Un saluto a tutti.
In questi giorni, siccome devo cambiare router, mi sta palesando sempre di piú in testa l'idea di acquistare un dispositivo che oltre al routing fornisse anche la possibilitá di analizzare e agire sui flussi di rete; nello specifico un qualcosa che disponesse di buone capacitá di Firewalling tra cui sistemi integrati di IPS/IDS. Ho spulciato in rete e la mia idea sarebbe quella di acquistare una UDM Pro ma stavo riflettendo sull'eventuale acquisto di un mini pc su cui settare a dovere OPNsense (questo ad esemio).
La mia domanda si rivolge a chi ha esperienza con questi dispositivi... cosa fareste al posto mio?

    • [cancellato]

    • Messaggio #2
    • Modificato

    SanniniciStyle Per una FTTH 1Gbps? Lascia perdere, 'scolta un cretino. 😉

    Cosa te ne fai di un IPS su una connessione domestica? Hai servizi esposti che possano meritare una protezione aggiuntiva?
    Ma poi ora è tutto cifrato, quindi comunque tali strumenti sono sostanzialmente inutili.

    Ah, che connessione hai? Perché i *sense soffrono parecchio con la PPPoE se le performance single-core non sono eccezionali.

        gandalf2016 esatto, W3 FTTH.

        [cancellato] prendo e porto a casa il consiglio... diciamo che il mestiere che faccio (da casa ancora per molto) é fortemente basato sulle reti ed ho a che fare con dati particolarmente sensibili... per questo avrei preferito avere sistemi di questo tipo a casa. Ovviamente non ho parlato di Fortigate, Palo alto, Tipping point, Watchguard o altre bestialitá del genere perché oggettivamente non credo di necessitare di prestazioni di quel tipo e non ho un SOC che lavora per me 🤣

            • [cancellato]

            • Messaggio #5

            SanniniciStyle

            Io uso uno di questi Supermicro che sono di caratteristiche superiori a quelli delle cinesate su Amazon.

              A livello di IPS/IDS non mi ci fiderei più di tanto e buona fortuna quando devi fare eccezioni o modificare le categorie (lo stesso vale per webfiltering!)
              Come dice giustamente @[cancellato] oggi come oggi ti serve la SSL inspection.... se stai su prodotti commerciali ti serve almeno un fgt 100F se vuoi ssl inspection/dpi e moduli di sicurezza attivi @ 1gbps

                  V4N0 effettivamente avevo completamente rimosso la questione SSL. Comunque ragazzi ringrazio tutti per le dritte!

                    SanniniciStyle Io ho un USG210 e con la giusta licenza può fare IPS/IDS e anche SSL inspection.
                    L'ho avuto per un periodo e funzionava davvero bene.
                    Se vuoi mantenere tutta la banda e conti di maxarla spesso ti servirebbe un USG310 che dovrebbe arrivare a 900Mbps.
                    Tra la fine di quest'anno e il prossimo molte aziende cambieranno firewalls e potresti trovare cose interessanti sul mercato che gestiscono il Gbps, ovviamente essendo prodotti enterprise poi le licenze andranno pagate per le funzionalità richieste.

                      In vista anche io di ftth ho spostato giusto giusto in questi giorni il mio pfsense da esx su amd 5050 (250mbps) a hyper-v 2016 su i7-6700 con tutti gli 8 core della cpu assegnati, oltre ad una riserva extra del 30℅ sulle risorse di sistema. Su quest'ultimo routo ( o ruoto 😁) a 2,5 gbps di media secondo iperf da una subnet all'altra, al netto di pppoe, dopo non poche ottimizzazioni lato hypervisor e vm quali no offloading, vmq e cosí via. Aggiungo che Su questa macchina ci sono altre 10 vm circa dal modesto carico sulla cpu che girano e quindi secondo me, spannometricamente, restando sul fisico, se non si va sotto di un i3 quarta gen si dovrebbe avere prestazioni > 1gbps, al netto di snort e altri servizi/packges extra.

                        • [cancellato]

                        • Messaggio #10

                        v8star Dimentichi che la PPPoE è single core su BSD, quindi non è detto assolutamente che si ottengano le stesse performance.
                        Prova ad assegnare un solo core e vedi quanto riesce a fare, a chi dovrai sottrarre l'overhead PPPoE e NAT/masquerading.

                            [cancellato] no ero a conoscenza del fatto del sc x pppoe su bsd, serve un clock alto x spuntare buoni risultati, cmq anche con 4 andava uguale. Quando arriverà la ftth proveró, intanto ho tolto una macchina e risparmiato 25w ecco. Troppo sbattimento simularla ora, oltre al fatto che non ho altro hw. L'unica cosa che vorrei provare piu avanti è associare il virtual swicht ad un team in lag, anziché una nic diretta con l'ont come ho presidisposto ora ma non so se lo switch permetta di taggare il lag (un netgear poe light managed)

                              Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                              P.I. IT16712091004 - info@fibraclick.it

                              ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile