Router i switche vs UTM do firmy


(luc33) #1

Witam Panowie mam dylemat potrzebuje zmodernizować infrastukture sieciowa w firmie i mam 4 wersje
Wszystkie mniej więcej w podobnych cenach więc prosił bym o jakąś poradę.
1
Router Cisco C892FSP-K9
Switch Cisco SG200-50 50x 10/100/1000 Mbps, 2x SFP Smart Switch (SLM2048T-EU)
Switch Cisco SG 200-26, 26x 10/100/1000 Mbps, 2x SFP Smart Switch (SLM2024T-EU)
2
Router USG-PRO-4Ubiquiti UniFi Security Gateway PRO 4 Port
Switch US-24 Ubiquiti UniFi Switch 24 Gigabit, 2 SFP
Switch US-48 Ubiquiti UniFi Switch 48 Gigabit, 2 SFP, 2 SFP+
3
Router CCR1009-7G-1C-1S+
Switch CSS326-24G-2S+RM
Switch CSS326-24G-2S+RM
Switch CSS326-24G-2S+RM
4
to UTM Stormshield zamiast routera i któreś 2 switche wyżej wymienione. Tutaj cena już zauważalnie wyższa ale pytanie brzmi czy opłacalna bo ze wszystkich możliwości z kilku pewnie bym skorzystał ale nie jest mi to nie zbędne do życia.

Potrzebuje jakiej konstruktywnej konsultacji.
Panowie prośba o POMOC


(roobal) #2

Możesz śmiało brać CCR od Mikrotika. Ze switchami MT nie miałem akurat do czynienia. Routery robią świetne, więc sw pewnie też. Za to wszędzie mam switche Netgeara i mogę je śmiało polecić, zwłaszcza że Netgear oferuje dożywotnią gwarancję. W praktyce, działają niezawodnie i regulanie wychodzą aktualizacje firmware.

Lub

Netgear ma też switche z wyższej półki, stackowalne i dedykowane pod sieci szkieletowe.


(luc33) #3

Dzięki a myślisz o tym UTM. MT nie daje z tego co doczytałem takich zabezpieczeń. Warto?


(roobal) #4

W firmie też zastanawiamy się na UTM. Mikrotik to bardziej router, jednak ma zaawansowany firewall. W końcu ROS to Linux, więc firewall bazuje na IPTables. W MT masz też firewall na warstwie 7. Przewidziane są też regułki IDS. Tak naprawdę sprzęt będzie tak bezpieczny jak sam go zabezpieczysz.

Widzę w logach dziennie około 400 prób wbicia się do sieci. Mam na firewallu zastawioną pułapkę, która wyłapuje IP i je blokuje. Taki prosty Fail2Ban :wink:


(Luc3k) #5

UTM to jednak koszty i to nie małe. Samo urządzenie (w twoim przypadku Stormshield) musi być zakupione z licencją/pakietem serwisowym na wybrane typy zabezpieczeń co kosztuje dodatkowe pieniądze. Sam niedawno borykałem się z podobnym wyborem: Router czy UTM
Za namową roobala postawiliśmy na Mikrotika CCR1009-7G-1C-1S+ - jestem z tego wyboru zadowolony. Testowaliśmy 2 urządzenia klasy UTM: Stormshield SN300 oraz Fortigate bodajże 70E lub 80E. Najbardziej w mojej ocenie będziesz zadowolony ze Stormshielda - bardzo łatwy w konfiguracji, interfejs przejrzysty, wszystko widać jak na dłoni (możesz go nieodpłatnie wypożyczyć na testy)
Mikrotik oferuje mnogość ustawień i konfiguracji lecz początkowo trzeba się go nauczyć, mi się wielokrotnie zdarzyło odciąć sobie do niego dostęp jakimś ustawieniem, które z początku wydawało się mało znaczące. Podsumowując: za o wiele mniejsze pieniądze możesz mieć na prawdę bardzo konfigurowalny router. Zapory UTM kładą głównie nacisk na pakiety serwisowe oraz bezpieczeństwo, a co za tym idzie duże pieniądze. Jeżeli chodzi o zaawansowane funkcje konfiguracji zapory UTM to tam ich właściwie nie ma, w przeciwieństwie do Mikrotika. Oczywiście wszyscy sprzedawcy zapór klasy UTM będą zachwalać te produkty i ich możliwości, nie daj się na to złapać. Podczas testowania Stormshielda jednym z kryteriów wyboru było czy dane urządzenie będzie mogło pełnić rolę menadżera pasma. Sprzedawcy zapewniali, że oczywiście da radę to zrobić - praktyka pokazała zupełnie coś innego. Nie twierdzę, że są to złe zapory, ale chyba trochę przereklamowane no i słono kosztują.
Ja sugerował bym wybrać Mikrotika do tego switche Cisco - u mnie się sprawdza idealnie, a i budżet bardzo nie ucierpiał.


(Luc3k) #6

roobal, a czy podzielisz się sposobem jaki stosujesz do wyłapywania i blokowania IP?


(roobal) #7

Fortigate to straszny badziew i na wszystko trzeba mieć licencje. Kolega już 2 takie fortigate wywalił z sieci klienta i powiedział, że może je oddać do utylizacji.

Robisz na firewallu regułkę, ktora dodaje do adres listy adresy, a kolejna regułka dropuje ruch z tej listy. Hosty znikają z listy po 2 dniach. Dziennie zbiera się 200 do 400 IP. Głównie Chiny i Pakistan.

Mam jeszcze patent na blokowanie teamviewera. Działa na podobnej zasadzie, ale że szkodą dla użytkowników :wink:

TV jest cwany. Analizowalem ruch sieciowy i TV robi coś takiego:

  1. Wysyła 3 pakiety na swój port, jeśli nie ma odpowiedzi;
  2. Wysyła 3 pakiety na port 80, jesli nie ma odpowiedzi;
  3. Próbuje 3 pakiety na 443.

Żeby było ciekawiej, gdy TeamViewer nie może wbić się na któryś z portów, od razu probuje nawiązać połączenie z innym serwerem. Dlatego ruch trzeba blokować od strony LANu, blokowanie od strony WANu nic nie da.

Wygląda to tak:

  1. Połączenie na xx.xx.xx.xx:xxxx;
  2. Połączenie na yy.yy.yy.yy:80;
  3. Połączenie na zz.zz.zz.zz:443.

I tak w kółko aż nie uda mu się nawiązać połączenia, czyli jakieś 2 minuty.

Do tego robię 2 regułki:

  1. Wyłapuje hosty, które nawiązują ruch na port domyślny TV i wpadają na adres listę na 20 sekund;
  2. Blokuje dla tej adres listy ruch na portach TV, 80 i 443.

Skutkuje to brakiem dostepu do www, co powoduje, że użytkownik szybko wyłącza TV. Ludzie używają TV, głównie, aby obejść proxy, które filtruje strony :wink: