firewall rechtstreeks.
Kwestie dat we kunnen ingrijpen als er iets misgaat.

Moet 't op de firewall zelf zijn? Je kunt ook een L3 switch gebruiken en elk vlan een eigen RVI geven, met ACL's om alles te blokkeren wat je wilt blokkeren tussen de vlans onderling en de firewall om NAT e.d. te doen.

[ Voor 6% gewijzigd door CyBeR op 04-08-2016 18:09 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 5 augustus 2016 14:57

Acties:

hardyke_

Topicstarter

thanks voor de feedback. Maandag een call en ik denk dat we voor de piste gaan kiezen om een extra switch te plaatsen met daarvoor een kleine firewall. En dan met pfsense te werken.

maandag 8 augustus 2016 14:18

Acties:

Powermage

Events, daar doe ik wel eens iets mee

Maargoed, een gemiddelde Mikrotik kan dit al op die 100mbit, de simpelste varianten doen al vrij snel 330 mbit geloof ik.

Aan de andere kant, beetje rate limiten en segmenteren en zoveel risico loop je verder ook niet.
En als jullie oplossingen met malware te maken hebben dan zullen de gasten ook wel enigsinds kennis hebben ervan, dus dan maakt dat lomp gezegd ook niet veel uit toch?
Als het dan gaat om een user die excessief verkeer verbruikt, gewoon die gasten vlans wat rate limiting op toepassen, dan moet t met 120 man wel heel gek lopen wil dat mis gaan.

onze setup is normaal een Mikrotik met een vlan switch eraan waar we verschillende vlans op maken dit al dan niet aan wifi of andere switches gekoppeld, heb nog geen evenement mee gemaakt waar we daar niet mee weg kwamen eigenlijk.

Join the club

maandag 8 augustus 2016 15:52

Acties:

Bastiaan V

Tux's lil' helper

Powermage schreef op maandag 08 augustus 2016 @ 14:18:
Events, daar doe ik wel eens iets mee

Maargoed, een gemiddelde Mikrotik kan dit al op die 100mbit, de simpelste varianten doen al vrij snel 330 mbit geloof ik.

Aan de andere kant, beetje rate limiten en segmenteren en zoveel risico loop je verder ook niet.
En als jullie oplossingen met malware te maken hebben dan zullen de gasten ook wel enigsinds kennis hebben ervan, dus dan maakt dat lomp gezegd ook niet veel uit toch?
Als het dan gaat om een user die excessief verkeer verbruikt, gewoon die gasten vlans wat rate limiting op toepassen, dan moet t met 120 man wel heel gek lopen wil dat mis gaan.

onze setup is normaal een Mikrotik met een vlan switch eraan waar we verschillende vlans op maken dit al dan niet aan wifi of andere switches gekoppeld, heb nog geen evenement mee gemaakt waar we daar niet mee weg kwamen eigenlijk.

Mijn ervaring is dat de performance van de microticjes erg hard instorten zodra je features ook daadwerkelijk gaat gebruiken..

De opgegeven specs zijn enkel layer2 forwarding.
Layer drie met een tiental firewall regels kan je maar zo de helft van je capaciteit kosten.

dinsdag 9 augustus 2016 08:50

Acties:

Powermage

Klopt, maar al zou dat 50% impact hebben kan die alsnog prima die 100mbit voorzien natuurlijk, dus in dit geval niet heel interessant eigenlijk.

In depth analyse heb je een zwaarder model nodig ja, maar ik zou dan eerder voor andere oplossingen kiezen eigenlijk die dat meer out of the box hebben.

Join the club

dinsdag 9 augustus 2016 13:18

Acties:

itlee

Gas erop!

gewoon een oude fortigate kopen. een 110c of een 200 serie. hoger mag altijd.
is vast te vinden op ebay,...en je kan alles wat je wil/zoekt.