Fortigate x Pfsense Apresentação empresarial!
-
Eu sei que já postei isso anteriormente, mas o único caso de appliance de firewall totalmente invadido e comprometido que já vi na minha vida foi um fortigate.
Ele simplesmente passava o dia comendo a banda da empresa(sabe-se la fazendo o quê) e deixando a navegação um lixo.
Outro "testemunho" que tenho sobre fortigate é de um amigo meu que trabalha para um tribunal aqui em brasília. Fique longe dos patches, eles são testados nos clientes e não em laboratório. Várias vezes eles precisaram voltar patches por trazer de volta problemas conhecidos ou gerar novos problemas.
Não quero de forma alguma polemizar o tópico ou falar mau do fortigate, estas são apenas experiências que tive(ou ouvi) com o produto.
att,
Marcello Coutinho -
Vou ter que concordar o mantunespb,
o fortigate é uma excelente ferramenta.. só é muito cara.. tem um sistema de monitoramento e visualização de eventos em tempo real.. essa é a principal deficiência que vejo no pfsense.. por exemplo.. no Endian que não é la essa coisas, inclusive mudei para pfsense, existe opção que uma "Live log" onde eu posso ver em tempo real atraves de uma "aba" independente o que está passando no meu firewall, proxy, sistema..
Sei que o pfsense tem, só que não é igual..e para monitoramento e solução de problemas é muito eficiente. para quem não conhece segue a tela.. alguns vão dizer que é uma questão de prática, só que muitos problemas de bloqueios e portas inclusive no danguardian, solucionei usando essa opção de "live log."
Ou seja.. tudo tem vantagem e desvantagens..
gustavo..
-
marcelo,
Convenhamos. que não existe nada 100% seguro.. invasão.. eu vi até no FreeBSD e Linux.. O próprio pfsense 2.0 ficou vulnerável.. tanto
que foi corrigido para versão 2.0.1Você sabe q não adianta nada ter um applicance se tem uma aplicação web vulnerável.
O firewall não vai fazer nada.. Como eu falei.. conheço o fortigate até onde eu sei.. ele evitou foi problema
causados por outros firewall e não ao contrario..E olhe que posso citar diversos orgao federal e um grande banco… Agora não saber usar a ferramenta que tem é outro assunto.
Márcio.
-
Bom la vamos nós
Defender nosso peixe
E usei um bom tempo fort sei que é bom mas não gostei muito sei lá o porque.
Usei o Endian mas tb tinha seu lado positivo e negativos como todos acho que tem.
Depois que conheci o pFsense acho que o ano passado na versão 1.2.3 optei em utilizar o mesmo.
hoje tenho ele implantado em 40 clientes, tem clientes que tem 1 matriz e 20 filial e está para abrir mas 30 este anos e todas interligadas pela vpn do pfsense, utilizo o squid com o AD para travar 500 usuários neste cliente.
e até agora de boa como gosto do open do livre e da liberdade eu não troco sei que é dificel tem horas mas o legal é isso tem horas que devemos quebrar a cabeça um pouco, afinal trabalhamos com info.
Mas quem tem paga, e no meu caso em todos os clientes que apresentei o pfsense aprovaram.
estamos ai
Abs
Souza Linux
-
Souza,
Eu concordo com você..
se eu tiver que oferecer a um cliente uma solução de firewall.. vou sempre oferecer o pfsense..Márcio
-
marcelo,
Convenhamos. que não existe nada 100% seguro.. invasão.. eu vi até no FreeBSD e Linux..
Você sabe q não adianta nada ter um applicance se tem uma aplicação web vulnerável.
Concordo com você. Não existe firewall a prova de admins. Só passei os relatos que tenho da ferramenta.
Nesta empresa em específico, arranquei o fortigate e coloquei o pfsense. Ficou 100% mas a ela não queria "depender" de um funcionário para gerenciar e ter conhecimento de firewall e preferiu renovar o contrato do fortigate.
-
marcelo,
Convenhamos. que não existe nada 100% seguro.. invasão.. eu vi até no FreeBSD e Linux..
Você sabe q não adianta nada ter um applicance se tem uma aplicação web vulnerável.
Concordo com você. Não existe firewall a prova de admins. Só passei os relatos que tenho da ferramenta.
Nesta empresa em específico, arranquei o fortigate e coloquei o pfsense. Ficou 100% mas a ela não queria "depender" de um funcionário para gerenciar e ter conhecimento de firewall e preferiu renovar o contrato do fortigate.
