форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Выполняет ли роутер Cisco функции файрвола в следующей конфи..."

Сообщение от anstrem (??) on 08-Май-07, 19:13

Предполагается что есть удаленный в Интернет сервер подключенный к Инет через Cisco 871 (в общем случае он не один). Также есть головной офис на границе LAN которого ставится Cisco 2811. Между 2811 и 871 настраивается VPN (IPSec, 3DES). Доступа с удаленного сервера через интерфейс подключенный к Интернет через Cisco871 и из LAN через эту Cisco2811 никуда кроме как в VPN не надо. Т.е. весь трафик помимо VPN можно просто игнорировать. Вопрос 1: обеспечивают ли в такой конфигурации возможности Cisco 871 и 2811 100% надежную защиту удаленного сервера и LAN от внешних вторжений ? Или все таки нужны файрволы еще ? Если не обеспечивает, то от чего, может это можно не учитывать ? Вопрос2: если оба маршрутизатора отбрасывают весь трафик кроме VPN, то можно ли настроить в такой конфигурации исключение  для пары портов для проброса вне VPN трафика ПО удаленного управления ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."

Сообщение от DN (ok) on 08-Май-07, 19:30

>Предполагается что есть удаленный в Интернет сервер подключенный к Инет через Cisco >871 (в общем случае он не один). >Также есть головной офис на границе LAN которого ставится Cisco 2811. > >Между 2811 и 871 настраивается VPN (IPSec, 3DES). > >Доступа с удаленного сервера через интерфейс подключенный к Интернет через Cisco871 и >из LAN через эту Cisco2811 никуда кроме как в VPN не >надо. Т.е. весь трафик помимо VPN можно просто игнорировать. > >Вопрос 1: обеспечивают ли в такой конфигурации возможности Cisco 871 и 2811 >100% надежную защиту удаленного сервера и LAN от внешних вторжений ? 100% гарантию не дает даже страховой полис. В Сisco IOS тоже есть ошибки (были, есть и будут). Процент зависит от того, кто и как настраивал и обслуживает. Плюс человеческий фактор (социальная инженерия) . >Или все таки нужны файрволы еще ? Естественно нужны файрволы в Cisco, и IDS (IPS) и много чего еще. >Если не обеспечивает, то от чего, может это можно не учитывать ? На это вопрос вам никто не ответит. В основном потому, что людям свойственно ошибаться. >Вопрос2: если оба маршрутизатора отбрасывают весь трафик кроме VPN, то можно ли >настроить в такой конфигурации исключение  для пары портов для проброса >вне VPN трафика ПО удаленного управления ? Да, почти все можно. :-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от anstrem (ok) on 08-Май-07, 20:46
	>>Вопрос 1: обеспечивают ли в такой конфигурации возможности Cisco 871 и 2811 >>100% надежную защиту удаленного сервера и LAN от внешних вторжений ? > >100% гарантию не дает даже страховой полис. >В Сisco IOS тоже есть ошибки (были, есть и будут). >Процент зависит от того, кто и как настраивал и обслуживает. >Плюс человеческий фактор (социальная инженерия) . Ну я конечно со 100%-ми погорячился, параноей не страдаю, на любую защиту найдется свое нападение, как впрочем и наоборот, тут вопрос целесообразности и того и другого. По роду деятельности супер-ценной информацией компания не располагает, так что вариант взлома высококласными профи исключается из-за экономической нецелесообразности. Интересует защита от автоматически работающего ПО (вирусы, утилиты хакерские) и хакеров любителей, которым все равно что ломать... Варианты ошибок или дыр в Cisco IOS вообще не рассматриваю. В конце концов тоже самое можно заявить про любой аппаратный или софтверный файрволл и с Cisco в этом плане многие из них и близко не сравнятся. IDS тоже для нашего уровня не требуется. Так все таки конкретный вопрос к моей конфигурации - если на внешнем порту Cisco роутера настроен VPN и траффик весь маршрутизируется только в него (кроме исключений о которых писал), то что мы будем видеть снаружи при попытке сканерить Cisco и какие вообще в этом случае возможны взломы ? (варианты тупого пароля к самой Cisco, дыр в IOS, или забыли access-list соотвествующий включить не рассматриваем). Считаем что настроено все правильно. Еще попутно родился вопрос: а может для моего случая вместо роутера 2811 в головном офисе использовать PIX какой-нибудь (они же тоже VPN тунели поддерживают, ну и вот будет файрвол заодно :) ) ? В чем минусы/плюсы и собственно когда что используется то ? И кто знает какая производительность VPN у PIX-ов, а то что то не вижу нигде информации такой...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от DN (ok) on 08-Май-07, 21:23
	>Так все таки конкретный вопрос к моей конфигурации - если на внешнем >порту Cisco роутера настроен VPN и траффик весь маршрутизируется только в >него (кроме исключений о которых писал), то что мы будем видеть >снаружи при попытке сканерить Cisco и какие вообще в этом случае >возможны взломы ? (варианты тупого пароля к самой Cisco, дыр в >IOS, или забыли access-list соотвествующий включить не рассматриваем). Считаем что настроено >все правильно. В смысле сканирования портов что ли? Если access-list'ы настроили правильно, то ничего не увидете, естественно, кроме тех мест сети откуда будет управление. Если управление c любого места сети , то увидите , что стоит  Cisco. >Еще попутно родился вопрос: а может для моего случая вместо роутера 2811 >в головном офисе использовать PIX какой-нибудь (они же тоже VPN тунели >поддерживают, ну и вот будет файрвол заодно :) ) ? >В чем минусы/плюсы и собственно когда что используется то ? Современные версии Cisco IOS имеют достаточно инструментария , чтобы обеспечить файрвольные функции и функции предотвращения вторжения. Настраивать только их надо больше. PIX изначально "заточен" на это. >И кто знает какая производительность VPN у PIX-ов, а то что то >не вижу нигде информации такой... Есть на www.cisco.com , ссылку не помню. Лежит распечатка. PPS - пакетов в секунду. Mbps = PPS * 64bytes * 8bits/byte Все для IP пакетов. 870  PPS 25000  / Mbps 12.80 для Fast/CEF Switching 2811 PPS 120000 / Mbps 61.44 для Fast/CEF Switching Это вопрос конкретного конфига , то есть запущеных на cisco сервисов. В случае VPN, надо смотреть стоит ли модуль шифрования и т.д.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от anstrem (ok) on 08-Май-07, 21:53
	> >870  PPS 25000  / Mbps 12.80 для Fast/CEF Switching >2811 PPS 120000 / Mbps 61.44 для Fast/CEF Switching > Для 870 и 2811 я как раз на Cisco.com нашел скорости, а вот для PIX-ов там не могу найти. В той же доке упоминается PIX один, но одна из старших моделей - дюже дорогая. Кстати скорости какие то разочаровывающие... Не пойму в чем засада, но для сравнения самый дешевый SOHO файрволл от D-Link (DFL-210) за 250$ способен поддерживать до 100VPN тунелей и пропускная способность его при применении VPN c шифрованием 25Мбит/с (при этом кроме DES, 3DES, AES есть и более криптостойкие алгоритмы шифрования) А оборудование Cisco способное на такое же стоит в 10 раз (!) дороже :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от Ranger99 (??) on 08-Май-07, 23:20
	>Для 870 и 2811 я как раз на Cisco.com нашел скорости, а >вот для PIX-ов там не могу найти. Вдруг поможет:     Throughput    Concurrent Connections PIX 501     60 Mbps    7500 PIX 506E     100 Mbps     25,000 PIX 515E     188 Mbps     130,000 PIX 525     330 Mbps     280,000 PIX 535     1.7 Gbps     500,000 Catalyst 6500 FWSM     5 Gbps     1 million ASA 5510     300 Mbps     64,000 ASA 5520     450 Mbps     130,000 ASA 5540     650 Mbps     280,000 Подробную таблицу выслал почтой. Источник: Cisco ASA and PIX Firewall Handbook, June 2005
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от anstrem (ok) on 08-Май-07, 23:54
	>>Для 870 и 2811 я как раз на Cisco.com нашел скорости, а >>вот для PIX-ов там не могу найти. > >Вдруг поможет: > > Throughput Concurrent Connections > PIX 501  60 Mbps 7500 > PIX 506E  100 Mbps  25,000 > PIX 515E  188 Mbps  130,000 > PIX 525  330 Mbps  280,000 > PIX 535  1.7 Gbps  500,000 > Catalyst 6500 FWSM  5 Gbps  1 million > ASA 5510  300 Mbps  64,000 > ASA 5520  450 Mbps  130,000 > ASA 5540  650 Mbps  280,000 > >Подробную таблицу выслал почтой. Источник: Cisco ASA and PIX Firewall Handbook, June >2005 Спасибо за инфу, но насколько я понимаю это чистая производительность, а вопрос был про VPN с криптованием... или у этих железок аппаратное криптование и никак на общую производительность не влияет ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от DN (ok) on 09-Май-07, 01:04
	>> >>870  PPS 25000  / Mbps 12.80 для Fast/CEF Switching >>2811 PPS 120000 / Mbps 61.44 для Fast/CEF Switching >> > >Для 870 и 2811 я как раз на Cisco.com нашел скорости, а >вот для PIX-ов там не могу найти. >В той же доке упоминается PIX один, но одна из старших моделей >- дюже дорогая. > >Кстати скорости какие то разочаровывающие... Не пойму в чем засада, но для >сравнения самый дешевый SOHO файрволл от D-Link (DFL-210) за 250$ способен >поддерживать до 100VPN тунелей и пропускная способность его при применении VPN >c шифрованием 25Мбит/с >(при этом кроме DES, 3DES, AES есть и более криптостойкие алгоритмы шифрования) > > > >А оборудование Cisco способное на такое же стоит в 10 раз (!) >дороже :( В чем проблема, переходите на D-Link . :) Будет с чем сравнивать реально. Хотя 850 сейчас стоит примерно в 2 раза дороже, чем D-Link (DFL-210) за 250$
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от magr (??) on 10-Май-07, 10:13
	>Еще попутно родился вопрос: а может для моего случая вместо роутера 2811 >в головном офисе использовать PIX какой-нибудь (они же тоже VPN тунели >поддерживают, ну и вот будет файрвол заодно :) ) ? >В чем минусы/плюсы и собственно когда что используется то ? у пиксов отсутствует policy-based роутинг к примеру >И кто знает какая производительность VPN у PIX-ов, а то что то >не вижу нигде информации такой... Connection capabilities for the PIX 506 are as follows: ■ Maximum clear-text throughput—100 Mbps ■ Maximum throughput (DES)—20 Mbps ■ Maximum throughput (3DES)—17 Mbps ■ Maximum throughput (AES-128)—30 Mbps ■ Maximum concurrent connections—25,000 ■ Maximum concurrent VPN peers—25 Connection capabilities for the PIX 515E are as follows: ■ Maximum clear-text throughput—188 Mbps ■ Maximum throughput (3DES)—63 Mbps with VAC ■ Maximum throughput (3DES)—140 Mbps with VAC+ ■ Maximum throughput (AES-128)—135 Mbps with VAC+ ■ Maximum throughput (AES-256)—140 Mbps with VAC+ ■ Maximum concurrent connections—130,000 ■ Maximum concurrent VPN peers—2000 VPN Accelerator Card (VAC)—The VAC is a card that fits into a PCI slot of the PIX 515E through 535 firewall appliances and increases VPN performance and security by segregating the processing required for the VPN from all other traffic traversing the firewall. The VAC supports both DES and 3DES encryption. VPN Accelerator Card Plus (VAC+)—The VAC+ is an improved version of the VAC. It also fits into a PCI slot of the PIX 515E through 535 appliances. The VAC+ supports DES, 3DES, and the Advanced Encryption Standard (AES). The VAC+ requires PIX OS version 6.3(1) or higher with a DES, 3DES/AES license.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Выполняет ли роутер Cisco функции файрвола в следующей конфи..."
	Сообщение от anstrem (??) on 10-Май-07, 10:41
	2 magr Спасибо за инфу по производительности. А что такое policy-based роутинг и для чего он нужен ? Собственно уточню вопрос если мне только VPN надо до удаленной площадки поддерживать, то PIX видимо лучше чем router ? Вроде и дешевле и производительнее для VPN...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]