¿Por qué comprar firewalls de hardware de gama alta?

Existen firewalls de Juniper y Cisco que cuestan más que una casa.

Entonces, me pregunto: ¿qué se obtiene de un servidor de seguridad de $ 10,000 + en comparación con un servidor 2U con 4 tarjetas de red de 10 Gbit funcionando, por ejemplo, OpenBSD / FreeBSD / Linux?

Los firewalls de hardware probablemente tengan una interfaz web.

Pero, ¿qué más se obtiene por un firewall de $ 10,000 o $ 100,000?

Es solo una cuestión de escala. Los firewalls de miles de dólares tienen características y capacidad que les permiten escalar y ser administrados globalmente. Una miríada de características que cualquiera que no las use tendría que investigar un poco antes de que (nosotros) pudiéramos apreciar sus méritos individuales.

Su enrutador doméstico típico realmente no necesita poder manejar una oficina llena de dispositivos o múltiples conexiones de ISP, por lo que es más barato. Tanto en el número / tipo de interfaces como en la capacidad del hardware (RAM, etc.). El firewall de la oficina también puede necesitar un poco de QoS, y es posible que desee que pueda hacer una conexión VPN a una oficina remota. También querrá un registro un poco mejor para esa pequeña oficina del que necesitaría para el firewall doméstico.

Siga ampliando eso hasta que necesite manejar unos cientos o miles de usuarios / dispositivos por sitio, conectarse a docenas / cientos de otros firewalls que la compañía tiene a nivel mundial y administrar todo con un pequeño equipo en una ubicación.

(Olvidé mencionar las actualizaciones de IOS, los contratos de soporte, las garantías de hardware, y probablemente haya algunas otras docenas de consideraciones que ni siquiera conozco ... pero entiendes la idea)

Por lo general, junto con el firewall de hardware, usted recibe una tarifa de mantenimiento anual recurrente y la promesa de una fecha futura en la que el "soporte de hardware" ya no estará disponible y tendrá que levantar el equipo y reemplazarlo (por ejemplo, Cisco PIX a la transición ASA). También te quedas atascado con una relación con un solo proveedor. Pruebe y obtenga actualizaciones de software para su Cisco PIX 515E de otros sistemas Cisco, por ejemplo.

Probablemente pueda decir que soy bastante negativo sobre el hardware de firewall especialmente diseñado.

Los sistemas operativos de código abierto y libre (FOSS) alimentan algunos dispositivos de firewall de "hardware" conocidos y no son tecnología probada de ninguna manera. Puede comprar acuerdos de soporte de software para FOSS de muchas partes diferentes. Puede comprar cualquier hardware que desee con cualquier acuerdo de repuestos / servicio que elija.

Si realmente está presionando muchos bits, quizás sea necesario un dispositivo de firewall de hardware especialmente diseñado. Sin embargo, FOSS puede cubrirlo en muchas situaciones y brindarle una gran flexibilidad, rendimiento y costo total de propiedad.

Ya ha tenido algunas buenas respuestas hablando de temas técnicos y soporte. Todas las cosas importantes

Permítame presentarle otra cosa a tener en cuenta: su tiempo para crear, configurar y admitir internamente un firewall de hardware "ejecute su propio" es una inversión para su empleador. Como todas las cosas, el negocio tiene que decidir si esa inversión vale la pena.

Lo que usted / su gerente deben considerar es dónde se dedica mejor su tiempo. La cuestión de si vale la pena o no "implementar el suyo" podría cambiar por completo si usted es una persona especializada en seguridad de redes y / o si su empleador tiene requisitos de firewall especializados que no son fáciles de configurar en un producto estándar en comparación con alguien que tiene muchos deberes que considerar además de la seguridad de la red y cuyas necesidades pueden satisfacerse fácilmente conectando un dispositivo de red.

No solo en este caso específico, sino en general, ha habido algunas veces que he comprado una solución "lista para usar" o contratada en alguna consultoría para algo que soy capaz de hacer yo mismo porque mi empleador preferiría que mi tiempo se gastara en otra parte. Este puede ser un caso bastante común, especialmente si se enfrenta a una fecha límite y ahorrar tiempo es más importante que ahorrar dinero.

Y no descarte la posibilidad de "culpar a alguien más": cuando ha detectado un corte importante en un error en el firewall a las 3 de la mañana, es muy agradable poder hablar con el vendedor y decirle "No lo hago". No importa si es software o hardware, es su problema de cualquier manera ".

¿Cómo manejará su firewall homebrew el mantenimiento del hardware en servicio?

¿Cómo se mantendrá su cortafuegos homebrew cuando llegue a un rendimiento de más de 40 Gbps?

