» »

Zamenjava za Cisco 1600 router

Zamenjava za Cisco 1600 router

denis66 ::

Ker sem malo iz prakse za mrežno opremo, bi rabil kakšen pameten nasvet. Kaj predlagate za zamenjavo starega Cisco 1600 routerja za omrežje s 30 uporabniki/odjemalci. Mreža kot mreža, rabi se internet in pa za potrebe aplikacij, ki tečejo na serverju.Skratka nič posebnega. Do modema je optika, naprej CAT5 kablovje. In seveda zelo pomemben faktor - cena. Rabim stvar v rangu do 400 EUR (najverjetneje, mogoče tudi kakšen euro več).

Tribal ::

Microtik?

nejc_ ::

Meraki security appliance? Res enostaven za upravljat kar preko spletnega vmesnika v cloudu (praviš, da si že malo izven prakse :), imaš pa odličen v pogled v dogajanje v omrežju po uporabnikih in aplikacijah, da vidiš, če se dogaja kakšna anomalija, če je kak PC okužen in producira preveč prometa, prepoveš npr. P2P v podjetju itd.
Tule je link do demo dashboarda, kjer lahko vidiš, kako se upravlja in katere informacije vse nudi: https://meraki.cisco.com/form/demo
Pa še video predstavitev tega vmesnika:

aleksander10 ::

Meraki je kar prava zadeva za celotno omrežje: Požarni zid, stikala in brezžične točke.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Meraki MX65 stane malenkost več, kot 400€ - skupaj s 3-letnimi naročninami prej kakšne 1100€....

Drugače pa je Meraki mene nebi navdušil, ker si ne znam predstavljati, da bi bil pri administraciji tako pomembnega kosa opreme odvisen od neke storitve v oblaku. Si sploh ne predstavljam, da čačkaš po konfiguraciji, se zmotiš pri IP adresi ISP default gateway-a in se odrežeš od administracije - ker pa naprava ni dosegljiva niti z interneta, ti preostane samo še reset na factory default....

Drugače pa stvar okusa - imaš tudi uporabnike, ki so prav navdušeni nad administracijo v oblaku.....dokler se proizvajalec ne odloči ukiniti to storitev (smo zadnjič brali o Googlu...).

Drugo, kar mene moti pri Merakiju, je 'generičnost' nastavitev. Saj omogoča vse sorte....hudič pa je v 'drobnarijah'. V želji, da bi ugajali čim večjemu krogu uporabnikov, ki želijo čim manj zahtevno upravljanje, si prisiljen sprejeti kompromise. Določenih stvari ti pač ne bo omogočal nastavljati. Za manj veščega uporabnika na prvi pogled celo pozitivno (ker ni ekspert, posledično ne more zamočiti) - lahko pa je nočna mora za 'razvajenega' naprednega uporabnika, ki je vajen tweakat tisoč in eno napredno nastavitev.

Menjava routerja pri proračunu 400€ za 30 uporabnikov je preklemansko nehvaležna naloga - ker za ta denar preprosto ni možno dobiti rešitve, ki je po današnjih standardih sposobna opraviti to nalogo 'na nivoju'. Druga zgodba je seveda, če imate za routerjem še požarno pregrado in dejansko iščete SAMO router. Če pa mora router opravljati še nalogo varovanja omrežja, pa ni realno lotevati se podviga pri takem proračunu, saj na koncu ne boš imel nič kaj prida boljšo rešitev, kot jo imaš zdaj. Saj promet bo tekel, imel boš tudi aktualen 'varen' firmware - ampak to je tudi vse. Sama varnost omrežja zato ne bo niti za malenkost na višjem nivoju, saj boš še vedno prepuščal čisto ves smetje interneta - tudi tisto smetje, ki ga nikakor nebi želel prepuščati.

Običajno se ljudje lotevajo menjave strojne opreme zaradi kakšnega konkretnega razloga. Zadnje čase je ta razlog najpogosteje dvig varnosti na višji nivo. Kaj je razlog pri vas? Zgolj starost opreme?

Drugače pa je tudi križ, ko primerjaš npr. Meraki in pa kakšnega konkurenta. Zelo problematična je odločitev po katerem kriteriju naprave sploh primerjati med seboj. MX65 naj bi bil kvazi priporočen do 50 uporabnikov. Pri tem, da ima SPI prepustnost max. 250Mbps. Ali pri takšni prepustnosti lahko postaviš strežnike na ločen segment in promet do njih filtriraš? Predvidevam, da pričakuješ vsaj 1Gbps prepustnosti do strežnikov?

WatchGuard recimo že do zgolj 35 uporabnikov priporoča bistveno zmogljivejši model, ki zmore 1,2Gbps SPI prometa - zmogljivost, pri kateri že lahko začneš razmišljati o lociranju strežnikov na varnejši segment omrežja.
Do 60 uporabnikov pa se že priporoča napravo z 3,2Gbps SPI filtriranja!

Vprašati se moraš, ali nabavljaš rešitev za danes, ali za naslednjih 5-10 let.
Vprašati se moraš, ali potrebuješ zgolj napravo, ki bo prepuščala promet, ali pa od nje pričakuješ še 'nekaj več'. Redko kdo si danes še upa razmišljati zgolj o prepuščanju prometa. Si ti?
Kaj boš profitiral, če boš kupil router za 400-500€ in jutri staknil kakšnega od kriptolockerjev in barabam podaril še kakšnih 1500€ za povrhu?
Mogoče pa potem ne bo več težava globlje poseči v žep in investirati 'malo več' za zaščito omrežja pred internetnim smetjem? Samo škoda, da boste do takrat že vrgli proč kakšnih 2000€ za katere bi lahko dobili že kakšno kolikor tolikor spodobno varnostno rešitev.

denis66 ::

V bistvu gre za zabijanje interneta. Ker se med drugim preko tega routerja izvaja tudi računovodstvo v oblaku, računovodkinje javkajo, da ne morejo nič delati. Sicer mislim, da dela probleme kakšna druga mašina (telefon, tablica) v omrežju. Hudič je, ker nisem tam lociran, da bi v dotičnem momentu mogoče malo raziskal "problem".Za tem ruterjem trenutno ni nobenega firewalla. So pa priporočili zamenjavo tega routerja (Telekom,Softnet) že nekaj časa nazaj (ker da je že star) in sploh posodobiti omrežje. Laično gledano, cene routerjev rastejo s številom uporabnikov v omrežju in prometom. Moti me, ker te eni posiljujejo z opremo za 2000€, tretji z opremo za 400€, pride drugi računalničar, pa predlaga rešitev za 50€-60€ (Microtik). Je pa problem v bistvu denar oz. majhen kupček denarja namenjen za to zadevo. In kljub temu, da bi se zamenjalo router, se bojim, da problem ostane.

videc ::

Lahko pogledaš tudi HP opremo.
Pa ne gledat cenovni razred 50-60€, ampak to 500€. Pa kakšno linijo imajo!
Lahko tudi omejiš pasovno širino posameznim napravam ali narediš vlan, za računovodske delovne postaje, ki mu daš več pasovne širine.

aleksander10 ::

Seminesanja:
Kar mali elaborat naredu, na tem, da je človek dal zelo malo informacij.
Glede na to da še vedno uporablja zelo zelo star Cisco 1600 router, verjetno ne uporablja nikarkšnega SPI-a in nima nikakršni takih zahtev, kot si jih napisal.

Če res želi, to kar si napisal, potem tisti 400 EUR ne bo dovolj, da bi se kdo resno prišel k njemu pogovarjat.
Mislim, da delaš preveliko reklamo za WatchGuard-a. Ni vse samo v številkah.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

aleksander10 je izjavil:

Seminesanja:
Kar mali elaborat naredu, na tem, da je človek dal zelo malo informacij.
Glede na to da še vedno uporablja zelo zelo star Cisco 1600 router, verjetno ne uporablja nikarkšnega SPI-a in nima nikakršni takih zahtev, kot si jih napisal.

Če res želi, to kar si napisal, potem tisti 400 EUR ne bo dovolj, da bi se kdo resno prišel k njemu pogovarjat.
Mislim, da delaš preveliko reklamo za WatchGuard-a. Ni vse samo v številkah.

Ravno zato, KER imajo samo stari router in čisto nobene zaščite, je skrajni čas, da o tej začno resno razmišljati.

Ni vse v številkah? To sem tudi jaz rekel - ampak najprej definiraj, katere številke misliš.
Cisco Meraki v svetu ni ravno neko zveneče ime, ko se gre za security. Ven jih vleče predvsem brand name Cisco, brez tega bi nanje takoj gledal 2x bolj kritično.

In kaj je potem po tvoje tisto, kar pri Meraki 'ni v številkah'? Da lahko pri NILu najameš 24/7 podporo? Dvomim, da si bodo to privoščili pri OPu.

Da delam preveč reklame za WatchGuard? Si ga že kdaj imel v rokah? Dvomim - sicer bi vedel zakaj ga postavljam nad ostalo konkurenco v njegovem razredu.

Sem pa tudi povedal, da je to deloma tudi stvar okusa in da so nekaterim manj zahtevnim uporabnikom bolj všeč bolj 'generične' rešitve, kjer imaš manj možnosti za detajlirane nastavitve, manj za obvladovati, manj za zamočiti - pač ni vsakdo networking&security expert. Kako naj podam še bolj realno oceno?

Invictus ::

Očitno OP rabi kar lepo novo rešitev. Ukvarjanje s Ciscom 1600 skoraj meji na nekrofilijo ;).

Mikrotik ima povsem spodobne rešitve.

SeMiNeSanja pač reklamira WatchGuard, ker ga pač pozna. In prodaja. Pa glede na poste zgleda celo nekaj ve o tem.

OPu pa pač ni treba ničesar poslušat. Tega sranja je zdaj na trgu malo morje. Tehnike ni problem kupiti. Problem je dobiti in plačati dobre ljudi, da ti uredijo zadeve. Le ti se pa ne valjajo po cestah ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Opu sem ponudil, da mu naredim demo, da se razkrije krivca za 'zabijanje mreže' in akutni problem provizorično 'reši', tako da se ne poganja na vrat na nos v neke nakupe, ki bi jih morda že čez dva dneva obžaloval.

Tako bi pridobil nekaj časa, da se lahko poglobi v razpoložljive rešitve in oceni, če je na mestu investicija v rangu 400-500€, 2000€ ali karkoli že kdo zahteva za svojo rešitev.

Dejansko nebi smel biti problem v podjetju s 30 zaposlenimi 'napraskati' tudi 2000€, če se ve zakaj. Vse je zgolj vprašanje prioritet. Če je varnost zadnja prioriteta, se zanjo nikoli ne bo našlo denarja, pa če bi stala zgolj 50€.

Žal se OP (še?) ni odzval na ponudbo, čeprav ga nebi nič stala ali k čemurkoli zavezovala....

Bakunin ::

google TANSTAAFL
http://ipv6.si/

SeMiNeSanja ::

Bakunin je izjavil:

google TANSTAAFL

Res je.

Če ne identificira vzrokov nima dodatnih stroškov. Se pač lahko izgovarja, da ne more ugotoviti vzroka.

Če jih identificira, pa bo moral zavihati rokave in jih odpraviti. Izgovorov ni več. J* ga. Vse ima svojo ceno, pa tudi če te to zgolj dodatno delo, ki si ga tako nakoplješ.

aleksander10 ::

Seminesanja:
Očitno ne poznaš Cisco Meraki rešitve, zato ne pljuvaj po njej.

Ne mešaj NIL-a v to zgodbo, ker se z Cisco Meraki-jem ne ukvarja in se ne ukvarja s prodajo "škatel", ampak prodaja znanje in ne samo na Cisco področju ampak še kje.

Številke si ti pisal za WatchGuard in jih lahko mirno deliš z 2 pa boš mogoče dobil prave številke, če vključiš servise, ki jih boš imel na "škatli".

Se pa vsaj pri nečem strinjava. Potrebno je pogledat kaj imajo in kako lahko vse to spravimo na nek nov nivo. Res pa je, da bo treba malo globlje seči v žep, to je pa že druga zgodba, v katero se ne bom spuščal.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

nejc_ ::

@SeMiNeSanja: vidiš, v tem, kar počneš, je eden izmed večjih problemov v IT v Slo: če si tak ekspert, potem se ne bi zastonj ponujal, mar ne.

