[LUGOS] Firewall

Iztok Umek iztok at si-con.com
Sat Mar 24 12:41:25 CET 2007


Jaz bi se izogibal ISS IPSom. Pa se IPS bi postavil pred FW.

Router (no, pri 100M uplinku imas verjetno kar etnernet dropoff tako da 
se routerja ne potrebujes) - IPS (tukaj bi predlagal nekaj, z advanced 
behavioral DoS, Recimo Radware DefensePro 3.10) - FW - switch.

Seveda ce gres recimo na DefensePro 620 ti pokriva lahko 5 segmentov kar 
iz skatle, ce kupis se nekaj gbicov pa se dodatne stiri.

Za CheckPoint (ali ASA) je znano, da njihov vgrajeni IPS on DoS je bolj 
v kurcu, tako da bi jaz zadevo splitnil v dve razlicni.

Aja, pa se to, skoraj vsi FWji in mnogi IPSi tecejo na PCjih (CheckPoint 
recimo ima trdi disk, pa ASA tudi, pa ISS IPS tudi, TippingPoint tudi 
etc...). Radware pac ne. Aja, DefensePro v kombinaciji z AppXcel zna 
lepo dekriptirati tudi SSL promet, ki se konca na tvojih streznikih in 
le te sciti tudi pred napadi, ki gredo preko HTTPS, kar ostali ne znajo.

Ce te zanima mocen DoS shield, pa ti sploh priporocam zadevo, ki sciti 
EBay ze nekaj let (Radware je sprva razvil DoS shield zanj).


Marko Ivanuša wrote:
> Tudi jaz bi priporočil CheckPointa (Smart defanse), predvsem iz
> razloga, kot je manegament in samo spremljanje kaj se dogaja na FW.
> (po novem non-pc)
>
> Cisco ASA (možen modul IPS)je vredu zadeva, vendar manegament je v ku...
>
> Drugače pa imaš na izbiro namenske škatle, ki pa imajo to "hibo", da
> so bodisi FW (z slabim IPS-om), IPS (z slabim FW), itd ... (seveda ne
> mislim kvaliteto temveč manegment in nadzor delovanja)
>
> Če pa denar ni problem:
>
> router (CISCO)->FW Checkpoint -> IPS (ISS)->switch (CISCO) in boš
> mirno spal (seveda če imaš človeka ki ve kaj dela !!!!!!)
>
> lp
> Marko
>
> 23.3.07 je Stojan Rancic <stojan at aufbix.org> napisal/-a:
>> Iztok Umek wrote:
>> > Jaz bi razdelil v dve stvari.
>> >
>> > Firewall (prisegam na CheckPoint po kar lepem stevilu let izkusenj)
>> >
>> > IPS (tukaj bi ti predlagal eno skatlo, ki podpira vec segmentov 
>> recimo 5
>> > ali vec, da lahko postavis na razlicna mesta). Hkrati pa (ce denar ni
>> > toliko problem) se dodatno nekaj, kar podpira SSL. Vecina IPSov namrec
>> > ne odkrije napadov ki pridejo preko HTTPS, ker so kriptirani. IPS pred
>> > pozarnim zidom, nekaj, kar podpira BWM (bandwidth management) in po
>> > moznosti se zascito pred DoS in DDoS.
>> >
>> > Pri slednjem sem pristranski, ce hoces podrobnosti, mi mailaj 
>> osebno (pa
>> > ti verjetno lahko zrihtam kaksen dober deal)
>>
>> Iz podobnih vzgibov bi ti jaz priporocal kak Cisco ASA box .. poslji
>> mail osebno, ce te zanima ;)
>>
>> Lp, Stojan
>>
>> _______________________________________________
>> lugos-list mailing list
>> lugos-list at lugos.si
>> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>>
> ------------------------------------------------------------------------
>
> _______________________________________________
> lugos-list mailing list
> lugos-list at lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>   



More information about the lugos-list mailing list