¿Cómo otorgarán los permisos de segmento de cortafuegos homebrew a los administradores en diferentes unidades de negocios, de modo que solo puedan administrar sus propias partes de la base de reglas?

¿Cómo manejarás tu base de reglas cuando tengas más de 15,000 reglas?

¿Quién te respalda cuando entra en la zanja?

¿Cómo se mantendrá a una auditoría de criterios comunes?

por cierto, $ 100k no está cerca de "high-end" para firewalls. otro cero te llevaría allí. y es realmente una gota en el cubo de los recursos que protegen

Claramente, no hay una respuesta única para esta pregunta, así que describiré lo que he hecho y por qué.

Para establecer la imagen: Somos una empresa bastante pequeña con alrededor de 25 empleados de oficina y quizás el mismo número en la planta de producción. Nuestro negocio principal es el de impresoras especializadas que alguna vez disfrutaron de un monopolio pero ahora luchan contra una creciente oposición de las importaciones baratas, principalmente de China. Esto significa que si bien nos encantaría el servicio y el hardware de nivel Rolls Royce, generalmente tenemos que conformarnos con algo más a lo largo de los niveles de Volkswagon.

En nuestra situación, el costo de algo como Cisco o similar simplemente no podía justificarse, especialmente porque no tengo experiencia con él (soy un "departamento" de TI de una sola persona). Además, las costosas unidades comerciales no nos ofrecen ningún beneficio real.

Después de ver lo que tenía la compañía y lo que necesitaban, elegí usar una PC vieja e instalar Smoothwall Express, en parte porque había estado usando ese producto durante varios años y ya estaba seguro y cómodo con él. Esto, por supuesto, significa que no hay soporte externo para el firewall, lo que conlleva un cierto grado de riesgo, pero es un riesgo con el que la empresa se siente cómoda. Solo agregaré que, como firewall, Smoothwall es tan bueno como he visto para nuestro tipo de escala, pero puede no ser necesariamente la mejor opción para una organización mucho más grande.

Esa solución nos funciona. Puede o no funcionar para usted. Solo tú puedes tomar esa decisión.

Si tiene un firewall de marca XXXisco con un índice de caída de paquetes del 95%, puede demandar a alguien; Si tiene la misma proporción de caída en su caja (eso no es raro, bajo una buena y vieja inundación ICMP también), bueno, está a punto de salir del barco para ver que su salario está a punto de ser puesto en un nuevo firewall .

Hasta cierto punto existe el argumento "Simplemente funciona". No se preocupe por las peculiaridades del hardware y las pequeñas molestias por los errores de software.

Utilizo un par de PIX en el trabajo en una configuración de espera activa y nunca han fallado. Enchúfalo, ingresa las reglas necesarias y déjalas. Se cubren por completo muchas de las molestias y el esfuerzo involucrados en la gestión de una caja para rodar. Tenemos algunos cuadros de OpenBSD por ahí que usan pf para algunos filtros, y he dedicado fácilmente 10 veces más tiempo a mantener los cuadros y los cortafuegos que los PIX. También hemos encontrado en ocasiones que alcanzamos límites duros en OpenBSD para el tráfico.

También vale la pena señalar que un PIX es mucho más que, por ejemplo, iptables. Los PIX también incluyen algunos elementos que se ven comúnmente en los sistemas de detección de intrusiones (IDS), junto con otros bits. El hardware de firewall también es generalmente mucho más especializado con el propósito de procesar paquetes a alta velocidad, en lugar de la naturaleza más generalizada de un servidor estándar de pantano.

Dicho esto, hay otros proveedores que valen la pena como Cisco, y puede recrearlo todo usted mismo. Solo tiene que sopesar si su tiempo y las posibles molestias valen la pena.

Para los firewalls, prefiero la cordura de saber que tengo un dispositivo sólido y confiable.

Podría decirse que parte de esto se reduce al mismo argumento sobre "Roll your own" versus usar un dispositivo

Todo el equipo falla eventualmente. Si compiló el sistema y falla, es su problema. Si compra un sistema al proveedor y falla, es su problema .

Con un buen apoyo, tiene personas capacitadas listas para respaldarlo. Las empresas como Cisco, Juniper, NetApp, etc. tienen éxito porque ofrecen productos de calidad respaldados con un soporte de calidad. Cuando fracasan (y a veces lo hacen), su negocio se ve perjudicado.

El equipo de alta gama puede venir con un buen contrato de soporte. Si el cortafuegos se bloquea a las 3 de la madrugada del sábado posterior a la víspera de Año Nuevo, puedo contactar a un técnico de proveedores por teléfono en 5 minutos. Un técnico puede estar en el sitio en 2 horas e intercambiar el componente fallido por mí. Si el enrutador admite una gran empresa donde el tiempo de inactividad puede causar pérdidas costosas, entonces podría valer la pena obtener un enrutador de alta gama. $ 10,000 o $ 100,000 no parece tan costoso cuando respalda un negocio de $ 20 millones o $ 200 millones, donde el tiempo de inactividad puede costarle a la compañía miles de dólares por hora.

En muchos casos, estos enrutadores de alta gama son demasiado caros o innecesarios, o no puede obtener un enrutador de alta gama por razones presupuestarias o políticas. A veces, una caja de pizza personalizada o una caja de Soekris es más apropiada.

Después de muchos años, sigue siendo una pregunta interesante. Dividámoslo en dos subpreguntas:

1. ¿Por qué comprar un firewall patentado en lugar de usar uno de código abierto (basado en Linux, FreeBSD, RouterOS, etc.)? Todo depende de tus necesidades:

   • Los cortafuegos de código abierto generalmente funcionan muy bien por su pequeño costo y no proporcionan ningún bloqueo de proveedor. Sin embargo, rara vez proporcionan funciones UTM (gestión unificada de subprocesos) transparentes avanzadas , como Filtrado de contenido, Filtrado de aplicaciones, Antivirus de puerta de enlace, descifrado SSL y similares. Esto no significa que el firewall de código abierto no pueda hacer eso, sin embargo, a menudo requieren el uso de servicios proxy que deben configurarse en el lado del cliente (es decir, en el navegador). Dos buenos ejemplos diferentes son Mikrotik (RouterOS, basado en Linux) y Endian: el primero tiene productos de bajo costo, de bajo costo y solo firewall (sin UTM); estos últimos proporcionan productos UTM completos basados ​​principalmente en proxy. Caso en cuestión: si bien la edición comunitaria de firewall de Endian es un producto gratuito, la suite UTM está basada en licencia (y no son súper baratas).
   • Otro punto a considerar es la WebUI: los cortafuegos propietarios generalmente tienen una interfaz de usuario bastante buena, mientras que los gratuitos / de código abierto a veces tienen una interfaz de usuario menos intuitiva (es decir: Mikrotik).
   • Los cortafuegos propietarios a menudo tienen servicios de administración adicionales agrupados con ellos. Por ejemplo, pueden incluir una consola de administración para replicar todos los cambios de configuración en múltiples dispositivos, o para proporcionar informes detallados.
   • Finalmente, los proveedores de firewall generalmente brindan servicios como reemplazo de hardware y soporte de tickets. Con el firewall de código abierto autoconstruido, generalmente está solo para reemplazar el hardware, y el soporte no siempre está disponible de forma gratuita. Por otro lado, es mucho más fácil diagnosticar (y resolver) un problema cuando la plataforma es de código abierto, en lugar de cerrada.

2. si compra un firewall patentado, ¿por qué comprar un firewall de gama alta en lugar de un producto de bajo rendimiento? Todo se reduce a requisitos de rendimiento y características:

   • si planea habilitar los servicios UTM no solo en enlaces WAN (donde el ancho de banda a menudo es limitado) sino también en enlaces internos (por ejemplo: DMZ, entre VLAN, etc.), necesita un firewall con alto rendimiento, especialmente si tiene muchos clientes. Además, el firewall de gama baja a menudo tiene limitaciones (a veces artificiales) en la cantidad de usuarios concurrentes, túneles VPN, etc.
   • El cortafuegos de gama baja puede perder algunas características adicionales (es decir, alta disponibilidad, conmutación por error de WAN, agregación de enlaces, puertos de 10 Gb, etc.) necesarios en su entorno.

Experiencia personal: sopesando todos los factores anteriores, a menudo (pero no siempre) decido usar firewalls propietarios incluso con un servicio básico de reemplazo de hardware o al menos proporcionar el uso final con una pieza de repuesto. Cuando el presupuesto es realmente ajustado y no se requieren funciones avanzadas, utilizo productos de código abierto (Mikrotik).

Aquí hay una perspectiva con hardware ligeramente diferente, pero el concepto aún se aplica. Estábamos ejecutando varios servidores de módem en una red con un "conmutador" 10/100 de 8 puertos algo barato que lo unía todo. Un día, el interruptor comenzó a congelarse y tuvimos que reiniciarlo. Lo hicimos varias veces, hasta que se quemó. Ese tráfico moderno era muy hablador, y la cosa simplemente no podía soportar el calor.

Compramos un interruptor usado Cisco 2924, y todo funcionó mucho mejor ... las colisiones se redujeron. Resulta que el viejo interruptor era un hub de 10Mbit cambiado a un hub de 100Mbit. Diferencia sutil, pero eso explica la diferencia de costo.