[GTER] RES: RES: Appliance Firewall UTM

Leomar Viegas Junior leomar.viegas at gmail.com
Tue Jun 10 03:57:34 -03 2014


Prezado João,

Me desculpe quanto as palavras utilizadas, porém, se um cliente teu fala
bem de uma solução que vocês vendem, isso não seria bom pra vocês?
(Estranho você discordar não?)

O PaloAlto até onde eu entendi utiliza engine de IPS para realizar
controles de aplicações (provavelmente utilizando assinaturas predefinidas
para isso), porém não posso afirmar pois não realizei nenhum teste ainda do
PAN-OS.

Quanto a queda de performance em FortiGates deve ser analisada a
arquitetura do FortiOS antes de mais nada, além é claro da correta
configuração do "fine tunning" do mesmo. Já cansei de ver vários clientes
meus, que não foram implantações minhas, com problemas de performance e
entrando constantemente em "conserve mode" por conta de mal uso ou mal
dimensionamento dos recursos.

Assim com o Michel, aceito trocar uma idéia em PVT numa boa.

Possuo caixas de firewalls em casa e caso alguém se interesse podemos fazer
"trocas" para LAB's.

Abs.

Leomar Viegas.


2014-06-09 22:35 GMT-03:00 Michel L. M. B. Perez <michelmbperez at gmail.com>:

> Meus 50 centavos, existem os UTM, os NGFW e os FWs.
>
> A maioria dos appliances do mercado é UTM, que quando você habilita todas
> as features da caixa a caixa senta, seja ela o tamanho que for cai de 2gb
> pra 100Mb num breve exemplo prático.
>
> Entre eles estão Checkpoint, Sonicwall e Fortigate. Falando de caixas UTM.
>
> O único cara que não mente no datasheet realmente é o Palo Alto.
>
> Experiência própria, já testamos todos acima em POC em cliente
> consideráveis.
>
> O Palo Alto não é barato, mas entrega bem e aguenta o tranco com tudo
> habilitado, o Palo Alto foi um projeto nascido dentro da Cisco pra quem não
> sabe, só o Mr. Chambers não deu bola, ele tentou comprar a Palo Alto não
> lembro ao certo quantas vezes.
>
> Tanto que hoje a Cisco tem a nova linha de Firewalls ASA-CX pelo lado da
> Cisco, com a mesma ideia do Palo Alto.
>
> Eu acho que você tem que avaliar bem o que quer e realmente ponderar cada
> produto nas funções que você deseja.
>
> Eu sou fã de carteirinha Cisco, acho o ASA fantástico, tive a oportunidade
> de acompanhar POC com Sonicwall, Fortigate e Palo Alto, fiquei muito
> surpreso com o Palo Alto em ação. Mas se você tem maquina boa e pouco
> orçamento não deixaria de considerar o PfSenSe.
>
> Lembro isso aqui é uma lista, só to constando o que eu já vi. não defendo
> produto A ou B, te dei a minha opinião com base no que já testei, existem
> diversos produtos bons no mercado, cabe a você escolher aquele que se
> adapta melhor ao seu ambiente.
>
> Se quiser trocar uma idéia em PVT, estou a disposição. Beleza?
>
> --
> Michel Perez
> Skype: michelmbperez
> michelmbperez at gmail.com
> http://br.linkedin.com/in/michelmbperez
>
>
> Em 9 de junho de 2014 21:02, João Paulo Sbrissa <
> joaosbri at picturecorp.com.br
> > escreveu:
>
> > Leomar,
> >
> > Muito interessante a ética com que trabalha... "porém um cliente da
> > Picture foi um dos que disseram que não tem comparação e que "FortiGate é
> > bem superior""... Em nenhum momento levanto bandeira para marca nenhuma
> > (quando me referi disse a MINHA OPINIÃO) e em nenhum momento me referi a
> > sua empresa para nenhum tipo de comparação, inclusive achei o POST da
> > comparação do PA com SonicWALL do Odilo fantástica... vou utilizar
> > inclusive para estudos em nosso laboratório.
> >
> > Não vou continuar este tópico defendendo a minha bandeira e muito menos
> > agredir a sua empresa... a ética com que tratou o assunto é simplesmente
> > triste.
> >
> > Minha opinião já foi dada e espero que responda ou ajude ao POST
> original.
> >
> > Sem mais,
> >
> > João Paulo Sbrissa
> >
> >
> >
> >
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em
> > nome de Leomar Viegas Junior
> > Enviada em: segunda-feira, 9 de junho de 2014 18:56
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] RES: Appliance Firewall UTM
> >
> > Cristiano,
> >
> > Como talvez você não observou, meu e-mail é particular e aqui deixo
> minhas
> > opiniões particulares.
> >
> > A empresa que trabalho, que não é minha, revende sim Fortinet, porém eu
> > não, correto?
> >
> > Apenas trabalho com a tecnologia, e gosto dela, e sim a Fortinet errou em
> > algumas coisas no passado e aprendeu com os erros.
> >
> > Quanto ao PaloAlto, tenho curiosidade mas até hoje ninguém conseguiu me
> > arrumar sequer uma VM do PAN-OS para eu testar e verificar as
> > funcionalidades deste player.
> >
> > EU particularmente, não curto nem um pouco SonicWall, porém um cliente da
> > Picture foi um dos que disseram que não tem comparação e que "FortiGate é
> > bem superior".
> >
> > Não sou comercial nem pré-venda, e sim um técnico que analisa muito bem
> > suas opções.
> >
> > Adoraria trabalhar apenas com o que nunca dê problema, mas isso existe em
> > TI? Qual o MTBF do PaloAlto e do FortiGate (exemplo)?
> >
> > E por aí vai...
> >
> > Abs.
> >
> > Leomar Viegas.
> >
> >
> >
> >
> > 2014-06-09 18:29 GMT-03:00 Cristiano Maynart <cristianomaynart at unisc.br
> >:
> >
> > > Cuide a escolha do modelo do PaloAlto, embora o processamento e número
> > > de sessões simultâneas tenha folga, o tamanho da tabela ARP (2500) e
> > > número de conexões simultâneas Web (webportal) são baixos no 3050.
> > > Aqui coloquei um switch router na frente da rede wireless para não
> > estourar a tabela ARP.
> > >
> > > Att.
> > >
> > > Cristiano Maynart
> > >
> > >
> > > > -----Mensagem original-----
> > > > De: gter-bounces at eng.registro.br
> > > > [mailto:gter-bounces at eng.registro.br]
> > > > Em nome de Odilo Schwade Junior
> > > > Enviada em: segunda-feira, 9 de junho de 2014 17:32
> > > > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > > > Assunto: Re: [GTER] Appliance Firewall UTM
> > > >
> > > > Estamos há algum tempo estudando e fazendo PoC com Palo Alto e
> > > > SonicWall.
> > > > No inicio comparamos os modelos:
> > > > - SonicWall SuperMassive 9400
> > > > - Palo Alto 3050
> > > >
> > > > É realmente complicado comparar as soluções de fornecedores
> > > > diferentes via datasheet, cada um tem seu tipo de medição, se alguem
> > > > puder falar o caminho das pedras para avaliar por favor me informa!
