Firewall / IPS per ufficio



  • Ciao a tutti, sono nuovo nel forum, avrei bisogno di installare un firewall nel mio ufficio, vorrei adottare PfSense e sarebbe la prima volta, per cui ho un po’ di dubbi sull’hardware da utilizzare.

    La nostra rete interna è di 1 GB, vengono condivisi solo piccoli file, principalmente PDF e doc. Sono presenti due switch TP Link easy smart che collegano una ventina di client dislocati su due piani, due access point Cisco cui si connettono altrettanti dispositivi mobili, un NAS Synology che funge da fileserver ma che dovrebbe essere sostituito a breve da un server vero e proprio che faccia anche da controller di dominio (il NAS verrà mantenuto per i backup).

    Abbiamo una connessione 200/20 FTTS con Fastweb, più un’altra di backup sempre 200/20.
    PfSense dovrebbe quindi agire come:

    • router
    • firewall
    • load balancer/failover per i due router fastweb
    • Server DHCP
    • IPS
    • Filtro Web (social media, contenuti per adulti, p2p)
    • OpenVPN (ma gli accessi in VPN sarebbero molto rare, per un paio di utenti e difficilmente connessi allo stesso tempo, quindi non è una priorità ma vorrei utilizzarlo alla bisogna).

    Quale hardware potrebbe soddisfare le mie esigenze? Vorrei avere due macchine da mettere in cluster, quindi credo siano necessarie quattro schede di rete. Ma in termini di CPU, RAM e spazio di archiviazione?

    Ho visto alcuni box Qotom, che apparentemente sembrano un buon affare, ma sono titubante ad acquistare dalla Cina soprattutto per il supporto. Che ne pensate?
    In alternativa potrei anche assemblare un box, conoscendo l'hardware giusto.
    Dal momento che siamo un’associazione di volontariato sto cercando di bilanciare qualità e prezzo.

    Qualsiasi suggerimento sarebbe molto apprezzato.
    Grazie!



  • Qui ci sono delle appliance prodotte in Italia: https://www.miniserver.it/firewall.html

    Nel sito esiste anche un configuratore per dimensionare l' hardware più adatto.



  • ...oppure ti rivolgi a chi può fornirti sia l'hardware che l'eventuale supporto...
    http://www.efuture.it/products/26-firewall-pf-1150

    ^_^



  • @parcs che budget hai? il Nas che modello è?

    io ti consiglio, visto che devi acqusitare un server di mantenere il nas (dipende dal modello) metterlo in Raid5 e fargli fare da storeg per il server virtuale vmware.

    per il server magari potrebbe fare al caso tuo, (https://www.amazon.it/Fujitsu-PRIMERGY-TX1310-E3-1225-Famiglia/dp/B072L7H1N1/ref=sr_1_4?__mk_it_IT=ÅMÅŽÕÑ&keywords=server&qid=1573159813&sr=8-4)

    aggiungi un po di ram e una o due schede di rete (150 euro al massimo)

    installi una macchina virtuale server per il domino (winserver o quella che preferisci), installi pfsense come macchina virtuale.
    prendi un vecchio pc ci installi freenas e ti fai un nas per i backup.

    se poi vuoi fare una chicca compri due server installi vmware e vcenter e bilanci le macchine virtuali in modo che se cade un nodo (server fisico) l'altro funziona.

    compra anche un UPS per il server (100-200 euro) di spesa
    con la configurazione sopra spendi circa 900 euro di harware
    500 server
    150 hardware aggiuntivo
    200 UPS

    i dati sono iper al sicuro perche RAID5 hai un hd di bakcup e con freenas fai i bakup giornalieri delle macchine virtuali e dei file di rete.



  • Innanzitutto grazie a tutti per le risposte.

    @federicop, il NAS è un Synology ds415+ a 4 vani con 2 gb di ram. Attualmente ci sono 2 WD Red da 2 TB in raid1.
    L'idea è proprio di mantenere il NAS per i backup del server, magari mettendolo in raid5. Un secondo Nas con FreeNas a cosa sarebbe dedicato?

    Ritieni che quel server Fujitsu sia sufficiente per il mio scenario? Dovrebbe fare da fileserver, dns server e domain controller, printserver e magari montare un paio di applicazioni (un piccolo db sqlserver e un software di gestione amministrativa). Avevo visto dei Dell Poweredge molto più costosi, completi di controller raid, ma forse basta un entry level? E la stessa macchina riuscirebbe a gestire anche IPS, VPN e filtri web?

    La mia intenzione in realtà era di mantenere firewall e server su macchine separate, prendendo due box mini-itx in cluster per il firewall ed occuparmi poi del server in un secondo momento, ma prenderò in considerazione la tua proposta.

    Avevo pensato ad un budget di 2000 euro per il server, per cui volevo tenermi sui 600/700 per i firewall in cluster. La domanda fondamentale rimane sempre: quanta potenza hardware serve realmente per le nostre esigenze? Per avere una soluzione che duri nel tempo, il budget può anche salire (abbiamo la fortuna di avere le licenze windows server in donazione in quanto no profit).

    Grazie ancora



  • nel nas metterei altri 2 hdd da 2t in modo da avere in totale 8T che messi in Raid5 diventano 6 - quindi più che sufficenti per i dati e i bakup.

    io ti ho scritto che il nas non lo metterei solo per i backup ma gli farei fare proprio da storeg (hdd) al server che anzichè configurarlo come fisico, lo farei virtuale con wmware.
    questo ti consente di avere sempre winserver (o altri server che ti cofigurerai) sempre attivi, ovvero se ti si rompe il server fisico, basta che ripristini la macchina virtuale, altrimenti devi riconfigurare tutto il domimio, AD, MSSQL ecc.
    il server che ti ho consigliato per le Vs esigenze basta e anvaza, aumenterei la ram portadola almeno a 32 Gb (specialmente se seguirai il mio consiglio delle macchine virtuali)

    il freenas (applicativo tipo pfsense) lo configurerei per avere un nas fatto in casa per i bakup (ma già saresti messo bene con la configurazione che ti ho descritto sopra - ovvero 8T in raid 5 quindi 6 T puliti. considerando che oggi lavori con 4 TB, 6 dovrebbero bastarti per un pò, poi casomai in futuri integri spazio con un nuovo nas da 2 o 4 baie.

    però se hai a disposizione 2.000 euro io farei come ti ho detto doppio server fisico configurato in virtuale con Vcenter.
    avresti la rindondanza harware che se cade un server fisico hai sempre l'altro a disposizione.

    COnsidera che io in azienda ho lo stesso server che ti ho consigliato (aumentato di RAM e schede di rete) configurato in virtuale e mi gestisce - Pfsense con (IPS filtri, vlan, VPN ecc) + un server WIN Server Core (gestione file, dominio, dns, AD e stampe) + un server deidicato a MSSQL e gestionale SAP + PDM, + un server WIN server Exchange (posta elettronica) + Server di Backup e Videosorveglianza.

    come vedi con due server fisici ho ben 5 server (e potrei aumetarli fino a quando l'hardware lo gestisce) e se mi salta un server esempio quello sql lavoro lo stesso perchè il core è un'altro - quindi il rischio di blocco è minore.
    mentre con la tua soluzione dovresti avere un server fisico per ogni Winserver o se configuri tutto in un unico Winserver se ti si rovina l'ad sei fottuto.


  • LAYER 8

    dell poweredge tutta la vita 😂 ne ho 3 in ufficio (r710), ormai vecchiotti ma zero problemi in 10 anni. ma ti confermo che anche i fujitsu sono buoni. giusto l'altro giorno mi si è rotto per la prima volta uno degli 8 sas montati su uno ci gira pfsense virtualizzato. evita i qotom come la peste, sono le classiche patacche che vanno bene per casa e chi vuole risparmiare, non certo per utilizzo professionale. nn ti so consigliare per quanto riguarda il server windzoz. l'ultimo che ho configurato era windows server 2003 ... poi sono passato a linux e non tornerò mai indietro...



  • grazie mille per i suggerimenti

    @federicop , in realtà le risorse sono ancora minori, non lavoro con 4TB ma praticamente con 2TB dato che sono due dischi da 2 in raid1, e i file dell'ufficio occupano attualmente meno di 200GB!

    l'idea della virtualizzazione mi piace, ma potendo avere WinServer 2019 standard in donazione a prezzi irrisori andrei più su hyper v che è già compreso in WinServer, anche se avrei a disposizione solo due macchine virtuali se ho capito come funzionano le licenze.
    Peraltro sembrerebbe che quel Fujitsu non supporti WinServer 2019, ma solo 2012/2016... possibile?

    @kiokoman , avevo pensato anche io ai Poweredge, ne abbiamo avuto uno che è durato più di dieci anni... sapresti consigliarmene uno che sia sufficiente per le mie esigenze? Ad esempio, il T140? https://www.dell.com/it-it/work/shop/povw/poweredge-t140

    Gli HP come sono?

