Welke Cisco PIX firewall ??

Ten eerste, een PIX is geen router. Een firewall en een router zijn fundamenteel verschillende dingen. Ten tweede denk ik dat je dit best zelf uit kan zoeken met de docs op cisco.com en eventueel het cisco personeel. Waarom vraag je geen offertes aan bij hardware leverancieren waarbij je duidelijk uitlegt wat de bedoeling is. Een VPN accel card is niet altijd nodig per definitie. Bovendien zit er wel degelijk verschil tussen des / 3des en aes, zowel in de mate van beveiliging, in de prijs voor de licentie en in de processor power die nodig is om het verkeer te verwerken.

segil schreef op 20 januari 2004 @ 13:52:
Hoi allemaal,
Nu ben ik aan het zoeken welke hardware aan te schaffen. Voor de branch offices
willen we een PIX 501E aanschaffen. Hun toegang tot internet is ADSL of kabel.
Voor ons hoofdkantoor willen we een Cisco 506E of 515E aanschaffen. Voor de
VPN toegang wordt een aparte 2048 kbit SDSL lijn aangeschaft van XS4all.
Eén lijn dus voor alle VPN toegang. Nu vraag ik mij af:
1. Heb ik op het hoofdkantoor een Cisco 515E nodig, of is een 506E voldoende?
2. Als ik een 515E moet kopen, heb ik dan ook een VPN accelerator card nodig?

Bij gebruik van een 2Mbit lijn zou een 506E snel genoeg moeten zijn. Deze kan ongeveer 10Mbit aan IPSec verkeer verstouwen met 3DES zonder zicht te verslikken. Hierboven gaat het meestal ook nog wel goed, maar ik heb het ook fout zien gaan (vooral met zwaardere encryptie zoals 3DES en AES).

Volgens Cisco sales heb ik een 515E met VPN acc. card nodig, omdat anders de VPN
toegang te langzaam zou zijn. Ze zeggen dat een VPN acc. card altijd nodig is
voor VPN toegang. Maar dit klopt niet met de documentatie op hun eigen website!

Is inderdaad niet altijd nodig, deze kaart zorgt ervoor dat en- en decryptie sneller gaat. Is vooral nodig bij grote aantallen 3DES en/of AES sessies.

De VPN toegang zal gebruikt gaan worden voor terminal services, verbinding
met onze Exchange server, en internet browsen via onze eigen firewall.
En verder ook file-sharing.

Gaat alles via TS, of kunnen mensen ook direct vanaf een brancheoffice internet explorer opstarten welke dan via de VPN verbinding een connectie legt naar jullie firewall ? Ik zou (als je die mogelijkheid hebt) alle mensen welke via VPN binnen komen op een TS laten werken en geen enkele andere applicatie lokaal installeren op hun werkplekken.

Iemand een idee of de 506E krachtig genoeg is via een 2048 kbit SDSL verbinding
3-5 branch offices en 10 telewerkers tegelijk te voorzien van een stabiele,
snelle VPN verbinding? Maakt het dan nog uit of ik DES, 3DES of AES gebruik?

Ja, voor een 2Mbit verbinding is een 506E snel genoeg. Houd echter wel rekening met een maximum van 25 VPN sessies (jij komt max uit op 15, dus geen enkel probleem), echter zeg jij dat er branchoffices zijn waar 10 mensen zitten, deze zorgen natuurlijk wel voor sessies welke zwaarder belast zijn als een sessie van een thuisgebruiker.

Ik ben bang dat ik misschien een router koop die niet snel genoeg is voor
het VPN verkeer. Maar aan de andere kant, een 506E kost 800 euro, een
515E kost 2200 euro, en een 515E-UR kost 4500 euro! Scheelt nogal!

Ik zou persoonlijk een 515E kiezen. Niet zozeer omdat een 506E her niet aan zou kunnen, maar omdat een 515E veel beter uit te breiden is. Een 506E kan nooit meer als 25 VPN sessies aan. Stel je hebt dadelijk 6 branchoffices en 20 thuiswerkers. Dan heeft 1 branchoffice of 1 thuiswerker pech. Een 515E doet er met 2 vingers in zijn neus met gemak een 1000-tal. Verder is een 506E niet gemaakt om als VPN endpoint te dienen, maar puur voor remote offices (wil natuurlijk niet zeggen dat hetgene wat jij wilt niet werkt) Tevens is een 515E uitbreidbaar met extra ethernet interfaces en eventueel een VPN accelerator mocht blijken dat de CPU het niet meer trekt. Verder bied de 515E de mogelijkheid tot failover (met een tweede 515E), zodat bij een defect van de ene automatisch naar de andere kan worden overgegaan.

Tenslotte, zou ik ook de 506E kunnen uitbreiden met een 2de 506E, indien
nodig?

Nee, of je moet met loadbalancers gaan werken, wat echter vaak weer problemen geeft met VPN verbindingen.

Heel erg bedankt alvast voor jullie moeite!!!

Geen dank.

Bor_de_Wollef schreef op 21 januari 2004 @ 08:45:
Ten eerste, een PIX is geen router. Een firewall en een router zijn fundamenteel verschillende dingen.

Een firewall is meer dan een router, maar een deel van het firewall proces is gewoon routing.

Als de eenmaal besloten heeft het packet te forwarden (en na eventuele aanpassingen aan de protocol headers) dan doet hij verder exact hetzelfde als een router.

_{We laten application gateway functies even terzijde.}

Predator schreef op 21 januari 2004 @ 19:26:
[...]

Een firewall is meer dan een router, maar een deel van het firewall proces is gewoon routing.

Als de eenmaal besloten heeft het packet te forwarden (en na eventuele aanpassingen aan de protocol headers) dan doet hij verder exact hetzelfde als een router.

_{We laten application gateway functies even terzijde.}

Je geeft het zelf al aan. Een firewall is inderdaar meer dan een router.

Wij hebben nu een configuratie draaien voor thuiswerkers met een PIX515E-UR en een aparate 3015 VPN Concentrator. Dit werkt prima. We gebruiken IPSEC met RSA Authentication. (wat voor encryptie is dat eigenlijk, 3DES of ESP ??)

Wij hebben destijds de keus voor de 515 gemaakt inderdaad voor uitbreidbaarheid en failover.

Met het advies van Mark ben ik het helemaal eens. Volgens mij een Engineer in de firewall business ?

[ Voor 23% gewijzigd door Verwijderd op 21-01-2004 20:39 ]

Verwijderd schreef op 21 januari 2004 @ 20:37:
Wij hebben nu een configuratie draaien voor thuiswerkers met een PIX515E-UR en een aparate 3015 VPN Concentrator. Dit werkt prima. We gebruiken IPSEC met RSA Authentication. (wat voor encryptie is dat eigenlijk, 3DES of ESP ??)

ESP is geen encryptie, ESP is een protocol (wat gebruikt voor je IPSEC verbinding).

Normaal gezien is het 3DES.

Predator schreef op 22 januari 2004 @ 20:30:
[...]
Normaal gezien is het 3DES.

Mwah, tegenwoordig zie je AES steeds vaker gebruikt worden. Het is 2 to 3 keer sneller en het heeft een betere encryptie. Verder is vorig jaar ergens AES ook door diverse overheden (USA, Japan en diverse europese landen) gekozen als de standaard algoritme boven 3DES.

Ik ben het ook eens met Mark. 515e.

Ik kom het topic even kicken

Wij zijn van plan om voor de beveiliging van het netwerk een 506 aan te schaffen.
Nou liggen er in het netwerk zelf zeer belangrijke servers met gevoelige inforatie. Zou het nodig zijn om na een eerste firewall waarachter de webserver e.d. ligt een tweede neer te zetten voor extra veiligheid of is dit een beetje overdreven?

506.

Een tweede firewall is niet noodzakelijk.

[ Voor 4% gewijzigd door Bas_je op 09-12-2006 21:32 ]

Een pix 506E kan tegenwoordig al 50 tunnels aan en heeft ook al 3DES. Dus een 506E kan het allemaal makkelijk aan. Ivm uitbreiding is een 515 betere oplossing, maar deze kost bijna het dubbele (kan het weten, wij verkopen veel cisco).

