IT Café – Episodul 2

Autor: Ionut Boldizsar • februarie 15th, 2009

Ca urmare a discuţiei noastre de data trecută, am decis să luăm în colimator doi vendori de tehnologii UTM, şi să executăm o descriere comparativă asupra acestora. Cei doi vendori aleşi sunt Juniper Networks şi Check Point Software Technologies. Gazdele emisiunii sunt, şi de această dată, Radu Mihăilescu şi Ionuţ Boldizsar.

Ca şi data trecută, vă invităm să postaţi comentarii, sugestii, feedback în general, fie folosind formularul de mai jos, fie adresa de e-mail podcast at ntech dot ro.

 
icon for podpress  Enhanced Podcast [59:28m]: Play Now | Play in Popup | Download

 
icon for podpress  Standard Podcast [59:28m]: Play Now | Play in Popup | Download

Share this
  • Digg
  • Technorati
  • LinkedIn
  • del.icio.us
  • Google Bookmarks
  • Facebook
  • TwitThis
  • StumbleUpon
  • Reddit
Comments(2) Articole, Blog, Podcast, RSS Tags: · · · ·
Related posts:

Comments

By Dan Mica on mai 12th, 2009 at %H:%M

Salut,

Apropo de ce zicea Radu de interfata grafica si interfata text, in CheckPoint configuratiile de baza pot fi facute fie text cu tool-ul sysconfig fie grafic prin https si ar cam trebui sa fie echivalente. Fara sa critic CheckPoint (sau poate asta fac :D), poate-mi spune si mie cineva cum configurezi NTP din sysconfig.
Despre WYSIWYG, si experience vs step-by-step docs cazul cel mai interesant a fost cand m-am chinuit prima data sa configurez un destination NAT pe CheckPoint. Totul bine si frumos cu o configuratie simpla de reguli automate urmate de reguli manuale(lucru perfect normal si standard in CheckPoint), dar practic pur si simplu nu functiona. Dupa nu stiu cat timp mi-a venit ideea sa mut regula manuala deasupra regulilor automate. Surpriza: a mers. Din punctul meu de vedere, CheckPoint este simplu la nivel de incepator (chiar se specifica in materialul de curs ca o politica de securitate n-ar trebui sa aiba mai mult de 50 de reguli). In practica, cand ai 10 interfete cu 50 de vlan-uri lucrurile nu merg intotdeauna ca-n teorie.
La nivel complex oricum, CheckPoint este de departe solutia cea mai usor de folosit, solutii gen Cisco sau Juniper fiind un chin. Sunt sustinator al consolei dar n-as dori la nimeni sa faca, curatenie la cateva sute de reguli pe Cisco sau orice altceva similar.
Ca un minus la CheckPoint ar fi probabil programul educational. Totul parca este facut in graba, materialele de curs parca sunt facute la un centru de printare din complexul studentesc, greseli de ortografie, iar certificarile nu stiu ce sa mai zic; a fost certificare pe NG, a urmat NGX, si acum NGXR65. Primul lucru la care m-am gandit cand am auzit de NGXR65 a fost: cum ar fi sa-mi dau RHCE pe RedHat Enterprise Linux Update 5.
A aparut NGXR70 in care sunt modificari destul de majore, oare o sa scoata certificare si pentru NGXR70 ? Mi se pare cam dezordonat tot sistemul. Comparativ cu Cisco, Cisco sunt cu cateva clase peste si probabil este principalul motiv pentru care sunt cei mai cunoscuti. Din punct de vedere al documentatiei CheckPoint arata mai degraba ca o organizatie Open-Source si nu e deloc cazul. Mai ales acum cand s-a pornit serios proiectul de CCMA (CheckPoint Certified Master Architect).

Dan

By Radu - Eosif Mihailescu on mai 16th, 2009 at %H:%M

In primul rand, multumim pentru comentariu — parerea oricui ascultator conteaza enorm pentru noi intrucat numai asa, in prezenta feedback-ului ca si catalizator, ne putem modela dupa cerintele publicului.

Ma vad nevoit a va corecta, nici un produs CheckPoint din gama firewall-urilor nu poate fi configurat in mod consola (CLI, text etc.). Ceea ce puteti configura in mod consola cu utilitarele sysconfig si cpconfig este doar platforma software pe care CheckPoint ruleaza ca o aplicatie; si acelasi lucru este valabil si in cazul Nokia IPSO si al sau Voyager.
Configuratia produsului CheckPoint in sine, in spiritul scopului sau de design (i.e. gestiunea politicii de securitate) se poate face doar cu SmartDashboard via SmartCenter.
Singura exceptie de la aceasta regula sunt cateva produse aflate la periferie, dintre care unele deja nu se mai produc, cum ar fi Nokia IP40 sau seria SofaWare.

Vis-a-vis de Juniper si WISWIG, trebuie sa va aduc in atentie faptul ca toate platformele SSG ruleaza software identic (i.e. ScreenOS) si ca acesta beneficiaza de o interfata web pentru configurare ce include facilitati de manipulare a politicii de securitate identice functional cu cele disponibile in SmartDashboard.

Vis-a-vis de Juniper versus Cisco PIX/ASA in mod consola, doresc sa precizez ca sintaxa liniei de politica de la Juniper este mult mai lizibila si explicita decat la produsul omolog Cisco.

In speranta ca v-am risipit nelamuririle,
Al D-voastre sincer,
Radu – Eosif Mihailescu

 

Leave a Comment

You must be logged in to post a comment.

« Self-defending Networks: reţelele secolului XXI | Home | Check Point NGX R65 – Basic Install »