security appliances welke keuze.

Wat bedoel je met "de serieuze Cisco bug"?

Dat soort bugs zul je met alle appliances wel een keer krijgen. Overigens was die patch voor die bug snel beschikbaar en was er gelijk een workaround ivm access-lists beschikbaar.

Mischien kun je wat meer info geven mbt de omgeving waarin de apparaten zullen worden ingezet en wat de specifieke wensen en eisen zijn?

SED schreef op 11 december 2003 @ 20:03:
[...]
Zie originele posting: minstens 1GB verkeer of zo dicht mogelijk daarbij, aankunnen .

Ik denk op het moment dat je 10% van de capaciteit van de AMS-IX verbruikt, dat GOT niet bepaald de beste plaats is voor dat advies.
Met een dergelijk verbruik, zal de hardwareleverancier wel met een dikke smile elke week op de stoep staan
Je werkt bij een ISP ofzo?

Met een Gbic connectie als wens valt er al heel wat af lijkt me. Verder zul je moeten checken of de devices wel snel genoeg zijn om de informatie op die snelheid te kunnen verwerken. Vooral voor intrusion detection, maar ook virusdetectie zal het device sessies moeten gaan construren en pakketten samenvoegen etc. Moet alles in 1 device of zijn meerdere oplossingen ook een mogelijkheid?

Heb je zelf voldoende (bv cisco) kennis om een dergelijke opstelling te gaan beheren?

Welke types zijn geoffereerd? Sonicwall heeft er bijvoorbeeld al meerdere. Check ook eens de producten van CheckPoint.

Wat wil je ongeveer besteden?

[ Voor 10% gewijzigd door Bor op 12-12-2003 10:32 ]

Ik heb zelf een goede ervaring met sonicwall's. Deze werkten echter op een verbinding van hooguit 2Mbit, wat de performance van deze machines is op een gigabit lijn durf ik je dus niet te zeggen.

Ik denk eerlijk gezegd dat een sonicwall iets te beperkt is als je een netwerk hebt met 700 PC's.

Ga even kijken bij Resilience.
Deze leveren Checkpoint based oplossingen met de failover mogelijkheden en throughput tot 1,5Gbps.

Je kan Gigabit interfaces plaatsen, of tot 16 10/100 Mbit interfaces.

De HA oplossing is volledig gesynchroniseerd. De backup node neemt automatisch en transparant voor de eindgebruikers over als de primare node down is, of als een interface van de node down is.

Dit gebeurt zeer snel, +/- binnen de seconde.
Ook de support bij Resilience is goed. Je krijgt snel antwoord als je naar de support dienst belt, of als je naar de support mailt.

Die oplossingen (met of zonder failover) zijn ook iets goedkoper dan dezelfde oplossing van Nokia.


Die doet natuurlijk geen SPAMfiltering, maar doet je ook op je mailserver doen, of op een speciale mailrelay server.

[ Voor 7% gewijzigd door Predator op 12-12-2003 20:05 ]

SED schreef op 12 december 2003 @ 18:21:

of-topic.
Wat het Cisco bug verhaal beteft gaat voor iedere doos met ingebouwd OS op dat er gaten in zitten. Hoe meer mogelijkheden des te meer gaten.
Maar dat is een heel andere discussie.

Leg die een uit dan?

Check ook de nokia apparatuur (is CheckPoint). Die zijn erg schaalbaar.

Sonicwall zie je vrijwel alleen in het soho segment.

[ Voor 11% gewijzigd door Bor op 12-12-2003 20:12 ]

SED schreef op 12 december 2003 @ 20:52:
[...]

Sonicwall 4060.... niet echt Soho lijkt me


Resilience is een leuke tip. ga eens zoeken daar..Bedankt..

Ik heb ook niet gezegd dat Sonicwall geen grotere modellen heeft, alleen dat ik het alleen maar in Soho omgevingen ben tegengekomen. De grotere (enterprise etc) omgevingen neigen sneller naar Cisco of CheckPoint apparatuur. Je hebt het gewoon verkeerd begrepen.

Ervaringen met dit soort apparatuur is moeilijk. Wat verwacht je precies? Ervaringen met 1 product? Ik kan zeggen dat mijn ervaringen met Cisco en CheckPoint absoluut goed zijn, maar daar heb je niet veel aan. Mensen met ervaring met meerdere van dit soort producten zul je hier op GoT niet snel tegenkomen. Dan kun je beter een goed marktonderzoek (laten) doen en je keuze daar op baseren.

De offertes leggen lijkt me ook wel uit waarom ze juist voor dat specifieke product hebben gekozen?

[ Voor 37% gewijzigd door Bor op 12-12-2003 23:13 ]

SED schreef op 12 december 2003 @ 20:52:
Resilience is een leuke tip. ga eens zoeken daar..Bedankt..

Maar ik zie weinig ervaringsgegevens hier.. had dat gezien de specifieke doelgroep voor dit spul ook niet moeten verwachten waarschijnlijk.
Mocht er echter nog iemand ervaringen hebben , dan graag.

Ik heb maar sinds gisteren zo'n Resilience box in productie, dus veel ervaringen kan ik je nog niet geven.

Wat ik zei over de failover en de support is wel mijn eigen ervaring.
Die failover is echt indrukwekkend
De support dienst van Resilience antwoordt zeer snel.
Als ze je niet meteen kunnen helpen aan de lijn, dan bellen ze je zeer snel terug.

Ik kan je wel niet vertellen hoe dicht de practische throughput de theoretische throughput kan benaderen. Het is voor mij ook de bedoeling dat die nooit bereikt gaat worden.

Daarnaast moet je ook wel even weten dat er een groot verschil is tussen throughput met veel concurrent connections, of maar een paar grote transfers.
Een grote ruleset of een beperkte ruleset maar ook al een enorm verschril.
Veel logging kan ook nefast zijn voor je performantie.

Cijfertjes zeggen dus natuurlijk niet alles, en zelf meten is ook allesbehalve gemakkelijk.

[ Voor 5% gewijzigd door Predator op 13-12-2003 10:53 ]

Netscreen heeft ook een aantal modellen die er specifiek voor bedoeld zijn om op Gigabit lijnen in gezet te worden

de Netscreen 500 bijvoorbeeld

ik heb nu zo ondertussen al zo een beetje alles langs zien komen in mijn carriere.

Cisco , Netscreen , Checkpoint en anderen

allemaal kunnen ze veel. allemaal hebben ze hun eigen eigenaardigheidjes.

om nu te zeggen dat er een echt beter is. ik weet het niet.

persoonlijk vind ik de netscreen wel makkelijk te beheren.

SED schreef op 11 december 2003 @ 19:26:
Op dit moment zit ik in een offerte stadium voor diverse zogenaamde security appliances. Oftewel hardware dozen met een reeks van functies zoals firewall, spamfiltering, intrusion detection en prevention enz.

De prijzen van deze appartatuur loopt sterk uiteen en ik ben eigenlijk benieuwd naar praktijkervaringen met deze spullen.
Op dit moment liggen er offertes van Symantec 5400 series.
Sonicwall, ISS proventia, Cisco 6505 blade en fortinet. Aangezien deze allemaal een wat andere benadering gebruiken is vergelijken bijzonder moeilijk.

De eisen zijn een gigabit ( liefst in Gbic) connectie en voldoende throughput om die Gb ook zo dicht mogelijk te benaderen.
25 servers, 700 werkstations, 1Gb internet access

Ik vraag me af of je echt een (1) appliance wilt. Een firewall appliance is imho heel iets anders dan een IDS/IPS of een spamfilter. Hardware die daadwerkelijk 'wirespeed' Gigabit (walgelijke kreet, maar je begrijpt wat ik bedoel) spam kan filteren moet volgens mij nog gebouwd worden. Voor een firewall ligt dat heel anders. Een PIX525 (trekt zo'n 350Mbit/s troughput, uit mijn hoofd) is bijvoorbeeld maar een Celeron 600Mhz. Voor intrusion detection of prevention zou je dat met een firewall kunnen combineren, maar dat is puur een afweging.

Persoonlijk heb ik alleen ervaring met Cisco (PIX) op dit soort snelheden en custom build (OpenBSD et.al.), waarbij beide wat mij betreft doen wat ze moeten doen (firewallen, voornamelijk). Firewall-1 ken ik als normale versie, niet als appliance. Die vind ik persoonlijk opslachtig te beheren, maar dan praten we wel over 4.x.
Ik weet niet of die Cisco 6500 blade die je bedoelt een firewall of een IDS blade is, maar persoonlijk zou ik voor een losstaande appliance kiezen. Ik denk dat ze die qua software beter onderhouden/fixen, omdat er meer gebruikers van zijn. Cisco vind ik niet zo betrouwbaar als het gaat om onderhoud van producten die nauwelijks verkocht worden of een kleine afzetmarkt hebben (Cisco Netrangers of Content switches bijvoorbeeld).

Spamfiltering zou ik op een zelfgebouwde mailserver doen, iets met SpamAssassin ofzo. Dat is in iedergeval iets dat weinig te maken heeft met een firewall of intrusion detection, als je het als beheerder ziet, niet als gebruiker.

Of je echt Gigabit troughput nodig hebt moet je zelf afwegen, maar stel je zelf wel de vraag hoe vaak je daadwerkelijk hoeveel verkeer nodig hebt. Ook met een gigabit lijn kan een paar honderd Mbit/s genoeg zijn, zeker als eigenlijk nooit boven de 100Mbit/s uitkomt.

[ Voor 1% gewijzigd door Maarten @klet.st op 14-12-2003 19:42 . Reden: typo's ]

Is een firebox geen optie ??

www.watchguard.com

Heb je behoorlijk wat varianten van, inc. E3 en zulk spul.
En ook nog eens behoorlijke firewalling.
Is misschien de moeite waard...

Zoals een poster al vermelde zou ik niet alles in 1 box doen zeker met zoveel machines er aan. Ik zou eerder kijken naar een combinatie van spullen die load balanced met elkaar kunnen samenwerken. Bijvoorbeeld een spamfilter/virus scanner op dezelfde box als een firewall zou ik niet echt tof vinden als 1 of andere gek even een mailtje van 50 MB verstuurt onder de gedachte we hebben toch bandbreedte genoeg. Want dat scannen kost CPU power.
Mijn gedacht zou zelf gaan naar een nokia hardware box setje met checkpoint Firewall er op.