Ultimamente he estado ocupado haciendo una migración, donde GNU/Linux se imponga a Cisco/Pix
La batalla finalmente ha sido ganada por GNU/Linux, pero veamos que hacia el PIX
Características de este Pix
Protección a la red mediante listas de acceso.
Todo paquete entrante o saliente pasaba por el PIX
El Pix cuenta con 2 interfaces Ethernet una conectada a un Cisco/Router y otra a la LAN
El Cisco Router básicamente es solo un ruteador y es el lugar donde se conecta el puerto V35 del enlace dedicado, básicamente esa es solo su función.
Cisco Pix hace NAT Dentro (NAT) / Fuera (NAT INVERSO) de la red, el NATeo inverso esto significa que ningún servidor que deba dar algún servicio en internet este expuesto a la misma, el PIX recibe los paquetes a la dirección IP especifica y luego los redirección a la RED LAN donde son recibidos exitosamente por el servidor al que iban destinados. En caso de un DoS o DDoS el PIX evita que el servidor destino reciba los paquetes, un AntiDoS físico
Características del GNU/Linux-PIX
Todas las anteriores, protección mediante listas de acceso, 2 tarjetas Ethernet, etc, etc.
Proxy transparente, obligatorio. No es posible salir a internet sin pasar por el Proxy, lo que ha resultado en un ahorro considerable de ancho de banda.
Permite VPN encriptadas desde 128 bits entre él y el host remoto, asi cualquier sesión inclusive la de un telnet queda protegida de cualquier snifer en la red
Permite el uso de certificados SSL de 256 bits firmados por una autoridad certificadora para los servidores WEB, para que la transferencia de información sensible sea virtualmente no interceptable, haciendo inefectivo snifers.
QoS – Calidad de servicio, de esta forma los servicios menos prioritarios no le roban ancho de banda a los servicios prioritarios, así aunque 70 usuarios estén bajando basura del ares y otros peer to peer o descargando el ISO del último Ubuntu vía FTP, las páginas prioritarias por ejemplo, de los bancos abrirán tan rápido como si nadie más estuviera descargando archivos de la red.
Implementación por el lado económico
Todo este poder de firewall se puede realizar con equipo inferior a los 1000 dólares y hasta a 64 bits de procesador
El Pix tiene un costo de varios miles de dólares
Imágenes del PIX derrotado y ahora exiliado
Imagen del servidor GNU/Linux y nuevo Firewall de la red
Interesante, saludos Lastdragon.
Muy interesante, ya que muchas compañias podrian tener una infraestructura de red por muchos menos pesos que invertir en un equipo de esos. Cuales son las caracteristicas de la pc que usastes(procesador, memoria, disco duro)? Crees que sea posible usar un equipo “reciclado” para dar este tipo de servicios dentro de una red?
Es un Dell Edge
processor : 0
vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Xeon(TM) CPU 2.80GHz
stepping : 9
cpu MHz : 2780.927
cache size : 512 KB
physical id : 0
siblings : 2
core id : 0
cpu cores : 1
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 2
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe cid xtpr
bogomips : 5564.03
processor : 1
vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Xeon(TM) CPU 2.80GHz
stepping : 9
cpu MHz : 2780.927
cache size : 512 KB
physical id : 0
siblings : 2
core id : 0
cpu cores : 1
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 2
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe cid xtpr
bogomips : 5560.81
Mem: 2075648k total
Disco duro arreglado para llegar un Tera.
El equipo anterior por que se trata de una compañia grande y que todos sus equipos los compran en DELL
pero…
tambien pudo ser una AMD64 armada con un par de discos SATA o IDE arreglados. o un simple pentium IV
Iinteresante el tema, en terminos economicos y tecnicos, una pequeña empresa (4 equipos conectados alambricamente y 5 inalambricos mas 4 impresoras), cuanto crees que tendria que invertir para montar una red, con servidor de archivos y de impresion, claro incluyendo los costos del programador, saludos.
thap
desde 10,000 pesos mexicanos o 1000 usd, usando cosas genericas. algo mas caro si quieres comprar hardware para servidores como los dell poweredge
Les dejo un analisis (uno más) sobre como comparar un linux y un CISCO
http://netvulcano.wordpress.com/2009/09/11/ruteo-en-linux-vs-cisco-i/
Saludos
Podria por favor especificar que distribución de GNU/Llinux esta ocupando para sustituir a Fortinet? y donde puedo encontrar literatura para configurarlo?. Gracias
la distribución no importa si usas ipfilter con iptables, aunque si quieres algo muy similar podrías usar clearOS