Voor een webserver kun je een aparte DMZ module kopen die in een Pix 515 of in een van de grotere routers past.

het gaat niet zozeer om de capaciteit van de firewall, meer om ervoor te zorgen dat het interne netwerk 100% veilig is. Mocht iemand dan door de 506 komen dan krijgen ze nog niks omdat tussen dat deel en het interne netwerk NOG een firewall zit.
Wat ik me afvraag is of dit ook echt een nuttige opstelling is of dat een 506 alleen veilig genoeg is.

rajackar schreef op 27 februari 2004 @ 09:22:
het gaat niet zozeer om de capaciteit van de firewall, meer om ervoor te zorgen dat het interne netwerk 100% veilig is. Mocht iemand dan door de 506 komen dan krijgen ze nog niks omdat tussen dat deel en het interne netwerk NOG een firewall zit.
Wat ik me afvraag is of dit ook echt een nuttige opstelling is of dat een 506 alleen veilig genoeg is.

Je wilt dus eigenlijk een DMZ opzetten, waar je de webservers of eventuele extranet applicaties wilt draaien, tja 100% veilig is nooit helemaal te krijgen maar je zit wel aan de 99%+ kant, wat verder nog aan te raden is (is bij ons zelfs verplicht) is het inzetten van een IDS in het DMZ zodat als iemand ooit door de eerste firewall heen komt je gelijk maatregelen kan nemen.

cefas schreef op 27 februari 2004 @ 09:34:
[...]


Je wilt dus eigenlijk een DMZ opzetten, waar je de webservers of eventuele extranet applicaties wilt draaien, tja 100% veilig is nooit helemaal te krijgen maar je zit wel aan de 99%+ kant, wat verder nog aan te raden is (is bij ons zelfs verplicht) is het inzetten van een IDS in het DMZ zodat als iemand ooit door de eerste firewall heen komt je gelijk maatregelen kan nemen.

hee tnx, kun je me ook een beetje in de richting duwen voor een IDS?

Hou er bij een IDS rekening mee dat als je hem niet gebruikt je je de moeite en kosten van installatie kunt besparen. Bottom line: weet wat je wilt, weet wat de IDS kan, en weet wat het gebruik ervan kost (manuren).

rajackar schreef op 26 februari 2004 @ 16:25:
[...]
Nou liggen er in het netwerk zelf zeer belangrijke servers met gevoelige inforatie.
[...]

Ik heb dan maar 1 vraag....
- Voor WAT / WIE wil je die informatie veilig weghouden?
Om maar eens ff een rapport van Gartner aan te halen; 80-85% van gevallen van diefstal, fraude, manipulatie etc. gebeurd van binnenuit het betrokken bedrijf zelf!

Je hebt altijd 3 elementen bij security B.I.V.
Betrouwbaarheid
Intergriteit
Vertrouwelijkheid
Deze 3 moeten toch zeker in balans blijven, anders gaat het mis!

Als je wilt voorkomen dat alles en iedereen van binnenuit bij die server kan komen, dan zijn mogelijk meer maatregelen nodig dan alleen een firewall "aan de buitenkant" van je netwerk.

Security is het best wanneer het systeem opgebouwd is uit "schillen".
Hoe korter je op het middelpunt kom, hoe strikter de toegang beperkt is.
een voorbeeld...iemand in de buitenste "schil" kan bijv. overal komen waar ie mee moet kunnen werken, zoals je netwerk-schijven etc.
Maar 1 schil dieper zit de financiele administratie, die kunnen dus wel in de buitenste schil komen, die hebben tenslotte ook hun netwerk-schijven nodig, maar de mensen uit de buitenste schil dus niet op het systeem van de financiele administratie.
Ja, misschien zijn 2 schillen voldoende, misschien heb je er ook wel 5 nodig, maar dat kan ik hiervandaan op dit moment niet beoordelen.

Maar de allerbelangrijkste vraag blijft: WAT wil je ermee bereiken.
Als je dat niet goed inzichtelijk heb loop je het risico op overbodige- of des-investeringen omdat gekozen methode blijkbaar toch niet goed is.
Dit geldt dus ook voor de keuze van merk. Waar baseer je de keus op?? Op basis van naam? Of op basis van functionaliteit en prijs?
Ik wil je hier niet van Cisco afpraten, want het maakt voor mij persoonlijk niets uit of het nu een Cisco, WatchGuard, NetWolves, CheckPoint of wat dan ook is.
Maar maak wel de keuze op basis van de juiste gronden!

Wij hebben een 525 met 6 interfaces en daarachter een VPN3030(dacht ik) concentrator.

