[Allan Stark]

Покритикуйте/посоветуйте девайс для реорганизации подключения к сети Интернет

 

Задачи.

1. Организовать новый канал подключения центрального офиса компании к сети Интернет.

2. Повысить отказоустойчивость за счет наличия аварийного канала подключения.

 

 

Пояснение к схеме.

1. Защита локальной сети построена на базе MS ISA Server 2006 SE, сервер будет иметь аппаратное зеркалирование HDD и отдельный HDD большого объема (750 - 1000 Gb) для логирования (исп. MSDE).

Данный сервер - существующий, после перехода на оптику планируется его серьезный апгрейд.

2. Внутри сети будет находиться сервер SERT, его задача - предоставление клиентам компании некой графической информации по запросам (сертификаты). На нем будет крутиться веб-приложение, которому требуется работа с двумя другими серверами баз данных внутри локальной сети, потому его сложно поместить в DMZ и он будет опубликован наружу.

3. Вне локальной сети но физически в серверной на территории предприятия находятся корпоративные сервера почты и веб (несколько сайтов).

4. В дополнение к существующему подключению (через "медь" и SHDSL модем) будет проведена новая ВОЛС - симметричный канал со скоростью подключения к сети Интернет 100 МБит/с (страна) и 2 МБит/с (мир).

5. ВОЛЗ представляет собой оптику, заведенную в медиаконвертер, т.е. с нашей стороны это обычный Ethernet.

 

Вопрос.

До сих пор колеблюсь в выборе устройства "промежуточного подключения" (на схеме обозначено знаком вопроса).

1. С одной стороны правильнее в его роли использовать аппаратный межсетевой экран вроде

http://dlink.ru/ru/products/6/572.html

(на циску денег точно не дадут, кризис...).

2. С другой - не менее логично использовать в таком качестве обычный ПК с несколькими сетевыми например под FreeBSD с ipfw & MRTG (для отображения загрузки каналов).

3. Есть еще вариант просто тупо воткнуть вместо знака вопроса какую-нибудь продвинутую "мыльницу вроде"

http://dlink.ru/ru/products/1/731_b.html

но тогда придется на серверах почты и веб подымать свои файерволлы, да и как-то "стремно" с точки зрения нагрузки.

 

Достоинства первого - "аппаратность" (т.е. в теории надежность), меньшая вероятность наличия уязвимостей (хотя подозреваю что внутри той коробки тот же острозаточенный линух).

Достоинства второго - относительная дешевизна решения, простота модификации/апгрейда.

 

По поводу балансировки нагрузки или автоматического переключения на резервный канал - для первого варианта она вроде уже есть "в коробке", для другого - также вполне решаема (вариантов масса).

 

Что скажете ?

Изменено 14 сентября, 2009 пользователем Allan Stark

[Ivan_83]

А потянет ли иса2006 !?

Особенное если хттп кешируется на ней.

 

 

1. Есть веб эмулятор интерфейса дфлек, посмотрите, сможете ли вы настроить там переключение на бэкапный канал.

(на 210 или я не нашёл или никак не делается)

да, там линукс, есть доп функционал в виде подписки на IDS и ещё чего то, вроде лицензия апгрейдится чтобы оно больше могло.

2. Отказоустойчивость ниже, или делайте на флешке/ssd и RO.

 

 

Вы не написали цифры нагрузки каналов/сколько пользователей/сколько от вас контента идёт.

[terrible]

Купите DES-3028 и радуйтесь наличию аппаратного L2/L4 фаервола

По мне так фаеры лучше всего строить именно на тахих свичах.

 

1. Защита локальной сети построена на базе MS ISA Server 2006 SE, сервер будет иметь аппаратное зеркалирование HDD и отдельный HDD большого объема (750 - 1000 Gb) для логирования (исп. MSDE)..

Это не защита

 

Самая нормальная защита - на уровне ethernet

[photon]

Предлагаю реализовать типовую конфигурацию "DMZ с двумя файрволами". http://ru.wikipedia.org/wiki/DMZ_(компьютерные_сети)

В качестве внешнего файрвола нужно поставить машину с FreeBSD и PF (или Linux, по вкусу), с гигабитными сетевухами Intel или Broadcom. Внутренний файрвол (ISA) у вас уже есть. Для соединений внутри DMZ (между файрволами и серверами) лучше поставить какой-либо необремененный интеллектом коммутатор.

 

С одной стороны правильнее в его роли использовать аппаратный межсетевой экран вроде http://dlink.ru/ru/products/6/572.html

Это решение не более аппаратное, чем обычный PC, там скорее всего стоит специализированная версия Linux.

 

Купите DES-3028 и радуйтесь наличию аппаратного L2/L4 фаервола

В придачу к этому мы получаем гемор с синтаксисом ACL и ограничением их количества на порт. Кроме того, в ASIC реализован лишь stateless filtering, который не предотвращает ряд атак на TCP.

 

Самая нормальная защита - на уровне ethernet

Это глупо. Большинство сетевых атак направлено на прикладные сервисы. Самая надежная, она же самая ресурсоемкая -- это проверка трафика на прикладном уровне с помощью IDS/IPS-систем. Коммутаторы этого делать по определению не умеют.

Изменено 15 сентября, 2009 пользователем photon

[terrible]

Купите DES-3028 и радуйтесь наличию аппаратного L2/L4 фаервола

В придачу к этому мы получаем гемор с синтаксисом ACL и ограничением их количества на порт. Кроме того, в ASIC реализован лишь stateless filtering, который не предотвращает ряд атак на TCP.

не путайте 3028 и 3526. В 3526 действительно ограничение на порт, на 3028 этого нет, поэтому и посоветовал.

По поводу синтаксиса - дело привычки.

 

Самая нормальная защита - на уровне ethernet

Это глупо. Большинство сетевых атак направлено на прикладные сервисы. Самая надежная, она же самая ресурсоемкая -- это проверка трафика на прикладном уровне с помощью IDS/IPS-систем. Коммутаторы этого делать по определению не умеют.

У человека стоит иса, не будем её обсуждать. Если же так, то почему бы не сделать разрешение на доступ к сервисам только определённым IP адресам на определённые сервисы, при том на уровне коммутации?

Из-вне такое врятли вообще можно обойти.

 

photon, ну если вообще всё рулезно сделать - cisco ip intercept + access-list автору в руки.

[snark]

не путайте 3028 и 3526. В 3526 действительно ограничение на порт, на 3028 этого нет

а теперь напишите на 3028 ряд PCM ACL правил на порт и убедитесь что граничение таки есть ... ЕМНИМС там > 5 нельзя, а ведь Вас же дети читать могут

[ingress]

кто то нынче атакует TCP?

[photon]

кто то нынче атакует TCP?

TCP атакуют, но значительно меньше, чем раньше. Сейчас самое слабое место -- это глупые юзеры, а также веб-приложения и сервисы, написанные криворукими программистами. Вот эти цели чаще всего и атакуют. Атаки на TCP сейчас менее актуальны также и потому что админы массово отказываются от plain text протоколов и переходят на SSH, SMTP over SSL и т.п., активно используют файрволы со stateful inspection.

Изменено 16 сентября, 2009 пользователем photon

[photon]

У человека стоит иса, не будем её обсуждать. Если же так, то почему бы не сделать разрешение на доступ к сервисам только определённым IP адресам на определённые сервисы, при том на уровне коммутации?

Из-вне такое врятли вообще можно обойти.

В модели сетевого взаимодействия нет никакого "уровня коммутации", есть data link layer, он же layer 2. Прочитайте на досуге книгу Таненбаума или Олиферов. Вся надежность этого решения держится только на том, что свич с неведомой бинарной прошивкой якобы труднее атаковать, чем открытые ОС FreeBSD или Linux, которые у всех есть. Корпоративный файрвол должен быть файрволом с нормальным синтаксисом правил, со stateful inspection, контролем скорости установки соединений и поддержкой таблиц IP-адресов. А DES-3028 вы лучше ставьте пользователям на чердаках подъездов (или парадных, как угодно), им там самое место.

Изменено 16 сентября, 2009 пользователем photon

[terrible]

ну значит я не прав

[Allan Stark]

Разъясняю по-порядку.

 

Используется схема "двойного забора".

ИСА - справится, т.к. она стоит именно для контроля прыжков юзеров за пределы сети локальной офиса (на клиентах стоит агент исы, в логи пишется все, вплоть до то, какое приложение на стороне клиента и куда лезло).

Во всяком случае кол-во пользователей остается прежним и в данный момент иса на сервере довольно не первой свежести прекрасно справляется (> 100 пользователей) с нагрузкой, половина может работать только с почтой, трафик шейпится bandwith-сплиттером по полмегабита в одни руки.

 

Внешнее устройство (знак вопроса) планируется использовать для отрезки всего незапрошенного трафика снаружи трафика (дабы не напрягать логи исы), для аварийного переключения всей системы на резервный канал и для шейпинга трафика.

С офиса вполне будет достаточным ограничить общую скорость 10-20 мегабит, остальное - на почтовый и веб-сервера и в потенциальный резерв.

[White_Alex]

Разъясняю по-порядку.

 

Внешнее устройство (знак вопроса) планируется использовать для отрезки всего незапрошенного трафика снаружи трафика (дабы не напрягать логи исы), для аварийного переключения всей системы на резервный канал и для шейпинга трафика.

С офиса вполне будет достаточным ограничить общую скорость 10-20 мегабит, остальное - на почтовый и веб-сервера и в потенциальный резерв.

все это, кроме шейпинга - Cisco ASA и ей подобные, всякие д-линки на этот функционал ставить ну разве что для любителей безвыигрышных лотерей:-) если есть величайшее желание спичечной экономии, то *nix на обычном PC, однако надо понимать, что делаете и делать правильно

[Ivan_83]

Сегодня лазал на сайт длинка за прошивкой к дфл210, там как раз есть доки со скриншотами как настраивать переключение на резервный канал и как разные сервисы на разные каналы пускать.

На русском и на иглише на их фтп.

[photon]

все это, кроме шейпинга - Cisco ASA и ей подобные, всякие д-линки на этот функционал ставить ну разве что для любителей безвыигрышных лотерей:-) если есть величайшее желание спичечной экономии, то *nix на обычном PC, однако надо понимать, что делаете и делать правильно

Cisco ASA, как и PIX, сделаны на PC-шном железе. Смешно платить сумму около $10000, например, за ASA 5550, в котором стоит Pentium 4. Это для больших корпораций хорошо, они денег не считают, им просто нужны готовые решения. Если собирать самому на базе Linux или FreeBSD, экономия получится весьма не спичечная.

Изменено 21 сентября, 2009 пользователем photon

[White_Alex]

все это, кроме шейпинга - Cisco ASA и ей подобные, всякие д-линки на этот функционал ставить ну разве что для любителей безвыигрышных лотерей:-) если есть величайшее желание спичечной экономии, то *nix на обычном PC, однако надо понимать, что делаете и делать правильно

Cisco ASA, как и PIX, сделаны на PC-шном железе. Смешно платить сумму около $10000, например, за ASA 5550, в котором стоит Pentium 4. Это для больших корпораций хорошо, они денег не считают, им просто нужны готовые решения. Если собирать самому на базе Linux или FreeBSD, экономия получится весьма не спичечная.

есть на этот счет скажем так более одного мнения

покупается железо как раз теми, кто очень хорошо умеет считать деньги и кто уже наигрался в софтофаерволы и в софтороутеры, хоть и не отрицаю - требуемого функционала добиться от *nix решений можно и не ахти сложно, но спать по ночам спокойно уже труднее с такой инфраструктурой

[photon]

есть на этот счет скажем так более одного мнения

покупается железо как раз теми, кто очень хорошо умеет считать деньги и кто уже наигрался в софтофаерволы и в софтороутеры, хоть и не отрицаю - требуемого функционала добиться от *nix решений можно и не ахти сложно, но спать по ночам спокойно уже труднее с такой инфраструктурой

Вы так говорите, как будто в ASA не PC-шное железо и софт, в котором еще ни разу не находили уязвимостей. В младших моделях ASA используются сетевухи с чипами Marvell, такие же как и в обычных десктопных материнках, а также процессоры Pentium 4 и даже менее мощные. Многопроцессорные конфигурации с AMD Opteron -- только в топовых моделях, которые стоят несколько десятков тысяч. При этом в Интернете полно сообщений об уязвимостях в ASA и PIX. Смысл ставить ASA есть, когда у вас вся корпоративная сеть построена на оборудовании Cisco. Тогда нужно поставить и файрволы Cisco, чтобы можно было управлять всем хозяйством через CiscoWorks. А в небольших конторах одиноко стоящая ASA не дает каких-либо преимуществ перед хорошо настроенным файрволом на *nix и нормальном серверном железе.

