24.3.07 je Iztok Umek <[EMAIL PROTECTED]> napisal/-a:
Jaz bi se izogibal ISS IPSom. Pa se IPS bi postavil pred FW.
Router (no, pri 100M uplinku imas verjetno kar etnernet dropoff tako da
se routerja ne potrebujes) - IPS (tukaj bi predlagal nekaj, z advanced
behavioral DoS, Recimo Radware DefensePro 3.10) - FW - switch.
Seveda ce gres recimo na DefensePro 620 ti pokriva lahko 5 segmentov kar
iz skatle, ce kupis se nekaj gbicov pa se dodatne stiri.
Za CheckPoint (ali ASA) je znano, da njihov vgrajeni IPS on DoS je bolj
v kurcu, tako da bi jaz zadevo splitnil v dve razlicni.
Aja, pa se to, skoraj vsi FWji in mnogi IPSi tecejo na PCjih (CheckPoint
recimo ima trdi disk, pa ASA tudi, pa ISS IPS tudi, TippingPoint tudi
etc...). Radware pac ne. Aja, DefensePro v kombinaciji z AppXcel zna
lepo dekriptirati tudi SSL promet, ki se konca na tvojih streznikih in
le te sciti tudi pred napadi, ki gredo preko HTTPS, kar ostali ne znajo
Saj stvar elegantno rešiš z mirrorjem :) Da pa odpovesta oba diska,
pol pa imaš nesrečo.
Glede SSL:
Ta stvar ni tako trivijalna. Dela na principu proksijev. V svoj sistem
integriraš proksi, imaš en hop več.
Ce te zanima mocen DoS shield, pa ti sploh priporocam zadevo, ki sciti
EBay ze nekaj let (Radware je sprva razvil DoS shield zanj).
Marko Ivanuša wrote:
> Tudi jaz bi priporočil CheckPointa (Smart defanse), predvsem iz
> razloga, kot je manegament in samo spremljanje kaj se dogaja na FW.
> (po novem non-pc)
>
> Cisco ASA (možen modul IPS)je vredu zadeva, vendar manegament je v ku...
>
> Drugače pa imaš na izbiro namenske škatle, ki pa imajo to "hibo", da
> so bodisi FW (z slabim IPS-om), IPS (z slabim FW), itd ... (seveda ne
> mislim kvaliteto temveč manegment in nadzor delovanja)
>
> Če pa denar ni problem:
>
> router (CISCO)->FW Checkpoint -> IPS (ISS)->switch (CISCO) in boš
> mirno spal (seveda če imaš človeka ki ve kaj dela !!!!!!)
>
> lp
> Marko
>
> 23.3.07 je Stojan Rancic <[EMAIL PROTECTED]> napisal/-a:
>> Iztok Umek wrote:
>> > Jaz bi razdelil v dve stvari.
>> >
>> > Firewall (prisegam na CheckPoint po kar lepem stevilu let izkusenj)
>> >
>> > IPS (tukaj bi ti predlagal eno skatlo, ki podpira vec segmentov
>> recimo 5
>> > ali vec, da lahko postavis na razlicna mesta). Hkrati pa (ce denar ni
>> > toliko problem) se dodatno nekaj, kar podpira SSL. Vecina IPSov namrec
>> > ne odkrije napadov ki pridejo preko HTTPS, ker so kriptirani. IPS pred
>> > pozarnim zidom, nekaj, kar podpira BWM (bandwidth management) in po
>> > moznosti se zascito pred DoS in DDoS.
>> >
>> > Pri slednjem sem pristranski, ce hoces podrobnosti, mi mailaj
>> osebno (pa
>> > ti verjetno lahko zrihtam kaksen dober deal)
>>
>> Iz podobnih vzgibov bi ti jaz priporocal kak Cisco ASA box .. poslji
>> mail osebno, ce te zanima ;)
>>
>> Lp, Stojan
>>
>> _______________________________________________
>> lugos-list mailing list
>> lugos-list@lugos.si
>> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>>
> ------------------------------------------------------------------------
>
> _______________________________________________
> lugos-list mailing list
> lugos-list@lugos.si
> http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
>
_______________________________________________
lugos-list mailing list
lugos-list@lugos.si
http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
_______________________________________________
lugos-list mailing list
lugos-list@lugos.si
http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
