doporučení pro aplikační proxy server a podnikový firewall
ahoj mám dotaz,
brzy budu chtít nasazovat novou infrastrukturu a chci některé věci udělat pořádně. pořád váhám u některých věcí jak je realizovat.
váhám jestli používat jen řešení windows firewall + application proxy role ve windows server, nebo nasadit i něco důslednějšího jako třeba Kerio Control.
co se mi líbí je, že Kerio má i antivir a IDS, nic takového myslím Windows Firewall nemá. Jasně mohl bych nasadit něco na Linuxu, ale rád bych tomu rozuměl a nerad bych si přidělal starosti novým systémem, kterému úplně nerozumím a nemám čas abych rozuměl.
co používáte vy?
ještě bych popsal o jaké feature mi jde:
* firewall, ideálně centrálně řízený a spravovaný, klidně včetně nějakého agenta pro klientské systémy
* zabezpečení protokolů http/https a publikaci aplikací do internetu, asi skrze aplikační proxy
* antivir minimálně pro http protokol
* kontrolu paketů, ids, automatické blokování při pokusech o útok (asi umí díky IDS)
* windows platforma (windows server 2016), nebo alternativně jako Virtual Appliance pro Hyper-V (a samozřejmě aby k tomu poskytoval výrobce podporu). o čem vážně uvažuji je pořízení Kerio Control NG100.
zatím jsem neměl moc zkušeností s takovým pokročilejším firewallem, tak mi případně poraďte co by ještě měl umět. a zda je Kerio dobré, nebo je lepší nějaké jiné řešení.
Díky za rady a názory.
Michal
Nic z toho co si vymenoval podla mna nepotrebujes.
Firewall ano, na brane do netu, co moze byt bud MT alebo linuxova masina.
Toto mi nedava zmysel, co chces dosiahnut proxynou. Prosy dnes uz nikto nepouziva, ich zmysel je uz archaicky, alebo je urceny pre paranoidne zalozene siete.
Antivir riesim vsade cez ERAS + klientske stanice. ERAS uz bezi aj na linuxoch...Eset ma male plus za to u mna;o).
To ved riesi centralny fw, ziadne alerty nepotrebujes. Taky fail2ban na linuxoch funguje bezudrzbovo...to, ze ti fw zablokoval denne 100 cinskych IP adries pri utoku na ssh a 25 pri FTP ta zaujimat nemusi, ked chces pozries si to v logu, ale inak to nema ziaden vyznam. V pripade, ze ta chce niekto vydosovat aj tak bude zalezat len na velkosti utoku vs sila tvojho routra (routra tvojho ISP a pod). Tam ti ziadne zazracna krabicka nepomoze.
Tomuto bodu nerozumie, ale ked mas polemiku, ci virtualizovat alebo nie tak odpoved je jednoznacne ano. Idealne je mat vsetky servre virtualizovane.
Já bych proxy nezatracoval, moderní proxy řešení s interceptingem https a antivirovou kontrolou je docela mocné řešení, které celkem zabezpečuje LAN (samozřejmě má i svá stinná úskalí).
Osobně bych se vyhýbal řešení na Windows a už vůbec bych toto neřešil jako virtuální stroj běžící na stejné infrastruktuře jako zbytek sítě. Optimální řešení je nějaká HW appliance (doporučuju si vybírat ze všech výrobců, nesoustředit se jen na Kerio - viz Zyxel USG, Symantec SG/ASG, ...).
Ako branu by som dal bud MT alebo linux...ale fyzicky to je jasne.
Prave s tymito krabickami, ktore spominas mam zle skusenosti, od Keria, cez Zyxel po Sophos, s ktorym som uz stretol aj na SK.
Mne osobne pridu tieto krabice, ze ich nasadenia vzdy presadia kinderadmini, ktory to v nich zvladnu aspon naklikat (aj to casto nie poriadne), pretoze nic ine nezvladnu.
Proxy som naozaj uz dlhe roky nikde nevidel a nezazil a pride mi to ako zbytocne komplikovanie siete, ale to by bolo asi na dlhsiu debatu;o).
no víš je otázkou kde pracuješ, já jsem zvyklej na implementace u velkých mezinárodních společností, to bývá obvykle něco kolem 400+ userů.
to co říkáš ty, že jsi nikde dlouho neviděl, tam je naprostý standard. sice velké společnosti jsou kostnaté, na druhou stranu si myslím, že jejich IT nepoužívá nesmyslné nebo prehistorické vybavení. používání proxy doporučuje z hlediska bezpečnosti velké množství lidí. to samé co se týče hw appliance.
jaké konkrétní negativní zkušenosti máš z hw appliance?
Priklad co som to uz spominal...nemecka matka tu ma miestnu pobocku, kde robi cca 50-60 ludi. Vacsina vo vyrobe. Maju odo mna zalozny net.
K infrastrukture...predtym tvoril gw nejaky Vigor (haha) lenze nevedel robit dual Wan (alebo admini to nevedeli) hoci to mal v popise...tak dali Sophos routre (2ks haha), ktore maju prepinat medzi sietami a DE admini to doteraz nesprevadzkovali hoci sme to riesili uz velakrat. Takze vo finale VoIP telefony idu cez drahu primarnu linku a vsetok ostatny trafic ide cezo mna hoci povodna dohoda bola, ze budem len zaloha.
To som uz s DE adminmi aj volal, pisal mnohokrat, ale k nicomu sme sa nedopracovali, k Sophosom ma nepustili a na moje otazky preco tam maju zbytocne veci nereagovali.
A to nehovorim o infratrukture (starej asi 3-4 roky)...2 lacne Netgear switche za Sophosmi (uplne zbytocne) a hlavny switch je TP-Link, pri jednani o cene netu sa hadali o euro...no co dodat.
Dalsi priklad...nejaky stroj vo vyrobe, kde bezal linux nieco od neho chceli nejake udaje...prisiel drahy technik z DE a hovno poriesil...nakoniec sa to dostalo ku mne, trvalo mi to sice par dni, a neslo to priamo, ale nakoniec dostavali z toho stroja udaje, ktore potrebovali. Tusim som im fakturoval vtedy 150 eur, navsteva technika z DE ich stala skoro tisicku.
To je velka korporacia, ale krasny priklad ako to nefunguje.
U Zyxelov som narazil davnejsie na iste obmedzenia, kde musis cakat na novy fw a ked to nepride tak to proste krabicka nedokaz. Alebo fakt, ze ked si zvolis urcitu znacku uz musis zostat verny tejto lebo spajat potom napriklad VPNkami rozne hw gw mozne casto nie je. Mam radsej univerzalne riesenia, navyse vseobecny odpor ku krabickam ten nepopieram...pride mi to take zlahcovanie prace zbytocne.
A ano MT alebo UBNT vo velkych firmach nenajdes, hlavne na zapade sa na MT pozeraju s despektom a UBNT tiez nie je moc vo firemnom prostredi rozsirene...navyse tie ich obcasne bezpecnostne incidenty...ale to je ich problem;o).
no tak to pak chápu, tam kde jsem dělal já tak jsou všechny síťové prvky cisco, FW prvky jsou možná něco jiného, ale to už nevím (to má na starosti jiný team).
Ve velkých sítích je bohužel pravidlem, že se o taková řešení starají právě "kinderadmini" ze servicedesku a složitější problémy řeší outsourcovaná workforce dodavatele v rámci nějakého SLA/UC. A tohle je vidět už u malých firem o 500+ userech, natož u větších a velkých firem se statisíci zaměstnanci.
Jde tedy o to, že to je klasický případ SaaS/HaaS, kdy si prostě platíš nějakou "službu" realizovanou on-premises. Základní administraci v rámci svých firemních směrnic si řešíš sám a vývoj, údržbu a troubleshooting necháš na "profících."
Co se proxy týká, dnes jde především o bezpečnost, dodržování firemních směrnic a případné inteligentní řízení šířky pásma. Samotný caching je už nepodstatný.
to ale není pravda. ve velkých sítích mají samostatné oddělení a určitě to není nikdo kdo by tomu nerozuměl. za celou svou praxi jsem neviděl ještě nikde v korporátech že by servicedesk řešil sítě přímo, vždy to byl někdo z příslušného oddělení sítí. a nebo pokud ano tak řešili jen věci typu zapojit zásuvku fyzicky někam, nebo změnit nastavení vlan a pokud si s tím nevěděli rady tak to předali o level výše přímo na oddělení sítí. takoví lidi rozhodně nikdy neřeší nic o návrhu architektury sítě a jejím zabezpečením ti dělají jen triviální věci.
co se týče proxy, ano přesně o to mi jde, jedná se mi o aplikační proxy a jejím nasazením chci zvýšit úroveň bezpečnosti.
No a ešte lepšie je proxy s overovaním : )
díky, já už s Keriem mám nějaké zkušenosti, tak vím co od něj očekávat. ale na ty některá řešení se kouknu. Symantec mi kdysi připadal jako skvělá firma, ale v poslední době mi připadne že jen rejžujou, vyjde nová verze něčeho x360 a už se ani neobtěžují napsat co to umí nového (alespoň kdysi, když jsem se pokoušel hledat).
obecně upřednostňuji produkty přímo od MS, protože máme od nich licence zdarma, ale MS v tomto směru už neposkytuje podnikové firewally tak se holt musím poohlédnout jinde a proto jsem se zde ptal :)
na základě čeho tak usuzuješ?
co je ERAS? antiviry na stanicích nepotřebuji, tam nám stačí defender který tam je (a tak trochu tam nemá smysl).
na řešení centrálního firewallu jsem se právě ptal (a nahoře jsi psal, že nic z toho nepotřebuji :) ). mimochodem MT myslel jsi asi Mikrotik, že? ten poskytuje IDS a analýzu paketů?
to byly uvedené požadavky, tedy jako virtual appliance pro Hyper-V nebo HW appliance. tedy obecně linux mašina řešení není pro mě, chci něco co nemusím řešit, poskytuje k tomu podporu výrobce, chci to jen jako hotové řešení, které zaplatím, nakonfiguruju a dál neřeším (max. ladím konfiguraci).
Eser Remote Adminstrator Server.
Osobně nejsem úplně fanoušek ponechání koncových bodů bez ochrany - to si můžeš dovolit jen v zabezpečené síti, ale v případě že máš remotery nebo mobilní uživatele, nelze se spoléhat na pouhé zabezpečení sítě a perimetru.
nepsal jsem že budou koncové stanice bez ochrany, systém je windows 10 enterprise a obsahuje defender. jde hlavně o to že stanice mohou spouštět pouze schválené aplikace, nic nescháleného spustit nelze. jediné co by mohlo proniknout do koncových stanic je něco skrze bezpečnostní díru ale i tak by takový kód měl dost omezené možnosti, protože ve finále pak stejně vytváří na cílovém stroji binární soubory které spouští a tam už má smůlu.
takže stanice jsou chráněny dostatečně, řeším hlavně interní síť jako takovou.
Ešte mi napadlo, síce už po záruke ale je to od MS všetko v jednom, TMG.
původně jsem ho chtěl nasadit, ale mezitím ho ms zrušil. :) nemá smysl provozovat něco k čemu není poskytovaná podpora.