"Blatenje" ne-watchguard produktov: kar predlagaš neke modele, ki so morda overkill za uporabnika in seveda zato dražji. Kje si sploh razbral, da potrebuje MX65 in MX64 ne bi bil popolnoma dovolj za vse potrebe, ki jih ima, in je v tem cenovnem rangu, kot ga pričakuje?

SeMiNeSanja ::

aleksander10 je izjavil:

Seminesanja:
Očitno ne poznaš Cisco Meraki rešitve, zato ne pljuvaj po njej.

Ne mešaj NIL-a v to zgodbo, ker se z Cisco Meraki-jem ne ukvarja in se ne ukvarja s prodajo "škatel", ampak prodaja znanje in ne samo na Cisco področju ampak še kje.

Številke si ti pisal za WatchGuard in jih lahko mirno deliš z 2 pa boš mogoče dobil prave številke, če vključiš servise, ki jih boš imel na "škatli".

Se pa vsaj pri nečem strinjava. Potrebno je pogledat kaj imajo in kako lahko vse to spravimo na nek nov nivo. Res pa je, da bo treba malo globlje seči v žep, to je pa že druga zgodba, v katero se ne bom spuščal.

Res je, Meraki poznam samo toliko, kolikor sem naštudiral njihove demo materiale in video posnetke. Nikjer ne omenjajo lokalnega managementa ampak je vedno govora o Cloud managementu. Ta je pa roko na srce precej jalov, če se ti enkrat zakonfiguriraš in odrežeš z interneta.

In ne - nisem pljuval - sem povedal, da se JAZ zanj nebi odločil, ker mi ravno ta Cloud management niti malo ne diši, čeprav ima tudi določene pozitivne aspekte. Ravno tako ni nobeno pljuvanje, če rečem, da je za moje pojme preveč 'generičen' - da imaš premalo naprednih možnosti, katere sem vajen uporabljati v mojem vsakdanu. Sem namreč lepo povedal, da so tudi uporabniki, ki jim ravno to ustreza, ker se ob naprednejših možnostih po domače povedano 'izgubijo'.

Nil da prodaja zgolj znanje? Od kdaj? Spremljaj malo javne razpise, koliko so jih dobili s 'škatlami'. Itak pa je v tekstu bilo govora o znanju oz. storitvi vzdrževanja.

@nejc - MX64 ali 65 je isti šmoren - povsem enako zmogljiva modela, razlika je zgolj v številu portov, tako da predvidevam, da tudi cena ne more biti bistveno nižja. Nisem jo pa šel preverjati - lahko pa ti, ko si tako brihtno začel o 'overkill-u' (spletna trgovina, kjer sem preverjal ceno, je imela v ponudbi samo mx65 in višje modele). Kje si pa ti preveril ceno, da trdiš, da pride MX64 v rangu 400-500€? Link?

SeMiNeSanja ::

Že vidim v čem je štos.
Tipično slovensko šalabajzersko ponujanje varnostnih rešitev.

Šalabajzersko namreč zato, ker se ljudjem ponuja golo oskubljeno škatlo z zvenečo znamko, brez enega samega varnostnega servisa. Ja, goli MX64 morda res pride tam v rangu 400-500€. In kaj ima od njega? Potem naj raje vzame Mikrotika za 50€ ali 100€, ki ga bo lahko bolj v podrobnosti konfiguriral.

Kaj pa Content filtering, IPS, AV, antiphishing, zamenjava v primeru okvare?
Ups?
Te opcije že za eno samo leto dodatno nanesejo najmanj 200€ (odvisno kje kupuješ), pri triletni opciji, ki jo uporabniki običajno izberejo, pa skupaj z napravo prideš nekam okoli 1000€.

Kdaj vam bo že jasno, da je sama škatla brez storitev na njej proč vržen denar? Pri stranki ustvarja lažen vtis neke varnosti, v resnici pa jo ne ščiti pred ničemer. Ravno kakovost varnostnih storitev (ob sami strokovni konfiguraciji) je tista, ki odloča o tem, ali ti bo 'škatla' kaj pomagala, ali pa bo zgolj za slepilo.

nejc_ ::

Hmm. Jaz sem razbral sledeče:
- omrežje ni kompleksno, imajo en server, ki poganja računovodsko storitev in je morda navzven dosegljiv preko kakega NAT-a, VPN ali kako drugače
- radi bi zamenjali res zastarel router - performance naprave najverjetneje niso ključne, saj vsak entry model danes zmore precej več performanc že
- Denisa zasnima vpogleda v dogajanje v omrežju, saj ima zasičen internet in ne ve, kaj točno dogaja - še posebej ga "boli", da nima zgodovinskih podatkov, da bi pogledal, kaj se je dogajalo v nekem momentu, ko ni mogel delati v živo troubleshootinga
- Denis ima izkušnje z upravljanjem omrežene infrastrukture, a je iz prakse malo že

In sem mu predlagal "škatlo", ki bo pomagala:
- rešiti vpogled v omrežje, da bo videl, katere naprave/uporabniki _in_ katere aplikacije porabijo v določenem momentu "internet pipico"
- to bo naredil vse preko enostavnega in prijaznega spletnega vmesnika, ki mu bo dal informacije tudi, kaj se je dogajalo v nekem preteklem obdobju in ne zgolj, kaj se dogaja sedaj - npr. "za včeraj ob 14:34" bo lahko videl, katere naprave so utilizirale 100% linije
- s parimi enostavnimi kliki bo lahko zajezil "požrešnost" posameznih naprav
- če se bo naprava pokvarila, bo dobil brezplačno novo napravo, kar pomeni, da ima vse stroške predvidene vnaprej

Security ni bil izhodiščni del te zgodbe. Niti ne zasledim kakšnega hinta, da potrebujejo gigabit throughput. Ne po funkcionalnostih - in ne posledično po buđetu, ki ga ima na voljo. Vsekakor se strinjam, da je to danes eden zelo pomembnih elementov, ki ga ne bi smeli izpustiti. In kaj je enostavneje, kot to, da bo lahko stranko osvestil o problematiki in "drugo" leto enostavno isti kos HW nadgradil s varnostnimi funkcionalnostmi?

