Forum

Firewall upgrade | ...
 
Bildirimler
Hepsini Temizle

Firewall upgrade | ürün tavsiyesi

18 Yazılar
7 Üyeler
0 Reactions
995 Görüntüleme
(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Genel olarak entegre etmek istediğimiz firewalldan beklentilerimiz;

*Yeni nesil firewall olması (kullanıcı ve uygulama bazlı kural yazabilme örn: facebook’un poker uygulamasını engellemek, URL filtering)
*Raporlamanın tatmin edici olması.
*Penetration testlerinde yüksek başarı göstermesi.

Tavsiyeleriniz için şimdiden teşekkürler,

 

 
Gönderildi : 26/04/2012 14:58

(@vasviuysal)
Gönderiler: 7890
Üye
 

sonicwall yada fortigate

 
Gönderildi : 26/04/2012 15:04

(@evrenbanger)
Gönderiler: 2439
Üye
 

Valla ben olsam checkpoint ve palo alto dan sasmazdim. Zaten Gartner dada ikisi lider su anda.

 
Gönderildi : 26/04/2012 15:23

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Kafamda checkpoint var. yarın toplantı yapacağım. Palo alto'yu IDC IT security 2012 de dinledim, daha önce hiç duymamıştım ama adamlar sağlammış. Aslında checkpoint'e alternatif arıyorum diyebilirim.

 
Gönderildi : 26/04/2012 17:00

(@evrenbanger)
Gönderiler: 2439
Üye
 

Kim ne derse desin CheckPointe tek alternatif Palo Alto. Baska urunlerede bakabilirsiniz tabii.

 
Gönderildi : 26/04/2012 17:19

(@AfsinTaskiran)
Gönderiler: 45
Eminent Member
 

Selamlar;

 

NG FW da Gartner in lider pozisyonladigi sadece Palo Alto ve Check Point var. Asagidaki arcticle i ve benzerler konudakileri cok iyi okumanizi tavsiye ederim.

 

http://www.forbes.com/sites/richardstiennon/2012/04/18/tearing-away-the-veil-of-hype-from-palo-alto-networks-ipo/

 
Gönderildi : 29/04/2012 04:05

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Genel olarak entegre etmek istediğimiz firewalldan beklentilerimiz;

*Yeni nesil firewall olması (kullanıcı ve uygulama bazlı kural yazabilme örn: facebook’un poker uygulamasını engellemek, URL filtering)
*Raporlamanın tatmin edici olması.
*Penetration testlerinde yüksek başarı göstermesi.

Tavsiyeleriniz için şimdiden teşekkürler,

 

 

Aplication filter sisteminde en iyi iki Cihaz Sonicwall ve Fortigate ki sizin istediğiniz özellikte bunlar zaten.

 
Gönderildi : 29/04/2012 06:28

(@ufuktatlidil)
Gönderiler: 5718
Illustrious Member
 

Check Point maliyeti çok yüksek. Fortigate öneririm.

 
Gönderildi : 30/04/2012 16:42

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

Checkpoint ile toplantı yaptık, juniper ile bu perşembe toplantı yapacağız. Checkpoint gardner'ı dikkate almamamızı önerdi........ Palo Alto'yu alternatif olmaktan çıkardım. İyi bir firewall ama Juniper ile davalıymış, TR'ye yeni geldi ve support'undan tam olarak emin değilim.

Yönetime kabul ettirme açısından maliyetler çok önemli. Checkpoint ve juniper'in maliyetleri yüksek çıkarsa alternatif fw araştırmam gerekecek. Şu an alternatif olarak öne çıkan iki marka Sonicwall ve Fortigate.Tabi arada 5 bin 7 bin dolar gibi bir fark varsa yinede checkpoint'i tercih ederim.

Juniper forumuna bazen giriyorum ve bazı configurasyonlar için CLI kullanımı ve TCP/IP bilgisi gerektiğini görüyorum. Herhangi bir işlem yaparken buna s2s vpn, ACL de dahil, fazla efor harcamadan firewall'u yönetmek istiyoruz. (ccna'yim ve linux admin olduğum için cli ile aram baya iyi)

Şu an TMG kullanıyoruz ve kullanımı çok rahat. Checkpoint toplantısında satış müdürü TMG 'ye kolay diyorsanız checkpoint de hiç zorlanmazsınız demişti. Sonicwall ve Fortigate deneyimi olan arkadaşların yorumu benim için çok önemli. Yönetim ve güvenilirliği nasıl? Farklı forumlardan görüdüğüm kadarıyla iki markayıda baya öneren var.

Penetration test için birşey yapmıyoruz 🙂 çünkü konu hakkında bilgi ve deneyimimiz yeterli değil. Bilgi güvenliği akademisi ve nebula dan fiyat aldık. BGA 4500 usd, nebula 10000 usd istedi. Nebula'ya bga'nın  4500 istediğini söyleyince indirim yapabileceklerini söyledi.

TMG de yetmiş access rule, dört s2s vpn ve publish edilmiş serverlar var. Yapımızda 400 node var. Firewall da oluşan donma ve kitlenmeler sebebiyle başka bir firewall düşünüyoruz. Sorunun çözümü için microsoft'a case açtık, bugün yarın bağlanıp bakacaklar. Yapımız çok büyüdü ve TMG bunu kaldıramıyor. Yönetim TMG'nin neden kaldıramadığını ve neden başka bir ürüne geçmemiz gerektiğini delillerle kanıtlamamızı istiyor. Doğru configure edildiği taktirde TMG ile devam edilebileceğini ve sorunun çözümünü istiyorlar. Mesela TMG de x client'ı için smtp.gmail.com'un 175. portuna erişim izni verdiğimde rule çalışmıyor. syntax'ında sorun yok. (technet) ama rule çalışmıyor. domain yerine smtp.gmail.com'un iplerini yazınca mecburen çalışıyor, ve buna benzer sıkıntılar.

Sizden firewall önerisi dışında başka birşey rica edeceğim. Biz şimdi firmalar ile toplantı yapıyoruz ok. En zor iş imza kısmı. Yönetime firewall'un upgrade'ini nasıl onaylatabilirim. Sorunun bizim beceriksizliğimizden değilde firewall dan olduğunu nasıl anlatmalıyım?

 
Gönderildi : 30/04/2012 21:40

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Hocam ben tam anlamadım şimdi, sizin sorun nodlardan mı kaynaklanıyor bu nodlar nasıl sisteme dahil oluyorlar. MPLS ? VPN ? Direct Link ? Kiralık Devre ?

 

Siz yapınızı biraz anlatın belki daha ucuz ve kolay çözümler sunabiliriz.

 
Gönderildi : 01/05/2012 01:05

(@evrenbanger)
Gönderiler: 2439
Üye
 

CLI ile aran iyise ve uygun bir çözüm arıyorsan FreeBSD yi yapılandırabilirsin. Birde neden Gartner'ı dikkate almıyacakmışın onu merak ettim. Bütün dünya dikkate alıyorda bizmi almıyacakmışız ilginçmiş.

 
Gönderildi : 01/05/2012 04:03

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

TMG'nin sorununu anladık. Üzerinde dört adet interface var. Interfacelerden(network x.x.x.x/24 ) birini dış tarafdaki L3switch'e almıştık. Arada bir sapıtmasının nedeni buymuş. Eski yerine alınca düzeldi. Şimdi ellemeye korkar olduk, geçen perşembe üç saat  Ankara ile olan s2s vpn'i kesildi. Sonuç olarak FW dan memnun değiliz ve değiştireceğiz. Fazla ölçeklendirebilir bir FW değil, fazla oynamaya gelmiyor.


Pfsence'i yapılandırmayı düşünmüyorum. IT deki herkesin fazla efor harcamadan yönetebileceği bir FW olsun istiyoruz. CP gartner için istatistliklerde para döndüğünü söyledi o bakımdan fazla güvenmeyin dedi. Haklılık payı var gibi, şike heryerde oluyor :).


CP bizden bir araba parası istedi!!! Juniper daha teklif göndermedi.


Alternatif olarak Fortigate düşünüyoruz. Bazı forumlarda TR den ve yurtdışından support alamadıklarını söyleyenler var. Kullanan arkadaşların yorumlarını bekliyorum. Teşekkürler.

 
Gönderildi : 14/05/2012 18:21

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

TMG'nin sorununu anladık. Üzerinde dört adet interface var. Interfacelerden(network x.x.x.x/24 ) birini dış tarafdaki L3switch'e almıştık. Arada bir sapıtmasının nedeni buymuş. Eski yerine alınca düzeldi. Şimdi ellemeye korkar olduk, geçen perşembe üç saat  Ankara ile olan s2s vpn'i kesildi. Sonuç olarak FW dan memnun değiliz ve değiştireceğiz. Fazla ölçeklendirebilir bir FW değil, fazla oynamaya gelmiyor.

Pfsence'i yapılandırmayı düşünmüyorum. IT deki herkesin fazla efor harcamadan yönetebileceği bir FW olsun istiyoruz. CP gartner için istatistliklerde para döndüğünü söyledi o bakımdan fazla güvenmeyin dedi. Haklılık payı var gibi, şike heryerde oluyor :).

CP bizden bir araba parası istedi!!! Juniper daha teklif göndermedi.

Alternatif olarak Fortigate düşünüyoruz. Bazı forumlarda TR den ve yurtdışından support alamadıklarını söyleyenler var. Kullanan arkadaşların yorumlarını bekliyorum. Teşekkürler.

 

Hocam kaç kişisiniz bilmiyorum ama 5 kişiyi geçen her IT gurubu kendi firewallını yazmalı diye düşünüyorum. Şahsen benim boş vaktim olsa oturur kendi firewallımı yazardım.

 
Gönderildi : 14/05/2012 23:20

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 


Nebula'nın  hizmet detayları  aşağıdaki gibi, bilgi güvenliği akademisi'nin (BGA) teklifinde detay yazmıyor. İkisindende tek istediğimiz içerideki dört adet publish edilmiş serverın ve fw'un test edilmesiydi. BGA 4500 nebula 10000 istedi.(kdv hariç)


Hizmet Detayları


Lokal Güvenlik Denetim Hizmeti Detayları


1. Test toplantıları


a. Testler için zaman aralığı belirlenmesi


b. Test derinliğinin belirlenmesi


2. Ağ ile ilgili bilgi toplanması


a. Sistemlerin tespiti


b. İşletim sistemleri ve cihazlara göre gruplanmış testlerin yapılması


c. Canlı sistemler üzerindeki servislerin tespiti


d. Aktif cihazların tespiti (Switch, IDS, IPS, Log Yönetim sistemi v.b.)


e. Önemsiz görülen sistemlerin tespiti (Ağ yazıcıları, tarayıcılar, Bluetooth cihazları, v.b.)


3. Tespit edilen canlı sistemler ve servisler üzerinde açıklık ve sızma testlerinin yapılması


a. SQL (MS, My, Pervasive v.b.) sunucular için özel testlerin yapılması


b. Web (HTTP, HTTPS, FTP, FTPs, SFTP) sunucular için özel testlerin yapılması


c. ePosta (SMTP, SMTPs, POP3, POP3s, IMAP) sunucuları için gerekli testlerin yapılması


d. Tespit edilen işletim sistemlerine göre özel testlerin yapılması


4. Parola ele geçirme, kimlik kontrolü sistemlerini aşma testleri


5. Güvenlik sistemlerinin tespiti


a. Güvenlik duvarı testleri


b. IDS/IPS testleri (Atlama, aldatma ve aşma)


6. Kablosuz ağ testleri


a. Var olan ağların tespiti ve testleri


b. Kablosuz ağların çekim alanı kontrolleri


c. Sisteme eklenebilecek cihazların yapabileceklerinin tespiti


d. Bluetooth cihazlarının tespiti ve kontrolü


e. Mobil cihaz kablosuz erişim testleri


7. Raporu oluşturulması


8. Rapor değerlendirme toplantısı

 
Gönderildi : 16/05/2012 20:14

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

TMG'nin sorununu anladık. Üzerinde dört adet interface var. Interfacelerden(network x.x.x.x/24 ) birini dış tarafdaki L3switch'e almıştık. Arada bir sapıtmasının nedeni buymuş. Eski yerine alınca düzeldi. Şimdi ellemeye korkar olduk, geçen perşembe üç saat  Ankara ile olan s2s vpn'i kesildi. Sonuç olarak FW dan memnun değiliz ve değiştireceğiz. Fazla ölçeklendirebilir bir FW değil, fazla oynamaya gelmiyor.

