PfSense ve Cisco ASA: Hangi Güvenlik Duvarı Daha iyidir?

Cat6 ve Cat6a arasındaki Farklar
31 Mayıs 2018
Logo Tiger wings
14 Temmuz 2018

Bu yazıda, iki güvenlik ürünü karşılaştır.  pfSense ve Cisco Adaptive Security Appliance (ASA) ,  seçiminizde size yardımcı olmak güvenlik duvarı ağınızın güvenliği esastır. Her ürünü tek tek ele alacağız, artılarını ve eksilerini göz önünde bulunduracağız ve ayrıca hangi senaryoların kullanılabileceğini ve önerilebileceğini tartışacağız.

pfSense ve Cisco ASA temelde çevre güvenlik cihazları olarak sınıflandırılabilir . En basit şekliyle, bir çevre güvenlik cihazı güvenilmeyen aygıtlara (iç aygıtlar) güvenilmeyen aygıtlara (Internet’teki gibi harici aygıtlar) karşı koruma sağlar.

çevre aygıtı / güvenlik duvarı

pfSense

Bu ürünle ilgili kişisel deneyimimle pfSense ile ilgili tartışmamıza başlayalım . Bazı ağ kullanıcıları, ağlarında belirli bir nagging “gereksiz giriş” sorununu çözmeye yardımcı olmak için bir program cözümüdür.

  •  Kullanıcıların, herhangi bir nedenden ötürü rasgele internet erişimini engellemek için.
  • Organisazyon Düzenlemesi yapılarak kimin hangi yetkilerle internet e eribileceğini bu kullanıcılarda yetki kısıtlanmasının sağlanması
  • Yazılım olarak gerekli olan log lama özelliklerini içeren bir yazılımdır.

pfSense, FreeBSD işletim sistemine  dayalı  açık kaynak yazılımıdır.

Temel yazılım, aşağıdakileri içeren birçok özelliğidestekler :

Ayrıca, pfSense , aşağıdakileri içeren tek bir tıklama ile kurulabilen pek çok eklenti paketini destekler :

  • Snort (İzinsiz Giriş Tespiti ve Önlenmesi için)
  • FreeSWITCH (IP üzerinden Ses)
  • Vekil sunucu (Proxy)
  • Darkstat (Ağ Trafik Monitörü)

Tüm bu desteklenen özellikler ve paketler nedeniyle, pfSense bir Birleşik Tehdit Yönetimi (UTM) cihazı olarak daha iyi sınıflandırılabilir .

PfSense avantajları

Yukarıdaki özellik listesine bakarak, pfSense’in çok etkileyici bir yazılım olduğunu görebilirsiniz .

Aslına bakarsanız, detay listemize başlayalım:

  1. pfSense, yukarıda listelenen birçok özelliği ve paketi destekleyen çok sağlamdır . Bu, bir aygıtın ağınızın kenarında ihtiyacınız olan tüm işlevleri gerçekleştirebildiğiniz anlamına gelir. Tabii ki bunu bir dezavantaj olarak da düşünebilirsiniz – tek bir hata noktası. Bununla birlikte, pfSense, Yüksek Erişilebilirliği destekler ve birkaç cihazı birlikte gruplandırabilirsiniz.
  2. pfSense ücretsizdir ! ama profesyonel desteğe ihtiyaç duyar. Bu muhtemelen en büyük fayda olacaktır. PfSense yazılımının kendisi ücretsizdir ve yazılım görüntüsünü buradan web sitesinden indirebilirsiniz . Elbette yazılımı bir parça donanım üzerine kurmanız gerekiyor (sanallaştırma da destekleniyor) bu yüzden tamamen ücretsiz değil. Bununla birlikte, önerilen donanım gereksinimlerine bakarken, 200 $- 2.000$ ‘dan daha az bir fiyata uygun donanımı alabilirsiniz.
  3. PfSense’in herhangi bir donanımda kurulabilen bir yazılım olması gerçeği oldukça ölçeklenebilir . Ağınızın ihtiyaç duyması durumunda donanımınızdaki kaynakları kolayca genişletebilirsiniz.

Not : Netgate , pfSense’i çalıştıran SG-2440 ve XG-1541 gibi özel cihazlar sunar, böylece bu son avantaj, bu özel donanımda geçerli olmayacaktır.

PfSense eksilerini

PfSense’in bazı avantajlarını tartıştıktan sonra, şimdi bu ürünün bazı eksilerini vurgulayalım.

  1. PfSense’in açık kaynak olduğu gerçeği aslında bir dezavantaj olabilir. Aynı nedenden ötürü, pek çok kişi , Linux / Linux için masaüstü bilgisayarlarda olduğu gibi, Windows / Mac kullanıyorlar, aynı zamanda, insanların açık kaynak kodlu yönlendiricilere karşı kapalı kaynak yönlendiricileri için de kullanmaları aynı nedenden kaynaklanıyor. Bu bir algılama meselesi. Aynı şekilde “masaüstü bilgisayar” kullanan bir kuruluşun bir kenar aygıtı olarak görülmesi beni şaşırtmıştı. Ama artık bağımsız bir cihaz olarak hizmet vermeside unutulmamalı. Aynı şekilde organizasyonlar, açık bir yazılım kullanarak kendi çevre aygıtı olarak kendilerini rahat hissetmeyebilirler. Bu, pfSense’in kapalı kaynak rakiplerinden adanmış cihazlardan herhangi bir şekilde daha düşük olduğu anlamına gelmez, ancak diğer iyi bilinen satıcılarla karşılaştırıldığında güvenilir olma konusunda bazı dirençlerle karşılaşabilir.
  2. Ayrıca garantili destek meselesi de var . PfSense tarafından sağlanan özel bir donanım kullanmıyorsanız ve bir şeyler ters giderse, pfSense sorununuzu çözebilir ve varsayılan olarak “donanım sorunu” yanıtına uygun olmaz mı? Kişisel deneyimlerimden, pfSense’in bir önyükleme döngüsünde takılıp kaldığını gördüm, ancak özel cihazlarını kullanmadığım için, bir yazılım hatası veya donanım sorunu olup olmadığından emin olamadım. başlangıç ​​noktası. Destek alabiliyorsanız sorun yoktur.
  3. PfSense yapılandırması bir Grafik Kullanıcı Arayüzü (GUI) ile yapılır . Aslında, pfSense isminin arkasındaki mantık “PF’yi daha anlamlı hale getiriyor”. PF, pfSense’in temel aldığı BSD durum bilgisi güvenlik duvarı olan Paket Filtresi anlamına gelir. Bu yüzden geliştiriciler bir GUI sağlayarak pfSense dağıtımını kolaylaştırmak istedi. Ancak, teknik insanlar genelde GUI’yi sevmezler. “Bu da sektörün genel yanlışı bize tabii bir eko sistem kurgulamak.”- bu yeterince karmaşık değildir. Neden beni gelip “Next” e tıklamanız için bana para ödemeli ve ödeme yapmalısınız? Yeni olan her şeyi iyi kurgulamak.

Yani, bir müşteriye pfSense’i öneririm ? Cevap, buna bağlı. Bir yönlendirici / güvenlik duvarı üzerinde bir servet harcamaya istekli olmayan / Küçük ve Orta Düzey işletmeler “10-500 kullanıcı” için, pfSense mantıklıdır (amaçlanmıştır!) Ve tek duraklı bir çözümde birçok özellik sunar.

Ayrıca, bazı teknik elemanların, eğer onlara kalmışsa, pfSense gibi açık kaynaklı bir yazılımı kullanmak için daha açık olacağını da düşünüyorum. Kişisel görüşüme rağmen, pfSense’in boyutundan bağımsız olarak her türlü ağda kullanıldığını biliyorum.

Cisco ASA

ASA, Cisco’nun bir güvenlik duvarı uygulamasıdır. PfSense’den farklı olarak, Cisco ASA, çoğunlukla İzinsiz Giriş Algılama / Önleme Sistemi (IDS / IPS), URL filtreleme ve kötü amaçlı yazılım koruması için seçenekleriniz olsa da , özel bir güvenlik duvarı aygıtıdır . Ağın boyutuna bağlı olarak Cisco ASA’nın birkaç modeli vardır ve NAT , VPN ve Yüksek Kullanılabilirlik gibi özellikler de sunar .

Cisco ASA Artıları

Cisco ASA’nın bunlardan bir kaçını belirtmek için:

  1. Cisco marka ağ sektöründe güçlü ve birçok kurumsal kullanıcıların (hiç duymuş arasında Cisco için genel bir marka sadakati var şaka “kimse Cisco satın almak için kovuldu ..”) . Zaten bir Cisco yönlendirici veya anahtar kullanıyorsanız ( şansınız varsa ), bir güvenlik duvarı satın alma zamanı geldiğinde başka bir yere bakmak istemeyebilirsiniz – bazen birlikte çalışabilirlik bir ağrı olabilir.
  2. Cisco ASA’nın özel donanım üzerinde çalışması (sanallaştırma da mevcuttur), işlenmesi gereken trafik hacmi ne olursa olsun iyi bir performansa sahip olduğu anlamına gelir (model limitlerine tabidir). Bu aynı zamanda sadece ASA yazılımı için destek alacağınız değil, Cisco’nun donanımı için de destek sağlayacağı anlamına geliyor.
  3. Cisco’nun hak ettiği şeylerden biri de sertifikalarıydı. Zaman zaman geçmek çok zor olabilen sertifikasyon sınavları oluşturarak ( CCIE’yi buradan okuyabilirsiniz ), Cisco, ürünleri etrafında güçlü bir algı yarattı, elleriyle kirlenebilen yetenekli mühendislerden bahsetmedi. Ağ güvenliğinizi yöneten sertifikalı bir personelinizin olduğunu bilerek, kendinizi huzurlu hissedeceksiniz .

Cisco ASA’nın Eksileri

Öte yandan, Cisco ASA’nın bazı dezavantajlarından da bahsedebiliriz:

  1. Maliyet. Cisco pahalıdır , dönem. Donanım sadece pahalı değil (en küçük model için en az 400 $-4.000$), ancak öngörülemeyen lisans maliyetlerinde boğulma olasılığınız olabilir. Örneğin, pfSense’de OpenVPN (ücretsiz) çalıştırıyorsanız ve Cisco ASA’ya geçmek istiyorsanız, varsayılan olarak mevcut olandan daha fazla AnyConnect lisansı için ödeme yapmanız gerekecektir. IPS’yi eklemek ister misiniz? Bunu ödersin. Kötü amaçlı yazılım koruması mı istiyorsun? Daha fazla para. Aslında, “güvenlik artı” özelliklerinin, gelişmiş şifreleme algoritmaları (DES vs AES) kadar temel olan şeylerin etkinleştirilmesi için lisanslar bulunmaktadır.
  2. Daha önce de belirttiğim gibi, Cisco ASA öncelikle bir güvenlik duvarıdır. IDS / IPS gibi “özellikler” eklemek , pfSense ile yaptığımız gibi bir paket kurmak kadar kolay değildir.
  3. Kullandığınız hariç Cisco Adaptive Security Sanal Appliance ( ASAV ), o zaman sahip olduğunuz belirli ASA modeli donanımıyla sıkışmış. Ölçeklendirmeniz gerekiyorsa, ağ gereksinimleriniz arttığından, başka bir donanım satın almanız gerekecek. Yine, para.

Cisco ve ürünleri hakkında bilgi sahibi olmak için çok fazla zaman harcayan biri için, muhtemelen bir müşteri tarafından karşılanabileceği sürece bir müşteriye her zaman bir Cisco ürünü (erişim noktaları değil) öneririm.

Cisco ASA’yı PIX olarak bildiğimden beri kullanıyorum ve başarısız olduğunu pek görmedim. Kişisel görüşlerim, birlikte çalıştığım birçok kurum Cisco ASA’yı çevre aygıtı olarak kullanıyor ve Cisco ASA birçok modelde var olduğu için herhangi bir ağ boyutuna sığabiliyor.

Karşılıklı Avantaj

Bu iki güvenlik ürününün ortak olarak iyi bir desteğe ihtiyaç duymalarıdır.. İnsanların geçmişte pfSense ile yaşadıkları sorunlardan biri destek eksikliğiydi. Destek alabiliyor durumdaysanız sorun yoktur. Bununla birlikte, şirket artık kullanıcı topluluğu tarafından sağlanan destekten ayrı olarak profesyonel destek sunduğundan bu durum değişmiş gibi görünüyor . Cisco ayrıca canlı ve aktif bir destek topluluğuna sahiptir ve Cisco Teknik Yardım Merkezi (TAC) aracılığıyla profesyonel destek sunmaktadır. Burada 7/24 desteği kim veriyorsa kazanan iş ortağıdır.

özet

Bu bize pfSense ve Cisco ASA’yı karşılaştırdığımız bu makalenin sonuna getiriyor . Her bir güvenlik ürününün bazı artılarını ve eksilerini vurguladık ve en uygun oldukları yerleri tartıştık.

PfSense’in bir ofis veya küçük ve orta ölçekli ağ için en uygun olabileceği sonucuna vardık . Tek bir özgür yazılımda birçok özelliği (DHCP, DNS, VPN, Güvenlik Duvarı, vb.) Alabilmeniz desteğin iyi ise problem yoktur. Bununla birlikte, açık kaynaklı yazılımlarla ilgili güven sorunları nedeniyle, daha büyük kuruluşlar çevre aygıtı olarak pfSense’i çalıştırmanın rahat hissetmeyebilir. Bu arada bir çok kutu ürünü firewall  yazılımının içeriğinin açık kaynak olduğunu unutmamanızı aklınızın bir kenarına yazınız. Yıllık güncelleme bedeli olarak cihaz bedelinin %25’i gibi bir bedeli ödeyeceğinizi de unutmayın. Bence bu bedeli size destek hizmetini 7/24 yanınızda olan profesyonel IT destek firmanıza ödemeniz daha mantıklı.

Öte yandan, farklı modellere sahip Cisco ASA, tüm ağ boyutlarına uygundur . Aynı zamanda, Cisco’nun yerleşik marka adıyla birlikte, sadece yazılımları için değil, aynı zamanda donanımları için de destek sağlamanın ek faydası da var. Cisco ASA’nın en büyük dezavantajı maliyettir; küçük bir işletme iseniz, daha az pahalı alternatifler aramak isteyebilirsiniz.

Umarım bu yazıyı bilgilendirici (ve tarafsız) bulmuşsunuzdur. Herhangi bir sorunuz veya şüpheniz varsa , lütfen aşağıdaki makaleyi yorumlamaktan çekinmeyin. En kısa sürede cevap vereceğimizden emin olabilirsiniz! Bu bilgi başlığında tarafımızdan gerçekleştirilecektir.

Kaynak: https://www.routerfreak.com/pfsense-vs-cisco-asa-firewall-better-for-your-network/

Bilgi : http://www.ltr.com.tr/portfolio-item/bilgi-guvenligi-ve-firewall/