Glede cen še komentar: podjetje s 30 zaposlenimi ima mesečno, če imajo povprečne plače, mesečne stroške krepko preko 40.000EUR. Verjetno raje x2. Koliko stroškov nastane, ko zaposleni ne morejo delati svojega dela, ker je internet prepočasen? Koliko to vpliva na njihove stranke? Je res ključni faktor, če stane naprava, ki ti bo pomagala rešiti problem in dolgoročno vzdrževati spodobno omrežje 500EUR, 1.000EUR ali 2.000EUR?

Kar želim reči, je to, da me motijo nekonstruktuvni komentarji in nepotrebno blatenje konkurence. Poslušaj, kaj dela probleme Denisu in ne ponujaj "za vsako ceno svoje škatle".

SeMiNeSanja ::

Lepo je bilo rečeno, da nimajo firewall-a. Priporočati zamenjavo zastarelega routerja za nov router brez dodanega security-ja pa se meni zdi neodgovorno. Koneckoncev je na mrežo vezanih 30 delovnih mest, katera bi bila po nepotrebnem še naprej izpostavljena vsem grožnjam interneta.

Ne vem kakšna omrežja ti upravljaš. Takšna, kjer je vse na istem subnetu bi morala biti stvar zgodovine. Moje stranke imajo svoje strežnike na ločenih subnetih, do katerih se dovoljuje izključno tisti promet, ki je potreben za poslovanje. Če pa želiš ta promet podvreči še IPS in kakšnim drugim kontrolam, pa tega ne boš mogel početi na switchu, temveč ga boš moral poslati skozi požarno pregrado. Če je ta premalo zmogljiva, ker je nek šalabajzer ob nakupu trdil, da je dovolj, da se nabavi napravo, ki zmore toliko, kot znaša internetna pipca, potem si imel smolo in si si nakopal ozko grlo.

Skratka - ali se pogovarjamo o mrežah, kakršne so se postavljale deset let nazaj, ali o takšnih, kakršne naj bi se jih postavljalo danes?

Jasno, čim gredo zahtevane prepustnosti preko gigabita, to zna pri marsikateremu konkurentu pognati ceno preko plafona v področja, ki za večino manjših podjetij niso niti približno sprejemljiva. Ampak ne pri vseh in tu se skriva moj point. Če bi se malo potrudili, se da najti kar nekaj rešitev, ki so tudi pri takšnih prepustnostih še vedno na dosegu tudi manjših podjetij.

Tudi če imaš danes še 'flat' omrežje - če boš danes kupil rešitev, ki zmore zgolj toliko, kot je tvoja internetna pipica, se boš obsodil še na naslednjih x let 'flat' omrežja, ker si ob tisti rešitvi preprosto ne boš mogel privoščiti segmentacije.

Pa ni problem zgolj v nekih serverjih, ki bi jih bilo za postaviti na ločeno omrežje. Ravno tako so problem tudi wireless uporabniki. Lahko se lotiš šalabajzersko, dodaš nek AP na mrežo in vse skupaj vržeš v bridge. Brez nadzora, brez filtriranja....
Čim pa hočeš nadzor in filtriranje, si pa spet tam - kje boš nadziral in filtriral? Menda na požarni pregradi? Torej prištej k prepustnosti za internet še prepustnost, ki jo pričakuješ za WiFi omrežja, ali pa ti vse skupaj ne bo šlo nikamor.

Ko pa že enkrat začneš segmentirati, pa običajno ne ostane zgolj pri dveh subnetih ampak se jih začne nabirati kar nekaj. To pa pomeni, da potrebuješ fleksibilnost.

Drugače pa se mi zdi hinavsko nekomu ponujati škatlo s figo v žepu 'saj bo prišel nazaj še po varnostne storitve'. Zaradi takega pristopa k prodaji je najmanj 90% ASA požarnih pregrad v Sloveniji brez IPS ali kakšnih drugih varnostnih storitev. Šele zadnje čase se je malenkostno začelo premikati na bolje, od kar so uvedli with FirePower variant, kar se je pa prodajalo pred tem, pa je z varnostnega vidika katastrofa in sramota za prodajalce in implementatorje.

Kar se pa stroškov tiče, pa se nebi spraševal, koliko jih nastane zaradi počasnosti, ampak koliko jih bo nastalo v primeru kompromitacije. Počasnost že poznajo in jo očitno 'cenijo' na 400-500€, kolikor so pripravljeni odšteti za 'rešitev težave'. Kolikšni pa bodo, ko se bo ene par računalnikov okužilo s kakšnim kriptolockerjem in sploh ne bodo mogli delati, je pa še odprto vprašanje.

deadbeef ::

Dej SeMiNeSanja ne prodajaj tega WatchGuarda sem zadnič govoril z S&T in so rekli da so testirali in ni nevem kaj produkt.

denis66: Ne kupuj MikroTIK in podobna jajca poglej si Cisco ASA 5506-X ali CheckPoint 700 series.. oboje dobiš pod 1000eur in zelo kvalitetna požarna zidova.

http://www.cisco.com/c/en/us/support/se...

Če imaš že sedaj Cisco se boš v ASA 5506-X počutil kot doma ASA OS je namreč skoraj isti CLI kot iOS. Seveda obstaja tudi GUI management.

CheckPoint je pa bolj GUI.. zelo prijazen do uporabnika.

nejc_ ::

Glej - lepo si povedal, da ne poznaš Merakija - da si videl le video in demo. Verjetno nisi bil dovolj pozoren, da bi videl, da lahko delaš per device policy - v istem subnetu. Tudi na WLAN-u celo v istem SSID-ju lahko delaš različne policyje. Ne, raje enostavno "pljuvaš", kako je neka rešitev za en dr...

In stranka ima 1 server. Realno - kaj bistveno boš pridobil, če boš delal subneting za 1 server, ki ima zelo verjetno lokalni firewall? Prej boš naletel kvečjemu na problem, da boš imel ali FW ali router ali kak L3 switch, na katerem boš delal inter vlan routing, prešvoh, da bo shendlal ves promet. Drugače pa glede IPS in topologije - si kdaj slišal za kako drugo topologijo kot inline na FWju? Si slišal za kak port mirroring morda?

