» »

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)?

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)?

1 2
3
»

Daedalus ::

če snemajo javni prostor (kraj, nima veze) in me posnamejo na njem, me še vedno posnamejo ob snemanju javnega prostora (mogoče je bolj pravi izraz javni-zasebni prostor - ala katerikoli merkator). Če me posnamejo nekje zunaj tega območja je pa sporno.


Če bi kdaj postavljal kako panoramsko kamero, bi vedel, da se na objavljenem posnetku ne sme razločiti obrazov in registrskih tablic. Ja, lahko se te snema na javnem mestu. V konkretnem primeru pa se te ne sme snemati tako, da bi se te dalo prepoznati. In recimo če kdaj vidiš, da te je fotografiral fotograf na javnem mestu, lahko stopiš do njega in mu prepoveš objavo fotografij, na katerih si. In to mora upoštevati. Ni vse lih tak simpl - kot sem že napisal, tudi na javnem mestu obstaja določena stopnja pričakovane zasebnosti.

Dejstvo je, da več kot očitno izhajaš iz predpostavke, da je vsakršna sodobnejša tehnologija od tvoje 'kamnite sekire' resna grožnja za (tvojo?) zasebnost.


To, da sodobna tehnologija omogoča čuda stvari (med njimi tudi popolno sledenje in beleženje komunikacij), je dejstvo. Do določene stopnje je zbiranje takih informacij uzakonjeno (data retention direktive EU). To, da proizvajalci DPI tehnologije le-to v malo bolj ewil verzijah veselo prodajajo čudnim režimom, je tudi dejstvo. Iz tega se logično sklepa, da ni vse tako nedolžno, kot bi rad prikazal. Konec koncev lahko na svoji "kamniti sekiri" Mikrotiku izvem čuda podatkov o obnašanju uporabnikov, pa je v primerjavi z npr. CheckPointom res preprosta naprava.

Ko administratorja omrežja proglašaš za napadalca, ker uporablja sodobne tehnologije za zaščito omrežja in uporabnikov, greš odločno predaleč. Govoriš o 'potencialni' možnosti zlorabe? Potem pa mi razloži, kako je lahko po tvoje 'potencialna možnost zlorabe' manjša na doma sestavljenem Linux sistemu s pfsense.


Kar le Linuxa tiče - ne more biti. Po drugi strani pa se mora administrator omrežja zelo dobro zavedati, kaj počne (iz Pravokatorja sledi, da oni kekci na UL pojma niso imeli o tehnologiji in napravi, pa so vseeno dovolili uporabo le-te in še kontrolo nad njo prepustili tretji osebi!) in se tudi zavedati, da se lahko hitro spravi v resne težave. Od tu vse to opozarjanje na zakonodajo.

Vendar pa te moram opozoriti, da določena podjetja in organizacije tudi kazensko odgovarjajo za varnost podatkov, ki jih hranijo v svojih omrežjih in si nikakor ne morejo privoščiti 'shit happens' pristopa, ki ga ti tako vneto propagandiraš.


Jaz ti pa pravim da povsod ne rabimo take stopnje varnosti. In če si obenem še zelo "mobilna" firma, kjer ni delovne postaje in se laptopi premikajo med čuda lokacijami, ti je jasno, da je DPI firewall na meji omrežja bolj placebo, kot kaj drugega. Ne rečem da v Windows okolju z statičnimi delovnimi postajami ni koristi od tega. Obstajajo pa tudi drugačna okolja.

Škoda da ti že v šesto? pojasnujem eno in isto zadevo, ker kljub vsemu trudu, da ti razložim zadevo iz praktičnih izkušenj, ti še vedno ignoriraš vsako razlago in še kar naprej goniš svojo lajno.


He he, likewise:) SIcer pa, če bi se vedno o vsem strinjali, bi tole bilo precej dolgočasno mesto.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

trnvpeti ::

trnvpeti je izjavil:

Zakaj po tvojem cisco in ju nimata teh resitev in kaj onadva predlagata glede tega?
Imas podatek kaksna je rast okuzenih z virusi ipd?
Po tvojem bolje imeti na pozarnem antispam,vir zascito,ali namensko na kaksnem strezniku?
Kot strokovnjak predlagas,svetujes da se na fw spusca vse skozi na antispam,vir ali blokiras datoteke zip,exe ipd?
Predlagas rajsi fw antispam,vir za http promet ali rajsi kaksen proxy?

sem mislil, da bo samooklicani tehnicni strokovnjak kaj konkretno povedal, dal predlog, z cenami,mnenji
pa sem se ocitno zmotil

zlobcek ::

Ok, kaj smo zdej pogruntal? Kera zadeva je minimum, ki bi jo morala imeti firma s 15-30 računalniki?

Domnevam potem, da nek zywall routercek s firewallom ni nič, tudi če so odprti samo izbrani porti. Edino to sem razbral iz teh dveh strani postov.

Recimo, da se investira v netgearov Prosecure UTM25 firewall in prebere kup gradiva in ustrezno skonfigurira... Ali je to dovolj za neko bolj konktretno zaščito ali ni. v LAN ne stoji nič pametnega le mejl server pa kup kišt. Ni AD, DNS in podobnih stvari.

Zgodovina sprememb…

  • spremenil: zlobcek ()

jukoz ::

[st.citat p3647950]
če snemajo javni prostor (kraj, nima veze) in me posnamejo na njem, me še vedno posnamejo ob snemanju javnega prostora (mogoče je bolj pravi izraz javni-zasebni prostor - ala katerikoli merkator). Če me posnamejo nekje zunaj tega območja je pa sporno.


Če bi kdaj postavljal kako panoramsko kamero, bi vedel, da se na objavljenem posnetku ne sme razločiti obrazov in registrskih tablic. Ja, lahko se te snema na javnem mestu. V konkretnem primeru pa se te ne sme snemati tako, da bi se te dalo prepoznati. In recimo če kdaj vidiš, da te je fotografiral fotograf na javnem mestu, lahko stopiš do njega in mu prepoveš objavo fotografij, na katerih si. In to mora upoštevati. Ni vse lih tak simpl - kot sem že napisal, tudi na javnem mestu obstaja določena stopnja pričakovane zasebnosti.


No, sej. V primeru spremljanega omrežja je isto. Če uporabnik dovoli spremljanje se lahko spremlja. V praksi je pa tako, da če dovoljenja ne da, ne more uporabljati omrežja. Ista fora kot so klici na helpdeske in podobno.
Torej je bil problem v Pravokatorjevem zapisu eno in edino to, da:
- uporabniki niso bili seznanjeni
- ni bilo določeno kdo spremlja, shranjuje in obdeluje (pa še kaj) promet

Hvala za razlago.

NeMeTko ::

@zlobcek

Ne bit razočaran, če ti ne bom svetoval konkretnega proizvajalca oz. konkretnega proizvoda. Kot sam vidiš, bi me že tako najraje obsodili, da zganjam EPP, pa nebi želel temu dodati še kakšen dodaten povod. V enem od prejšnjih postov sem naštel nekaj proizvajalcev, ki jih imajo svetovne analitske hiše 'na radarju', poleg teh pa se na trgu najde še nekaj drugih proizvajalcev, ki nudijo tudi dokaj spodobne rešitve, pa niso pod drobnogledom analitskih hiš (stric Google jih pozna vse!).

Nakup požarne pregrade po 'katalogu' bi strogo odsvetoval. Vzemi si čas in si oglej več rešitev in se nikar ne zaleti v prvi približek tistemu, kar naj bi potreboval.
Prosi prodajalce, da ti svojo rešitev demonstrirajo ali pa celo naredijo demo inštalacijo na tvojem omrežju. Tako boš lahko hitro ocenil, kako 'kompleksna' je določena rešitev, ali jo boš zmogel obvladati brez da se najprej podaš na tri ($$$) tečaje. Svetujem ti, da izbereš rešitev, ki jo bo možno čimbolj intuitivno upravljati, saj ni smisel požarne pregrade, da na njej delaš doktorat (razen če nimaš kaj drugega početi?). Preveč kompleksna rešitev tudi resno povečuje možnost, da boš pri konfiguriranju delal napake, ki na koncu lahko celo ogrozijo varnost omrežja.

