NetMat 107 Zgłoś post Napisano Lipiec 9, 2014 Witam, Od kiedy do firmy pociągnęli mi światłowód, mam w planach postawienie dwóch serwerów na miejscu, chce jakoś oddzielić/zabezpieczyć komputery w LAN'ie, dlatego chce stworzyć DZM dla serwerów, dzwoniłem po kilku firmach typu sonicwall aby otrzymać cenę za jakiś w miarę dobry firewall. Nie chce aktualnie wydawać kupę pieniędzy na to ponieważ nie wiem jak to będzie chodziło, sam firewall jeszcze bym kupi ale dokupienie IDS to już za dużo. I pytanie, na firewall chce wydać około 1000 zł (na razie, jak serwery/siec będą stabilne to zainwestuje w coś lepszego) wydaje mi się iż tańszym rozwiązaniem będzie złożenie firewall'a, z jakaś aplikacja typu smoothwall. Poleci ktoś jakieś dobre rozwiązanie ? które sprosta moim oczekiwania ? Pozdrawiam NetMat Udostępnij ten post Link to postu Udostępnij na innych stronach
Miłosz 2311 Zgłoś post Napisano Lipiec 9, 2014 Może pfSense? Udostępnij ten post Link to postu Udostępnij na innych stronach
malu 460 Zgłoś post Napisano Lipiec 10, 2014 Co do IDS/IPS to zdecydowanie idź w stronę suricaty, od niedawna suricata może wypuszać informacje po JSON, a więc łatwo się ją integruje z http://www.elasticsearch.org/overview/kibana/, zresztą można znaleźć trochę poradników na ten temat. Teoretycznie jak chcesz mieć porządek to możesz pokusić się o jakąś wirtualizację, gdzie IDS/IPS będzie na osobnej VM'ce, na osobnej będzie stał router itd..Co do samego oprogramowania "routerowego" to mi przypadła do gustu vyatta [*], czyli obecny vyOS, ale równie dobrze możesz pokusić się o wspomniane pfsense.Co do samego sprzętu, ja bym kombinował coś na tej płycie:http://www.supermicro.com/products/motherboard/Atom/X10/A1SRi-2758F.cfm, albo po prostu kupił: http://www.supermicro.com/products/system/1u/5018/SYS-5018A-FTN4.cfm Udostępnij ten post Link to postu Udostępnij na innych stronach
NetMat 107 Zgłoś post Napisano Lipiec 10, 2014 Może pfSense? Co do IDS/IPS to zdecydowanie idź w stronę suricaty, od niedawna suricata może wypuszać informacje po JSON, a więc łatwo się ją integruje z http://www.elasticsearch.org/overview/kibana/, zresztą można znaleźć trochę poradników na ten temat. Teoretycznie jak chcesz mieć porządek to możesz pokusić się o jakąś wirtualizację, gdzie IDS/IPS będzie na osobnej VM'ce, na osobnej będzie stał router itd.. Co do samego oprogramowania "routerowego" to mi przypadła do gustu vyatta [*], czyli obecny vyOS, ale równie dobrze możesz pokusić się o wspomniane pfsense. Co do samego sprzętu, ja bym kombinował coś na tej płycie: http://www.supermicro.com/products/motherboard/Atom/X10/A1SRi-2758F.cfm, albo po prostu kupił: http://www.supermicro.com/products/system/1u/5018/SYS-5018A-FTN4.cfm Bardzo dziękuje za pomoc, jeśli chodzi o sam router to chcę na niego przeznaczyć podobną kwotę jak na firewall. Co do routera zastanawiałem się nad serwerem z aplikacją Vyatta (tak dla jasności, vyatty już nie ma ? została zastąpiona vyos ?), zastanawiałem się również nad gotowymi rozwiązaniami typu Mikrotik czy edgerouter od ubiquiti. W serwerowni w której pracuje używają oprogramowania vyatta i bardzo je sobie chwalą. Co do funkcjonalności to zależy mi na takich podstawach jak IPv6, nat, bgp, wydaje mi się że z oprogramowaniem vyOS mam więcej możliwości. Co do firewalla to chyba wybiorę suricate. Właśnie chodzi na moim środowisku testowym, przez weekend trochę się tym pobawię i zobaczymy. Udostępnij ten post Link to postu Udostępnij na innych stronach
malu 460 Zgłoś post Napisano Lipiec 10, 2014 (edytowany) Trudno też traktować suricate, jako firewall. To typowy IDS/IPS.Tzn nie wiem czy jest do końca sens wpychać osobny sprzęt jako router. Zależy jaki ruch i ile mpps chcesz tam przepychać.Ja bym poszedł w wirtualizacje raczej, a na siłę mógłbyś wszystko wcisnąć w vyOS - tylko ważne jest, abyś pamietał, że przy upgrade wszystko Ci pokasuje prócz configu, więc albo skrypt do automatycznego deployu po upgrade systemu, albo być przygotowanym na dodatkową robotę.Nawet jeżeli miałoby to być bardzo wydajne rozwiązanie to naprawdę można kombinować, choćby wszystko oprzeć o własne skrypty i ręcznie zarządzać z poziomu linuxa. Wtedy jakieś świeże jajko, pf_ring, tcpdump/suricata skompilowana ze wsparciem dla pf_ringa, może jakaś karta sieciowa intela 82599-based z wsparciem dla hw filtrowania pakietów. Albo w ogóle dokupić tą kartę TILERY do obsługi suricaty i wpiąć w serwer. Przykładowo to rozwiązanie OVH anty-ddos oparte jest między innymi o jakiś sprzęt TILERY i założe się, że za IDS/IPS siedzi tam suricata, która ma swój fork na ten sprzęt.Ogólnie ostatnio mam okazję bawić się tym EdgeRouterem od Ubnt i prawdę mówiąc jest całkiem fajny - oparty o vyatte 6.3 bodaj, jeżeli potrzebujesz dodatkowego oprogramowania to po prostu apt-get, z tym, że on jest b. wydajny tylko dla rzeczy, które są sprzętowo "offloadowane", jeżeli będziesz chciał przy nim mocniej pokombinować to offload się wyłączy, a dwurdzeniowy MIPS nigdy nie będzie demonem wydajności. Przykładowo NATowanie/ipconntrack wyłączy offload dla forwardu ipv6/ipv4, tak samo netflow.Dodatkowo nie rozwiązali całkowicie problemu z widocznością ruchu w sieci z włączonym offloadem dla forwardu ipv4/ipv6, co jest dość dziwne bo narzędzia typu iftop nie działają poprawnie, ale np. tcpdump też korzystający z libpcap'a już nic nie pomija. Niestety osobiście nie miałem okazji zbadać tego zjawiska. Chociaż tutaj może kłaniać się b. niska wydajność tego MIPSa, który z iftop'em sobie nie radzi.Na plus można na pewno zaliczyć genialne community, a ze względu na specyfikę systemu (prawie zwykły Debian) dużą łatwość wdrażania własnych rozwiązań. Póki co regularnie wypuszczają aktualizacje firmware i dość aktywnie pracują nad systemem. *Ja bawiłem się edgerouterem pro, czyli tym ichnim najmocniejszym rozwiązaniem.Mikrotika nie lubię, więc się nie wypowiadam, kwestia gustu. Na pewno ma dużo większe możliwości w standardzie niż edgerouter.Co do końca życia vyatty, jakiś czas temu firma brocade zakończyła życie projektu vyatta, wtedy powstał opensourceowy fork o nazwie vyOS. VyOS współpracuje na jakiś tam płaszczyznach z ubnt.VyOS ma w planach przejście z Debiana squeeze na wheezy, to samo musi zrobić edgeos, gdyż w przypadku tego drugiego wsparcie dla MIPS'ów już się skończyło i sami kompilują aktualizacje bezpieczeństwa. Edytowano Lipiec 10, 2014 przez malu (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Spoofy Zgłoś post Napisano Lipiec 10, 2014 Ja tylko dodam iż Suricata w trybie IPS działa na NFQUEUE - ergo - zamiast iptables -j ACCEPT dajemy -j NFQUEUE - nie wyfiltruje to wszystkiego poza otwartymi portami zaś w trybie IDS świetnie sprawdza się pf_ring na intelach e1000. Odnośnie rozwiązań OVH - oczywiście zapewne mają ładnie ugadane z tym sprzętem Tilery aczkolwiek do skonstruowania "VAC'a" ciężko przyinwestowali w tworzenie swojego oprogramowania. 1000zł to mało jak na FW+IPS. W takiej cenie to polecałbym coś z Fortinet'a.Pozdrawiam. Udostępnij ten post Link to postu Udostępnij na innych stronach