In ker Denisu ni networking core business, kaj je lepšega, če ima enostaven mgmt za komplet omrežje - tako FW kot Access Pointe ter tudi switche? In zgodbi dodaš še MDM, ki je free do 100 naprav, in imaš komplet nadzor, upravljanje endpointov (mac,win,androin,ios)? In podatke iz MDM uporabiš v dinamični varnostni politiki na firewallu?

Še to: če FW nima content filteringa, pomeni, da ni varnostna naprava? VPN ni security servis? Detekcija anomalije prometa ni varnostna storitev? Blokiranje na osnovi IP reputacije ni varnostna rešitev? Itd.
Bolj me skrbi tvoja "varnostna rešitev", ki v zasnovi, da sploh uspe "spljuvt" nekaj prometa čez, mora delovati v "fast scan" načinu. Torej da sploh ne gleda celotnega prometa za varnostne incidete ampak le en del. Spoštovanja vredna varnost. Pa da ti npr. AV ne pregleda večjih datotek od 1MB? Svaka čast - res bodo uporabniki varni. In celo out-of-the-box brez system managerja, da nimaš niti logov za nazaj, reportinga... "Odlika" varnosti, saj verjetno ni pomembno, kako je prišlo do incidenta in kaj se je dogajalo?
Kdo potem tu zavaja? Jaz, ki mu želim pomagat rešit major issue, ki ga ima danes, v tem momentu. Za buđet, ki ga ima na voljo.
Ali ti, ki mu prodajaš danes security, ki to očitno ni?

SeMiNeSanja ::

deadbeef je izjavil:

Dej SeMiNeSanja ne prodajaj tega WatchGuarda sem zadnič govoril z S&T in so rekli da so testirali in ni nevem kaj produkt.

denis66: Ne kupuj MikroTIK in podobna jajca poglej si Cisco ASA 5506-X ali CheckPoint 700 series.. oboje dobiš pod 1000eur in zelo kvalitetna požarna zidova.

http://www.cisco.com/c/en/us/support/se...

Če imaš že sedaj Cisco se boš v ASA 5506-X počutil kot doma ASA OS je namreč skoraj isti CLI kot iOS. Seveda obstaja tudi GUI management.

CheckPoint je pa bolj GUI.. zelo prijazen do uporabnika.

Me pa res zanima, kdo pri S&T ga je testiral in kje so ga sploh dobili za na test.
Si prepričan, da se ni šlo za nesporazum? Ali pa nakladaš....?
S&T se v principu sploh noče z drugim ukvarjati, kot Checkpoint in Cisco, še tisti Netasq oz. Stormshield so jim vsilili in jim je bil čisto odveč. Ko sem jih jaz spraševal za evaluacijo WatchGuarda, tudi malo interesa niso pokazali.

Sploh pa v 99% tega kar sem napisal, sploh ne govorim o WatchGuard rešitvah ampak o čisto splošnih načelih varnostni v omrežjih, katera se bi morala dati uresničevati na vsaki kolikor tolikor spodobni požarni pregradi.

WatchGuard sem omenjal zgolj v tistem delu, kjer sem opozarjal na diskrepanco med tem, kaj eden proizvajalec trdi, da je primerno za 30 uporabnikov in kaj nek drug proizvajalec, npr. WatchGuard. Zato mi ne riniti v čevlje, da nekaj vsiljujem WatchGuard - ampak očitno imate nekateri že alergijo na samo ime, ko se kje pojavi?

D3m ::

Fak odkrivate "črne luknje".

Demo predstavitev fantje ne pa tuliti v polno luno.
|HP ProBook|R5 3500U|
|Lenovo A10|Mediatek MT8121|

Zgodovina sprememb…

  • spremenil: D3m ()

aleksander10 ::

Seminesanja:
Res premalo poznaš zadevo (v tem primeru Meraki), da bi lahko tako pavšalno udrihal po rešitvi/vah.

Nejc_: Lepo napisano.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

nejc_ je izjavil:

Glej - lepo si povedal, da ne poznaš Merakija - da si videl le video in demo. Verjetno nisi bil dovolj pozoren, da bi videl, da lahko delaš per device policy - v istem subnetu. Tudi na WLAN-u celo v istem SSID-ju lahko delaš različne policyje. Ne, raje enostavno "pljuvaš", kako je neka rešitev za en dr...

In stranka ima 1 server. Realno - kaj bistveno boš pridobil, če boš delal subneting za 1 server, ki ima zelo verjetno lokalni firewall? Prej boš naletel kvečjemu na problem, da boš imel ali FW ali router ali kak L3 switch, na katerem boš delal inter vlan routing, prešvoh, da bo shendlal ves promet. Drugače pa glede IPS in topologije - si kdaj slišal za kako drugo topologijo kot inline na FWju? Si slišal za kak port mirroring morda?

In ker Denisu ni networking core business, kaj je lepšega, če ima enostaven mgmt za komplet omrežje - tako FW kot Access Pointe ter tudi switche? In zgodbi dodaš še MDM, ki je free do 100 naprav, in imaš komplet nadzor, upravljanje endpointov (mac,win,androin,ios)? In podatke iz MDM uporabiš v dinamični varnostni politiki na firewallu?

Še to: če FW nima content filteringa, pomeni, da ni varnostna naprava? VPN ni security servis? Detekcija anomalije prometa ni varnostna storitev? Blokiranje na osnovi IP reputacije ni varnostna rešitev? Itd.
Bolj me skrbi tvoja "varnostna rešitev", ki v zasnovi, da sploh uspe "spljuvt" nekaj prometa čez, mora delovati v "fast scan" načinu. Torej da sploh ne gleda celotnega prometa za varnostne incidete ampak le en del. Spoštovanja vredna varnost. Pa da ti npr. AV ne pregleda večjih datotek od 1MB? Svaka čast - res bodo uporabniki varni. In celo out-of-the-box brez system managerja, da nimaš niti logov za nazaj, reportinga... "Odlika" varnosti, saj verjetno ni pomembno, kako je prišlo do incidenta in kaj se je dogajalo?
Kdo potem tu zavaja? Jaz, ki mu želim pomagat rešit major issue, ki ga ima danes, v tem momentu. Za buđet, ki ga ima na voljo.
Ali ti, ki mu prodajaš danes security, ki to očitno ni?

Ajajaj, kako si se spravil mešat hruške in banane skupaj, da bi dokazoval svoj prav.

Kaj bi rad povedal z 'per device policy'? Ali obstaja kakšen spodoben firewall, ki nima te možnosti, da delaš policy na posamezne naslove, uporabnika, skupine,...?

In spet si ven privlekel, da pljuvam po Merakiju, da je za en drek. KJE sem to napisal? 10x sem napisal, da imajo različni uporabniki različne preference, da za je nekoga Meraki čisto cool, za nekoga drugega pa pač ne - in na tvojo žalost sebe štejem med slednje - se morda nebi smel?

Wau, port mirroring omenjaš? Torej je tvoja ultimativna rešitev da uporabniku podvališ še eno mašino za upravljat, ki jo boš obesil gor na zrcaljen port. Kateri IPS pa mu boš dal gor? Kakšnega komercialnega, da ga boš še malo oskubil? Ali se boš zadovoljil z zaslužkom od inštalacije kakšnega open source IPSa? Pa si prepričan, da bo uporabnik na koncu tudi znal to uporabljati? Po moje bo bolje, da mu ponudiš Enterprise Suite poleg škatle že v samem štartu. Bo ceneje skozi prišel, pa še lažje bo upravljal stvar.

Kaj bi zdaj rad še tako osnovno zadevo kot VPN prodajal kot security service? Jaz pod security service razumem vse varnostne storitve, ki bazirajo na različnih signaturah in drugih varnostno relevantnih podatkih (blackliste, reputation servisi,...), do katerih imaš dostop le, če nekomu plačuješ določeno naročnino. Vse ostalo je 'built-in' in se običajno ne plačuje dodatno. Seveda tu obstajajo tudi izjeme (npr. uporabniške VPN povezave, kjer marsikdo posebej zaračunava licence).

Blokiranje na osnovi IP reputacije pa mislim, da ti ne na Merakiju, ne pri kateremkoli drugem proizvajalcu ne bo na voljo, če ne boš kupil določenega paketa naročniških storitev. Če Meraki to ponuja brez kakršnegakoli doplačila, potem je unikum v industriji.

MGMT za celotno omrežje? Morda - če vse zamenja za Meraki?

Jaz se nisem hotel spuščati na nivo 'hvaljenja WatchGuarda' ampak mi očitno ne puščaš izbire?

Kje si pa pobral, da WatchGuard AV MORA delovati v 'fast scan' načinu? Da ne pregleda datotek večjih od 1MB?
Kot prvo se 'fast scan' ali 'full scan' nanaša na IPS in nima nobene veze z AV. Jaz se še nisem znašel v skušnjavi, da bi sploh preklopil na 'fast scan'!
Pri AV skeniranju se govori o buffered ali streamin engine-ih. Buffered velja za počasnejšo metodo, ki pa je bolj temeljita od hitrejše streaming variante, ki datoteko bolj ali manj pregleda 'on the fly', če slučajno kakšna signatura zagrabi. WatchGuard uporablja izključno buffered varianto, ki omogoča tudi heuristiko, katera pri streaming variantah običajno potegne ta kratko.
Scan Limit pri AV pa spet ne drži, da bi se nanašal na velikost datotek, ki jih 'sploh' pogleda, temveč kolikšen del same datoteke ima sploh smisel analizirati z AV. Maksimum je odvisen od posamezne naprave - jaz skeniram prvih 5MB. Če se ti kaj sanja o virusih, boš pritrdil, da je to več kot dovolj. Na drugi napravi pa skeniram celo do 20MB.
Scan limit ima predvsem povezavo z Sandbox storitvijo, ker preko njega istočasno tudi določiš velikost datotek, ki se jih še posreduje v Sandbox analizo, ni pa toliko relevanten za samo AV odkrivanje virusov.
Čudno, da se nisi spotaknil ob signature set, ki ga uporablja WatchGuard. Včasih so tabletop naprave imele okrnjen nabor 250.000 signatur, rackmount modeli pa 2,5M signatur. Danes tudi tabletop modeli uporabljajo isti nabor 2,5+M signatur.
Si upaš povedati, koliko jih imaš na Merakiju? Koneckoncev ti nič ne koristi, če skeniraš 2GB datoteko, pa nimaš signaturo za virus, s katerim je okužena...

Out of the box loge za nazaj nimaš na nobeni rešitvi, ki nima vgrajenega diska ali izdatnega dodatnega spomina. Ene rešitve podpirajo zgolj syslog logiranje, druge pa ti ponujajo logiranje v oblaku (običajno plačljivo?). Če imajo lokalno logiranje na vgrajeni disk, ponavadi ostaneš brez vsega, ko ti ta disk zariba (da ne omenjamo možnost, da ti ga kdo 'izprazni'). Pogosto se tudi ne obnesejo najbolje pri raznih ugašanjih na malo bolj grob način.
WatchGuard ima zato Dimension, ki je samostojen log server in si ga lahko postaviš na fault tolerant način, če hočeš tudi geolokacijsko zaščiteno. Glede na to, da je zadeva brezplačna, se še nikomur od mojih strank ni kolcalo po podatkih na vgrajenem disku.

Skratka stvari niso takšne, ker se nebi dalo, ampak ker so se v dveh desetletjih izkazale za izredno uspešne točno na tak način, kot so implementirane. Če pa tebi (Merakiju?) niso všeč in jih uporabljaš za argument proti, pa je dobro poznati še malo ozadja....

nejc_ ::

Ne razumeš, kaj ti želim povedati.
Po drugi strani pa opomnik za tvoje stranke: "Maksimum je odvisen od posamezne naprave - jaz skeniram prvih 5MB. Če se ti kaj sanja o virusih, boš pritrdil, da je to več kot dovolj. Na drugi napravi pa skeniram celo do 20MB."
Odličen input za "entuzijasta", ki bere ta forum, da bo točno vedel, v kako veliko datoteko spravit malware payload, da bo zaobšel "tvoj" security.
Če te bo še kaj zanimalo, te povabim na debato ob kavi - tule se ne bom več pregovarjal, ker imam drugo delo.

SeMiNeSanja ::

Malware payload bo moral imeti pointer na začetku okužene datoteke. Tam pa ga bo AV že našel. Če boš pa zgolj 'prilepil' payload zadaj na datoteko, pa ne boš nič naredil. Druga zgodba je, če se ne gre za okuženo datoteko ampak za 'čisti' malware - tam se že takoj na začetku pokaže, koliko je ura. Kot sem rekel - če imaš kaj pojma o virusih....
Pri tem ima tipični internet born malware velikost do 100Kb, da se ga lažje distribuira, kar je daleč pod scan limitom, ki ga imam jaz nastavljenega.

Zip in podobne datoteke pa se ne obravnavajo kot eno, ampak se obravnava vsaka datoteka znotraj ločeno. Tako da tudi na ta način ne boš uspel.

Poleg tega jaz navadnim uporabnikom že v osnovi ne dovolim prenosa izvršljivih datotek od drugod, kot z zaupanja vrednih update-sitov.

Si že uspel izbrskati velikost signature seta pri Merakiju?

Aja...btw - kako pa kaj https inšpekcija na Merakiju? Že deluje?
IPv6?
.
.

Presneto, sploh ne vem, kako lahko greš delat kakršnokoli primerjavo med Merakijem in WatchGuardom, ker se gre za rešitev, ki se nahaja v popolnoma drugi kategoriji. Blizu pride zgolj po ceni, če direktno primerjaš cene glede na prepustnost.

Bakunin ::

za zacetek

tcpdump is your friend.


če ne veš kaj je to ali ne veš kako ga uporabiti na tvojem omrežju, potem menjaj poklic in ne trati (nam) čas na slo-TECH forumu.

najprej diagnoza, potem pa zdravilo.
http://ipv6.si/

Invictus ::

aleksander10 je izjavil:

Seminesanja:
Res premalo poznaš zadevo (v tem primeru Meraki), da bi lahko tako pavšalno udrihal po rešitvi/vah.

Mislim, a ste vi kdaj konfigurirali kaj kompliciranega?

Nastavljati mrežo v Cloudu je recept za katastrofo ... Sploh, če to delajo kvazi netowrk stručkoti.

Če pa seveda sam malo poklikajo, potem bo pa že kul ...

Zgleda še noben ni nikoli laufal do kakega routerja sredi delovnega dne, da bi se priklopil na serijski port ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Invictus je izjavil:

aleksander10 je izjavil:

Seminesanja:
Res premalo poznaš zadevo (v tem primeru Meraki), da bi lahko tako pavšalno udrihal po rešitvi/vah.

Mislim, a ste vi kdaj konfigurirali kaj kompliciranega?

Nastavljati mrežo v Cloudu je recept za katastrofo ... Sploh, če to delajo kvazi netowrk stručkoti.

Če pa seveda sam malo poklikajo, potem bo pa že kul ...

Zgleda še noben ni nikoli laufal do kakega routerja sredi delovnega dne, da bi se priklopil na serijski port ...

Kaj pa vem.... ali so si vtepli v glavo, da je treba trollat za vsako ceno, ali pa res ne poznajo stvari. Bojim se, da je tu oboje v igri.

Sploh pa se mi zdi nesramno, da nimaš pojma, bog vedi kje nekaj 'pobereš', ne da bi sploh vedel za kaj se gre in to potem nekomu hočeš podvaliti v smislu 'daj tiho bodi in poglej kakšno sranje šele ti ponujaš naokoli'.

Vsaj opravičil bi se lahko 'mojster', ko sem mu dokazal, da nima pojma o čemu sploh govori in da stvar tudi približno ni takšna, kot je zatrjeval.

Pri tem pa so tudi malenkostno spregledali dejstvo, da če jaz rečem, da Meraki ne poznam, da to še zdaleč ne pomeni, da se nisen sprehodil čez demo, ki ga imajo na voljo na internetu in preklikal vso stvar, da bi videl, kakšne možnosti konfiguriranja ponuja in koliko je 'praktičen za upravljanje'.
Merilo za to, da bom rekel 'rešitev poznam' pri meni leži bistveno višje.

Žal imam občutek, da po mojih merilih, tudi tisti 'mojstri' ki zagovarjajo Meraki, tega ravno najbolje ne poznajo.

aleksander10 ::

Invictus je izjavil:

aleksander10 je izjavil:

Seminesanja:
Res premalo poznaš zadevo (v tem primeru Meraki), da bi lahko tako pavšalno udrihal po rešitvi/vah.

Mislim, a ste vi kdaj konfigurirali kaj kompliciranega?

Nastavljati mrežo v Cloudu je recept za katastrofo ... Sploh, če to delajo kvazi netowrk stručkoti.

Če pa seveda sam malo poklikajo, potem bo pa že kul ...

Zgleda še noben ni nikoli laufal do kakega routerja sredi delovnega dne, da bi se priklopil na serijski port ...


Mogoče malo več kot vi.

Prosim, ne it na osebni nivo. To nikomur ne koristi.

In ja, veliko delam z napravami in ja poznam console priklop na naprave. :)

SeMiNeSanja je izjavil:

Invictus je izjavil:

aleksander10 je izjavil:

Seminesanja:
Res premalo poznaš zadevo (v tem primeru Meraki), da bi lahko tako pavšalno udrihal po rešitvi/vah.

Mislim, a ste vi kdaj konfigurirali kaj kompliciranega?

Nastavljati mrežo v Cloudu je recept za katastrofo ... Sploh, če to delajo kvazi netowrk stručkoti.

Če pa seveda sam malo poklikajo, potem bo pa že kul ...

Zgleda še noben ni nikoli laufal do kakega routerja sredi delovnega dne, da bi se priklopil na serijski port ...

Kaj pa vem.... ali so si vtepli v glavo, da je treba trollat za vsako ceno, ali pa res ne poznajo stvari. Bojim se, da je tu oboje v igri.

Sploh pa se mi zdi nesramno, da nimaš pojma, bog vedi kje nekaj 'pobereš', ne da bi sploh vedel za kaj se gre in to potem nekomu hočeš podvaliti v smislu 'daj tiho bodi in poglej kakšno sranje šele ti ponujaš naokoli'.

Vsaj opravičil bi se lahko 'mojster', ko sem mu dokazal, da nima pojma o čemu sploh govori in da stvar tudi približno ni takšna, kot je zatrjeval.

Pri tem pa so tudi malenkostno spregledali dejstvo, da če jaz rečem, da Meraki ne poznam, da to še zdaleč ne pomeni, da se nisen sprehodil čez demo, ki ga imajo na voljo na internetu in preklikal vso stvar, da bi videl, kakšne možnosti konfiguriranja ponuja in koliko je 'praktičen za upravljanje'.
Merilo za to, da bom rekel 'rešitev poznam' pri meni leži bistveno višje.

Žal imam občutek, da po mojih merilih, tudi tisti 'mojstri' ki zagovarjajo Meraki, tega ravno najbolje ne poznajo.


Nisem rekel da je Cisco Meraki najbolješe na tem svetu. Zmotilo me je pavšalno in nenatančno blatenje rešitve, ki jo komaj poznaš.

Tudi tebi povem, ne it pavšalno na osebno raven, ker ne veš kolkiko sogovornik ve ali ne ve. To nikomur ne koristi, samo kaže kakšen r.. je človek.

Zdaj pa dovolj, ker se nima smisla pregovarjat z ljudmi, ki mislijo, da so vse znanje na tem svetu pojedli s "tavelko" žlico.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

Zgodovina sprememb…

SeMiNeSanja ::

Eno je, ali veš, kaj je RS232, popolnoma nekaj drugega pa je, če znaš zadevo upravljati, spet čisto tretja stvar pa je, če RAZUMEŠ za kaj se pri VARNOSTI gre in kako to tudi v praksi udejaniti.

Štos je, da večina vas zna naprave POVEZOVATI. Kaj dosti dlje od tega pa vas stvari niti ne zanimajo. Glavno da dela. O.k., naj dela čim bolje.

Ne dvomim, da Meraki 'dobro poveže', če nimaš nekih ekstra zahtev.

Problem nastane potem, ko se takšni 'povezovalci' srečate z nekom, ki mu je glavni vidik VARNOST in na vse skupaj gleda s popolnoma drugim kriterijem, ki ga preprosto ne razumete (ali pa nočete razumeti?).
Kar na enkrat vam ni jasno, kako si drzne kritizirati zadevo, za katero veste, da odlično POVEZUJE.

Pri varnosti je samo povezovanje povsem postranskega pomena. Če firewall ni zmožen vzpostaviti neke določene povezave, bo pa to naredil nek spodoben router, ki ga boš postavil pred njega. Kaj je ali ni 'dobro' podlega popolnoma drugim kriterijem kot pri povezovanju. Najboljša varnost pa je takointako takrat, ko povezave sploh ni!

Ja, sem že slišal, da so Meraki postavljali tudi kot firewall za bančne podružnice. Tvegano? Morda - odvisno od implementacije. Če ne obešaš gor nobenih accesspointov, če ne dovoliš direktnega dostopa do interneta ampak izključno preko VPN-a... ja, morda bi potem še šlo - ampak bi bilo treba tu še preveriti, kako je z PCI DSS in drugimi standardi, ki se jih je treba v takem okolju držati. Tu sem namreč precej skeptičen, če res lahko izpolni prav vse zahteve aktualnih standardov, brez da se zamiži vsaj na eno oko.

Moja želja je, da bi se 'povezovalci' že enkrat nehali razburjat, če jim nekdo reče, da njihova trenutno najljubša igrača ni ravno bogvedi kaj in bi se namesto tega raje lotili osvajanja sodobnih konceptov varnosti v omrežjih.
Brez tega znanja namreč lahko nabaviš najdražjo rešitev na svetu, pa bo delala manj varno, kot če bi postavil wrt54gl z 10 let starim stock firmwarom.
Brez tega znanja tudi nisi sposoben realno ocenjevati, kaj je kot varnostna rešitev boljša ali slabša opcija in se na koncu užaljeno postavljaš v bran priljubljeni rešitvi, brez da bi sploh imel kakšne pametne argumente v rokah. Potem pa se še spuščate na osebni nivo in nabijate nekaj s false facti in sami sebe smešite s svojim neznanjem.

Če se vam že ponuja svoje znanje in izkušnje na razpolago, bi se vsaj lahko potrudili prebrati argumentacije in razmisliti, če ni morda kaj na celi stvari.

Skratka ne gre se za to, sa smo nekateri jedli z večjo ali manjšo žlico.
Gre se za to, da smo jedli iz različnih skled in se specializirali za različna področja.

Meni ne pada na pamet, da bi komurkoli kvasil, kateri enterprise switch naj kupi, ker to ni moje področje. Postavi mi ga pred nos, pa ga bom skonfiguriral - ampak da bi pa dajal izjave, kateri je boljši ali slabši, mi pa tudi slučajno ne pade na pamet.

Zakaj potem pri požarnih pregradah toliko ljudi misli, da vse ve, čeprav nič ne vedo? Zakaj si potem še jemljejo pravico kritizirati tiste, katerim se pa le nekaj sanja? Malo samokritike prosim!

čuhalev ::

deadbeef je izjavil:

Če imaš že sedaj Cisco se boš v ASA 5506-X počutil kot doma ASA OS je namreč skoraj isti CLI kot iOS. Seveda obstaja tudi GUI management.

Žal je GUI ostal v času Oken 98.

deadbeef ::

ASDM je pac java based. Ampak trenutno Cisco zdruzuje ASA OS in FirePOWER (SourceFire) imas na voljo ze nov OS FTD z unified management (FirePOWER Threat Defense 6.0.1), ki ima modern HTML5 GUI. Cisco dela na tem da zdruzi ASA OS z SourceFire v unified OS.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8813810 (10826) Manna
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6714902 (10446) AC_DC
»

Router za več uporabnikov

Oddelek: Kaj kupiti
101019 (863) SeMiNeSanja
»

1 PC > 2 ISP > 2 IP > 2 brskalnika z različnima IP istočasno online

Oddelek: Omrežja in internet
131447 (977) SeMiNeSanja
»

Poceni managed switch in router za učenje

Oddelek: Omrežja in internet
221965 (1223) He-Man

Več podobnih tem