Pfsence'i yapılandırmayı düşünmüyorum. IT deki herkesin fazla efor harcamadan yönetebileceği bir FW olsun istiyoruz. CP gartner için istatistliklerde para döndüğünü söyledi o bakımdan fazla güvenmeyin dedi. Haklılık payı var gibi, şike heryerde oluyor :).

CP bizden bir araba parası istedi!!! Juniper daha teklif göndermedi.

Alternatif olarak Fortigate düşünüyoruz. Bazı forumlarda TR den ve yurtdışından support alamadıklarını söyleyenler var. Kullanan arkadaşların yorumlarını bekliyorum. Teşekkürler.

 

Hocam kaç kişisiniz bilmiyorum ama 5 kişiyi geçen her IT gurubu kendi firewallını yazmalı diye düşünüyorum. Şahsen benim boş vaktim olsa oturur kendi firewallımı yazardım.

 

Merhaba Ertan hocam,

 

Ne kullanarak yazardınız ?  (Size bu konuda katılıyorum.)

Mesela kendim iptables kullanıyorum. LB,FA (Roun robin) canavar gibi yapıyor.  Acaba siz Netfilter editleme konusunda ileri düzey bilgi sahibimisiniz onu merak ettim. ?

 

Tesekkürler... 

 

 

Hocam ne kullanacaksın Linux tabiki. Sağlamadığı birşey yok gel görki uğraşmak zaman ayrımak lazım. Ayıracak zmaan ve adam yok ise donanım bazlı cihaz almak lazım.

 
Gönderildi : 16/05/2012 20:57

(@ertanerbek)
Gönderiler: 4522
Famed Member
 

Hocam Hali hazırda kullandığım bir şablon yok ama bu işin temel bir şablonu var.

 

Hali hazırda sistem NAT ile çalışacağı çin zaten gelen her şeyi kesiyor siz natlamadığınız sürece dışarıdan içeriye bir kurala gerek yok dışarıdan içeri natlarsanız uzak uçlar için kural yazarsınız. İçerden dışarı yıllar öğrence öğrendiğim standart şablon herşeyi kes sadece gerekli olanları aç.

DNS ( sadece DNS sunucuya, firewallı yapıyorsam DNS sunucumuda kurarım.)
HTTP
FTP ( Sadece gerekli olan kısımlara )
HTTPS ( Sadece gerekli olan yerler için, banka vs vs... )
SMTP ( Sadece Mail sunucuya, İş güvenlikse mail sunucumu kimseye bırakmam. )

 

 
Gönderildi : 20/05/2012 00:03

(@mustafagokhankurt)
Gönderiler: 294
Reputable Member
Konu başlatıcı
 

@sdclt pentest'i sadece açıklarımızın tespiti için istedik. Daha sonra firewall ile yaşadığımız sorunlar sebebiyle gündemden kalktı. Firewall için kutu bir çözüm her zaman daha iyidir. TMG'nin configurasyon backup'ını export ediyoruz, yeni kurulmuş bir TMG üzerine import ederken on tane hata alıyoruz, daha sonra makina kendini kasıyor, donuyor vs. bir sürü sorun. Kutu bir ürün olsa configurasyon export/import sırasında sorun çıkacağını pek sanmam.


@ertan Firewall da geleneksel kuralların dışına çıkmamak gerekiyor. Kutu bir çözüm, bazı portlar dışında  all outbound herşeye deny koymak en iyisi. smtp,imap için sadece kendi mail server'ına allow vermek .... vs

 
Gönderildi : 22/05/2012 14:36

(@huseyindongul1)
Gönderiler: 79
Estimable Member
 

sadece URL filtreleme için UTM cihazına para ödemeyim. TMG 10000 kullanıcılı  lokasyonlarda dahi çalışan set bir Microsoft ürünü.

Problem sunucu kaynakları, aradaki devreler ve bant genişlikleri ile alaka olduğunu düşünüyorum

test etmek gerek

 

 
Gönderildi : 23/09/2012 16:18

Paylaş: