יתרונות ה פיירוול של צ'ק פויינט?

[1איתן ולהב שלנו]

יתרונות ה פיירוול של צ'ק פויינט?

שלום רב בנוסף להיותי מדריך, אני מתחיל להיכנס לענייני הרשת בחברה קטנה עם 20 מחשבים (SERVRER 2000 FOR SMALL BUSINESS). למרות שברור לכולם שחובה לשים פיירוול, שעדיין אין אצלנו, אני מדבר עם הרבה מנהלי רשתות שמספרים לי שלמרות שהכניסו פיירוול, עדיין יש ברבה מאוד פריצות לרשתות שאותן הם מנהלים. אני חייב לציין שמאז שרק החלפתי את הסיסמא אצלנו לססמא יותר ארוכה ויותר מורכבת, אין, בינתיים , יותר נפילות של ה EXCHANGE בקיצור מכיוון, שיש הגבלה של תקציב אשמח לתשובה, ו/ או להצעות של פתרון טוב יותר באותו מחיר (הציעו לנו כ 8000$ עם עבודה) תודה מראש והמשך שבוע משובח אבא של איתן ולהב

 

[igaldabari]

Firewall - 1 או NG הם כבר תקן

צא מנקודת הנחה שכל דבר אפשרי לפריצה. עם פיירוול הסיכוי לכך הוא הרבה יותר נמוך.

 

[Recursive]

לא רשמת 0 אחד יותר מדי? ../images/Emo12.gif

אני הייתי הולך או על Netscreen או על Cisco PIX. לא יודע למה אבל יש לי איזו סלידה מ הצ'ק פויינט.

 

[1איתן ולהב שלנו]

אפס אחד יותר מדי במה? כי המחיר אכן

כ 8000$. מה יתרונות ה Netscreen או ה Cisco PIX לעומת הפיירוול שהזכרתי, כמה הם שכיחים ומה עלות כל אחד מהם? ושוב תודה מראש

 

[Recursive]

8000$???

ה netscreen וה PIX הם firewall appliance, כלומר קופסת מתכת קטנה ויעודית. המחיר עם רשיון ל 50 משתמשים הוא בערך 700$ (לא סגור על זה בכלל, נראה לי שהגזמתי פה). האופציות הן בערך זהות כמו לצ'קפויינט. אני ממש לא מבין למה הם רוצים כ"כ הרבה בשביל זה... איך הם מתמחרים את זה? ביחד עם תמיכה לכמה זמן? זה רק להתקנה של הפייוול או גם דברים כמו IDS וכו'? המכשירים שהזכרתי הם בין המובילים בשוק (אין לי מספרים). כל אחד והיתרונות שלו, כולל הצ'קפויינט (שאם אני לא טועה הוא אמור להיות יותר זול).

 

[יזם מתחיל]

הממ..

8K$ נראה לך מוגזם ?? אתה כנראה לא מכיר את המחירים בשוק.... וגם המחיר שנקבת לגבי PIX הוא נמוך מאד.... זה אולי מחיר לדגם הבסיסי ביותר וגם זה אני בספק. לגבי השואל הראשון: אני הייתי הולך על הפצת FW בלינוקס (משהו בסגנון CLARKCONNECT או SMOOTHWALL ויש עוד...). לרשת של 20 מחשבים זה עונה על כל הדרישות ואף למעלה מזה... ולגבי המחיר - לאין שיעור זול יותר (חלקם חינמיים)

 

[Recursive]

באמת לא מכיר

היום ביררתי לגבי PIX עם 10 רשיונות (צריך לבית) והמחיר הוא בסביבות מה שאמרתי. לרשת כזו אין צורך ביותר מ PIX501 עם 50 רשיונות (אם ניקח את CISCO כייחוס). אפילו ראיתי באתר שאני לא חושב שהוא הכי זול, ב4100 ש"ח. אני באמת מדבר פה מתום לב, אני לא מכיר את המחירים על העבודה עצמה אבל 8000$ על מכשיר ועבודה (שלא צריכה להיות ארוכה בכלל) נראה לי ממש מוגזם. מסכים בהחלט על הלינוקס.

 

[Rיקושט]

עוד אפשרות

יש את הFW מבוסס לינוקס שנקרא ASTARO מנסיון עם גרסה 3 הוא עושה עבודה טובה מאוד (עוד מעט יוצאת גרסה 5) הנציגים שלהם בארץ הם www.power.co.il ניתן להוריד DEMO מהאתר של astaro, ה DEMO מכיל את כל התכונות ומוגבל ל30 יום.

 

[יזם מתחיל]

אכן...

ASTARO הפצה נהדרת (ואם זכרוני אינו מטעני - והוא אינו - אני הצגתי אותו לראשונה בפורום הישן

) אבל - המחיר הרשמי שלו הוא כמו PIX או טיפה יותר... וזה כבר משנה קצת את התמונה.

 

[Recursive]

על מה בעצם הולך הכסף?

מעניין אותי לדעת איך תמכרו את המחיר הזה

 

[ttlsysop]

אני

הייתי הולך על sonicwall, קופסא קטנה וכחולה (צבעונית), התקנה מתחת -10 דקות, ואם אתה באמת רוצה, אז אני אקנפג לך אותה בחינם -) אם אתה רוצה את הסוכן = שלח הודעה.

 

[ezaton]

ישנם כמה פתרונות אפשריים

אני רק אומר שמנסיוני הדל עם SBS2000, אתה הולך לאכול עליו קש. המלצה - תמנע מלתפעל את ה- SBS2000 כ- MTA שמקבל דואל מבחוץ, בעיקר אם אין לך סריקת וירוסים על הדואר הנכנס. רלוונטית לפתרון שלך, שרת ה- SBS2000 בא וכולל בתוכו ISA Server 2000, שאמנם הוא לא הכי מדהים בעולם, אבל הוא מוצלח למדי. אם תשים את המחשב גם כך מאחורי NAT, תוכל ליצור מצב שבו קשה עד כמעט בלתי אפשרי להגיע אליו מבחוץ. היתרון הגדול הוא המחיר - זה יוצא לך זול בצורה ניכרת (אנחנו מדברים על סדר גודל של מאות בודדות של שקלים), ומבחינת אבטחה, סביר ביותר. זה לא פתרון מושלם, אבל זה הפתרון הכי Cost Effective שעולה בדעתי. בקרוב יתפרסם מדריך שלי בנוגע לשידרוג חומרה והעברת שרת SBS2000 ממחשב אחד למחשב אחר, אז אולי תוכל להיעזר בו אז.

 

[Teo Toriatt]

אני בעד CP

קודם כל שלום ומזל"ט לפורום לגבי CP לדעתי הם דווקא עדיפים. ישנם הרבה Firewalls בשטח ורובם הוזכרו כאן. אבל - ופה האבל הגדול - כשבודקים כFirewall בודקים קצת יותר מחסימת פורטים - זה הרי משהו שכל ACL יכול לעשות וזה חינם. היתרונות של צ'ק פוינט הם בכמה מישורים: 1. AI - הרעיון של בדיקות מעמיקות לתוך הפרוטוקולים וההגיון שלהם, למניעת התקפות או ניצול רשת לא נכון (כמה ממי שהזכרתם יודע לחסום קאזאא על פורט 80?) 2. VPN - ולא סתם VPN שזה נחמד - צ'ק פוינט יכול לבצע בדיקות מקיפות על התוכן שעובר בתוך הVPN ובנוסף להוות מיני Firewall גם על צד הלקוח - מגן עליו מפריצות שיזלגו לארגון הפנימי. 3. תמיכה - מה שלא תעשה - לצ'ק פוינט יש את התמיכה הטובה ביותר בארץ - אם תיקח את חברה X שתעשה עבורך את העבודה - ואז תתאכזב יש עוד 100 חברות שיוכלו לעזור לך במחירים ורמות משתנים. את זה אין לרוב האחרים. יש לי הרבה מה להגיד על האחרים יתרונ ות וחסרונות אבל אני לא רוצה להכנס להשמצות - לכל אחד השוק שלו. הבעיה המרכזית של צ'ק פוינט הייתה ונשארה במחיר. מה לעשות - אתה רוצה רולס רויס? אל תשווה את המחיר לסוברו - שתיהן יביאו אותך ממקום למקום - השאלה היא איך, ובאיזו רמה. (כל מביני המכוניות - זו לא הייתה קריאה עבורכם להתחיל להשוות בינהן

) Keep Safe

 

[Recursive]

שאלה

אם נגיד משלבים פיירוול Iptables עם SNORT בצורה דינמית, כלומר מוסיפים גם אפשרות של IPS, זה יכול לצאת אותו הדבר כמו מה שהזכרת? (באמת מתעניין, לא שאלה של ויכוח

)

 

[Teo Toriatt]

כמעט

זה ייתן את רוב הייתרונות למעט עניין הMini firewall בצד הלקוח. בנוסף יהיה קשה לחקות את כל יכולות הAI - כמו תקימות תקנים וכדומה. מצד שני אם אתה מבין באבטחה ובתקשורת אפשר להשיג יכולות שלצ'ק פוינט יהיה קשה לבצע במקרה הטוב. הבעיה העקרית עם מה שהצעת לדעתי זה זמן קינפוג ארוך במיוחד ופריסת מוטת שליטה רחבה מדי - כלומר יותר מדי לוגים להצליב כדי לגלות תקלות. חוץ מזה - למה לא שאלה של ויכוח? מויכוחים לומדים הכי הרבה!

Keep Safe

 

[Recursive]

עוד שאלה

שוב, להעשרת הידע..

ל NETSCREEN יש שיטת עבודה נפלאה של transparent, כלומר הוא כאילו יושב בתור מכשיר שכבה 2, אבל בודק גם שכבות גבוהות יותר. היתרון הוא שאפשר לפרוס אותו ברשת קיימת בלי שירגישו בכלל (כמובן שמאבדים הרבה אופציות כמו VPN, NAT ועוד). היתרון הברור בסביבת ללא NAT הוא שנחסך IP אמיתי למכשיר. אילו עוד פיירוולים עושים את זה (לא רוצה להיות מוגבל לNETSCREEN לצורך כזה) ?

 

[Teo Toriatt]

אני לא מכיר

משהו אחר? שאלה מעניינת... Keep Safe

 

[פשוש]

GateKeeper

ראיתי שאתם, המבוגרים משוחחים ונדחפתי. קרא קצת [כי באמת כתוב רק קצת] על GateKeeper שמאפשר את הדינאמיות. כתבתי על כך כבר בפורום לינוקס ואם אפשר להידחף גם כאן, למה לא?

יש מצב לסאב דומיין[ס]?

 

[יזם מתחיל]

אז ככה..

אני לא ממש מתכוון להכנס ל"מלחמת הפצות" אבל לא כל מה שהגדרת כיתרונות של CP הם באמת ייחודיים להם: 1 - כל FW היום (ואני לא מדבר על ביתיים) יודע לעשות את זה. אני יכול באופן אישי להדגים על שניים שונים שאף אחד מהם לא CP. 2 - מה מיוחד במה שאמרת? כל VPN מהדור הקודם ואילך עושה את זה... נכון של CP זכות ראשונים, אבל זה לא אומר כלום. 3 - תמיכה ??? אם תשים מוצר קוד פתוח (להלן הפצונת) תוכל לקבל תמיכה מכל חברה שמכירה לינוקס ברמה גבוהה - ויש כאלו לא מעט. בנוסף לכך - איפה שתזרוק אבן תמצא אנשים שתומכים במוצרי סיסקו/ נורטל וכו'. אנחנו אמנם מדינה קטנה ומבודדת אבל לא עד כדי כך. יש כבוד ל CP, אבל אני עדיין לא ראיתי מקום שלא מצאתי פתרון זול יותר/ ממזרי יותר/ נוח יותר (מחק את המיותר)

 

[Teo Toriatt]

לא מסכים

כמו שאמרתי - יש אפשרות לחכות כמעט כל יכולת של צ'ק פוינט על ידי מוצרים אחרים ומשלימים בהרבה פלטפורמות. הבעיה היא להשיג הכל יחד ובאיכות הראויה. בדיקת תוכן VPN? נראה אותך עושה את זה באמת בISA או בPIX בלי שימוש בכלים צד שלישי, או אפילו Iptables - ואני מתכוון בדיקת תוכן - לא פורטים. לא כולם יודעים לעשות בדיקת תוכן בצורה נכונה - הם מתפארים שהם יכולים אבל הצורה מאוד בסיסית - כמו שגם צ'ק פוינט אמרה שהיא עושה את זה אבל התחילה באמת לעשות את זה כמו שצריך מ Fp3 של NG. לגבי תמיכה - תברר מחירי תמיכה בכל תחום וכמות אנשים - לא אמרתי שאין - לצ'ק פוינט יש יותר ועל כן המחירים זולים יותר - כלומר TCO יורד. (ד"א - מי אמר שחברות שמכירות לינוקס יודעות לתת תמיכה לזה ? הצילו! זו בדיוק הבעיה באבטחת מידע שמי שחושב שהוא יודע System יודע גם אבטחת מידע) יש לצ'ק פוינט נקודות בעיתיות - לא אמרתי שלא - אבל ישנם תחומים שהיא מובילה בהם הרבה לפני האחרים. (אמאל'ה - יום אחד אני עוד אהיה איש מכירות שלהם או משהו - מפחיד) Keep Safe