info prevendita router Cisco 1921

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
fortuna977
n00b
Messaggi: 3
Iscritto il: mer 13 nov , 2013 3:04 pm

buonasera,

ero interessato a router di sicurezza, che fossero provvisti di I.P.S.. Dal sito http://www.cisco.com/web/IT/index.html# ho individuato il Cisco serie 1900, ed in particolare il 1921 ) come il router che più si avvicinasse ai requisiti e funzionalità di sicurezza ( pur non avendo il Denial of Service, i Dos attack ).

Prima dell'acquisto volevo sapere per il 1921:

-- se permette di essere usato con linee adsl2+ o linee a fibra ottica ( sino a 100 Mbps ) con ip pubblico dinamico;
-- se l'I.P.S. per essere utilizzato a pieno nelle sue funzionalità, comporta l'acquisto di ulteriori licenze software annuali;
-- se oltre all'I.P.S. è provvisto dell'Intrusion Detention System;
-- se permette di configurare firewall inbound outbound specifici ( ad esempio, blocco di porte/servizi o software su specifici indirizzi ip della lan, quindi sia outbound da lan to wan, sia inbound da wan to lan );
-- se permette di bloccare, un pc A dalla lan 1 da tutti gli altri pc della lan 1 meno il server ed un altro pc B della lan 1 ( quindi il pc. A può comunicare nella lan 1 solo con il server ed il pc B );
-- se permette di bloccare, in una lan 1, un pc. A con s.o. Windows 7 ultimate ( con più account utenti con diritti users ), qualunque accesso, servizio, porta o software di uno, o di due, degli user account presenti su questo pc ( cioè creare un’user account che non abbia ne internet, ne servizi porte o software verso esterno/interno, né la possibilità di comunicare con il server del dominio )
-- se impedisce il mac-ip address spoofing o cloning
-- se permette una associazione vincolante ( o binding ) tra ip e mac address;
-- se permette di bloccare gli ip o mac address non listati dal connettersi al router in fast ethernet o wireless ( consentendo la connessione al router per i solo mac/ip address inseriti dall’amministratore, in particolare con la duplice associazione di vincolo, data dagli ip e dal mac address );
-- se configurabile tramite CLI o con un pannello di configurazione semplificato o meglio ancora con un pannello di configurazione web interattivo, tramite cioè selezione diretta delle funzionalità tramite mouse;
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Per fare tutto bisogna mettere anche gli switch Cisco gestiti, e le configurazioni non sono banali.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
fortuna977
n00b
Messaggi: 3
Iscritto il: mer 13 nov , 2013 3:04 pm

La ringrazio per la risposta.

mi sembra di capire, che il Cisco 1921, risponda a tutti i requisiti che ho elencato permettendo tutte le funzionalità che ho listato, sempre però abbinato ad uno switch Cisco gestito.

riguardo il Cisco 1921, volevo avere però una conferma specifica sui quesiti 2 ( se per usare l'I.P.S. si debbano acquistare anche licenze a parte ed ulteriori ) e 3 ( se supporta oltre all'I.P.S. anche l'I. Detention S., che credo siano similari ).

le chiedo conferma se può essere configurato con il Cisco Configuration Professional e se è provvisto di una ventola per la ventilazione interna ( che credo sia rumorosa ).
scolpi
Network Emperor
Messaggi: 337
Iscritto il: sab 30 ott , 2010 5:33 pm

Secondo me per fare tutto ciò che lei richiede, questa macchina non è adatta, di fatto questo è un router che fa anche da firewal e ips, ma non è dedicato come può essere un firewall.

Usare Cisco IOS Zone-Based Firewall richiede parecchie competenze, conoscere la configurazione via class-map, policy-map e comunque ha potenzialità di gran lunga limitate rispetto ad un firewall. Che sappia io, non è possibile applicare policy a host basandosi sul sistema operativo che questo ha a brodo. Inoltre, per quel poco che ciò avuto a che fare, parecchie sessioni venivano comunque droppate senza motivo.
se permette di bloccare, in una lan 1, un pc. A con s.o. Windows 7 ultimate ( con più account utenti con diritti users ), qualunque accesso, servizio, porta o software di uno, o di due, degli user account presenti su questo pc ( cioè creare un’user account che non abbia ne internet, ne servizi porte o software verso esterno/interno, né la possibilità di comunicare con il server del dominio )
Ad esempio questo può essere fatto solo se il firewall si interfaccia con AD, e di sicuro un router come il 1921 non è in grado di farlo. Per fare ciò servono dei firewall e neanche tutti lo fanno.

Io valuterei con molta attenzione prima di fare l'acquisto.
Saluti
CCNA Security,CCDP, CCNP R&S
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

scolpi ha scritto: Ad esempio questo può essere fatto solo se il firewall si interfaccia con AD, e di sicuro un router come il 1921 non è in grado di farlo. Per fare ciò servono dei firewall e neanche tutti lo fanno.
Questa parte è quella che demandavo allo switch. Usando 802.1X si può impostare la porta a seconda del utente. Comunque sono configurazione complesse che non si possono fare facilmente via GUI.

Secondo me deve avvalersi di un esperto che fa il progetto/lavoro.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
fortuna977
n00b
Messaggi: 3
Iscritto il: mer 13 nov , 2013 3:04 pm

un cortese grazie anche all'altro utente,

volendo valutare la soluzione di un firewall dedicato ( in modo anche da evitare di usare il Cisco IOS Zone-Based Firewall ed usare invece il Cisco Configuration Professional ), quale potrebbe essere un modello che però possa supportare pienamente anche l’Intrusion Prevention system, prevenire attacchi Denial of Service (DoS) attack, supportare il stateful packet inspection e possibilmente supportare anche il Cisco ASA Botnet Traffic Filter demandando l’aspetto del blocco di servizi/porte/software in base all’user account dell’host con s.o. Windows agli switch Cisco ( forse il Cisco Small Business SF200-24 )?
Un modello potrebbe essere il Cisco ASA 5505 Firewall Edition Bundle?
Infine, chiedo conferma, se l’eventuale modello da voi consigliato, o il Cisco Asa 5505 ( nell’ipotesi che vada bene ), per permettere un uso dell’I.P.S. a pieno nelle sue funzionalità, comporta l'acquisto di ulteriori licenze software annuali ( quest'ultimo è un aspetto non irrilevante visto che prima dei Cisco avevo valutato il UTM25 che pur richiedendo due licenze annuali per l'I.P.S. non fornisce di base altre funzionalità supportate dai Cisco ).
Rispondi