ØysteinT Skrevet 10. juli 2008 Rapporter Del Skrevet 10. juli 2008 (vet ikke om dette skulle under sikkerhet eller nettverk) Hva vil folk anbefale å kjøpe inn av brannvegg til en relativ liten bedrift? Har brukt IpCop før, men den maskinen døde brått på tirsdag, og selv om jeg har en midlertidig ny IpCop oppe så vil jeg over på hyllevare. Våre behov: full NATing DMZ Pris under 10k inkl. VPN er ikke så viktig, vi kjører RAS i Windows. har sett litt på f.eks ZyXEL ZyWALL USG-100 og ZyWALL 35. Mvh Øystein Lenke til kommentar
tyldum Skrevet 10. juli 2008 Rapporter Del Skrevet 10. juli 2008 Cisco ASA5505 er uslåelig billig i sin enkleste form. Her er DMZ begrenset slik at den aldri kan initialisere trafikk inn til innsiden, noe som kan være vesentlig. Ellers finnes det mange ulike lisensieringer alt etter behov. Noe som er bra så lenge du har beskjedne krav (for da blir det billig), men som er et mareritt når du trenger utvidet funksjonalitet (leter deg ihjel på begrensninger og prisen løper avgårde). Lenke til kommentar
enden Skrevet 10. juli 2008 Rapporter Del Skrevet 10. juli 2008 Cisco ASA5505 er uslåelig billig i sin enkleste form.Her er DMZ begrenset slik at den aldri kan initialisere trafikk inn til innsiden, noe som kan være vesentlig. Det er vel ingen brannmurer med respekt for seg selv som ikke er konfigurert slik? Dessuten går man vel gjennom regelsettet når man først setter opp boksen. ASA er et mareritt å sette seg inn i om man ikke har Cisco-kompetanse. Helt basic oppsett er greit, men man får vanvittig mye å forholde seg til om man kommer fra enklere (og en rekke andre avanserte) bokser. Jeg har f.eks. ikke klart å åpne for RRAS på de to 5505-ene jeg var så uheldig å stifte bekjentskap med i våres... Videre beststår det meste av hjelp man får på nett i config-prints, noe som hjelper lite om man kun jobber med GUI. Kan man Cisco er ASA genialt, men det forutsetter litt mer erfaring med IOS enn type skolepensum. Det er i alle fall min mening. Lenke til kommentar
tyldum Skrevet 11. juli 2008 Rapporter Del Skrevet 11. juli 2008 (endret) ASDM, det grafiske brukergrensesnittet, har blitt ganske modent. Det betyr selvfølgelig ikke at man ikke trenger en del kompetanse for å sette opp mer avansert funksjonalitet. Men å få boksen på nett, konfigurere regelsett og VPN er rimelig lett. Og hvordan man setter opp DMZ vil variere helt etter krav til sikkerhet, budsjett og hvilke andre mekanismer som er på plass. Hovedårsaken til at jeg nevner det er at Cisco reklamerer med at den støtter 3 VLAN, men ikke alltid nevner at det tredje er begrenset til DMZ og ikke kan konfigureres om. Det som ofte skaper trøbbel med PIX og ASA-installasjoner er fixup'ene som den per default kjører på en mengde protokoller. Boksen går da aktivt inn i forbindelsen og modifiserer trafikken ved behov. Oppstår det 'merkelige' problemer så vet man hvor man bør starte Jeg jobber mye mot SMB og min konklusjon er å enten rulle en Linux-basert FW som trådstarter eller satse på ASA. Øvrige produkter i dette segmentet har så utrolig mye bugs at jeg er svært skeptisk til å bruke dem som en sikkerhetsbarriere. Endret 11. juli 2008 av tyldum Lenke til kommentar
enden Skrevet 11. juli 2008 Rapporter Del Skrevet 11. juli 2008 ASDM, det grafiske brukergrensesnittet, har blitt ganske modent. Det betyr selvfølgelig ikke at man ikke trenger en del kompetanse for å sette opp mer avansert funksjonalitet. Men å få boksen på nett, konfigurere regelsett og VPN er rimelig lett.Poenget mitt var nettopp det at ASDM ikke hjelper deg om du kun har erfaring med det, og forsøker å få hjelp på nett. Da er det config som gjelder, og kan man ikke sette seg inn i det relativt enkelt (hvilket betyr noe erfaring med IOS) så sliter man med å få skikkelig hjelp. Kan man egentlig gjøre noe med fixup-ene fra ASDM? Lenke til kommentar
ØysteinT Skrevet 14. juli 2008 Forfatter Rapporter Del Skrevet 14. juli 2008 Cisco ASA5505 er uslåelig billig i sin enkleste form.Her er DMZ begrenset slik at den aldri kan initialisere trafikk inn til innsiden, noe som kan være vesentlig. Jeg har f.eks. ikke klart å åpne for RRAS på de to 5505-ene jeg var så uheldig å stifte bekjentskap med i våres... Ugh.. Bestilte en 5505 i helgen. Har du hatt noen problemer med å sette opp MS RRAS med en 5505, Tyldum? Øystein Lenke til kommentar
tyldum Skrevet 14. juli 2008 Rapporter Del Skrevet 14. juli 2008 Jeg har ikke prøvd å sette opp RRAS bak PIX/ASA, så jeg vet ikke hva som skulle være feil. Application Inspection (fixup) kan disables: http://www.cisco.com/univercd/cc/td/doc/pr...onfig/fixup.htm fixup kan fort bli til et problematisk helvette dersom Cisco og applikasjonen bak brannmuren ikke er enig i tilkning av standarder. Min erfaring er at Ciscos tolkning er feil Lenke til kommentar
enden Skrevet 14. juli 2008 Rapporter Del Skrevet 14. juli 2008 Cisco ASA5505 er uslåelig billig i sin enkleste form.Her er DMZ begrenset slik at den aldri kan initialisere trafikk inn til innsiden, noe som kan være vesentlig. Jeg har f.eks. ikke klart å åpne for RRAS på de to 5505-ene jeg var så uheldig å stifte bekjentskap med i våres... Ugh.. Bestilte en 5505 i helgen. Har du hatt noen problemer med å sette opp MS RRAS med en 5505, Tyldum? Øystein Fortell meg hva jeg gjør feil når du finner ut Tror jeg er inkompatibel med Cisco... Lenke til kommentar
ØysteinT Skrevet 15. juli 2008 Forfatter Rapporter Del Skrevet 15. juli 2008 (endret) *klø seg i hodet* Var ikke helt rett frem å sette opp, nei... Hadde hjulpet hvis manualen hadde stemt med hva som dukker opp i ASDM (v5.2) (dukker f.eks ikke opp et vindu med 'Real Address' når jeg skal legge til en Static NAT Rule, hos meg dukker det opp et vindu som har Orginal/Translated Interface istedet).. Edit: okie, fant en guide hos Cisco for ASDM v6 som hadde de riktige skjermbildene og slikt, får teste det i morgen. Endret 15. juli 2008 av ØysteinT Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå