Предполагается что есть удаленный в Интернет сервер подключенный к Инет через Cisco 871 (в общем случае он не один).Также есть головной офис на границе LAN которого ставится Cisco 2811.
Между 2811 и 871 настраивается VPN (IPSec, 3DES).
Доступа с удаленного сервера через интерфейс подключенный к Интернет через Cisco871 и из LAN через эту Cisco2811 никуда кроме как в VPN не надо. Т.е. весь трафик помимо VPN можно просто игнорировать.
Вопрос 1: обеспечивают ли в такой конфигурации возможности Cisco 871 и 2811 100% надежную защиту удаленного сервера и LAN от внешних вторжений ? Или все таки нужны файрволы еще ?
Если не обеспечивает, то от чего, может это можно не учитывать ?Вопрос2: если оба маршрутизатора отбрасывают весь трафик кроме VPN, то можно ли настроить в такой конфигурации исключение для пары портов для проброса вне VPN трафика ПО удаленного управления ?
>Предполагается что есть удаленный в Интернет сервер подключенный к Инет через Cisco
>871 (в общем случае он не один).>Также есть головной офис на границе LAN которого ставится Cisco 2811.
>
>Между 2811 и 871 настраивается VPN (IPSec, 3DES).
>
>Доступа с удаленного сервера через интерфейс подключенный к Интернет через Cisco871 и
>из LAN через эту Cisco2811 никуда кроме как в VPN не
>надо. Т.е. весь трафик помимо VPN можно просто игнорировать.
>
>Вопрос 1: обеспечивают ли в такой конфигурации возможности Cisco 871 и 2811
>100% надежную защиту удаленного сервера и LAN от внешних вторжений ?100% гарантию не дает даже страховой полис.
В Сisco IOS тоже есть ошибки (были, есть и будут).
Процент зависит от того, кто и как настраивал и обслуживает.
Плюс человеческий фактор (социальная инженерия) .>Или все таки нужны файрволы еще ?
Естественно нужны файрволы в Cisco, и IDS (IPS) и много чего еще.
>Если не обеспечивает, то от чего, может это можно не учитывать ?На это вопрос вам никто не ответит.
В основном потому, что людям свойственно ошибаться.>Вопрос2: если оба маршрутизатора отбрасывают весь трафик кроме VPN, то можно ли
>настроить в такой конфигурации исключение для пары портов для проброса
>вне VPN трафика ПО удаленного управления ?Да, почти все можно. :-)
>>Вопрос 1: обеспечивают ли в такой конфигурации возможности Cisco 871 и 2811
>>100% надежную защиту удаленного сервера и LAN от внешних вторжений ?
>
>100% гарантию не дает даже страховой полис.
>В Сisco IOS тоже есть ошибки (были, есть и будут).
>Процент зависит от того, кто и как настраивал и обслуживает.
>Плюс человеческий фактор (социальная инженерия) .Ну я конечно со 100%-ми погорячился, параноей не страдаю, на любую защиту найдется свое нападение, как впрочем и наоборот, тут вопрос целесообразности и того и другого.
По роду деятельности супер-ценной информацией компания не располагает, так что вариант взлома высококласными профи исключается из-за экономической нецелесообразности.
Интересует защита от автоматически работающего ПО (вирусы, утилиты хакерские) и хакеров любителей, которым все равно что ломать...
Варианты ошибок или дыр в Cisco IOS вообще не рассматриваю. В конце концов тоже самое можно заявить про любой аппаратный или софтверный файрволл и с Cisco в этом плане многие из них и близко не сравнятся. IDS тоже для нашего уровня не требуется.Так все таки конкретный вопрос к моей конфигурации - если на внешнем порту Cisco роутера настроен VPN и траффик весь маршрутизируется только в него (кроме исключений о которых писал), то что мы будем видеть снаружи при попытке сканерить Cisco и какие вообще в этом случае возможны взломы ? (варианты тупого пароля к самой Cisco, дыр в IOS, или забыли access-list соотвествующий включить не рассматриваем). Считаем что настроено все правильно.
Еще попутно родился вопрос: а может для моего случая вместо роутера 2811 в головном офисе использовать PIX какой-нибудь (они же тоже VPN тунели поддерживают, ну и вот будет файрвол заодно :) ) ?
В чем минусы/плюсы и собственно когда что используется то ?
И кто знает какая производительность VPN у PIX-ов, а то что то не вижу нигде информации такой...
>Так все таки конкретный вопрос к моей конфигурации - если на внешнем
>порту Cisco роутера настроен VPN и траффик весь маршрутизируется только в
>него (кроме исключений о которых писал), то что мы будем видеть
>снаружи при попытке сканерить Cisco и какие вообще в этом случае
>возможны взломы ? (варианты тупого пароля к самой Cisco, дыр в
>IOS, или забыли access-list соотвествующий включить не рассматриваем). Считаем что настроено
>все правильно.В смысле сканирования портов что ли?
Если access-list'ы настроили правильно, то ничего не увидете, естественно, кроме
тех мест сети откуда будет управление.
Если управление c любого места сети , то увидите , что стоит Cisco.
>Еще попутно родился вопрос: а может для моего случая вместо роутера 2811
>в головном офисе использовать PIX какой-нибудь (они же тоже VPN тунели
>поддерживают, ну и вот будет файрвол заодно :) ) ?
>В чем минусы/плюсы и собственно когда что используется то ?Современные версии Cisco IOS имеют достаточно инструментария , чтобы
обеспечить файрвольные функции и функции предотвращения вторжения.
Настраивать только их надо больше. PIX изначально "заточен" на это.>И кто знает какая производительность VPN у PIX-ов, а то что то
>не вижу нигде информации такой...Есть на www.cisco.com , ссылку не помню. Лежит распечатка.
PPS - пакетов в секунду.
Mbps = PPS * 64bytes * 8bits/byte
Все для IP пакетов.870 PPS 25000 / Mbps 12.80 для Fast/CEF Switching
2811 PPS 120000 / Mbps 61.44 для Fast/CEF SwitchingЭто вопрос конкретного конфига , то есть запущеных на cisco сервисов.
В случае VPN, надо смотреть стоит ли модуль шифрования и т.д.
>
>870 PPS 25000 / Mbps 12.80 для Fast/CEF Switching
>2811 PPS 120000 / Mbps 61.44 для Fast/CEF Switching
>Для 870 и 2811 я как раз на Cisco.com нашел скорости, а вот для PIX-ов там не могу найти.
В той же доке упоминается PIX один, но одна из старших моделей - дюже дорогая.Кстати скорости какие то разочаровывающие... Не пойму в чем засада, но для сравнения самый дешевый SOHO файрволл от D-Link (DFL-210) за 250$ способен поддерживать до 100VPN тунелей и пропускная способность его при применении VPN c шифрованием 25Мбит/с
(при этом кроме DES, 3DES, AES есть и более криптостойкие алгоритмы шифрования)
А оборудование Cisco способное на такое же стоит в 10 раз (!) дороже :(
>Для 870 и 2811 я как раз на Cisco.com нашел скорости, а
>вот для PIX-ов там не могу найти.Вдруг поможет:
Throughput Concurrent Connections
PIX 501 60 Mbps 7500
PIX 506E 100 Mbps 25,000
PIX 515E 188 Mbps 130,000
PIX 525 330 Mbps 280,000
PIX 535 1.7 Gbps 500,000
Catalyst 6500 FWSM 5 Gbps 1 million
ASA 5510 300 Mbps 64,000
ASA 5520 450 Mbps 130,000
ASA 5540 650 Mbps 280,000
Подробную таблицу выслал почтой. Источник: Cisco ASA and PIX Firewall Handbook, June 2005
>>Для 870 и 2811 я как раз на Cisco.com нашел скорости, а
>>вот для PIX-ов там не могу найти.