Kijk anders hier even naar

http://www.cisco.com/appl...tion_09186a008007d065.pdf

misschien een stomme vraag, maar waarom wordt de standaard functionaliteit van windows 2000 Server (VPN connectie) nooit gebruikt.

Indien je nog een server hebt staan welke een flinke processor (1 Ghz) heeft, dan zou je toch wel een behoorlijke hoeveel data realtime moeten kunnen encrypten?

Ik zie iedereen altijd over hardware matige VPN endpoints praten maar hoor bijna nooit iets over sw oplossingen?

Is de PPTP en L2TP een te slappe encryptie om je data mee te versleutelen?

Je kan dan toch je firewall zo instellen dat allen VPN verkeer wordt doorgelaten naar die VPN server

Verwijderd schreef op 02 maart 2004 @ 22:54:
misschien een stomme vraag, maar waarom wordt de standaard functionaliteit van windows 2000 Server (VPN connectie) nooit gebruikt.

Indien je nog een server hebt staan welke een flinke processor (1 Ghz) heeft, dan zou je toch wel een behoorlijke hoeveel data realtime moeten kunnen encrypten?

Ik zie iedereen altijd over hardware matige VPN endpoints praten maar hoor bijna nooit iets over sw oplossingen?

Is de PPTP en L2TP een te slappe encryptie om je data mee te versleutelen?

Je kan dan toch je firewall zo instellen dat allen VPN verkeer wordt doorgelaten naar die VPN server

Er zijn genoeg reden om een hardwarematige firewall te nemen:

Een pix is makelijk te vervangen (nieuwe pix, config erin, klaar)
Hoge betrouwbaarheid en uptime.
Dedecated (enge sysadmin's die hun firewall met andere software gaan uitrusten)
Met server ben je afhankelijk van veel meer onderdelen....

Ik zeg niet dat firewall server altijd hardwarematig moet zijn maar het wel een fijne oplossing.

Het is maar net wat je zoekt (eisen zijn)

Verwijderd schreef op 02 maart 2004 @ 22:54:
misschien een stomme vraag, maar waarom wordt de standaard functionaliteit van windows 2000 Server (VPN connectie) nooit gebruikt.

Buiten wat dycell zegt is het vaak zo dat er minder gevraagd wordt en er betere tools en support is voor dit soort functionaliteit in firewalls. Een beveiliging is voor een groot deel afhankelijk van de kennis van de sysadmin. Hoe minder kennis het van hem, vereist hoe kleiner het risico op een lek.

Indien je nog een server hebt staan welke een flinke processor (1 Ghz) heeft, dan zou je toch wel een behoorlijke hoeveel data realtime moeten kunnen encrypten?

een linksys routertje van 300 euro kan al een 50 3des genecrypte tunnels aan. Zoveel processorkracht is er niet voor nodig. (Ik kan me iets herinneren van dat een pix 501 een 5x86 heeft, klinkt als cyrix, joho dik man )

Ik zie iedereen altijd over hardware matige VPN endpoints praten maar hoor bijna nooit iets over sw oplossingen?
Is de PPTP en L2TP een te slappe encryptie om je data mee te versleutelen?

Hardware oplossingen bestaan niet, het is altijd software, of dat nu in de router is in een realtime os of in windows of een unix. pptp en l2tp zijn alleen manieren om een authenticatie op te zetten, da's niet de tunnel an sich. De tunnel zelf is trouwens ook software. Het is gewoon een verbinding waarvan de data versleuteld wordt op zo'n manier dat de eindpunten het kunnen vertalen. Ook versleuteling is software. Je gaat geen 10 aparte processing units bouwen voor alle vormen van encryptie.
Uit je verhaal blijkt dat je nog niet echt weet wat wat is. Niet dat dat boeiend is maar het is wel grappig hoor vpn.

Je kan dan toch je firewall zo instellen dat allen VPN verkeer wordt doorgelaten naar die VPN server

Selbstverstaendlich.

[ Voor 4% gewijzigd door Bas! op 03-03-2004 09:45 ]

Bas ik heb net vanalles gelezen over VPN (micosoft deployment guide voor router to router connectie) en ik had beetje klepel en klok probleem :-)

PPTP is inderdaad authentificatie systeem en MPPE wordt vervolgens gebruikt om de boel te verhaspelen. Wat zijn de mogelijkheden van een hacker indien zijn een stroom van deze MPPE encrypte pakketjes onderscheppen? Kunnen ze hier op termijn (redelijke termijn, dus niet nadat het universum 10x uiteen is gespat (of ineen is geklapt dat staat nog niet helemaal vast)) iets mee doen?