> > > > Mas acredito que
> > > seja
> > > > como já comentaram, comparar datasheet não funciona faça PoC.
> > > >
> > > > throughput:
> > > > - SonicWall tem um throughput gigante no datasheet, porém
> > > > engenheiros da Palo Alto informaram que o teste de datasheet deles é
> > > > utiilizando RFC
> > > 2889
> > > > (lan switching test, UDP) e que o do Palo Alto é utilizando tráfego
> > > simulado
> > > > de tráfego real.
> > > >
> > > > Número de sessões simultâneas:
> > > > - SonicWall tem um número gigante de sessões por usuários, porém
> > > > conforme vai habilitando features esse numero vai caindo. No
> > > > datasheet
> > > tem
> > > > que o número cai de 1.250.000 para 1.000.000 porém encontramos no
> > > > PoC que habilitando *todas *as features da caixa caia de 1.250.000
> > > > para
> > > 375.000.
> > > >
> > > > Número de usuários identificados
> > > > - SonicWall tem limitação de numero de usuários identificados
> > > > simultaneamente: este numero não tinha no datasheet, por acaso
> > > > buscando por uma solução alternativa para user-tracking do SonicWall
> > > > caímos em uma solução de um pessoal da NZ (Delve eu acho) que mandou
> > > > os números de alguns modelos [1], o Palo Alto não tem essa limitação
> > de usuários.
> > > >
> > > > Identificação de usuários:
> > > > - Ambas as soluções se integraram ao método de autenticação em nossa
> > > > rede, tanto na rede cabeada tanto na rede WiFi (802.1X).
> > > > No PoC não conseguimos com a solução da SonicWall identificar todos
> > > (100%)
> > > > nossos usuários. A busca de informações de autenticação era feita
> > > através de
> > > > agentes nos ADs e o controlador da rede sem fio enviava via Radius
> > > > Accounting para o SonicWall.
> > > > Quanto ao Palo Alto, por limitações de tempo e da nossa solução de
> > > > rede sem fio, só conseguimos testar em uma rede paralela a nova
> > > > versão beta do firmware da Controladora WiFi que ai validamos a
> > > > autenticação dos
> > > usuários
> > > > desta rede paralela.
> > > >
> > > >
> > > > Por motivos de limitação de número de usuários, pensando em um
> > > > horizonte de
> > > > 3 a 5 anos passamos a analisar o SonicWall 9600. Hoje temos em torno
> > > > de
> > > > 10.000 usuários simultâneos na rede e com projeções para aumentar de
> > > > ano em ano, só nossa rede WiFi de um ano para outro aumentamos de um
> > > > pico de 4.500 para 7.000 usuários simultâneos (o natal foi bom, viva
> > > > o android barato).
> > > >
> > > > Ainda em PoCs e conversando com pessoal que tinha as duas soluções,
> > > > identificamos que para o momento atual de nossa rede o PA-3050 ia
> > > > entrar com pouca folga para crescimento (3 ou 5 anos), com isso
> > > > também partimos para o PA-5020.
> > > >
> > > > App Control e AppID
> > > > - Nitidamente o módulo do Palo Alto para controle de aplicações é
> > > superior
> > > > ao do SonicWall.
> > > >
> > > > Flexibilidade
> > > > - O Palo Alto é muito flexível comparado ao SonicWall, tanto em
> > > > debug quanto em integração. Fiz alguns testes com a API XML e também
> > > > com alguns comandos de debug na CLI. Também fizemos um script que
> > > > lia as informações de grupos de endereços da nossa solução atual e
> > > > gerava o XML de configuração do Palo Alto com endereços e grupos
> > > > cadastrados atualmente, foi bem simples.
> > > >
> > > > Manutenção do Equipamento
> > > > - Outro ponto que analisamos foi os valores de renovação de licenças
> > > > de
> > > cada
> > > > solução, onde neste caso os valores das renovações do Palo Alto são
> > > > muito superiores as da SonicWall.
> > > > Relatos dos que já estão utilizando PA ou trocaram de FG e SW?
> > > >
> > > > Performance do PoC:
> > > > - Tanto PA quanto SW foram OK nas medições que fizemos, nenhum
> > > > chegou a passar dos 10% de processamento :)
> > > >
> > > > Infelizmente, com todos estes relatos.. e na dificuldade de fazer um
> > > > PoC
> > > que
> > > > realmente nos deixe seguros (não vamos jogar toda a rede para um
> > > > ambiente de testes, claro) ainda não conseguimos definir qual a
> > > > solução
> > > que
> > > > iremos adotar, com isso também estamos analisando a possibilidade de
> > > fazer
> > > > um PoC com o FortiGate, na real foi um erro nosso de não ter
> > > > analisado
> > > mais
> > > > soluções desde o início do projeto.
> > > >
> > > > Mas ainda não temos uma justificativa, por exemplo: A feature X do
> > > > Palo
> > > Alto
> > > > não podemos ficar sem, por isso tem que ser ele. Aos que estão
> > > > usando PA, comentários?
> > > >
> > > > Outra questão aos que estão usando Palo Alto, estão com todas as
> > > > regras feitas por aplicação? Como está a utilização das regras e a
> > manutenção?
> > > >
> > > >
> > > >
> > > > [1]
> > > >
> > > > *Specifications*
> > > >
> > > > *NSA 3600*
> > > >
> > > > *NSA 4600*
> > > >
> > > > *NSA 5600*
> > > >
> > > > *NSA 6600*
> > > >
> > > > *SM 9200*
> > > >
> > > > *SM 9400*
> > > >
> > > > *SM 9600*
> > > >
> > > > SSO Users
> > > >
> > > > 500
> > > >
> > > > 1000
> > > >
> > > > 2500
> > > >
> > > > 4,000
> > > >
> > > > 7,500
> > > >
> > > > 12,000
> > > >
> > > > 20,000
> > > >
> > > >
> > > >
> > > > 2014-06-09 16:46 GMT-03:00 Odilo Schwade Junior
> > > > <odilojuniors at gmail.com>:
> > > >
> > > > >
> > > > > Rodrigo, até hoje estou tentando entender a "real" diferença de
> > > > > UTM e NGFW.. poderias explicar?
> > > > >
> > > > > Uns falam que foi uma jogada de marketing com a Palo Alto e o
> > > > > Gartner para "bombar" o PA outros falam que não muda nada.
> > > > > Todos que antes eram UTM agora são NGFW, vide SonicWall e os
> > > > > FortiGate (atualize para versão X e "tadan" vc tem um NGFW).
> > > > >
> > > > > Vou escrever um e-mail com relatos de testes de Palo Alto e
> > > > > SonicWall que estamos fazendo aqui onde trabalho. Vamos iniciar
> > > > > PoC com FortiGate em breve.
> > > > >
> > > > >
> > > > > 2014-06-09 16:29 GMT-03:00 Rodrigo Cesine Soave
> > > > > <rodrigo.cesine at gmail.com>
> > > > > :
> > > > >
> > > > > UTM é uma coisa, NGFW é outra coisa.
> > > > >>
> > > > >>
> > > > >> Em 9 de junho de 2014 16:01, Thiago Gomes <thiagomespb at gmail.com>
> > > > >> escreveu:
> > > > >>
> > > > >> > Ricardo,
> > > > >> >
> > > > >> > Não confunda Josué com José =.
> > > > >> >
> > > > >> > Essa comparação que o mantunes mandou é de UTM. esse que vc
> > > > mandou
> > > > >> > ai Network Firewalls acho que tem uma diferença ai.. não é ?
> > > > >> >
> > > > >> > Em 9 de junho de 2014 15:53, Ricardo Oliveira
> > > > >> > <ricardo.btu at gmail.com>
> > > > >> > escreveu:
> > > > >> > > Que mudança de 2013 para 2014, apesar que a comparação de
> > > > >> > > 2013 é de
> > > > >> UTMs.
> > > > >> > >
> > > > >> >
> > > > >> http://www.gartner.com/technology/reprints.do?id=1-
> > > > 1T607HL&ct=140415&
> > > > >> st=sb
> > > > >> > >
> > > > >> > > Obrigado.
> > > > >> > > Ricardo Freitas.
> > > > >> > >
> > > > >> > >
> > > > >> > > Em 9 de junho de 2014 15:42, Thiago Gomes
> > > > <thiagomespb at gmail.com>
> > > > >> > escreveu:
> > > > >> > >
> > > > >> > >> >> desculpe mas "Fortigate e achei muito instável" ? não é o
> > > > >> > >> >> que diz
> > > > >> > >> >>
> > > > >> > >> >> Gartner's 2013 Magic Quadrant
> > > > >> > >> >>
> > > > >> > >> >>
> > > > >> > >> >>
> > > > >> > >> >>
> > > > >> > >>
> > > > >> >
> > > > >> http://www.fortinet.com/resource_center/analyst_reports/gartner-m
> > > > >> q-
> > > > ut
> > > > >> m-2013.html
> > > > >> > >> >
> > > > >> > >> >
> > > > >> > >> > Se o gerente de arquitetura da sua rede é o Gartner, você
> > > > >> > >> > tem um
> > > > >> > >> problema.
> > > > >> > >> >
> > > > >> > >>
> > > > >> > >> Não vejo problema nenhum as indicações/comparações do
> > > > >> > >> Gartner´s.. o que está errado ?
> > > > >> > >> --
> > > > >> > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >> > >>
> > > > >> > > --
> > > > >> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >> >
> > > > >> >
> > > > >> >
> > > > >> > --
> > > > >> > Thiago Gomes
> > > > >> > --
> > > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >> >
> > > > >>
> > > > >>
> > > > >>
> > > > >> --
> > > > >> Rodrigo Cesine Soave
> > > > >> msn: rodrigo_cesine at hotmail.com
> > > > >> yahoo: rcesine at yahoo.com
> > > > >> --
> > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >>
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Odilo Schwade Junior
> > > > > @dilojunior <http://twitter.com/juniorsbr>
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Odilo Schwade Junior
> > > > @dilojunior <http://twitter.com/juniorsbr>
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> >
> >
> >
> > --
> > Atenciosamente.
> >
> > Leomar Viegas Junior.
> > LPI 2 | MCSA+Security | FCNSP | CompTIA Security+
> >
> > http://br.linkedin.com/in/leomarviegas/
> >
> > **********************************************************************
> > Informação transmitida destina-se apenas à pessoa a quem foi endereçada e
> > pode conter informação confidencial, legalmente protegida e para
> > conhecimento exclusivo do destinatário. Se o leitor desta advertência não
> > for o seu destinatário, fica ciente de que sua leitura, divulgação ou
> cópia
> > é estritamente proibida. Caso a mensagem tenha sido recebida por engano,
> > favor comunicar ao remetente e apagar o texto de qualquer computador.
> > **********************************************************************
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Atenciosamente.

Leomar Viegas Junior.
LPI 2 | MCSA+Security | FCNSP | CompTIA Security+

http://br.linkedin.com/in/leomarviegas/

**********************************************************************
Informação transmitida destina-se apenas à pessoa a quem foi endereçada e
pode conter informação confidencial, legalmente protegida e para
conhecimento exclusivo do destinatário. Se o leitor desta advertência não
for o seu destinatário, fica ciente de que sua leitura, divulgação ou cópia
é estritamente proibida. Caso a mensagem tenha sido recebida por engano,
favor comunicar ao remetente e apagar o texto de qualquer computador.
**********************************************************************



More information about the gter mailing list