>
>Вдруг поможет:
>
> Throughput Concurrent Connections
> PIX 501 60 Mbps 7500
> PIX 506E 100 Mbps 25,000
> PIX 515E 188 Mbps 130,000
> PIX 525 330 Mbps 280,000
> PIX 535 1.7 Gbps 500,000
> Catalyst 6500 FWSM 5 Gbps 1 million
> ASA 5510 300 Mbps 64,000
> ASA 5520 450 Mbps 130,000
> ASA 5540 650 Mbps 280,000
>
>Подробную таблицу выслал почтой. Источник: Cisco ASA and PIX Firewall Handbook, June
>2005Спасибо за инфу, но насколько я понимаю это чистая производительность, а вопрос был про VPN с криптованием... или у этих железок аппаратное криптование и никак на общую производительность не влияет ?
>>
>>870 PPS 25000 / Mbps 12.80 для Fast/CEF Switching
>>2811 PPS 120000 / Mbps 61.44 для Fast/CEF Switching
>>
>
>Для 870 и 2811 я как раз на Cisco.com нашел скорости, а
>вот для PIX-ов там не могу найти.
>В той же доке упоминается PIX один, но одна из старших моделей
>- дюже дорогая.
>
>Кстати скорости какие то разочаровывающие... Не пойму в чем засада, но для
>сравнения самый дешевый SOHO файрволл от D-Link (DFL-210) за 250$ способен
>поддерживать до 100VPN тунелей и пропускная способность его при применении VPN
>c шифрованием 25Мбит/с
>(при этом кроме DES, 3DES, AES есть и более криптостойкие алгоритмы шифрования)
>
>
>
>А оборудование Cisco способное на такое же стоит в 10 раз (!)
>дороже :(В чем проблема, переходите на D-Link . :)
Будет с чем сравнивать реально.
Хотя 850 сейчас стоит примерно в 2 раза дороже, чем D-Link (DFL-210) за 250$
>Еще попутно родился вопрос: а может для моего случая вместо роутера 2811
>в головном офисе использовать PIX какой-нибудь (они же тоже VPN тунели
>поддерживают, ну и вот будет файрвол заодно :) ) ?
>В чем минусы/плюсы и собственно когда что используется то ?у пиксов отсутствует policy-based роутинг к примеру
>И кто знает какая производительность VPN у PIX-ов, а то что то
>не вижу нигде информации такой...
Connection capabilities for the PIX 506 are as follows:
■ Maximum clear-text throughput—100 Mbps
■ Maximum throughput (DES)—20 Mbps
■ Maximum throughput (3DES)—17 Mbps
■ Maximum throughput (AES-128)—30 Mbps
■ Maximum concurrent connections—25,000
■ Maximum concurrent VPN peers—25Connection capabilities for the PIX 515E are as follows:
■ Maximum clear-text throughput—188 Mbps
■ Maximum throughput (3DES)—63 Mbps with VAC
■ Maximum throughput (3DES)—140 Mbps with VAC+
■ Maximum throughput (AES-128)—135 Mbps with VAC+
■ Maximum throughput (AES-256)—140 Mbps with VAC+
■ Maximum concurrent connections—130,000
■ Maximum concurrent VPN peers—2000VPN Accelerator Card (VAC)—The VAC is a card that fits into a PCI slot of the PIX
515E through 535 firewall appliances and increases VPN performance and security by
segregating the processing required for the VPN from all other traffic traversing the
firewall. The VAC supports both DES and 3DES encryption.VPN Accelerator Card Plus (VAC+)—The VAC+ is an improved version of the VAC. It
also fits into a PCI slot of the PIX 515E through 535 appliances. The VAC+ supports
DES, 3DES, and the Advanced Encryption Standard (AES). The VAC+ requires PIX OS
version 6.3(1) or higher with a DES, 3DES/AES license.
2 magrСпасибо за инфу по производительности.
А что такое policy-based роутинг и для чего он нужен ?
Собственно уточню вопрос если мне только VPN надо до удаленной площадки поддерживать, то PIX видимо лучше чем router ?
Вроде и дешевле и производительнее для VPN...