Jaz bi se izogibal ISS IPSom. Pa se IPS bi postavil pred FW.
Router (no, pri 100M uplinku imas verjetno kar etnernet dropoff tako da
se routerja ne potrebujes) - IPS (tukaj bi predlagal nekaj, z advanced
behavioral DoS, Recimo Radware DefensePro 3.10) - FW - switch.
Seveda ce gres recimo na DefensePro 620 ti pokriva lahko 5 segmentov kar
iz skatle, ce kupis se nekaj gbicov pa se dodatne stiri.
Za CheckPoint (ali ASA) je znano, da njihov vgrajeni IPS on DoS je bolj
v kurcu, tako da bi jaz zadevo splitnil v dve razlicni.
Aja, pa se to, skoraj vsi FWji in mnogi IPSi tecejo na PCjih (CheckPoint
recimo ima trdi disk, pa ASA tudi, pa ISS IPS tudi, TippingPoint tudi
etc...). Radware pac ne. Aja, DefensePro v kombinaciji z AppXcel zna
lepo dekriptirati tudi SSL promet, ki se konca na tvojih streznikih in
le te sciti tudi pred napadi, ki gredo preko HTTPS, kar ostali ne znajo.
Ce te zanima mocen DoS shield, pa ti sploh priporocam zadevo, ki sciti
EBay ze nekaj let (Radware je sprva razvil DoS shield zanj).
Marko Ivanuša wrote:
Tudi jaz bi priporočil CheckPointa (Smart defanse), predvsem iz
razloga, kot je manegament in samo spremljanje kaj se dogaja na FW.
(po novem non-pc)
Cisco ASA (možen modul IPS)je vredu zadeva, vendar manegament je v ku...
Drugače pa imaš na izbiro namenske škatle, ki pa imajo to "hibo", da
so bodisi FW (z slabim IPS-om), IPS (z slabim FW), itd ... (seveda ne
mislim kvaliteto temveč manegment in nadzor delovanja)
Če pa denar ni problem:
router (CISCO)->FW Checkpoint -> IPS (ISS)->switch (CISCO) in boš
mirno spal (seveda če imaš človeka ki ve kaj dela !!!!!!)
lp
Marko
23.3.07 je Stojan Rancic <[EMAIL PROTECTED]> napisal/-a:
Iztok Umek wrote:
> Jaz bi razdelil v dve stvari.
>
> Firewall (prisegam na CheckPoint po kar lepem stevilu let izkusenj)
>
> IPS (tukaj bi ti predlagal eno skatlo, ki podpira vec segmentov
recimo 5
> ali vec, da lahko postavis na razlicna mesta). Hkrati pa (ce denar ni
> toliko problem) se dodatno nekaj, kar podpira SSL. Vecina IPSov namrec
> ne odkrije napadov ki pridejo preko HTTPS, ker so kriptirani. IPS pred
> pozarnim zidom, nekaj, kar podpira BWM (bandwidth management) in po
> moznosti se zascito pred DoS in DDoS.
>
> Pri slednjem sem pristranski, ce hoces podrobnosti, mi mailaj
osebno (pa
> ti verjetno lahko zrihtam kaksen dober deal)
Iz podobnih vzgibov bi ti jaz priporocal kak Cisco ASA box .. poslji
mail osebno, ce te zanima ;)
Lp, Stojan
_______________________________________________
lugos-list mailing list
[email protected]
http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
------------------------------------------------------------------------
_______________________________________________
lugos-list mailing list
[email protected]
http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
_______________________________________________
lugos-list mailing list
[email protected]
http://liste2.lugos.si/cgi-bin/mailman/listinfo/lugos-list