Indien hackers het initieel verkeer (de connnectie fase) onderscheppen, zijn ze dan in redelijke tijd in staat om de boel te decrypten? (en zo dus naam/wachtwoord te achterhalen en zodoende zelf een connectie te maken met het VPN en het bedrijfsnetwerk).

Hoe stellen jullie de firewall in voor thuisgebruikers die een vpn verbinding willen maken met het bedrijfsnetwerk? Vragen jullie aan de thuisgebruikers welk IP adres zei hebben en accepten jullie alleen een lijst van IP die naar poort 1723 worden geforward? Wachtwoord probeer pogingen, kunnen anders heel rustig aan worden uitgevoerd vanuit andere computers. (is niet een hele sterke beveilingingsoplossing maar helpt misschien een beetje).

Iets anders wat ik niet helemaal snap, die Cisco VPN routers, daarop log je in en vervolgens zit je in je intranet (bedrijfsnetwerk). Waar haalt Cisco zijn namen/wachtwoorden vandaan? Normaal zit dit in een Domain controller, babbelt cisco dan met de domain controller om bijvoorbeeld uit te vogelen of een gebruiker uberhaupt mag inloggen op die tijd en koppelt hij dit vervolgens terug met de connecterende computer?

pptp is een manier om een authenticatie op te zetten, ms-chap is dan bijvoorbeeld het authenticatie systeem
verschillen tussen l2tp en pptp is bijvoorbeeld dat bij l2tp al encryptie plaats vindt voor de username/password chat.
Hoe snel mensen kunnen decrypten ligt aan de versleuteling. edes wordt veel gebruikt en zal dus wel niet binnen een een fatsoenlijke tijd te ontcijferen zijn. Weet niet of ze dingen als polynomialiteit gebruiken als maatstaf en waarin 3des valt maar het zal heus zwaar genoeg zijn. Dat lui als cisco als default 3des ipsec encryptie gebruiken zal wel wat zeggen.

De authenticatie wijzen zijn legio. Je kunt een key krijgen van het bedrijf. Je kunt een naam en wachtwoord hebben. Je kunt een aparte authenticatie server hebben waar je dan een tijdelijk wachtwoord en/of key van krijgt. En daarbuiten kan je dus ook nog eens aan ip's blocken en acl's instellen

cisco routers kunnen waarschijnlijk wel ldap en x500 en zeker radius en kerberos (klinkt bekend?) servers vragen om verfificatie van gebruikersgegevens. En misschien kunnen ze ook wel wat met ntlm maar dat denk ik niet, dus met nt4 lijkt het me wat moeilijker.

[ Voor 3% gewijzigd door Bas! op 03-03-2004 15:06 ]

Bas! schreef op 03 maart 2004 @ 09:42:Hardware oplossingen bestaan niet, het is altijd software, of dat nu in de router is in een realtime os of in windows of een unix.

Da's maar betrekkelijk. Hoewel de initiele afhandeling inderdaad door software gebeurt, zijn er vpn endpoints die daarna de feitelijke encryptie (en meer) geheel autonoom door hardware ASICs laten doen, analoog aan L3 switching. Dan hebben we het wel over de meer high-end oplossingen, maar toch. Ook zijn er genoeg devices die deze functionaliteit (al dan niet beperkt) als optie hebben, denk aan VPN accellerator boards.

Je kan natuurlijk discussieren waar de grens ligt

Bas! schreef op 03 maart 2004 @ 15:05:
cisco routers kunnen waarschijnlijk wel ldap en x500 en zeker radius en kerberos (klinkt bekend?) servers vragen om verfificatie van gebruikersgegevens. En misschien kunnen ze ook wel wat met ntlm maar dat denk ik niet, dus met nt4 lijkt het me wat moeilijker.

Cisco doet standaard Radius en TACACS. Cisco gaat er vanuit dat een koppeling met LDAP en/of andere systemen op die Radius/TACACS server plaatsvindt.
--

3DES is een opgevoerde variant van het als niet meer secure beschouwde DES (alles is natuurlijk relatief...). Intussen is 3DES opgevolgd door AES.

[ Voor 38% gewijzigd door ijdod op 04-03-2004 17:40 ]