Firewall para pequenas empresas / dispositivo VPN [fechado]

No trabalho, instalei recentemente um Cisco ASA 5505, em uma função de firewall de pequeno escritório, ponto de extremidade VPN site2site e ponto de extremidade VPN roadwarrior. É sólido e confiável. Ciscos web GUI é limitado, sabendo que o seu caminho em torno da linha de comando da Cisco é praticamente necessário.

A Cisco está dividindo seu software cliente VPN, o antigo cliente baseado em IPSec está lentamente desaparecendo, e o novo SSL está ganhando força. Um exemplo disso é que nenhuma versão de 64 bits está planejada para o cliente IPSec antigo. Más notícias para você, o SSL é licenciado separadamente e muito mais caro.

Devo configurar novamente a VPN 'roadwarrior', insisto na integração do Active Directory. Nossos usuários estão constantemente esquecendo as senhas da VPN, já que são separadas da AD, que usam diariamente no escritório. Mudar as senhas não é muito trabalhoso, mas uma boa parte da produtividade é perdida. Nossos usuários frequentemente tentam sua VPN de casa na noite anterior a um prazo ...

O uPnP seria surpreendentemente bom. Muitos de nossos usuários fazem uso do Skype ou de qualquer outra coisa que precise de tráfego passado pelo firewall para funcionar de maneira ideal. Sim, há um strong argumento de segurança a ser feito contra a uPnP; a escolha é sua para fazer.

E último - estatísticas. O Cisco ASA tem uma boa seção de estatísticas e pode ajudá-lo a solucionar certos tipos de problemas de rede. Eu não quero um firewall (ou muito equipamento de TI em geral) que não possa me fornecer uma visão do que está acontecendo, nos raros dias em que há um problema ilusório na rede.

O Kerio WinRoute Firewall tem integração AD, uPnP, se você quiser, e uma seção de estatísticas muito sólida. A Kerio tem um bom histórico em firewalls, seu firewall de estação de trabalho era líder de mercado por anos até que eles o venderam. Eu não trabalhei com o Kerio WinRoute, mas devo configurar um firewall de pequenas empresas novamente, eu iria escolher o Kerio WinRoute ou o Windows 2008 R2.

O 2008 R2 tem uma implementação de VPN realmente sólida e se integra perfeitamente ao Windows 7. A desvantagem é que o Windows 7 é necessário nos PCs clientes. Nós poderíamos aceitar isso, eu duvido que muitos outros possam agora.

Conheço o pfSense e muitas outras distribuições de firewall de código aberto. Eles são muito, muito legais. Para minhas necessidades de pequeno escritório, o desempenho adicional do pfSense no hardware de classe de PC não importa, já que estamos em uma linha de 10/10 mbit. E o preço de um pequeno ASA ou Juniper SSG não é proibitivo. Assim, um pfSense acaba competindo contra o ASA ou o Juniper SSG, e eu prefiro a simplicidade e pouco tempo para a implementação da versão pronta. Mas o pfSense é muito bom, para outras necessidades pode ser ótimo.

Então, para mim, seria:

• Uma configuração "DMZ" de dois firewalls, com um appliance de firewall bastante simples na frente e um firewall de software baseado em PC (Kerio, Windows 2008 R2) por trás para VPNs roadwarrior com integração AD.
• Uma configuração de firewall única, com um firewall baseado em PC (Kerio, Win 2008 R2) com 2 NICs (sem dúvida um pouco menos segura, mas duvido que seja um grande problema hoje em dia).

Agora, eu compraria o Kerio WinRoute (novamente, apenas olhando para o site deles, eu ainda não trabalhei pessoalmente com o Kerio WinRoute). Daqui a um ano, eu usaria o Windows 2008 R2, se você for uma loja apenas do Windows.

Recomendamos que você dê uma olhada no pfSense . Eu acho que é capaz em uma rede de 40 usuários e fácil de gerenciar. A interface web torna o gerenciamento do OpenVPN uma tarefa fácil.

Você não perderá nada tentando isso.

Eu tive sorte com o Cisco ASA-5505. É um pouco caro, mas é bom equipamento para configurar e tem sido confiável. Você pode encerrar uma variedade de protocolos VPN, incluindo PPTP, IPSEC e L2TP. Existe a funcionalidade SSL VPN, mas acredito que seja licenciada separadamente da unidade.

Tivemos muita sorte com os aparelhos Fortigate. Pelo dinheiro, eles têm mais recursos que os Cisco ASA e são mais fáceis de configurar.

Por cerca de US $ 1000 eu usaria um Draytek 2950 ou 3300. Na verdade, ambos devem dar a você muitas mudanças. Eu usei muitos desses roteadores e eles são muito bons, fáceis de configurar e oferecem recursos avançados, como o balanceamento de carga. Ambos fazem VPNs LAN para LAN IPSEC e suportam VPNs de discagem PPTP para usuários individuais. A discagem PPTP usa o suporte VPN integrado ao Windows e não precisa de nenhum software extra. No seu lugar, eu selecionaria o 2950, já que o 3300 provavelmente oferece coisas que você não precisará (como balanceamento de carga em até 4 portas WAN!).

