Temat: IPS - wybor

nie jestem na biezaco z IPS, a zastanawiam sie nad wyborem; chodzi o srednia firme, dostep dla nowopisanej aplikacji m.in. z internetu, i w zwiazku z tym zapezpieczenie (klient sie upiera) tego ruchu IPS-em; urzadzenia jakie sie pojawily na krotkiej liscie to:

- fortigate 100D
- juniper srx220
- barracuda f200
- alternatywnie snort

i co mnie boli w powyzszych
- urzadzenia sa podobnej klasy, natomiast wystepuje ogromna roznica miedzy deklarowana przepustowoscia w trybie ips: barracuda to zalednie 80mbit, podczas gdy oba pozostale to 950mbit; ktos moze wie z czego to wynika? to jakies uwagi pisane malym drukiem ktorych nie znalazlem, czy tez faktycznie urzadzneia moga sie az tak roznic?
- dla snorta (wiem ze to soft nie hardware, ale i tak rozwazam) nie znalazlem zadnych wskazowek jak policzyc jego wydajnosc - ktos moze jest na biezaco, i podpoiwe czy jest jakis sposob zeby policzyc jaki ruch obsluzy snort?
- dla pierwszych 3 nie znalazlem w sieci informacji o uaktoalnieniach: jak sa czeste, ile kosztuje subskrypcja; ktos moze uzywa ktoregos z urzadzen i podpowie?
- no i moze ktos moze polecic (lub chetniej nie polecic) ktores z powyzszych urzadzen?Ten post został edytowany przez Autora dnia 14.04.14 o godzinie 10:23

Temat: IPS - wybor

Rozumiem, ze przepustowosc jest wazna, ale przy wyborze rozwiazania bym sie zastanowil co mamy ochraniac, a dopiero w drugim punkcie jak. Trudno cos poradzic jesli sie nie wie czym jest ta owa tajemnicza aplikacja.

Temat: IPS - wybor

Tomasz S.:
- urzadzenia sa podobnej klasy, natomiast wystepuje ogromna roznica miedzy deklarowana przepustowoscia w trybie ips: barracuda to zalednie 80mbit, podczas gdy oba pozostale to 950mbit; ktos moze wie z czego to wynika? to jakies uwagi pisane malym drukiem ktorych nie znalazlem, czy tez faktycznie urzadzneia moga sie az tak roznic?

Tego typu rozbieżności wynikają ze sposobu wyliczania przepustowości. Jedni producenci analizują ruch zbliżony do normalnego, inni przyjmują najbardziej optymistyczne założenia, żeby tylko wynik ładnie wyglądał. Z wymienionych powiedziałbym, że najbardziej naciąga rzeczywistość Fortinet.

- dla snorta (wiem ze to soft nie hardware, ale i tak rozwazam) nie znalazlem zadnych wskazowek jak policzyc jego wydajnosc - ktos moze jest na biezaco, i podpoiwe czy jest jakis sposob zeby policzyc jaki ruch obsluzy snort?

Snort obsłuży tyle, na ile starczy mu wydajności sieciówek i mocy obliczeniowej. Za dużo jest możliwości, żeby po prostu odpowiedzieć na to pytanie.

- dla pierwszych 3 nie znalazlem w sieci informacji o uaktoalnieniach: jak sa czeste, ile kosztuje subskrypcja; ktos moze uzywa ktoregos z urzadzen i podpowie?

O takie szczegóły, a zwłaszcza o ceny, to proponuję pytać partnerów konkretnych producentów. Dodatkowo mają oni możliwość wypożyczenia urządzeń do testów.

- no i moze ktos moze polecic (lub chetniej nie polecic) ktores z powyzszych urzadzen?

Ja mam doświadczenie z Juniperami. Działają nieźle. Kolega kiedyś chwalił Fortigate.

Temat: IPS - wybor

Ja mam kilka klastrów 100D i 110C.
Cena aktualizacji na 3 lata to chyba jakieś 1900 euro (klaster).
IPS aktywnie używany na ruchu do i od stref produkcyjnych.Aktualizacje codzienne, możliwość pisania własnych.

Temat: IPS - wybor

A nie myślałeś o czymś typu Zentyal ? Jeśli to tylko wymaganie klienta i nie wskazuje on rozwiązań to po co przepłacać. W pakiecie masz snorta. Konfiguruje się łatwo szybko i przyjemnie.
http://doc.zentyal.org/en/ids.html
Jeśli chodzi o wydajności urządzeń to często to co jest deklarowane rozmija się z rzeczywistością w tym przypadku jest zwykle zaniżone. Większość producentów udostępnia testowo za darmo swoje rozwiązania, może warto przetestować i zobaczyć co Ci leży i się sprawdza ?