форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Магистральные каналы+IOS IDS&FW"
Сообщение от bda (??) on 21-Сен-05, 07:52  (MSK)
Уважаемые господа! Подскажите как лучше сделать... Дано: Имеется два линка: ТТК и MSK-IX. На первом - порядка 20 Мбит/c, на втором 5-7 Мбит/c. Все это хозяйство держится на с3745. Задача: Как корректно прикрыться на внешних линках? Вроде пиксы на магистральные линки - не ставят... купить по 2620XM с IDS и FW? Или я не прав? Т.к. в сети много воипного трафика и соответственно - софтсвичи, As5350 и пр. - то весь трафик на выходе из AS - маркированный. Не будут ли всякие IOS FW&IDS - только вредить, стоя на магистральных каналах? Вообще - как правильно... (не ругайте за столь общий вопрос)
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Магистральные каналы+IOS IDS&FW"
Сообщение от kaa (??) on 21-Сен-05, 08:31  (MSK)
>Уважаемые господа! Подскажите как лучше сделать... > >Дано: > >Имеется два линка: ТТК и MSK-IX. На первом - порядка 20 Мбит/c, >на втором 5-7 Мбит/c. Все это хозяйство держится на с3745. > >Задача: >Как корректно прикрыться на внешних линках? Вроде пиксы на магистральные линки - >не ставят... купить по 2620XM с IDS и FW? Или я >не прав? Ну как же не ставят? допустим 515е буде куда круче по производительности вашей 26й. ios ids это не серьёзно...59 фиксированных сигнатур и т.д. или речь о nm-cids? >Т.к. в сети много воипного трафика и соответственно - софтсвичи, As5350 и >пр. - то весь трафик на выходе из AS - маркированный. > > >Не будут ли всякие IOS FW&IDS - только вредить, стоя на магистральных >каналах? Ежели будете читать мануалы и настраивать пикс, думаю останетесь довольны > >Вообще - как правильно... (не ругайте за столь общий вопрос) Правильно ставить pix515e, ips4210 (80мб), рутер опускаю, предполагаю, что он будет.. если поставите сенсор за пиксом, не увидите атаки отшитые правилами пикса, если перед не увидите внутренних интруженов... сначала ставите сенсор просто нюхать, смотреть пару недель, месяц.... потом,  когда общая картина ясна пробуете уже тюнить сигнатуры на резеты и блокинги и т.д. На всё это сильно влияет наличие денажков...
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Магистральные каналы+IOS IDS&FW"
	Сообщение от kaa (??) on 21-Сен-05, 08:42  (MSK)
	Чёт я забыл совсем... Возьмите себе вместо pix+ips asa5510+aip-ssm-10 Firewall Throughput Up to 300 Mbps Concurrent Threat Mitigation Throughput (Firewall + Anti-x Services) Up to 150 Mbps with AIP-SSM-10 VPN Throughput Up to 170 Mbps Concurrent Sessions 32,000/64,000* IPSec VPN Peers 50/150* WebVPN Peers 50/150* Security Contexts Not Supported Interfaces 3 Fast Ethernet + 1 management port/5 Fast Ethernet ports* Virtual Interfaces (VLANs) 0/10* High Availability Not Supported / Active/Standby* * Upgrade available with Cisco ASA 5510 Security Plus license
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Магистральные каналы+IOS IDS&FW"
	Сообщение от bda (??) on 21-Сен-05, 09:51  (MSK)
	>Чёт я забыл совсем... >Возьмите себе вместо pix+ips asa5510+aip-ssm-10 > >Firewall Throughput Up to 300 Mbps >Concurrent Threat Mitigation Throughput (Firewall + Anti-x Services) Up to 150 Mbps >with AIP-SSM-10 >VPN Throughput Up to 170 Mbps >Concurrent Sessions 32,000/64,000* >IPSec VPN Peers 50/150* >WebVPN Peers 50/150* >Security Contexts Not Supported >Interfaces 3 Fast Ethernet + 1 management port/5 Fast Ethernet ports* >Virtual Interfaces (VLANs) 0/10* >High Availability Not Supported / Active/Standby* >* Upgrade available with Cisco ASA 5510 Security Plus license О как все сложно пока для меня... Если будет время, подскажите как это применить к следующей схеме: [КТТК] -- Ether 20 Mbit -- [c3745] Т.е. где надо ставить сенсор и т.д?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Магистральные каналы+IOS IDS&FW"
	Сообщение от kaa (??) on 21-Сен-05, 10:36  (MSK)
	>[КТТК] -- Ether 20 Mbit -- [c3745] > >Т.е. где надо ставить сенсор и т.д? Ну всё же зависит от ваших целей, вы должны понять чего вы боитесь хотя бы :) Ну раз вы говорите про магистраль, подозреваю что её и хотите мониторить. Почитайте мануалы и сделайте так: [КТТК] -- Ether 20 Mbit ----[pix515e]--[c3745]                           |                           |                       [ips4215]                           |                           |                     [management] Потом читайте мануалы и изучайте всё что происходит в алармах, мониторите на предмет отсутствия в логах сигнатуры №993(сброшенные пакеты), если таковой там нет - гуд, можете задействовать ещё один сниффейс, типа такого: [КТТК] -- Ether 20 Mbit ----[pix515e]--[c3745]-----------                           |                     |                           |                     |                       [ips4215]------------------                           |                           |                     [management] Мониторите дальше, тюните, мониторите и т.д. Ежели купите asa, то схемка может выглядеть так: [КТТК] -- Ether 20 Mbit --[asa5510]--[c3745]-----                             |    |____________|                             |                             |                        [management] Вообще установка сенсора это 1/58 от всей работы :) Остальное - тюнинг..... P.S. Сорри, выше ошибся насчёт сенсора, не 4210, а 4215, тот помер уже давно...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Магистральные каналы+IOS IDS&FW"
	Сообщение от kaa (??) on 21-Сен-05, 10:45  (MSK)
	.......съехали 2я и 3я схемы :)))))) Фиг его знает как ровно нарисовать, но думаю разберётесь: на 2й схеме доп.сниф.инт. смотрит в сегмент за с3745. с 3й ещё хуже, там всё налево уехало :))), но по аналогии со 2й, думаю  поймёте...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Магистральные каналы+IOS IDS&FW"
	Сообщение от bda (??) on 21-Сен-05, 13:41  (MSK)
	>.......съехали 2я и 3я схемы :)))))) > >Фиг его знает как ровно нарисовать, но думаю разберётесь: >на 2й схеме доп.сниф.инт. смотрит в сегмент за с3745. >с 3й ещё хуже, там всё налево уехало :))), но по аналогии >со 2й, думаю  поймёте... Спасибо! Общий замысел понятен, однако остается один вопрос по поводу вносимых задержек, особенно у PIX`а.... я почита книжку по пиксу, так там этот вопрос не рассмотрен, а только рассуждения и конфигурация всевозможных вариантов NAT`а... А в моем случае: 3745 - еще и bgp-роутер пограничный, разве его можно загнать за pix? Плюс, за 3745 - воипные софтсвичи... PS По почте plain text - все схемы хорошо видны и понятны!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Магистральные каналы+IOS IDS&FW"
	Сообщение от kaa (??) on 21-Сен-05, 13:54  (MSK)
	>Спасибо! Общий замысел понятен, однако остается один вопрос по поводу вносимых задержек, >особенно у PIX`а.... я почита книжку по пиксу, так там этот >вопрос не рассмотрен, а только рассуждения и конфигурация всевозможных вариантов NAT`а... > > >А в моем случае: 3745 - еще и bgp-роутер пограничный, разве его >можно загнать за pix? >Плюс, за 3745 - воипные софтсвичи... > >PS По почте plain text - все схемы хорошо видны и понятны! > Пардон, о каких задержках идёт речь? Насчёт bgp, просю сюды: http://www.cisco.com/en/US/partner/tech/tk365/technologies_configuration_example09186a008009487d.shtml Ну и шо шо воип, пиксы хэндлят gprs траффик...а вы воип воип.... ;)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.