Protezione Rete con Firewall Hardware

Tutte le risposte

• giovedì 22 novembre 2012 20:41

   

   
  

  0

  Ciao,

  visto che devi proteggere la tua rete aziendale il firewall va messo prima del router e non dopo (ma sono sicuro che è una svista...).

  Il firewall ispeziona i pachetti (intestazione e/o contenuto) tra due porte, per generalizzare LAN/WAN quindi la parte riguardante "Rilevazione attività malevoli...." la puoi gestire esclusivamente attraverso i log o sistemi di autoprotezione del firewall se queste attività malevoli generano traffico tra le due porte oppure se bombardano il gateway. Per le altre richieste mi sembranno tutte normali attività di un firewall.

  Per quanto riguarda la questione semplicità e costo dipende da cosa intendi per semplicità e da quanta dimestichezza hai con queste problematiche. Per il prezzo e per la scelta dell'apparato dipende dalle dimensioni della tua azienda, ovvero da quanti nodi devi proteggere, da quanti connessioni contemparanee devi stabilire, da quante VPN devi gestire, se vuoi servizi UTMo meno... come vedi le domande sono tante.

  Giusto per avere un'idea potresti indicare quanti PC/Server devi coprire, se devi pubblicare all'esterno servzi (http, ftp, mail, etc.).

  Non ho capito i tre riferimenti GFI, potresti spiegarti meglio.

  Saluti

  Nino

  • Contrassegnato come risposta Anca PopaMicrosoft Contingent Staff, Owner martedì 27 novembre 2012 09:53
  • Contrassegno come risposta annullato Edoardo BenussiMVP, Moderator lunedì 3 dicembre 2012 08:02
  •  
   
• sabato 24 novembre 2012 12:20

   

   
  

  0

  Ciao,

  Prima o dopo, questioni di punti di vista. Penso che comunque diciamo la stessa cosa ma in modi diversi.

  Pc1
  Pc2         Switch      Firewall      RouterAlice
  Pc3...

  Le dimensioni della azienda sono di circa 10 pc, ma collegati contemporaneamente a internet contemporaneamente  circa 5.

  Si voglio servizi UTM

  Sul Router "NAT" ho aperto circa 5 porte, di cui 2 connessione desktop remoto, 1 per connettersi al centralino, 1 per VPN, 1 per monitoraggio pannelli solari.

  Non ho servizi web o mail interni da cui accedere dall'esterno a parte quelli sopra.

  I riferimenti a GFI sono per dire che vorrei un firewall che abbia anche questi servizi ma forse chiedo troppo.

  COMUNQUE dopo aver scandagliato tutti i principali produttori di Firewall ho definoto 3 prodotti che andrebbero bene, quale consigli.

  Sarei indicato per il Dlink Dfl-160, GRAZIE PER IL SUPPORTO

  265Euro Netgear UTM5 http://www.netgear.it/prodotti/aziende/security/UTM-series/UTM5.aspx#one Ma forse è meglio UTM10 o UTM9S

  280Euro Dlink Dfl-160 http://www.dlink.it/cs/Satellite?c=Product_C&childpagename=DLinkEurope-IT%2FDLProductCarouselMultiple&cid=1197381471058&p=1197357770506&packedargs=ParentPageID%3D1197337625632%26TopLevelPageProduct%3DBusiness%26locale%3D1195806717957%26packedargs%3DProductParentID%253D1197318458672&pagename=DLinkEurope-IT%2FDLWrapper

  339Euro Zyxel ZyWall Usg50 http://www.zyxel.it/web/product_family_detail.php?PC1indexflag=20040908175941&CategoryGroupNo=F62EB55E-DA45-4CA3-B120-7642ED195DB2

   
• sabato 24 novembre 2012 13:32

   

   
  

  0

  Certo non sono marchi leader del settore ma penso che per le tue esigenze possano andare bene.

  Presumo che sul router sia già attivo un NAT quindi verifica che possa girare tutto al firewall, in alternativa l'ideale sarebbe di arrivare alla WAN del firewall con l'IP pubblico non nattato.

  Saluti

  Nino

   
• sabato 24 novembre 2012 13:43

   

   
  

  0

  Il firewall è quello di Fastweb (ma lo devono ancora installare), come verifico se posso togliere il nat (si può? Non capisco, ora se da fuori da internet scrivo mioip:porta il router mi reidirizza all'ip interno e alla porta che gli ho detto.... in alternativa disattivando il nat non vovrebbe reindirizzare a nulla).

  "in alternativa l'ideale sarebbe di arrivare alla WAN del firewall con l'IP pubblico non nattato."

  Come si fa? Grazie

  Scusa ma non ho mai implementato un firewall, hai qualche articolo tecnico? Nel caso comunque prima dell'acquisto contatterei l'assistenza tecnica del firewall.

  Grazie

   
• sabato 24 novembre 2012 14:01

   

   
  

  0

  Mi sembra di capire che stai attrezzando un ufficio, potresti dirmi il tuo ruolo? Hai aperto un paio di 3D ma non ho capito se sei la proprietà o se sei un dipendente a cui hanno dato il compito di gestire l'IT.

  Fastweb non ho il dispiacere di conoscerla, mi basta Telecom... Per quanto riguarda gli IP dipende da quello che hai acquistato (IP statico, IP Dinamico, Pool di IP)

  Per quanto riguarda l'assistenza tieni conto che rispondono per guasti o piccoli inconvenienti per il resto ci sono i Partner ed i vari Forum.

  Saluti

  Nino

   
• sabato 24 novembre 2012 14:07

   

   
  

  0

  Ciao,

  Sono un dipendente della azienda che gestisce la rete. Un ip statico.

   
• domenica 2 dicembre 2012 08:19

   

   
  

  0

  Con un solo IP non puoi avere IP pubblici lato LAN in quanto l'unico che ti forniscono è assegnato al router.

  Devi acquistare un pool di indirizzi pubblici (in genere 5) per poterli utilizzare direttamente.

  • x.x.x.1 network non utilizzabile
  • x.x.x.2 gateway assegnato al router
  • x.x.x.3 libero da assegnare al firewall
  • x.x.x.4 libero da assegnare al firewall
  • x.x.x.5 libero da assegnare al firewall
  • x.x.x.6 libero da assegnare al firewall
  • x.x.x.7 libero da assegnare al firewall
  • x.x.x.8 broadcast non utilizzabile

  Ovviamente questa soluzione prevede due appararti  separati (router e firewall) configurati separatamente.

  Se Fastweb ti deve installare router/firewall puoi vedere come si comporta e se puoi implementare quanto ti occorre.

  Saluti

  Nino

   
• domenica 2 dicembre 2012 10:52

   

   
  

  0

  Ciao,
  innanzi tutto grazie mille per i preziosi consigli. Ho anche parlato con il tecnico fastweb che mi ha detto che riesce a portare l'ip pubblico sul firewall ma tu ora mi dici diversamente.
  
  Io ora sul Router "NAT" di Telecom ho aperto circa 5 porte, di cui 2 connessione desktop remoto, 1 per connettersi al centralino, 1 per VPN, 1 per monitoraggio pannelli solari e per accedere dall'esterno dalla rete scrivo mioip:porta1000 per centralino,  mioip:porta1001 per pannelli solari...... e il router reindirizza all'ipinterno:porta del pc interessato.
  
  Quindi non mi è chiaro a cosa mi servano diversi ip, per mettere il firewall devo per forza avere più ip?
  
  Inoltre ho visto che i firewall che ho citato sopra sono senza licenze, con licenze costano molto di più e hanno anche costi annuali parecchio alto. Conosci un prodotto adatto che costi poco? Tieni conto che si tratta di circa 10 pc, ma collegati contemporaneamente a internet contemporaneamente circa 5 e le porte da aprire in ingresso sono solo 5.

  In alternativa esiste qualche altro prodotto che può fare la caso mio per monitorere le attività della rete?

  Grazie mille per il supporto.

  
  

   
• domenica 2 dicembre 2012 14:24

   

   
  

  0

  Gli IP aggiuntivi generalmente si utilizzano per pubblicare servizi all'esterno ma non sono indispensabili in tutti i casi.

  La possibilità di utilizzare  un IP pubblico dipende dalla subnet assegnata dal gestore, ti faccio un esempio:

  • IP pubblico n.n.n.n/27 puoi gestire 5 host
  • IP pubblico n.n.n.n/30 puoi gestire 2 host

  quindi se il router si presenta con un IP pubblico non è detto che tu possa configurare un IP pubblico nella porta WAN del firewal perchè potrebbe non fare parte della subnet corretta. Chiedi lumi al tecncio Fastweb e magari riporta l'idirzzamento che ti hanno assegnato (debitamente mascherato es. n.n.n.n 255.255.255.240).

  Vedi questo articolo http://it.wikipedia.org/wiki/Subnet_mask

  Per quanto riguarda la questione licenze il discorso è semplice: il sistema si evolve giornalmente e gli apparati devono essere in grado di evolversi di conseguenza. Antivirus, Antispam, IDS non possono essere statitici altrimenti non fanno bene il loro lavoro. Ne consegue che se questi apparati si aggiornano in maniera gratuita (come un antivirs free) probabilmente riescono a fare il loro lavoro fino ad un certo livello. Quello che conta non sono il numero di client che si collegano ad internet ma quello che questi client gestiscono. Una piccola azienda di produzione che fattura migliaia di euro mensili pur avendo pochi PC ha la stessa necessità di sicurezza di una azienda che ha migliaia di PC ma che potrebbe fatturare proporzionalmente meno della piccola.

  Tu conosci il cliente, quindi è tua la decisione tecnico/commerciale.

  Saluti

  Nino

   
• domenica 2 dicembre 2012 14:31

   

   
  

  0

  Ciao,

  acquisto Firewall circa 300/350€ e aggiornamenti 100€ anno.

   
• domenica 2 dicembre 2012 14:34

   

   
  

  0

  Ah dimenticavo,

  per non parlare del fatto che non capisco se esiste solo 1 tipo di licenza per un prodotto o tante. Insomma non so cosa fare e i fornitori mi fanno prezzi molto diversi, non capisco se è perchè hanno prezzi diversi o se cambiano le licenze. Poi da configurare che tipo di conoscenze servono?

  Grazie Ancora.

   
• domenica 2 dicembre 2012 15:14

   

   
  

  0

  Quando ti ho chiesto che ruolo aziendale hai mi hai risposto "Sono un dipendente della azienda che gestisce la rete". Se non ho interpretato male la tua risposta sei un dipendente della società che gestisce la rete del cliente finale", in poche parole un IT.

  Ma le tue domande mi fanno pensare che sei un dipendente dell'azienda nella quale devi implementare il tutto.

  Quindi non so se considerarti un collega con poca esperienza od un utente finale con molta fantasia (senza offesa).

  Se sei un collega ti consiglio di farti una lettura delle schede tecniche dei prodotti identificati e di contattare il produttore oppure il distributore per avere tutti i chiarimenti del caso (informazioni come quelle sulle licenze potrebbero essere poco visibili, magari visibili solo al canale di vendita).

  Se sei un utente finale ti consiglio di farti supportare da un partner tecnologico che possa avere l'esperienza di installarti, configurarti e supportarti per tutto il ciclo di vita dell'apparato.

  Saluti

  Nino

   
• domenica 2 dicembre 2012 16:02

   

   
  

  0

  Ciao,

  onde evitare equivoci, lavoro nella azienda dove stiamo passando da Telecom a Fastweb. Dove ci sono un paio di problemi che sto cercando di risolvere e si stanno risolvendo. Gestisco la rete, il server e i 9 computer e le stampanti ecc. ecc. Collaboro con i fornitori di informatica e di telefonia della azienda dove lavoro chiedendo loro preventivi e guardando quello che fanno quando vengono in modo che facciano il lavoro ad arte.

  Comunque considerami un collega che ha la tua stessa passione, segue decine (molte decine) di blog ogni settimana di informatica ma che ha visto al massimo un paio di aziende e una di quelle e quella per cui sto lavorando, quindi chiedo lumi a chi ha fatto centinaia di installazioni e magari sa consigliarmi un prodotto adatto alle mie esigenze. Ho scritto qui per acquistare backup..... ecc. ecc. e sempre mi avete dato consigli adatti che hanno dato ottimi risultati.

  Spero di essermi spiegato (senza offesa). .. sono un sistemista.

  Avevo già pensato di prendere un Firewall per proteggere la rete questa estate e adesso avendo dovuto aprire parecchie porte sul router e avuti problemi sulla rete ho deciso di implementarlo. Ora ho chiamato direttamente i produttori di Firewall e mi hanno risposto.

  Netgear che il prodotto adatto è UTM10 e non il 5.

  Dlink che il Dfl-160 non viene più prodotto

  Zyxel di contattare un rivenditore certificato e che il prodotto è il ZyWall Usg50

  Ho quindi contattato i venditori, e qui ognuno dice la sua, i prezzi dello stesso prodotto variano da 350 a 550€ per lo stesso prodotto e le licenze sempre per lo stesso prodotto variano da 150 a 350€. Ora chi ha molta fantasia non sono io ma sono i venditori (con tutto rispetto) che non sono preparati o che voglio vendermi 10 licenze per Vpn quando al massimo ne userò due.

  Comunque penso mi indirizzerò sul Zyxel ZyWall Usg50 che ho trovato a 350€ (devo vedere se ha le licenze incluse) e le licenze annuali a 150€, tale marca è stata consigliata anche qui http://social.technet.microsoft.com/Forums/it-IT/sicurezzait/thread/3ecaf7dd-91fd-4e19-a8be-00b8d7c192c2 (si si, ho cercato tutte le discussioni che riguardavano firewall e antivirus sul forum tech net). Poi ha il back up automatico con la chiavetta 3g (si fastweb me ne regala 1 con traffico illimitato).

  Quindi Grazie.

  Ah dimenticato per l'ip ho contattato il consulente fastweb che mi contatterà a breve e il tecnico mi ha detto che ha già installato adsl dove c'erano firewall e non ha avuto problemi a portare l'ip pubblico sul firewall.

  Vi farò sapere nei prossimi giorni l'evolversi della situazione.

   
• domenica 2 dicembre 2012 16:45

   

   
  

  0

  Adesso ti sei spiegato perfettamente, la mia era solo una domanda per capire il tipo di risposte da dare.

  Guarda per il firewall che hai scelto puoi verificare il prezzo direttamente sui due store on-line. Ci sono due modelli, uno senza servizi UTM ed uno con servizi UTM per un anno.

  Non conoscendo tecnicamente quel brand  l'unico dubbio che mi viene è sul numero di client gestiti (10). A volte con il termine "client" viene commercialmente (volutamente) mascherato il termine "nodo" quindi potresti ritrovarti con un apparato sottodimensionato perchè per nodi si intendono schede di rete attiva (Acces Point, Stampanti, etc.). In ogni caso prendere un apparato a pelo non mi sembra una buona idea.

  Che ti trovi fai una visita al sito della WatchGuard ed in particolare la linea XTM2.

  Saluti

  Nino 

   
• venerdì 14 dicembre 2012 14:08

   

   
  

  1
   

  > in seguito a problemi che ho avuto e che ho (sono in fase di

  > risoluzione) sulla rete volevo mettere un firewall hardware da

  > mettere appena dopo il router di internet.

   

  Prima di tutto, assicurati che il "gateway" (l'attuale router) possa

  essere configurato in modalità "bridging"; in tale modalità l'apparato

  si comporterà (quasi) come un "banale modem" ossia sarà trasparente

  rispetto alla rete, il che significa che il firewall che andrai ad

  installare avrà i tuoi IP pubblici sulla propria interfaccia "WAN" e

  che qualsivoglia eventuale port-forwarding etc... verrà gestito proprio

  dal firewall (ossia sarà sotto il tuo controllo); detto ciò, prima di

  procedere con la scelta dell'apparato adatto, sarebbe opportuno

  valutare ciò che ti serve (es. VPN, VoIP, UTM ... etc ...) dato che i

  prezzi variano notevolmente in base alle funzionalità.

   

  Detto ciò, ti consiglierei di evitare "il brodo classico", ossia i

  prodotti di marchi tipo "Zyxel", "WatchGuard" et similia (non perchè

  siano malvagi ma semplicemente perchè hanno un rapporto tra prezzo ed

  effettive caratteristiche assurdo) e di dare invece un'occhiata ai

  prodotti di NetASQ [1] o, volendo risparmiare qualcosa (ma avendo

  comunque un ottimo rapporto prezzo-qualità/features [e prestazioni]) a

  quelli di DrayTek [2]; in entrambi i casi (nota: NON ho alcun tipo di

  rapporto commerciale con i vari marchi, esprimo solo la mia personale

  opinione) credo ti troverai soddisfatto

   

  In qualsiasi caso, prima di saltare a piè pari, cerca di raccogliere

  quanti più dati possibile sulle tue reali esigenze, valuta le

  possibilità di espansione dell'infrastuttura esistente (es. aumento di

  workstations, implementazione di servizi, etc...) e considera ANCHE

  tali valori come parametri per la scelta dell'apparato

   

  Ciao

   

   

  [1] http://www.netasq.com/

      http://www.netasq.com/en/about/contact.php

   

  [2] http://www.draytek.com

      http://www.draytek-corp.it/

   

   

   

   

   
   
• domenica 23 dicembre 2012 12:40

   

   
  

  0

  Ciao a tutti,

  grazie per il supporto, alla fine ho optato per ZyWALL USG 50, cercando bene l'ho trovato a ottimo prezzo con tutti i servizi UTM inclusi per 1 anno!!!

  Include tutti i servizi che mi servivano tra cui:

  Firewall con controllo di cosa entra o cosa esce dalla rete.

  Rilevazione attività malevoli (virus malware) sulla rete.

  Connessione di rete per wifi (in modo che il wifi anche controllato). (ho installato un access point collegandolo allo switch)

  Che sia in Italiano e che non costi troppo (è in inglese ma ho trovato documentazione in italiano, costo perfetto)

  Che sia semplice e veloce da usare (non è poi così semplice ma con i manuali e i log ci si arrangia)

  Protezione completa della rete per aziende (grazie ai log si ha il controllo completo)
  

  Volevo informarvi che Fastweb ha lavorato benissimo. Ora ho capito a cosa servono vari IP. In pratica il firewall ha 2 reti una lan con ip aziendale e una Wan con ip pubblico (mentre con telecom l'ip pubblico era sul router e c'era di conseguenza il doppio nat, uno sul router e uno sul firewall)  dato da Fastweb (in realtà sono 4, 1 libero per il firewall e 3 impegnati per il network, gateway, broadcast).

  GRAZIE A TUTTI PER IL SUPPORTO.

  Netasq e Draytek sono prodotti che non conosco, rimane il fatto che sempre su questo forum era stato consigliata come marca Zywall di Zyxel.