doporučení pro aplikační proxy server a podnikový firewall
ahoj mám dotaz,
brzy budu chtít nasazovat novou infrastrukturu a chci některé věci udělat pořádně. pořád váhám u některých věcí jak je realizovat.
váhám jestli používat jen řešení windows firewall + application proxy role ve windows server, nebo nasadit i něco důslednějšího jako třeba Kerio Control.
co se mi líbí je, že Kerio má i antivir a IDS, nic takového myslím Windows Firewall nemá. Jasně mohl bych nasadit něco na Linuxu, ale rád bych tomu rozuměl a nerad bych si přidělal starosti novým systémem, kterému úplně nerozumím a nemám čas abych rozuměl.
co používáte vy?
ještě bych popsal o jaké feature mi jde:
* firewall, ideálně centrálně řízený a spravovaný, klidně včetně nějakého agenta pro klientské systémy
* zabezpečení protokolů http/https a publikaci aplikací do internetu, asi skrze aplikační proxy
* antivir minimálně pro http protokol
* kontrolu paketů, ids, automatické blokování při pokusech o útok (asi umí díky IDS)
* windows platforma (windows server 2016), nebo alternativně jako Virtual Appliance pro Hyper-V (a samozřejmě aby k tomu poskytoval výrobce podporu). o čem vážně uvažuji je pořízení Kerio Control NG100.
zatím jsem neměl moc zkušeností s takovým pokročilejším firewallem, tak mi případně poraďte co by ještě měl umět. a zda je Kerio dobré, nebo je lepší nějaké jiné řešení.
Díky za rady a názory.
Michal
Nic z toho co si vymenoval podla mna nepotrebujes.
Firewall ano, na brane do netu, co moze byt bud MT alebo linuxova masina.
Toto mi nedava zmysel, co chces dosiahnut proxynou. Prosy dnes uz nikto nepouziva, ich zmysel je uz archaicky, alebo je urceny pre paranoidne zalozene siete.
Antivir riesim vsade cez ERAS + klientske stanice. ERAS uz bezi aj na linuxoch...Eset ma male plus za to u mna;o).
To ved riesi centralny fw, ziadne alerty nepotrebujes. Taky fail2ban na linuxoch funguje bezudrzbovo...to, ze ti fw zablokoval denne 100 cinskych IP adries pri utoku na ssh a 25 pri FTP ta zaujimat nemusi, ked chces pozries si to v logu, ale inak to nema ziaden vyznam. V pripade, ze ta chce niekto vydosovat aj tak bude zalezat len na velkosti utoku vs sila tvojho routra (routra tvojho ISP a pod). Tam ti ziadne zazracna krabicka nepomoze.
Tomuto bodu nerozumie, ale ked mas polemiku, ci virtualizovat alebo nie tak odpoved je jednoznacne ano. Idealne je mat vsetky servre virtualizovane.
Já bych proxy nezatracoval, moderní proxy řešení s interceptingem https a antivirovou kontrolou je docela mocné řešení, které celkem zabezpečuje LAN (samozřejmě má i svá stinná úskalí).
Osobně bych se vyhýbal řešení na Windows a už vůbec bych toto neřešil jako virtuální stroj běžící na stejné infrastruktuře jako zbytek sítě. Optimální řešení je nějaká HW appliance (doporučuju si vybírat ze všech výrobců, nesoustředit se jen na Kerio - viz Zyxel USG, Symantec SG/ASG, ...).
Ako branu by som dal bud MT alebo linux...ale fyzicky to je jasne.
Prave s tymito krabickami, ktore spominas mam zle skusenosti, od Keria, cez Zyxel po Sophos, s ktorym som uz stretol aj na SK.
Mne osobne pridu tieto krabice, ze ich nasadenia vzdy presadia kinderadmini, ktory to v nich zvladnu aspon naklikat (aj to casto nie poriadne), pretoze nic ine nezvladnu.
Proxy som naozaj uz dlhe roky nikde nevidel a nezazil a pride mi to ako zbytocne komplikovanie siete, ale to by bolo asi na dlhsiu debatu;o).
no víš je otázkou kde pracuješ, já jsem zvyklej na implementace u velkých mezinárodních společností, to bývá obvykle něco kolem 400+ userů.
to co říkáš ty, že jsi nikde dlouho neviděl, tam je naprostý standard. sice velké společnosti jsou kostnaté, na druhou stranu si myslím, že jejich IT nepoužívá nesmyslné nebo prehistorické vybavení. používání proxy doporučuje z hlediska bezpečnosti velké množství lidí. to samé co se týče hw appliance.
jaké konkrétní negativní zkušenosti máš z hw appliance?
Priklad co som to uz spominal...nemecka matka tu ma miestnu pobocku, kde robi cca 50-60 ludi. Vacsina vo vyrobe. Maju odo mna zalozny net.
K infrastrukture...predtym tvoril gw nejaky Vigor (haha) lenze nevedel robit dual Wan (alebo admini to nevedeli) hoci to mal v popise...tak dali Sophos routre (2ks haha), ktore maju prepinat medzi sietami a DE admini to doteraz nesprevadzkovali hoci sme to riesili uz velakrat. Takze vo finale VoIP telefony idu cez drahu primarnu linku a vsetok ostatny trafic ide cezo mna hoci povodna dohoda bola, ze budem len zaloha.
To som uz s DE adminmi aj volal, pisal mnohokrat, ale k nicomu sme sa nedopracovali, k Sophosom ma nepustili a na moje otazky preco tam maju zbytocne veci nereagovali.
A to nehovorim o infratrukture (starej asi 3-4 roky)...2 lacne Netgear switche za Sophosmi (uplne zbytocne) a hlavny switch je TP-Link, pri jednani o cene netu sa hadali o euro...no co dodat.
Dalsi priklad...nejaky stroj vo vyrobe, kde bezal linux nieco od neho chceli nejake udaje...prisiel drahy technik z DE a hovno poriesil...nakoniec sa to dostalo ku mne, trvalo mi to sice par dni, a neslo to priamo, ale nakoniec dostavali z toho stroja udaje, ktore potrebovali. Tusim som im fakturoval vtedy 150 eur, navsteva technika z DE ich stala skoro tisicku.
To je velka korporacia, ale krasny priklad ako to nefunguje.
U Zyxelov som narazil davnejsie na iste obmedzenia, kde musis cakat na novy fw a ked to nepride tak to proste krabicka nedokaz. Alebo fakt, ze ked si zvolis urcitu znacku uz musis zostat verny tejto lebo spajat potom napriklad VPNkami rozne hw gw mozne casto nie je. Mam radsej univerzalne riesenia, navyse vseobecny odpor ku krabickam ten nepopieram...pride mi to take zlahcovanie prace zbytocne.
A ano MT alebo UBNT vo velkych firmach nenajdes, hlavne na zapade sa na MT pozeraju s despektom a UBNT tiez nie je moc vo firemnom prostredi rozsirene...navyse tie ich obcasne bezpecnostne incidenty...ale to je ich problem;o).
no tak to pak chápu, tam kde jsem dělal já tak jsou všechny síťové prvky cisco, FW prvky jsou možná něco jiného, ale to už nevím (to má na starosti jiný team).