Imej pred očmi, da kupuješ rešitev, s katero boš živel najmanj naslednjih 5 let. Ne zanašaj se na to, kaj kolega svetuje - koneckoncev se tudi nebi poročil z neko žensko, ki bi ti jo kolega predlagal, ampak boš sam presojal za katero se boš vezal.

Različna podjetja imajo različne potrebe. V prejšnjih postih sem naštel niz možnosti, ki jih ponujajo današnje sodobne UTM naprave. Ko ti bodo demonstrirali dve, tri rešitve, boš počasi dobil občutek katere od teh možnosti bi ti v tvojem omrežju prav prišle, katere pa zagotovo ne boš nikoli potreboval. Ne ustraši se (zaradi zgornjih komentarjev), če ponujena rešitev ponuja možnost DPI in https inspekcije prometa. Na administratorju je, ali bo te napredne možnosti implementiral, ali pa jih ne vklaplja. Naj te ne zavajajo zgornji komentarji zoper DPI tehnologijo. Ta se na požarnih pregradah ponavadi implementira kot transparentni proxi za določeni protokol in omogoča, da na določenem protokolu 'izklopiš' oz. filtriraš opcije, ki jih nikakor ne želiš spustiti v svoje omrežje (ali pa iz njega ven). Naj ti ponudniki demonstrirajo kako deluje in se sam prepričaj za kaj se pravzaprav gre. Hitro boš ugotovil, da ti DPI na preprost način omogoča bistveno večjo fleksibilnost filtriranja.

Https inspekcija, ki je nekaterim tako zelo sporna, je ena od funkcionalnosti, ki jo bo pameten administrator vklapljal med zadnjimi in ne na vrat na nos, tako kot je bilo to v primeru 'provokatorja'. Kljub temu pa postaja vse bolj pomemben diferenciator med požarnimi pregradami. Https za škodoželjneže predstavlja na stežaj odprta vrata v tvoje omrežje in preko njega lahko pretakajo karkoli hočejo - mimo tvojega nadzora. Da se je https zlorabil za okužbo ali vdor v omrežje pa boš ugotovil šele, ko bo že prepozno. Zato se danes https nadzira enako kot http protokol. Kot sam vidiš iz diskusije, je pred uvedbo https inspekcije potrebno uporabnike podučiti o tem, da se bo filtriral tudi https promet in jih podučiti o tem, zakaj naj bi to bilo potrebno. Če najbolj skeptičnim uporabnikom še omogočiš, da se prepričajo na lastne oči, da pri tem ni možen vpogled v vsebino njihovih komunikacij, te zagotovo ne bo nihče obtoževal MITM napada.

Ker požarno pregrado kupuješ za najmanj 5 let, ne glej samo na nabavno ceno. Preveri koliko te bo rešitev stala v celotnem življenjskem ciklu in kaj dejansko za ta denar dobiš. Preveri kakšne so možnosti po poteku življenjskega cikla za nadgradnjo na novejši model in kakšne težave lahko pričakuješ ob taki nadgradnji.
Prepričaj se, da rešitev nima 'skritih stroškov'. Določene rešitve postanejo polno funkcionalne šele, ko dokupiš še določene dodatne opcije (logging, reporting,...). Preveri kaj vsebuje osnovni paket in katere opcije boš moral še dokupiti in upoštevaj skupno ceno!

Ne kupuj rešitve, ki bi imela na 'trusted' strani zgolj switch oz. porte povezane v bridge. Glede na to, da poganjate lastni mail server potrebuješ že v štartu možnost dveh ločenih subnetov, morda boš jutri rekonfiguriral omrežje, pa boš potreboval še kakšen dodatni subnet.
Izogibaj se rešitev, ki te silijo, da mail server definiraš kot 'virtual server'. Te rešitve so morda uporabne za domačo rabo, ne nudijo pa tiste fleksibilnosti, ki jo potrebuješ v podjetju.

Naj ti ponudniki demonstrirajo in razložijo uporabnost UTM storitev. Ponavadi proizvajalci nudijo možnost, da vzameš zgolj eno ali dve UTM storitvi (npr. IPS+antivirus), lahko pa več storitev skupaj ponujajo v bistveno ugodnejšem paketu.

Preceni zmogljivost rešitve, ki jo boš potreboval. Če imaš internet s pasovno širino 20/20 in mail server na ločenem subnetu, tvoja požarna pregrada pa zmore 30Mbit/s, potem se moraš zavedati, da bodo tvoji uporabniki tudi do mail serverja prihajali s to hitrostjo in ne z 1 Mbit, kot bi si to morda želel. Več ko imaš filtriranih subnetov na požarni pregradi, bolj moraš paziti na to, da boš izbral ustrezno zmogljivost - kasnejše nadgradnje so namreč lahko dokaj draga zadeva.

Bodi zoprn kupec z miljonom butastih vprašanj. Po parih proizvodih boš postal ekspert za zastavljanje vprašanj, hkrati pa ti bo vse bolj jasna slika, kaj dejansko potrebuješ.
Če ti prodajalec ni pripravljen posvetiti dve uri časa za spodobno demonstracijo proizvoda v vrednosti 1000€ in več, ne pričakuj, da ti bo kasneje posvečal čas, ko boš potreboval tehnično podporo ali kakšen dober nasvet.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

NeMeTko ::

trnvpeti je izjavil:

trnvpeti je izjavil:

Zakaj po tvojem cisco in ju nimata teh resitev in kaj onadva predlagata glede tega?
Imas podatek kaksna je rast okuzenih z virusi ipd?
Po tvojem bolje imeti na pozarnem antispam,vir zascito,ali namensko na kaksnem strezniku?
Kot strokovnjak predlagas,svetujes da se na fw spusca vse skozi na antispam,vir ali blokiras datoteke zip,exe ipd?
Predlagas rajsi fw antispam,vir za http promet ali rajsi kaksen proxy?

sem mislil, da bo samooklicani tehnicni strokovnjak kaj konkretno povedal, dal predlog, z cenami,mnenji
pa sem se ocitno zmotil


@trnvpeti
Cisco je podjetje, katerega glavni fokus je koncentriran na routerje in switche. V zadnjih letih postaja konkurenca na tem segmentu vse hujša (Huawei, itd.), zaradi česar je Cisco predvsem investiral v svoj core business, zanemarjal pa razvoj požarnih pregrad. Šele koncem lanskega leta je Cisco prišel ven z novimi modeli, ki imajo na koncu -X (npr. ASA 5512-X), s katerimi lovijo komkurenco. Če si greš pogledati podrobnosti o novih modelih, boš hitro ugotovil, da nimajo kaj dosti skupnega s starimi modeli brez oznake -X, ki pa so še vedno v prodaji.
Problem pri Ciscu je nepreglednost številnih opcij ($$$), ki jih moraš dokupiti, da bi sestavil neko zaokroženo rešitev. Tu se hitro poraja nevarnost, da te prodajalec naplahta in ti podtakne reči, ki jih ne potrebuješ, ali pa šele po nakupu ugotoviš, kaj vse bi dejansko še potreboval.

Juniper je zgodba zase, vendar ne dvomim, da bodo tudi oni kmalu trgu ponudili 'next generation' storitve, ki jih še nimajo na voljo, saj jih trg sili v to.

Kar se tiče tvojega vprašanja glede AV, ti bom odgovoril tako: imaš dve vrsti proizvajalcev požarnih pregrad - eni sami nabirajo in vzdržujejo signature za IPS in AV, drugi te signature kupijo pri kateremu od znanih AV ponudnikov (Kasperski, AVG,...). Verjetno ne bo potrebno razlagati, katerim signaturam lahko bolj zaupaš?
Če si se torej odločil za požarno pregrado z AV signaturami, ki jim ne zaupaš, potem lahko AV zaščito tudi izklopiš, saj bistveno upočasnjuje pretok.
Vendar pa je bistvo UTM naprav poenostavitev upravljanja (upravljaš eno rešitev in ne tri ali štiri parcealne) in pocenitev celotne rešitve. Zato je pri nakupu potrebno preveriti kaj dejansko določeni proizvajalec vgrajuje v svojo rešitev, da bomo tem komponentam zaupali in jih tudi optimalno izkoristili.

Nekoliko drugačna slika je pri antispamu. V UTM napravah vgrajeni antispam je ponavadi zelo preproste izvedbe z zelo omejenimi možnostmi konfiguriranja (kljub temu nekatere rešitve dosegajo 95% prestrezanje spama!). V nekoliko bolj zahtevnih okoljih te možnosti niso dovolj in se posega po namenskih antispam rešitvah. Te namenske rešitve so tako rekoč znanost zase in bistveno presegajo potrebe večine malih podjetij z manj kot 50 uporabniki.
Antispam v UTM rešitvah pogosto samo pred subject doda oznako [Spam], [Bulk] ali podobno in je potem uporabniku prepuščeno, da sam filtrira ta sporočila v svojem poštnem odjemalcu, da se jih razvrsti v ustrezne mape.
Obstajajo pa tudi UTM rešitve, pri katerih dobiš v paketu kompletni strežniški program za spam karanteno, ki periodično obvesti uporabnike o sporočilih, ki so bila izdvojena v karanteno in jim omogoči preprosto restavracijo ali brisanje neželjene pošte.

Klasični proxy strežniki se danes vse manj uporabljajo, saj so UTM rešitve 'dozorele' in jih s pomočjo transparentnih proxijev (ne rabiš rekonfigurirati odjemalcev) uspešno nadomeščajo. Vse manj se tudi uporabljajo proxy strežniki za keširanje dostopa do spletnih vsebin, saj so se povezave tako pohitrile, da danes praktično ni več razloga za njihovo uporabo. Če želiš filtrirati dostop do spletnih vsebin po kategorijah, boš našel UTM naprave, ki uporabljajo Websense bazo. Sam to opcijo uporabljam, da mi požarna pregrada blokira dostop do znanih spam in malware URL-jev, kar bi priporočal vsakomur, ki ima to možnost, ne glede na to, kako liberalno v podjetju obravnavajo dostop do najrazličnejših vsebin.
Prednost URL filtriranja na požarni pregradi je zagotovo cena, ki je bistveno nižja, kot če greš kupiti in postaviti namensko Websense ali podobno rešitev.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

amigo_no1 ::

Kar se tiče tvojega vprašanja glede AV, ti bom odgovoril tako: imaš dve vrsti proizvajalcev požarnih pregrad - eni sami nabirajo in vzdržujejo signature za IPS in AV, drugi te signature kupijo pri kateremu od znanih AV ponudnikov (Kasperski, AVG,...). Verjetno ne bo potrebno razlagati, katerim signaturam lahko bolj zaupaš?

Kateri so po tvoje boljši ?

Vse manj se tudi uporabljajo proxy strežniki za keširanje dostopa do spletnih vsebin, saj so se povezave tako pohitrile, da danes praktično ni več razloga za njihovo uporabo.

Ni povsod po svetu flat-rate net dostop 8-), ponudniki storitev plačujejo linije glede na količine podatkov (kar je velik razlog), recimo YT ima postavljene cache serverje tudi v Slo.

NeMeTko ::

Če verjameš testiranju, ki ga opravljajo pri Virus Bulletin, izgleda aktualna slika nekako tako, kot na spodnji sliki:

 RAP report

RAP report



Če pa malo pogooglaš, boš našel še druga podobna poročila.

Kar se tiče proxy strežnikov, sem govoril o 'naših krajih', kjer dvomim, da se še najde kakšno podjetje, ki je na internet navešeno z dobrim starim 56kbit modemom. Plačevanje linije glede na količino prenešenih podatkov pa je pri nas z uvedbo ADSL tudi začelo izumirati. Res pa je, da so zadeve ponekod v svetu še popolnoma drugačne
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )

Oddelek: Novice / NWO
1208713 (3155) SeMiNeSanja
»

PFsense vs Sonic Wall (strani: 1 2 )

Oddelek: Informacijska varnost
837909 (4560) Blisk
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8815641 (12657) Manna
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6716264 (11808) AC_DC
»

VPN in oddaljene pisarne (strani: 1 2 )

Oddelek: Omrežja in internet
688439 (6773) SeMiNeSanja

Več podobnih tem