microsoft isa server versus iptables

[quote]Verwijderd schreef op 18 November 2002 @ 09:43:
Onze systeembeheerder is serieus aan het overwegen om Microsoft ISA server te installeren als Firewall. Als voordelen noemt hij:

hij vergeet een voordeel en dat is er ook een waarom hij toch niks anders installeerd
en dat is yes yes iagree next next next reboot
en hij doet het (bijna)
Kortom hij kiest voor de makkelijke weg.

En hij heeft een beetje gelijk wil je al die opties onder linux krijgen zou je veel meer pakketen moeten installeeren om het zelfde te krijgen.

Heb zowel isa beheerd en geinstalled als linux ipchains / iptables.

het enige voordeel van linux is dat het bijna niets kost en de pc waar je het op gaat draaien hoeft geen pc te zijn met 512 geheugen etc, en mocht je het allemaal aan de gang hebben dan geeft het 100 x meer zelfbevrediging

Ik hoor zijn punten, en inderdaad moet ik hem gedeeltelijk gelijk geven. Je installeert een product, en je krijgt dat alles.

Mijn argumenten voor ISA:
- Een vendor, ipv vele.
- Een pakket, ipv vele.
- Op papier een goed service apparaat (helpdesk, etc.).
- Relatief eenvoudige configuratie (de 'bekende' MS GUI... Nog steeds niet echt overtroffen).

Mijn tegenargumenten:
- Microsoft en security? Ehrmmmm.. Nee, dank je. Hun 'trackrecord' is allesbehalve rooskleurig als het ook maar in de buurt van security komt.
- Proxy functionaliteit: Squid is een van de betere proxy's die op de markt is. Het is flexibel en heeft eigenlijk wel alle toeters en bellen die je van een proxy zou kunnen wensen.
- Bandwidth management: Kan ook met linux/iptables. Je kunt bandwidth management installeren, QoS, etc. Je moet er wel weer een extra pakket op plakken en weten hoe je er mee om moet gaan.
- VPN: heb ik niet zoveel verstand van, maar ik neem aan dat Swan (als ik het goede pakket voor ogen heb) dat ook kan.
- Goede monitoring: Minimaal evengoed mogelijk onder iptables, maar weer een extra pakketje.
- Snelheid oplossen issues. MS is traag in het oplossen van security en andere issues als ze er al uberhaupt aandacht aan besteden. Dit in tegenstelling tot de Open Source omgeving waar (zeker wanneer je op het gebied van iptables, ed, terecht komt) patches soms al binnen enkele uren beschikbaar zijn.
- Flexibiliteit: Je zit niet aan een enkel pakket vast. Indien een deel van de functionaliteit niet voldoet, installeer je een ander pakket wat de functionaliteit wel biedt, tegen dezelfde prijs (gratis!).
- TCO: Het is bewezen dat de TCO van OpenSource software alleen maar daalt na verloop van tijd. Het is al lager om mee te beginnen, en wordt alleen lager. Dit komt (oa) door het afwezig zijn van kunstmatig gegenereerde behoefte tot upgraden, betaalde updates, etc.

Ik hoop dat je hier wat mee kan.

Ik zie maar 1 argument uit de huidige opmerkinegn wat ik kan bevestigen: Prijs
Verder zie ik alleen opmerkingen als wat je bij ISA kan kan ook bij andere (gratis) Linux/Unix varianten.

M$ is tegenwoordig (ook bij ISA, zo niet vooral bij ISA) best snel bij het oplossen van bugs.
ISA is makkelijk in onderhoud en installatie.
Funtionaliteit ISA is gewoonweg GOED. (Niet uitstekend, dan moet je toch naar een Hardwarematige of Firewall-1 oplossing ofzo)

Als je ISA goed dichtzet, dus niet alleen next next next klaar, dan kun je er best een goede firewall aan hebben.

Er staat wel een review van een aantal van dit soort pakketten in een Windows 2000 Magazine (geloof halverwege vorig jaar).

bc_vortex:

Ik ga ervanuit in mijn opmerkingen dat de functionaliteit van ISA in principe 'voldoende' is. Ik ben het met je eens dat een 'alleen OpenSource' oplossing in principe ook 'voldoende' zal scoren.

Er werd alleen gevraagd naar argumenten om niet voor ISA te kiezen. Mijn opmerkingen zijn gebaseerd op mijn ervaringen met linux en MS. Er zijn eigenlijk maar twee punten waar je me zou kunnen 'beschuldigen' van 'MS-bashing', en dat zijn 'security' en 'bugfixes'. De rest zijn gewoon argumenten welke je in het voor en het nadeel van ISA kan uitleggen. Ik zie ze persoonlijk als voordeel, maar je kan voor hetzelfde geld ook het als nadeel zien.

Geen ontkenning van deze kant...las later ook pas dat er inderdaad werd gevraagd om nadelen.
Ben alleen een beetje zat van alle anti-MS, kom ik gewoon te vaak op niet reële wijze tegen.

Ik denk dat het inderdaad lastig tegen te beargumenteren is, dat van Microsoft sluit natuurlijk naadloos op elkaar aan is één software paket met een gebruikersvriendelijke interface. Bij Linux zit je algouw aan meerdere paketten, als de beheerder daarnaast ook nogeens geen Linux ervaring heeft (wordt overigens niet genoemd) met een meestal niet bestaande UI interface. (voor bijvoorbeeld IPTables, IPChains). En het puntje VPN is wel een lastige, dit is namelijk een microsoft eigen techniek is die standaard in elke Windows versie zit, deze is niet voor Linux beschikbaar. Als je voor een variant op Linux kiest dan heb je meteen client installaties, dit brengt natuurlijk een hoop ongemak mee.

Over het kostenplaatje wil ik al helemaal niet praten want dat is niet hoog :

$1,499 US per processor, het lijkt mij dat één processor meer dan genoeg is tenzij je een groot bedrijf hebt. En als men nog geen Windows 2000 Server heeft dan kost dit $1.199 per server.

Totaal zou dus uitkomen op :

$1.199 + $1.499

ronaldmathies schreef op 18 November 2002 @ 13:05:
...

Bij Linux zit je algouw aan meerdere paketten, als de beheerder daarnaast ook nogeens geen Linux ervaring heeft (wordt overigens niet genoemd) met een meestal niet bestaande UI interface. (voor bijvoorbeeld IPTables, IPChains).

...

Over het kostenplaatje wil ik al helemaal niet praten want dat is niet hoog :

$1,499 US per processor, het lijkt mij dat één processor meer dan genoeg is tenzij je een groot bedrijf hebt. En als men nog geen Windows 2000 Server heeft dan kost dit $1.199 per server.

Totaal zou dus uitkomen op :

$1.199 + $1.499

Even over de UI voor IPTables: er is wel zeker een UI voor IPTables (maar -weer- een ander pakketje, natuurlijk). Hier kan ik fwbuilder voor aanraden. Als je ooit met Firewall-1 hebt gewerkt is fwbuilder een makkie.

En qua kosten, heb je hier ook de onderhouds contracten bij gerekend voor de updates enzo?

Zoveel kennis van Linux is er niet nodig om bovenstaande voor elkaar te krijgen. Kijk bijvoorbeeld eens bij smoothwall. Dat is een kant en klaar product met bijna alle punten welke jij opnoemd in 1 distributie. Het enige waarop je een beetje moet studeren is Bandwith management, dit zit er wel in, maar is grafisch niet te configureren.
Verder is alles via een secure Web-interface zelfs -als je wilt- vanaf het internet te configureren.

Ook clarkconnect, e-smith en ipcop zijn erg goede firewall/proxy/VPN oplossingen.

Verwijderd schreef op 18 november 2002 @ 13:14:
[...]


Even over de UI voor IPTables: er is wel zeker een UI voor IPTables (maar -weer- een ander pakketje, natuurlijk). Hier kan ik fwbuilder voor aanraden. Als je ooit met Firewall-1 hebt gewerkt is fwbuilder een makkie.

En qua kosten, heb je hier ook de onderhouds contracten bij gerekend voor de updates enzo?

Wat ik bedoelde met die kosten is :

Staan deze in verhouding tot het bijhouden van al die 'paketjes' die je nodig hebt om hetzelfde resultaat te behalen van bijvoorbeeld de installatie.