    Al di là dell'ottima soluzione di virtualizzare pfsense sul server, mi piacerebbe comunque sapere quale macchina esterna potrebbe fare al caso mio. Se i Qotom non sono professionali, dove puntare? Inizialmente avevo pensato a questo: https://www.miniserver.it/firewall/cluster/nano-cluster-apu-4c4.html, ma mi pare di aver capito che con IPS, filtering e 20 utenti connessi l'hardware non sarebbe sufficiente.
    Quest'altro? https://www.miniserver.it/firewall/compact-small-utm3-pfsense-opnsense-hardware.html
    Ho però la sensazione che siano prezzi molto alti per l'hardware che effettivamente offrono...

    Grazie ancora



  • @parcs ovviamente sono tutte soluzioni similari per i livelli di cui stai parlando, ma credo che te non abbiamo ben presente di cosa stiamo parlando (quando parli di virtualizzazione)

    hyper v non lo conosco ma da come me lo hai descritto o stai confondendo la cosa o non fa al caso tuo.
    Vmware vSphere ESXi) 6.7U3 è un server per macchine virtuali gratuito (per un nodo - ovvero un server fisico) e dentro puoi installarci tutte le macchine virtali che vuoi (server o home - linux o win).
    in sostanza nel server fisico che sceglierai di acquistare (dell, Fujitsu, ecc) installi Vmware vSphere ESXi, dentro installerai virtualizzate una o più "macchine" win server 2019 e pfsense.

    quindi userrai sia per win server che per pfseense le risorse hardware del server dell, Fujitsu, ecc (quello che acquisterai), ovvero potrei dedicare le risorse che vuoi alle varie macchine virtuali.

    ti allego un veloce diagramma
    DIAGRAMMA.png

    se poi non scegli la soluzione con due nodi (due server fisici "collegati insieme") puoi spendere di piu per il server fisico e farti cpu e ram piu potenti a prescidndere dalla marca.


  • LAYER 8

    se vuoi qualcosa di dedicato perche' non prendere in considerazione i prodotti netgate ?
    https://www.dadonet.it/negozio/pfsense/desktop/sg-3100-pfsense/
    come caratteristiche per la tua linea è più che sufficiente oltre al fatto che supporteresti lo sviluppo di pfsense invece che dare i soldi a chi "ruba" il lavoro altrui
    o questo https://www.dadonet.it/negozio/pfsense/desktop/sg-5100-firewall-appliance/
    ma sinceramente potrebbe essere esagerato per la tua configurazione
    tieni anche in considerazione il consumo energetico che ti farebbe risparmiare rispetto ad un server virtualizzato. se non hai la necessità di tenerlo acceso 24/24 quello che spendi in più per l'sg-3100/5100 lo risparmi di corrente dopo
    il T140 .. non sono aggiornato su quanto consuma in termini di risorse windows come ti ripeto uso solo server linux. potrebbe andare bene se ci sono solo una ventina di client



  • @kiokoman mi sembra di capire che ragioniamo su due scuole di pensiero diverse (virtual e no virtual) .... 😀 😀 ... .bello mi piace il confronto costruttivo.

    diciamo che se non c'è necessità di usare 24/24 teoricamente nn gli conviene nemmeno mettere un server.... e magari prenderne uno dedicato in cloud, i server sono costruiti proprio per quello, cmq non è il risparmio energetico secondo me da comparare tra virtual o acquisto deidicato hardware pfsense - perchè se spegni il server teoricamente non necessiti piu nemmeno del firewal - ovvero se spegni il server virtuale ti trovi nella stessa condizione di risparmio.

    anche io prima avevo server fisici dedicati... e da quando sono passato al virtuale sono rinato.
    consumi minori... prima avevo 5 server fisici ora 2 - se mi salta un server fisico non devo riconfiguare tutto da capo ma basta che ricarico la macchina virtuale e sono subito operativo, se metti vcente sfrutti le risorse di piu server, esempio io ho due macchine con 64 gb di ram, che messe in totale fanno 128 gb di ram, trovatemi un server con queste caratteristiche.....(senza spendere soldoni) 15 schede di rete gigabit (7 su un server e 8 su un altro) ecc.....a mio avviso non c'è paragone tra virtuale e fisico, poi le macchine puoi farci girare lunux o winzoz, ma il resto non cambia
    io ho
    3 server win
    4 linux (zabbix - voip - pfsense - freenas)


  • LAYER 8

    magari gli basta avere i nas accesi a cui accedere 😂
    non sono contrario alla virtualizzazione anzi .. ma per il firewall sinceramente preferisco avere hardware dedicato
    sono invece contrario al cloud ... preferisco avere il controllo delle mie cose tant'e' che abbiamo una macchina virtuale per owncloud per me e i miei colleghi


Log in to reply