Marcello você pegou no ponto principal… uma empresa do porte em que eu trabalho e até pequenas e médias empresas não querem depender de um firewall que não tem suporte fácil e é poco difundido entre os sysadmins.
Gosto muito do pfsense e pretendo usa-lo durante muito tempo... ,mas infelizmente a empresa pensa no meio mais prático para ela,que nesse caso iria comprar o fortigate, pagar R$40 mil e ter suporte 24h,podendo colocar a culpa em uma empresa grande se der algo errado,pagar um suporte mensal e ficar "despreocupado".
Eu como o único que cuida dos servidores aqui da empresa :) indústria aeronáutica + metalúrgica,tenho a sensação de que o pessoal não quer depender de um firewall (open source) gerenciado por uma pessoa.. sendo que a empresa está em expansão rápida.Minha opinião :)
O pfsense sempre deu conta das 2 empresas pessoal.. 300+ usuários,tudo redondo e bem configurado,mas faz parte.
-
Marcello você pegou no ponto principal… uma empresa do porte em que eu trabalho e até pequenas e médias empresas não querem depender de um firewall que não tem suporte fácil e é poco difundido entre os sysadmins.
Não vamos confundir as coisas, pfSense tem suporte sim, tanto nacional quanto internacional.
Luiz Gustavo e o Jack através de suas empresas dão suporte comercial a ferramenta. E tenho certeza absoluta que não vai custar 40 mil.
Você ainda pode optar por outras ferramentas pagas baseadas em pfSense.(aqui no forum já tivemos um longo tópico sobre isso).
Você pode convencer a empresa que um excelente custo benefício seria você fica com a função de ser o suporte nivel 1 e qualquer problema mais cabeludo, você sobe para o contrato que estiver dando manutenção na ferramenta.
Software livre não significa software de graça tão pouco software largado. ;)
-
Marcello você pegou no ponto principal… uma empresa do porte em que eu trabalho e até pequenas e médias empresas não querem depender de um firewall que não tem suporte fácil e é poco difundido entre os sysadmins.
Não vamos confundir as coisas, pfSense tem suporte sim, tanto nacional quanto internacional.
Luiz Gustavo e o Jack dão suporte comercial a ferramenta. E tenho certeza absoluta que não vai custar 40 mil.
Você ainda pode optar por outras ferramentas pagas baseadas em pfSense.(aqui no forum já tivemos um longo tópico sobre isso).
Você pode convencer a empresa que você fica com a função de ser o suporte nivel 1, qualquer problema mais cabeludo, você sobe para o contrato que estiver dando manutenção na ferramenta.
Software livre não significa software de graça tão pouco software largado. ;)
Nem sabia disso :) …pensei que se tratando de suporte nacional não havia nada,apenas o suporte gringo premium estaria disponível.Bom saber que temos profissionais dando suporte aos pfsense por aqui,isso fortalece o mercado de tal ferramenta.
Ao me referir a falta de suporte ao pfsense,séria apenas comparando o número de pessoas que dão suporte ao fortigate no Brasil.Normalmente se contrata empresas com nome no mercado e que tenham profissionais com certificações,como no caso da certificação para o fortigate.
Será que um dia teremos certificação pfsense ? :D -
Será que um dia teremos certificação pfsense ? :D
O processo de certificação não custa barato para a empresa. Um dos criadores do pfSense postou recentemente que por agora não vão fazer.
-
Por isso marcello eu acho o trabalho que tu faz muito interressante,pois você está melhorando cada vez mais o pfsense com melhorias em diversos pacotes.Vou fazer uma apresentação com tudo o que conversamos aqui nesse tópico e enfatizar que nesse caso a empresa poderia contratar uma empresa que cuidaria do suporte ao pfsense em caso de um sinistro :)
Qualquer melhoria ou algo muito específico a empresa pode se dispor a pagar por elas.Marcello pode gostar disso :D
Cadê o Jack para ajudar no tópico ? :)
-
Interessante esse debate. A questão é realmente complicada.
O ponto realmente é a praticidade que o "cliente" quer.
Eu tenho facilidade em "vender" a solução com PFSense pois represento uma empresa de Serviços em TI. A dificuldade do nosso amigo é que ele é apenas um. Mesmo esclarecendo sobre o suporte pago do PFSense, esse suporte não irá se apresentar pessoalmente, como faço com meus clientes.Para esse tipo de negócio, além de apresentar as vantagens funcionais e financeiras, é preciso demonstrar confiança e convencer o cliente de que você "é o cara" que está oferecendo "a solução" para os problemas dele.
Está ai um debate que participei no Linked-In alguns meses atrás: Os profissionais de TI precisam obter mais conhecimentos comerciais. Saber vender, não só produtos e serviços, como a sua própria imagem.
Por isso várias empresas da área possuem Gerentes e CIOs que são muito mais administradores do que Técnicos, tomando decisões com risco alto e sem eficiência. -
Cadê o Jack para ajudar no tópico ? :)
Opa… estamos aqui, na escuta. ;)
Na prática vina18, não gosto e nem costumo legislar em causa própria nos fóruns das comunidades de tecnologia que participo. Mas, conforme o colega marcelloc mencionou, existem várias boas opções nacionais de se obter consultoria e suporte profissional abrangente em pfSense, além é claro do suporte oficial/formal do BSD Premium. A ConexTI, empresa da qual sou sócio e responsável técnico, oferece ao mercado uma plataforma de serviço intitulada de PROTEUX - Que na prática é o pfSense embarcado em hardware homologado e dimensionado para o cenário de cada cliente + implementação + configuração + suporte contínuo e garantido por contrato (opcional).
Resumindo: Nós oferecemos uma solução como serviço para o cliente corporativo. Ele (cliente) fica ciente desde o princípio de que o core desta solução é um Software Livre e que, portanto, ele está pagando pelo hardware + dimensionamento da solução + configuração e suporte (opcional) - Que obviamente não custa nem perto de R$ 40mil (infelizmente… rsrsrs)!
Obviamente que na ConexTI nós não trabalhamos apenas com pfSense (embora seja o nosso carro chefe para soluções do gênero). O mercado exige que você analise as necessidades e expectativas de cada ambiente computacional de forma holística. Em outras palavras, é preciso dar a "Cesar o que é de Cesar". Existem cenários e necessidades que possuem outras indicações e não há demérito algum em usar a ferramenta mais indicada para cada caso. Ao contrário, isso é ser profissional. ;)
Enfim, é óbvio que defendo bravamente o pfSense (por todas as questões técnicas que já conhecemos). Mas minha dica é: Use sempre a solução que tenha o melhor TCO (custo total de propriedade) para o case em específico e, claro, que vá ao encontro das suas necessidades técnicas.
No mercado não há espaço para xiitas. Ao mesmo tempo em que o pfSense atende com extrema qualidade a imensa maioria das organizações. Eu acredito que se levarmos em conta estes dois aspectos nas apresentações a serem feitas para os gestores (que estão preocupados com as regras do seu negócio - não com bits e bytes), certamente o pfSense se torna uma solução altamente viável!
Abraços!
Jack -
Estou acompanhando o debate e vou dar o meu ponto de vista.
Eu me encontro em uma situação muito semelhante a do amigo VINA. Sou sysadmin de uma empresa e por aqui sou o único no que faço.
Diferente da sua empresa, aqui apesar de ter um faturamento gigante, o que é importante é fazer funcionar gastando o quanto menos.
Tendo em vista essa metodologia já passei por algumas ferramentas como Microfosoft TMG (lixo), iptables (bom porem, não te esta interface amigável e as facilidades que o pf nos trás), e agora estou utilizando o pfsense, cara esse cara é uma maravilha me atende em tudo que preciso.
Porem neste peregrinação ate encontrar o firewall que me atenda, tentei colocar vários outros aqui que no caso são pagos como: checkpoint, Cisco ASA, Sonicwall entre outros mas quando o valor passava dos 10 mil a diretoria não queria nem ver o orçamento.
Creio que uma solução paga é uma ótima escolha quando a empresa tem essas condições e isso demostra que a mesma se preocupa com a TI. No seu caso se é isso que a empresa quer e a ferramenta vai suprir com as necessidades você deve aceitar. Pense que se você mater o pf e um dia ele der problema a diretoria via falar eu avisei. Se for o contrário voce só tem a ganhar, vai aprender a trabalhar com outra ferramenta o que irá contar para o seu CV e tem pra onde correr quando o bicho pega. Mesmo sabendo que o pf tbm tem suporte.A minha opinião é que vc deve deixar bem claro o que o PF faz e o que a outra ferramenta tem que fazer. Se a diretória quiser mesmo assim a outra ferramenta ótimo bola pra frente e vamos aprender.
De qualquer forma você não perde. A menos que você esteja contratado só pelo pfsense ai o bixo pega. kkkkkk Mas tenho certeza deu que não é o caso.