Изменено 26 сентября, 2009 пользователем photon

[White_Alex]

Вы так говорите, как будто в ASA не PC-шное железо и софт, в котором еще ни разу не находили уязвимостей. В младших моделях ASA используются сетевухи с чипами Marvell, такие же как и в обычных десктопных материнках, а также процессоры Pentium 4 и даже менее мощные. Многопроцессорные конфигурации с AMD Opteron -- только в топовых моделях, которые стоят несколько десятков тысяч. При этом в Интернете полно сообщений об уязвимостях в ASA и PIX. Смысл ставить ASA есть, когда у вас вся корпоративная сеть построена на оборудовании Cisco. Тогда нужно поставить и файрволы Cisco, чтобы можно было управлять всем хозяйством через CiscoWorks. А в небольших конторах одиноко стоящая ASA не дает каких-либо преимуществ перед хорошо настроенным файрволом на *nix и нормальном серверном железе.

есть у меня устойчивое мнение, что я сейчас разговариваю о вкусе апельсинов с человеком, который их никогда не ел:-))) начитавшись обзоров в сети и настроив парочку никс-роутеров, пусть даже и качественно, сидеть рассуждать о том, что имея ASA на пень-4 и простой сервант общего назначения на том же пень-4 и получить одинаковую производительность хотя бы в NAT, может только человек, который железа толкового в руках не держал

все сугубо IMHO :-)

Изменено 27 сентября, 2009 пользователем White_Alex

[photon]

Тогда давайте сравним по стоимости решения. ASA 5550 стоит около $11000. Примерно за 2-3 тысячи можно купить современный сервер с Xeon 5500. Неужели ASA со своим Pentium 4 сделает NAT при большем пакетрейте, чем Linux или FreeBSD на Xeon 5500? Не верю.

 

Именно с ASA я не работал, да, но насмотрелся на Cisco 7200 и даже на 7600 без Sup 720, умиравшие при включении NAT на потоке, с которым справлялись FreeBSD или Linux. Без аппаратного NAT не самые отсталые маршрутизаторы уступают PC-шным решениям только из-за того, что в них стоят дохлые CPU.

Изменено 27 сентября, 2009 пользователем photon

[White_Alex]

Именно с ASA я не работал, да, но насмотрелся на Cisco 7200 и даже на 7600 без Sup 720

Предчувствия меня не обманули:-)

 

[jab]

Предчувствия меня не обманули:-)

Озвучьте, сколько в долларах 2гигабита in+out NAT средними пакетами на 300-400k states получается ? Вместе посмеемся ;-)

[White_Alex]

Озвучьте, сколько в долларах 2гигабита in+out NAT средними пакетами на 300-400k states получается ? Вместе посмеемся ;-)

стоимость инженеров-гастарбайтеров с таттуина нивелирует нафик все профиты от экономии на софторутерах:-)

[photon]

стоимость инженеров-гастарбайтеров с таттуина нивелирует нафик все профиты от экономии на софторутерах:-)

Вот поэтому не надо нанимать узких специалистов, которые кроме Cisco ничего не знают и знать не хотят. По сути, *nix сложнее поддерживать, чем IOS только из-за нетривиального шелла и построенной на нем системы инициализации, а также из-за чрезмерного разнообразия в форматах конфигурационных файлов. Тем не менее, существуют вполне удачные попытки избавить *nix от этих недостатков: JunOS и Vyatta. Подозреваю, что и в ASA стоит какой-то допиленный Linux с шеллом в стиле IOS и с фирменными разработками для IPS и content filtering.

Изменено 28 сентября, 2009 пользователем photon

[jab]

Озвучьте, сколько в долларах 2гигабита in+out NAT средними пакетами на 300-400k states получается ? Вместе посмеемся ;-)

стоимость инженеров-гастарбайтеров с таттуина нивелирует нафик все профиты от экономии на софторутерах:-)

Ну-ну, поучите нас бизнесу... кхе...

[White_Alex]

jab

Ну-ну, поучите нас бизнесу... кхе..

и не думал даже пытаться, каждый сам себе дорогу выбирает (я не про кокс:-))

 

photon

Вот поэтому не надо нанимать узких специалистов, которые кроме Cisco ничего не знают и знать не хотят.

Вы сейчас про кого-то конкретно?:-)

[photon]

Вы сейчас про кого-то конкретно?:-)

Нет. Это к вопросу о причинах "безальтернативности" Cisco.

Изменено 29 сентября, 2009 пользователем photon