[LUGOS] Firewall

Marko Ivanuša mivanu at gmail.com
Mon Mar 26 15:50:36 CEST 2007


Čisto na kratko:

IPS - Intrusion-prevention system (Sitem za avtomatsko zaznavanje in
preprečevanje napadov iz Interneta in obratno)

V vsakem primeru, če nabaviš PC+ sotware ali namesko napravo, boš
rabil človeka ali najel firmo za integacijo, pozneje pa za
vzdržavenje. Največja napaka, ki jo lahko naredi uporabnik je ta, da
stvar kupi jo vključi v omrežje in to je to. Z varnosnega stališča je
to večji greh, kot da nima nič.

lp
Marko

26.3.07 je Rok Krulec <Rok.Krulec na fpp.edu> napisal/-a:
> Zgleda da sem res malo za luno, ker ne razumem 90% stvari, ki ste jih omenili.
>
> Iztok:
> Kaj je to IPS ? Sem iskal CheckPoint samo sem nasel kup stvari, ki ne
> vem zakaj se uporabljajo. SSL podpora ? Hoces reci, da obstaja skatla,
> ki ugotovi Web napade tudi preko SSL-ja ? Za napade na kaksnem nivoju
> gre to potem ? A je to ze aplikacijski nivo ?
> S segmenti verjetno mislis, da ima skatla npr. 5 portov, ki lahko
> vsakega drugace konfiguriras glede na BWM potrebe ? Za DoS in DDoS
> skrbi firewall skatla ce prav razumem ?
>
> Stojan:
> Cisco ASA sem pogledal. Sem prisel do zakljucka, da sem udaril mimo,
> ko sem rekel, da denar ni problem. Mislim pa za take stvari je treba
> imeti potem tudi glavo, ki skrbi za njih. Nase potrebe so na tako
> nizki ravni, da to odpade. Ce bi imel business, ki bi vlekel denar bi
> verjetno pogodbeno najel masine in glave. Gre za fakulteto.
>
> Marko:
> Neko tako namensko skatlo sem imel jaz v mislih. Nimam cloveka, ki ve
> kaj dela :)
>
> Trenutno imam izvedeno to s PC-jem, iptablesi in poptop za VPN brez
> kriptanja. Vse dela ko sus, vendar bi rad imel cryptan VPN, bandwidth
> management na podlagi IP naslovov in portov ter clickable user
> interface 4 dummies like me.
>
> Ce ste distributerji za kako od teh zadev mi lahko pisete privat in se
> zmenimo za posel. Kot sem ze prej rekel, sem ugotovil, da denar je
> problem, se pravi se pogovarjam okrog 2K$.
>
> Rok
>
> P.S.: Naj recem le, da se od takih threadov in ljudi, ki se spoznajo
> na neko podrocje vedno veliko naucim. Vcasih sem celo delal
> BEST-OF-LUGOS-LIST folder.
>
>
> On 3/25/07, Marko Ivanuša <mivanu na gmail.com> wrote:
> > 25.3.07 je Iztok Umek <iztok na si-con.com> napisal/-a:
> > > Marko Ivanuša wrote:
> > > > Se opravičujem, ampak zakaj ne ISS?
> > > 1. precej dragi $/port ali $/Mbps
> >
> > se strinjam :)
> >
> > > 2. "zero-day" zascita potrebuje rocno kreiranje podpisa in uploada na
> > > napravo.
> >
> > ni res, je pa zaradi "stabilnosti mreže" priporočljivo! (govorim
> > predvsem v enterprise okoljih)
> >
> > > 3. omejene detekcijske metode (primarno podpisi in protokolne anomalije)
> >
> > ni res! Res pa je je, da so bolj konzervativne narave, nove metode
> > integrirajo bistveno pozneje kot drugi playerji. Zdaj bo še huje (IBM
> > lastnik)
> >
> > > 4. dvomljive performance pod DoSom.
> >
> > kot vsi playerji na tem področju!
> >
> > > 5. nima anti-scaning metode.
> >
> > Nmap itd ... blokira.
> >
> > > 6. ni zascite proti SSL/HTTPS napadom.
> >
> > res je !
> > > 7. Max 4 segmenti na skatlo.
> >
> > res je, ko da par bibi več mrežnih segmentov na eno škatlo. (problem
> > sumarne propusnosti)
> >
> > > 8. PC platforma (vprasljive performance)
> >
> > IPS sistem. ISS, CISCO PC platforma. Ostali isto, razen kvazi HW
> > podpora s ASIC! Je res da izboljša performase ampak le za eno velikost
> > paketov.
> > > 9. Nima bandwidth management funkcije.
> > >
> > > 10. Ni podpore za tunelirane protokole (MPLS, L2TP, GTP, GRE)
> >
> > ni res. Problem je le če uporabiš kriptiranje (GRE)
> >
> > > 11. Vec modelov nima vgrajenih bypassov.
> >
> > odlično, ker to zahtevajo stranke. Predvsem banke!
> >
> > >
> > >
> > >
> > > _______________________________________________
> > > lugos-list mailing list
> > > lugos-list na lugos.si
> > > http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
> > >
> > Kot si napisal tudi ti. Nisem zaposlen v ISS, temveč pri integratorju
> > IT. Imam veliko izkušenj  predvsem z IPS prej pa IDS-i.
> > Zakaj ISS: Pustiva ceno. Glavna prednost ISS-a:
> >
> > - podpora asimetric routing (per box)
> > - HA activ-activ (rabiš le dve škatli)
> > - stabilnost delovanje
> > - investticija je po 3 letih cenejša od katerega koli drugega plejerja
> > (seveda enterprise okolje- Žal le tukaj delam :(
> > - all-in-one manegment in IPS
> >
> > VELIKA SLABOST:
> > - cena (
> > - sumarna propustnost, ampak to rešuje podobno kot CheckPoint z bladi
> > (Nokia, Crossbeem.
> >
> > lp
> > Marko
> >
> > _______________________________________________
> > lugos-list mailing list
> > lugos-list na lugos.si
> > http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
> >
> >
>
>
> --
> Univerza v Ljubljani / University of Ljubljana
> Fakulteta za pomorstvo in promet / Faculty of Maritime Studies and
> Transportation
> Pot pomorščakov 4
> 6320 Portorož
> Slovenia
>
> Tel: +386 5 67 67 100
> Fax: +386 5 67 67 140
> eMail: Rok.Krulec na fpp.uni-lj.si
> Web: http://www.fpp.uni-lj.si/~rok/
>
> _______________________________________________
> lugos-list mailing list
> lugos-list na lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>
>


More information about the lugos-list mailing list