O Draytek 2910 custa bem menos de US $ 1.000, mas não tem a potência necessária para suportar mais de duas ou três sessões VPN simultâneas.

JR

Eu tive uma boa experiência com IPCop no lado do software e algo de pcengines ou soekris no lado do hardware.

O IPCop fornece uma boa interface web que permite que você simplesmente faça o download da configuração do OpenVPN e cuide da maioria das coisas básicas de roteamento. Há também um grande número de plugins disponíveis como um proxy de cache

Temos usado o WatchGuard X500 nos últimos 5 anos (talvez quatro anos) para fornecer uma solução VPN para nossa empresa.

Com o final de 2008, o ciclo de produção deste fim de guarda e precisamos mudar. Então compramos o novo modelo. Mas VPN foi "dor no a * s" Não funcionou no Vista ou em qualquer outra plataforma, em seguida, o Windows.

Finalmente descobri o pfSense. Este sistema é completamente grátis e baseado no freeBSD. Eu o instalei no antigo hardware WatchGuard. Ele fornece uma infraestrutura openVPN baseada em SSL. Desde a mudança para o pfSense, não temos problemas com a conexão VPN E eu não preciso de nenhum cliente Windows (físico ou virtual) em casa, porque existem clientes openVPN para Windows, Mac OS e Linux.

Se você quiser ler mor - > clique em .

A esqueci: esta pequena caixa vermelha fornece este serviço para cerca de 80 usuários, dos quais 5 a 10 estão logados ao mesmo tempo.

Espero que isso ajude você um pouco.

Atenciosamente

arl da alemanha

Eu tenho um amigo consultor que jura pelos aparelhos de sonicwall, eles são em grande parte "Set and Forget", tanto quanto o administrador está em causa. Não significa que você não deve verificar seus registros regularmente!

Eu tive boas experiências com os dispositivos Checkpoint Safe @ Office .

• Integrated Wireless, pode segregar da rede interna
• Builtin VPN, incluindo seu próprio cliente (não tenho certeza se o cliente proprietário tem x64 ou não)
• Criação de log (incluindo a opção syslog, acredito, mas nunca usei isso)
• Manutenção de patch de atualização automática
• Alertas
• Muito fácil de configurar
• Muito estável

Coisas boas.

Definitivamente, o Cisco ASA5505 ou o 5510, se você puder pagar, eu tenho vários desses dispositivos (e antes disso eu usei o PIX 506e e o 515e). Quanto aos comentários anteriores sobre autenticação de diretório ativo, instalei o Microsoft Authentication Services (implementação RADIUS da Microsoft) em um dos servidores Windows no meu AD e configurei o ASA para autenticar a VPN no RADIUS.

Isso permite que os usuários usem suas senhas do AD e realmente simplificam minha vida, já que os usuários sempre esquecem de qualquer outra senha que você lhes der e, como disse Jesper Mortensen, isso geralmente acontece quando há uma crise na mão - como se eles estão em um prazo para enviar algum trabalho, que acaba em sua verdade, o sysadmin, recebendo uma chamada depois de horas para redefinir uma senha.

O ASA também permite configurar VPNs L2TP que funcionarão com o cliente nativo do Windows no Win2K e no XP (infelizmente não no VISTA e no Windows 7 - por causa de uma determinada microsoft assumir sua implementação mais recente do IPSEC, embora eu Tenho certeza de que as forças de mercado resultarão em uma ou outra forma da Cisco ou da Microsoft em suas interpretações específicas da RFC).

O ASA é um dispositivo razoavelmente bem estruturado e fácil de configurar, uma vez que você entenda o caminho da Cisco se aproximando do dispositivo (ou seja, tudo é NAT e os níveis de segurança nas interfaces) o que eu gosto no 5505 é que eles tem duas portas POE na parte de trás, às quais você pode conectar um telefone IP, ou um AP sem fio e economizar cabos extras.

A única crítica que tenho sobre o ASA é:

1. O licenciamento SSL limitado
2. O dispositivo tem uma fonte de alimentação externa, que tem um conector realmente frágil na parte de trás do dispositivo.
3. A fonte de alimentação, por algum motivo, faz esse tipo de ruído de assobio agudo, que pode ser irritante para algumas pessoas.

Se você estiver procurando por algo all-in-one, considere também os roteadores da série Cisco 800. Você pode obter algumas informações aqui link text . Eles têm um monte de bons que têm construído em Wireless, e se você tiver um serviço ADSL, você pode encontrá-los com modems ADSL2 + integrados, o que torna uma solução de escritório de caixa única. Eles executam o IOS 12.xe você pode obter versões do IOS que suportam o CBAC (listas de acesso baseadas em contexto) da Cisco - basicamente um firewall com monitoração de estado e criptografia em conjunto com o Cisco Easy VPN. Não tenho certeza se você tem proxies de aplicativos no CBAC, já que não os utilizei há algum tempo.

Usar a distro Linux chamada SmoothWall ( link ) é provavelmente o mais barato e fácil.

Você pode comprar um computador com o mínimo de US $ 100 no eBay e um cartão NIC extra e o seu negócio.