Als ik die meuk ga installeren (en ik kost per uur 210 Gulden) en het kost mij om met bijvoorbeeld de ISA server 8 uur. dan kost dat 1680 gulden. Als ik voor Linux echter 4 dagen bezig ben omdat ik die paketjes moet downloaden, installeren/compileren en ik moet ze nog leren dan kost dat 6720 Gulden. Dat is effe het verschil wat ik ermee bedoel. De windows UI en manier van werken ken ik, dus dat hoef ik niet te leren. Maar op Linux hanteerd iedereen zijn eigen UI standaard waardoor je mischien wel 10 verschillende manieren van werken eigen moet maken.

ronaldmathies schreef op 18 November 2002 @ 13:20:
[...]


Wat ik bedoelde met die kosten is :

Staan deze in verhouding tot het bijhouden van al die 'paketjes' die je nodig hebt om hetzelfde resultaat te behalen van bijvoorbeeld de installatie.

Als ik die meuk ga installeren (en ik kost per uur 210 Gulden) en het kost mij om met bijvoorbeeld de ISA server 8 uur. dan kost dat 1680 gulden. Als ik voor Linux echter 4 dagen bezig ben omdat ik die paketjes moet downloaden, installeren/compileren en ik moet ze nog leren dan kost dat 6720 Gulden. Dat is effe het verschil wat ik ermee bedoel. De windows UI en manier van werken ken ik, dus dat hoef ik niet te leren. Maar op Linux hanteerd iedereen zijn eigen UI standaard waardoor je mischien wel 10 verschillende manieren van werken eigen moet maken.

Je moet bij linux eerst goed kijken wat je wilt. En daaruit je distributie gaan kiezen. Dit is inderdaad een extra stap die nodig is, maar niet zo drastisch als het hierboven wordt beschreven.

Als je een firewall/proxy wilt, neem je een linux firewall/proxy distributie. Dan hoef je alleen alle vragen te benatwoorden die bij de install worden gesteld en je hebt een FW. Maar dan wel een Firewall zonder overbodige zaken als een GUI, en wordpads en filesharing ballast..

Je kan wel een 'normale' linux distro als Firewall gebruiken. De tijd dat je allemaal linux pakketjes moest downloaden en compileren ligt toch al weer enkele jaren achter ons. De meeste standaard linux Distributies hebben deze zaken optioneel op de CD staan. En dat met een perfect werkende package manager.

Net zo als met Windows moet je bij linux wel weten waar je het over hebt als je mensen consulteerd, anders krijgen de mensen inderdaad de verkeerde spullen voor het verkeerde doeleind.

Overigens zou ik voor 100 euro niet iemand aan het werk willen hebben die 4 dagen bezig is met het installeren van een linux firewall/proxy. Dit kan in de meeste gevallen namelijk al binnen een uur.

Verwijderd schreef op 18 november 2002 @ 13:35:
[...]


Je moet bij linux eerst goed kijken wat je wilt. En daaruit je distributie gaan kiezen. Dit is inderdaad een extra stap die nodig is, maar niet zo drastisch als het hierboven wordt beschreven.

Als je een firewall/proxy wilt, neem je een linux firewall/proxy distributie. Dan hoef je alleen alle vragen te benatwoorden die bij de install worden gesteld en je hebt een FW. Maar dan wel een Firewall zonder overbodige zaken als een GUI, en wordpads en filesharing ballast..

Je kan wel een 'normale' linux distro als Firewall gebruiken. De tijd dat je allemaal linux pakketjes moest downloaden en compileren ligt toch al weer enkele jaren achter ons. De meeste standaard linux Distributies hebben deze zaken optioneel op de CD staan. En dat met een perfect werkende package manager.

Net zo als met Windows moet je bij linux wel weten waar je het over hebt als je mensen consulteerd, anders krijgen de mensen inderdaad de verkeerde spullen voor het verkeerde doeleind.

Overigens zou ik voor 100 euro niet iemand aan het werk willen hebben die 4 dagen bezig is met het installeren van een linux firewall/proxy. Dit kan in de meeste gevallen namelijk al binnen een uur.

Als je inderdaad Linux kent. Maar uit de beschrijving van de eerste bericht krijg ik het idee dat hier geen kant en klare linux versie voor is. Want alleen met een firewall haal je het niet. Dus komt het nogsteeds op neer dat je software moet installeren.

Maar om tot een conclusie te komen, de topicstarter geeft gewoon teweinig informatie. Want we weten niet of de beheerder linux kent, we weten niet of het bedrijf een bestaande server heeft met een licentie voor Windows 2000 Server. We weten niet of de gebruikers perse VPN moeten gebruiken (omdat ze wel of niet op Windows werken). We weten niet hoe het bedrijf zelf tegen Linux aankijkt. Als hij (de beheerder) de enige is die bijvoorbeeld linux kent dan moet hij ook garanderen voor een goede uptime en problem shooting/solving. Dat gaat nooit werken er zal altijd een tweede en eventueel ene derde persoon moeten zijn. Tenzij de beheerder nooit op vakantie gaat en nooit vrije dagen neemt.

M.a.w. deze discussie is op deze manier een beetje zinloos.

Als je inderdaad Linux kent. Maar uit de beschrijving van de eerste bericht krijg ik het idee dat hier geen kant en klare linux versie voor is. Want alleen met een firewall haal je het niet. Dus komt het nogsteeds op neer dat je software moet installeren.

Tuurlijk moet je software installeren MY GOD MAN!! De tijd dat je om tafel gaat zitten met een server en hem je wensen verteld, is nog niet helemaal daar..

En de vraag van de topicstarter was of dit allemaal mogelijk is onder linux. De antwoorden waren ja, en zelfs beter. En ook dat daarvoor helemaal geen grondige linux-kennis voor nodig is. Dus ik vraag me af.. Welke discussie?

/off-topic: Ik doe als Unix man de moeite om een beetje bij te blijven op het windows platform, zodat ik weet waarover ik meepraat. Het zou mooi zijn als dit vanuit de windows kant ook eens zo was, zodat ze ook weten waarover ze (mee)praten

Heb je al gekeken naar de toegespitste distro's als Clarkconnect, smoothwall o.i.d? Deze distro's kan je na het beantwoorden van een aantal vragen bij install, vergelijken met Hardware boxen. Ze doen precies (en ook niet meer) dan wat er van ze verwacht wordt. Er is ook alleen geinstalleerd wat daadwerkelijk nodig is en geen klik meer.. Dit verhoogd natuurlijk de stabiliteit en security.

- Stabiel
- Klein
- Snel te installeren
- Makkelijk te onderhouden (gratis security updates evt. een support contract)
- Modulair
- Snel
- Goedkoop
- Web configurable

En deze is ook heel goed aangeschreven vooral qua support:

http://www.edv-buchversan.../vaw3ProductsByKey/SUS014

Kijk nu zie ik een aantal argumenten die je kan gebruiken. Als het bedrijf al linux minded is en alle servers al op linux draaien is het een beetje vreemd om nu ineens voor Windows te kiezen. Zeker met de bestaande kennis van Linux. Want als er meerdere linux servers zijn dan zijn er ook meer mensen binnen het bedrijf die hier kennis van hebben. Als men ookal cursusen hierin gevolgt hebben dan is het natuurlijk wel zo handig om wat met de opgedane kennis iets te gaan doen. Anders is de cursus ook maar weggegooid geld.

Uniformiteit dat is hier een beetje het woord, het is voor mijn idee bijna net zoraar om bij Microsoft een linux bak neer te zetten als dat het hier is om Windows te gebruiken. Dan moeten juist mensen omschakelen om met Windows een server omgeving op te zetten en om te gaan. Als het inderdaad zo is dat alle servers reeds op Linux draaien, want dan is er veel meer kennis in huis om Linux te beheren dan Windows (Als server zijnde).

Als je echt een firewall wilt opzetten, ga je dan in het begin niet druk maken om het os, dat is dom...
Wat vele malen belangrijker is, is dat diegene die die firewall gaat opzetten competent genoeg is om een firewall op te zetten. Eg, die nt beheerder van jullie kan mischien wel een super hardened isa server opzetten, terwijl hij een belabberde lnx firewall opzet. (bij wijze van spreke).
Ook belangrijk is dat de firewall geschikt is voor _jullie_ situatie. Eg, als jullie veel telecomuters hebben die via vpns op het netwerk willen inloggen, is het zeker handig om je users via een pdc of ad te laten authenticaten, zodat ze niet meerdere malen hun wachtwoorden hoeven in te vullen.

just my 2 cents

Sorry hoor, maar als het hele bedrijf toch al Linux draait, waarom mag er dan niet 1 Windows machine bij? Als ik die argumenten zo hoor dan lijkt ISA mij een uitstekende oplossing voor dit "probleem". Ik ben zelf zeer Linux minded, maar ik ben ook iemand die kiest voor "the right tool for the right job". Linux mag dan wel goedkoop zijn om aan te schaffen, maar dat ding moet ook beheerd en opgezet worden.

Ga niet dom Linux overal voor gebruiken alleen om Microsoft zwars te liggen, zo kom je heel erg onprofessioneel over.

Remenic schreef op 18 november 2002 @ 14:43:
Sorry hoor, maar als het hele bedrijf toch al Linux draait, waarom mag er dan niet 1 Windows machine bij? Als ik die argumenten zo hoor dan lijkt ISA mij een uitstekende oplossing voor dit "probleem". Ik ben zelf zeer Linux minded, maar ik ben ook iemand die kiest voor "the right tool for the right job". Linux mag dan wel goedkoop zijn om aan te schaffen, maar dat ding moet ook beheerd en opgezet worden.

Ga niet dom Linux overal voor gebruiken alleen om Microsoft zwars te liggen, zo kom je heel erg onprofessioneel over.

Ik weet niet of je het over mijn reply hebt maar als motivering voer ik juist aan omdat men schijnbaar in het bedrijf veel kennis heeft van Linux. Dat de persoon Microsoft ISA minded is, zie ik nergens in de topic staan. Alleen dat de persoon graag het klik and run systeem hanteerd. Dat dit probleem opgelost kan worden met zowel een Windows machine als met een Linux machine geloof ik ook wel.

ronaldmathies schreef op 18 november 2002 @ 14:55:
[...]


Ik weet niet of je het over mijn reply hebt maar als motivering voer ik juist aan omdat men schijnbaar in het bedrijf veel kennis heeft van Linux. Dat de persoon Microsoft ISA minded is, zie ik nergens in de topic staan. Alleen dat de persoon graag het klik and run systeem hanteerd. Dat dit probleem opgelost kan worden met zowel een Windows machine als met een Linux machine geloof ik ook wel.

Bedoel je hiermee dat het klik en run systeem een fout systeem is, ook als het gewoon werkt (met aan passingen, welke ook gedaan kunnen worden met mikken en klikken)?

Die persoon zoekt redenen om in plaats van ISA Linux te gaan gebruiken, zonder dat ie zelf weet waarom (andere mensen moeten hem dat vertellen). Dit is een oorlog die niet gewonnen zal worden, vraag in WOS maar eens waarom iemand ISA in plaats van Linux zou moeten gebruiken. Er zullen vast hele goede redenen naar boven komen.

Deze discussie is gewoon zinloos. Als die systeembeheerder die ISA server moet beheren, dan kan ik mij heel goed voorstellen dat hij voor een systeem kiest dat eenvoudig te beheren valt. Als het de bedoeling is dat een ander het systeem gaat beheren, dan moet je het met die persoon overleggen, en niet die beslissing voor hem gaan maken.

imho is isa niet echt geschikt als border firewall (direct aan het internet aangesloten) maar is des te beter geschikt om daarachter te zorgen voor:

• Bandwith policies
• monitoren van webverkeer
• cachen van webverkeer
• content filtering
• enz. enz.

dus ik zou gaan voor een goede linux/unix dedicated firewall met daarachter een ISA server om het interne verkeer een beetje in het gareel te houden en te monitoren...

Iets wat ik bij linux nogal moeilijk vind om te realiseren is het verbinden van een gebruikersnaam aan verkeer om bijv. webverkeer per gebruiker te laten zien, en ook andere dingen aan gebruikersnaam koppelen gaat wat eenvoudiger met ISA.

Maar zoals ik al zei: Ik vertrouw ISA niet goed genoeg om hem direct aan internet te knopen, daar heb ik liever een linux/unix bak voor..

Het is beter om een dedicated firewall te hebben; immers elke service die draait is vatbaar voor security bugs etc. Dit gaat op voor Linux en voor Windows en alle andere machines. Dus een alles in 1 oplossing is zeker niet de meest veilige.

Mij gaat het niet om de Linux/Windows oorlog, waar ik naar kijk is wat er nu standaard in het bedrijf gebruikt wordt. Wat men meer kennis van heeft (ik vermoed linux omdat alles tot nu toe linux is). Zelf zou ik ook voor Windows gaan omdat mijn kennis van Linux hiervoor te laag is.

ronaldmathies schreef op 18 November 2002 @ 15:36:
Mij gaat het niet om de Linux/Windows oorlog, waar ik naar kijk is wat er nu standaard in het bedrijf gebruikt wordt. Wat men meer kennis van heeft (ik vermoed linux omdat alles tot nu toe linux is). Zelf zou ik ook voor Windows gaan omdat mijn kennis van Linux hiervoor te laag is.

In bedrijven zijn het meestal Cisco PIX's, Raptor's, Checkpoint firewall's en die draaien meestal ook een unix achtig besturingssysteem...

ronaldmathies schreef op 18 november 2002 @ 13:05:
En het puntje VPN is wel een lastige, dit is namelijk een microsoft eigen techniek is die standaard in elke Windows versie zit, deze is niet voor Linux beschikbaar.

Er zijn meerdere PPTP implementaties voor GNU/Linux hoor, google maar eens wat.

ronaldmathies schreef op 18 November 2002 @ 13:20:
...en ik moet ze nog leren...

Mja, en dat is denk ik ongeveer waar het vnl op neerkomt: wie moet het installeren/onderhouden?
Ik weet niet wat de exacte eisen aan de software zijn, maar van wat ik uit de topicstart opmaak kan GNU/Linux het allemaal. Maar als degene die het moet installeren en onderhouden het niet wil, dan lijkt het me geen goed idee. Als je hem er alsnog van kunt overtuigen, en er is voldoende kennis aanwezig (van jou, andere mensen, whatever) om het te realiseren, dan is er weer geen probleem.

Maar op Linux hanteerd iedereen zijn eigen UI standaard waardoor je mischien wel 10 verschillende manieren van werken eigen moet maken.

FUD

Leon schreef op 18 november 2002 @ 15:26:
Iets wat ik bij linux nogal moeilijk vind om te realiseren is het verbinden van een gebruikersnaam aan verkeer om bijv. webverkeer per gebruiker te laten zien

Hoezo? Gewoon een proxy installeren en gebruiken... Dat doe je in Windows ook.

Bedenk ook even dat, maakt niet uit welke software en OS je gebruikt, een firewall zo goed is als de persoon die hem implementeert. Je kunt de allerbeste firewall opzetten op het meest gehardende OS ooit, maar als dan de ruleset rammelt, heb je nog niets....

Een bedrijf waar ik ooit voor werkte (maar die helaas failliet is ) had als slogan: Security is a state of mind..

Om nog maar even in het engelse te blijven: food for thought, nietwaar?

Wij hebben hier ook een tijdje ISA gedraaid maar hebben deze er naar een paar maanden er weer uitgeschopt en vervangen met een Linux gateway.

ISA is geheel gebasseerd op NAT, echter is het NAT gebeuren in ISA zo beperkt en zo brak dat dit voor ons de nodige problemen opleverde. Zo is het bijvoorbeeld niet mogelijk om te transleren over meerdere ip adressen (multinat). ISA gaat ook HEEEEL erg slordig om met z'n sessies, er kunnen heel veel dode sessies ontstaan welke ISA vervolgens 24 uur vasthoud.

Dit kan problemen geven als er teveel dode sessies onstaan naar dezelfde host, hierdoor zal je geen verbinding kunnen maken met de host totdat de dode sessies verdwenen zijn, dat kan dus wel 48 uur zijn.

Tevens is de firewall erg beperkt, zo laat hij je alleen maar TCP/UDP poorten openen, andere protocollen (bv. ESP) word lastig.

Ook als je meerdere netwerkkaarten in je gateway gebruikt (>3) dan gaat ISA volledig op z'n bek hebben we meegemaakt.

Alles wat je systeembeheerder noemt is makelijk te realiseren met Linux, als proxy kan je bijvoorbeeld Squid draaien en QoS is ook mogelijk met Linux (veel distro's ondersteunen dit zelfs al 'out-of-the-box').

En het belangrijkste: De Linux community is veel aardiger en leuker