Страница 1 из 1

Замена BorderManager

СообщениеДобавлено: 21 мар 2018, 20:37
Михаил Цветаев
Андрей Добров писал(а):............

Могу предложить на замену FоrtiGаtе в исполнении - виртуальная машина. SSO с eDirectory работает.
Только я имею релиз под VMWare. Если виртуализация имеется в конторе .... то на 90% замена адектватна Бордюру.


Н....да странная вещь этот FortiGate. И есть вопросы
- как избежать систематического слетания лицензий
- как запустить запросы агента eDirectory для SSO через SSL
- как запустить агента eDirectory под Win x64 или может имеется другая версия.


Ищу замену Бордюру и наткнулся на прогу keyshieldsso.
Создали чешские товарищи. Ни кто не пробовал использовать в связке с SQUID. Имеется ли опыт работы и качество такой связки?

Re: Замена BorderManager

СообщениеДобавлено: 22 мар 2018, 08:44
skoltogyan
ищите такие, что покупать надо или free ?

из платных, можно попробовать керио.

фортик - не замечал, что-бы "слетала лицензия".
мне в нем не понравилось:
- не поддерживает openvpn
- через ssh не удобно им управлять
- меньшая гибкость в настройках, по сравнению с решениями на базе линукс.

Re: Замена BorderManager

СообщениеДобавлено: 22 мар 2018, 09:54
URRY
Мы используем McAfee Web Gateway , не совсем бесплатная , но работой довольны.
С eDir дружиться за 5 секунд

Re: Замена BorderManager

СообщениеДобавлено: 22 мар 2018, 09:57
Сергей Дубров
skoltogyan писал(а):ищите такие, что покупать надо или free ?

из платных, можно попробовать керио.

фортик - не замечал, что-бы "слетала лицензия".
мне в нем не понравилось:
- не поддерживает openvpn
- через ssh не удобно им управлять
- меньшая гибкость в настройках, по сравнению с решениями на базе линукс.

А в чём неудобство управления через ssh для фортинета?

Мы сейчас находимся в процессе выбора/тестирования нескольких решений для граничного firewall-а (все NGFW). Текущее решение - Cisco ASA-X, перестала удовлетворять по некоторым критериям. Смотрим (или планируем):

    UserGate от entensys (наши, новосибирские импортозамещатели)
    PaloAlto (PA-5020)
    ASA+firepower
    Huawei (USG6350)

Не заказывали на тестирование, но немного посмотрел вживую FortiGate - пока понравился больше всех, хочу узнать про недостатки/проблемы. UserGate нам точно не подходит, т.к. нет API управлялки, cli через ssh крайне убог и малофункционален, snmp - только мониторинг, основная рулёжка подразумевается через web-морду - категорически не устраивает.

Наша текущая ASA-5525-X сейчас рулится (в основном) через cli (ssh-expect в скриптах), в гуи настраиваем только то, что в cli делается а) редко б) неудобно (н-р, создание объектов/групп, правила и т.п.). Из скриптов мы заливаем актуальные white/black/ban-листы, конфигурим biNAT - благо cli в цисках традиционно могуч и продвинут :). В fortigate понравился живой, умный мониторинг - в реалтайме видно кто-куда-откуда-И-КАКОЕ ПРИЛОЖЕНИЕ сейчас открыло соединения! Нас тут замордовали правобладатели, мол, раздаём нелегально контент в торрентах. С текущей ASA-ой ловить очередного торрентовода весьма не просто (нам хочется именно не тупо блокировать, а мониторить, и селективно и удобно управлять процессом).

Чуть в сторону, но близко к теме: у нас в сети возникало уже несколько случаев странного трафика, который я так и не смог опознать: хост открывает наружу несколько тысяч(!)(рекорд ~25000 states) TCP (не UDP, как торренты) соединений на port destination 8000 или 37777 (были варианты только на один из этих портов - чаще, - иногда на оба). Навскидку посмотрел, куда идут коннекты - обычно какие-то хостинги/облака. И, что откровенно удивило в крайний раз - в двух случаях такими хостами с тысячами TCP-коннектов были... принт-серверы (оба им.HP). Понять, что это было - не удалось. Блокировка на граничном fw таких хостов к видимым последствиям не приводила... Никто не сталкивался с подобным?

Re: Замена BorderManager

СообщениеДобавлено: 22 мар 2018, 16:40
Андрей Добров
Михаил Цветаев писал(а):
Андрей Добров писал(а):............

Могу предложить на замену FоrtiGаtе в исполнении - виртуальная машина. SSO с eDirectory работает.
Только я имею релиз под VMWare. Если виртуализация имеется в конторе .... то на 90% замена адектватна Бордюру.


Н....да странная вещь этот FortiGate. И есть вопросы
- как избежать систематического слетания лицензий
- как запустить запросы агента eDirectory для SSO через SSL
- как запустить агента eDirectory под Win x64 или может имеется другая версия.


Ищу замену Бордюру и наткнулся на прогу keyshieldsso.
Создали чешские товарищи. Ни кто не пробовал использовать в связке с SQUID. Имеется ли опыт работы и качество такой связки?


- Если Вы используете, то что я Вам выкладывал, то там нет понятия лицензии как таковых. Это демо на 60 дней и если Вы всё правильно сделали - то у Вас должно быть время демо режима 10 лет.
- не знаю зачем Вам запросы агента eDirectory через SSL, я использую режим агента native, т.е. если стоит клиент от Novell то ни во что запросы заворачивать не надо.
- есть такой грех, на сервере Windоws 2008R2 агент уходит в аут, точнее не запускается как сервис. Но если запустить его на Win7(x64) - то всё работает без проблем. Я использую старый добрый Windоws2003R2 в минимальной конфигурации винды и не задумываюсь. В виртуальной среде минимум затрат. Работает годами без проблем.

Re: Замена BorderManager

СообщениеДобавлено: 23 мар 2018, 08:29
Сергей.М.
Сергей Дубров.

Тогда не ASA с Firepower лицензией, а непосредственно Firepower. У ASA перспектив нет.
Ну и готовьтесь к web управлению в Firepower. CLI в нем урезанный и предназначен для первоначального развертывания.

Re: Замена BorderManager

СообщениеДобавлено: 25 мар 2018, 12:00
skoltogyan
а чем не подходит то, что дает iptables + iproute c qos на Linux ?

Re: Замена BorderManager

СообщениеДобавлено: 26 мар 2018, 14:37
Ковалев Артем
skoltogyan писал(а):а чем не подходит то, что дает iptables + iproute c qos на Linux ?

А как ЭТО вязать с eDir и управлять группами в дереве? :mrgreen:

Re: Замена BorderManager

СообщениеДобавлено: 02 апр 2018, 15:37
Михаил Цветаев
Андрей Добров писал(а):......
- Если Вы используете, то что я Вам выкладывал, то там нет понятия лицензии как таковых. Это демо на 60 дней и если Вы всё правильно сделали - то у Вас должно быть время демо режима 10 лет.
....

Лицензии "обнуляются" если виртуальной машине с FоrtiGаtе дать больше чем один процессор и добавить памяти.

Уже осознал, что прыгать в лево или право по ресурсам от того что есть при развертывании appliance от FоrtiGаtе - нельзя.

Re: Замена BorderManager

СообщениеДобавлено: 03 апр 2018, 08:27
Dimerson
Недавно тут вымирал ФортиГейт 90E в одном филальчике (напаянный флеш на маке сдох). Создали кейс. В течении 1 рабочего дня новый на замену был уже в МСК. Ну и транспортной 2 дня - новый тут а мертвый курьером тем же назад.

В целом с саппортом у Форти все ок.