Fortigate x Pfsense Apresentação empresarial!



  • Bom pessoal venho lhes pedir ajuda mais uma vez,pois aqui na empresa o pessoal tá querendo colocar o fortigate ao invés do pfsense  :( e eu tenho que provar que o pfsense é tão bom quanto o fortigate ….

    Alguns dados sobre o Fortigate:

    Anti-vírus, Firewall, VPN, detecção e prevenção de intrusões, filtragem de conteúdo e muito mais na mesma plataforma com FortiGate.
    O FortiGate Anti-vírus Firewall, desenvolvido pela Fortinet, é a primeira gama de aplicações de alto rendimento para a proteção de redes em tempo real. Trata-se de plataformas que combinam hardware e software para oferecer antivírus, filtragem de conteúdos web e de e-mail, Firewall de inspeção detalhada, IPSec VPN, detecção e prevenção de intrusões e funções de prioridade de tráfego. Sendo assim, o FortiGate detecta e elimina as ameaças que provêm dos conteúdos de e-mail e do tráfico web em tempo real -- sem reduzir o rendimento da rede.
    Os Appliances FortiGate (UTM) possuem uma relação custo benefício extremamente atraente por ser uma solução de UTM completa, inovadora e líder de mercado. Além de consolidar soluções sofisticadas, o FortiGate possui opções para alta disponibilidade e virtualização completa do equipamento.

    Preciso fazer uma apresentação bem elaborada sobre as vantagens que o pfsense tem .. e que o fortigate seria desnecessário pelo alto custa e mesmo desempenho "produtivo". O custo de um fortigate top de linha sai por mais ou menos R$40 mil fora suporte,etc.

    O que realmente a empresa e suas filiais precisam ? (Recebi essa lista hoje)

    -Segurança-
    Proteção de redes em tempo real, estatísticas sobre uso de banda,proteção contra ataques,integrar múltiplos níveis de segurança,Antivírus,Antispyware,AntiSpam,otimização de tráfego,proteção Ativos de Rede,Intrusion Prevention System (IPS).

    -Web filtering-
    Bloqueio Layer 7,filtros de conteúdo,filtro de aplicativos e extensões,blacklist e whitelist,integração com AD, estatísticas em tempo real,filtro ssl,etc.

    -Geral-

    Controle das Comunicações
    IPSec VPN / SSL-VPN
    Layer 2/3 routing
    IDS/IPS
    Vlans
    Estatísticas de performance dos componentes do Fortigate: CPU, Memória, Virus/Ataque, Sessões, Processamento e Link.
    Monitoramento mínimo SNMP e ICMP.

    Tentei fazer um resumo sobre alguns tópicos que foram abordados.

    O pessoal que trabalha na área sabe que pode ser brazilfw,pfsense,endian,appliance fortigate,qualquer firewall/rounter dlink....a base de se ter uma estrutura tratando-se de firewall/rounter é ter uma organização na questão de segurança, estatísticas,bloqueio,etc ,pois quem está por trás de tais ferramentas somos nós...não adianta ter um fortigate de 200 mil se quem o está "manejando" não sabe usar todos seus recurso ou mesmo se precisa utilizar tal ferramenta.

    Fica ai minha opinião e questionamento  :)



  • Vina,

    Esta é uma questão delicada. Em relação ao custo, com certeza o pfsense vai sair mais barato, mesmo incluindo suporte pago.

    Porque você não pega a lista de features do pfsense e mostra para o pessoal da sua empresa?

    IDS, IPS, ANTISPAM, L7, VPN, DANSGUARDIAN, tudo isso tem no pfsense. filtro ssl ainda estou trabalhando( você já viu quanto vai custar a licença do dansguardian para sua empresa?)

    A lista de features que sua empresa te passou parece ter cido colada da descrição do fortigate.

    Quem mais defende o pfSense na sua empresa? quem mais trabalha com TI na sua empresa?

    Acho 100% válido você defender seu ponto de vista.

    40 mil pra mim é muito dinherio, mas as vezes a empresa quer ter "alguem para botar a culpa" e um contrato deste pode ser o caminho mais fácil.

    Veja quanto custa o suporte deles, soma os valores e apresenta a solução.



  • É marcello a questão é complicada mesmo  :P .Vou tentar conversão com o diretor aqui e ver o que dá …

    Fortigate é muito bom,mas não sei se vem ao caso compra-lo.

    E você marcello trabalha so com pfsense ?



  • Vina,

    É complicado só que vou defender os dois lados..Vou dar a minha opinião pessoal. Uso FreeBSD desde a versão 4.0, conheço outros produtos baseado, um deles é o pfsense, temos FreeNAS instalando como solução NAS.. E a maioria dos servidores que coloco nas empresas é FreeBSD, fora e firewall é pfsense.

    Só que se a empresa pode pagar e tem condições, o fortigate é uma excelente solução, não é barato, porem compensa cada centavo investido para uma empresa onde o volume de trafego é grande,  tive a oportunidade de conhecer, instalar e usar o mesmo, inclusive fiz o curso oficial.. e posso afirmar que quem indicou não quis somente vender.. é uma solução robusta. Só que vai depender da infraestrutura da empresa.. e que talvez o pfsense resolva sem problemas.

    É uma ferramenta formidável principalmente com uso com o analyzer que é de analise de log e relatórios. O mesmo tem com assinatura de vulnerabilidade, tem e correção de bugs que quase automático. Esse valor de R$ 40.000 é certamente já vem com suporte e talvez com treinamento. Para ter uma ideia, no mesmo aplicance fortigate, existe vários VDOM, ou seja, posso ter vários firewall virtualizados.

    Conheço órgão federal e Bancos que utilizam, o gerenciamento dele é via web e console..  por coincidência estas empresa tinha problemas de internet, usavam a UTM Aker, mudaram todos para o fortigate é foi solucionado..Bloqueio Layer 7 realmente funciona.. coisa que ainda não vi no pfsense.

    Quanto o pfsense é excelente porem eu recomendo se é para grande empresa, o ideal aquisição do suporte comercial.. para solução dos problemas e um melhor aproveitamento..

    Márcio



  • @vina18:

    E você marcello trabalha so com pfsense ?

    GRAÇAS A DEUS sim!!!!  :D

    Trabalho com o pfsense desde de 2006/7. Por um bom tempo usei servidores em volta do pfsense para completar as funcionalidades.

    Desde o ano passado, precisei evoluir/corrigir alguns pacotes do pfsense para funcionar no meu ambiente.

    Quando percebi que minha experiência com bsd(desde a versão 4) poderia me ajudar a compilar os pacotes e melhorar o pfsense, não parei mais.

    Tudo o que eu sentia falta no pfSense comecei a portar ou melhorar.

    Ainda quero chegar na autenticação por usuário, mas vou fazer uma coisa de cada vez para não acabar atropelando tudo.

    Não sou bsdperimeter, mas por uma questão pessoal, quero ver o pfsense fazendo tudo o que um firewall pago faz ou mais.



  • Marcelo,

    Lembrando, com o parcote do dansguardian no pfsense está ficando excelente. Era um deficiência que eu achava,

    Márcio



  • Eu sei que já postei isso anteriormente, mas o único caso de appliance de firewall totalmente invadido e comprometido que já vi na minha vida foi um fortigate.

    Ele simplesmente passava o dia comendo a banda da empresa(sabe-se la fazendo o quê) e deixando a navegação um lixo.

    Outro "testemunho" que tenho sobre fortigate é de um amigo meu que trabalha para um tribunal aqui em brasília. Fique longe dos patches, eles são testados nos clientes e não em laboratório. Várias vezes eles precisaram voltar patches por trazer de volta problemas conhecidos ou gerar novos problemas.

    Não quero de forma alguma polemizar o tópico ou falar mau do fortigate, estas são apenas experiências que tive(ou ouvi) com o produto.

    att,
    Marcello Coutinho



  • Vou ter que concordar o mantunespb,

    o fortigate é uma excelente ferramenta.. só é muito cara.. tem um sistema de monitoramento e visualização de eventos em tempo real.. essa é a principal deficiência que vejo no pfsense..  por exemplo.. no Endian que não é la essa coisas, inclusive mudei para pfsense, existe opção que uma "Live log" onde eu posso ver em tempo real atraves de uma "aba" independente o que está passando no meu firewall, proxy, sistema..

    Sei que o pfsense tem, só que não é igual..e para monitoramento e solução de problemas é muito eficiente. para quem não conhece segue a tela.. alguns vão dizer que é uma questão de prática, só que muitos problemas de bloqueios e portas inclusive no danguardian, solucionei usando essa opção de "live log."

    Ou seja.. tudo tem vantagem e desvantagens..

    gustavo..




  • marcelo,

    Convenhamos. que não existe nada 100% seguro.. invasão.. eu vi até no FreeBSD e Linux.. O próprio pfsense 2.0 ficou vulnerável.. tanto
    que foi corrigido para versão 2.0.1

    Você sabe q não adianta nada ter um applicance se  tem uma aplicação web vulnerável.
    O firewall não vai fazer nada.. Como eu falei.. conheço o fortigate até onde eu sei.. ele evitou foi problema
    causados por outros firewall e não ao contrario..

    E olhe que posso citar diversos orgao federal e um grande banco… Agora não saber usar a ferramenta que tem é outro assunto.

    Márcio.



  • Bom la vamos nós

    Defender nosso peixe

    E usei um bom tempo fort sei que é bom mas não gostei muito sei lá o porque.

    Usei o Endian mas tb tinha seu lado positivo e negativos como todos acho que tem.

    Depois que conheci o pFsense acho que o ano passado na versão 1.2.3 optei em utilizar o mesmo.

    hoje tenho ele implantado em 40 clientes, tem clientes que tem 1 matriz e 20 filial e está para abrir mas 30 este anos e todas interligadas pela vpn do pfsense, utilizo o squid com o AD para travar 500 usuários neste cliente.

    e até agora de boa como gosto do open do livre e da liberdade eu não troco sei que é dificel tem horas mas o legal é isso tem horas que devemos quebrar a cabeça um pouco, afinal trabalhamos com info.

    Mas quem tem paga, e no meu caso em todos os clientes que apresentei o pfsense aprovaram.

    estamos ai

    Abs

    Souza Linux



  • Souza,

    Eu concordo com você..
    se eu tiver que oferecer a um cliente uma solução de firewall.. vou sempre oferecer o pfsense..

    Márcio



  • @mantunespb:

    marcelo,

    Convenhamos. que não existe nada 100% seguro.. invasão.. eu vi até no FreeBSD e Linux..

    Você sabe q não adianta nada ter um applicance se  tem uma aplicação web vulnerável.

    Concordo com você. Não existe firewall a prova de admins. Só passei os relatos que tenho da ferramenta.

    Nesta empresa em específico, arranquei o fortigate e coloquei o pfsense. Ficou 100% mas a ela não queria "depender" de um funcionário para gerenciar e ter conhecimento de firewall e preferiu renovar o contrato do fortigate.



  • @marcelloc:

    @mantunespb:

    marcelo,

    Convenhamos. que não existe nada 100% seguro.. invasão.. eu vi até no FreeBSD e Linux..

    Você sabe q não adianta nada ter um applicance se  tem uma aplicação web vulnerável.

    Concordo com você. Não existe firewall a prova de admins. Só passei os relatos que tenho da ferramenta.

    Nesta empresa em específico, arranquei o fortigate e coloquei o pfsense. Ficou 100% mas a ela não queria "depender" de um funcionário para gerenciar e ter conhecimento de firewall e preferiu renovar o contrato do fortigate.

    Marcello você pegou no ponto principal… uma empresa do porte em que eu trabalho e até pequenas e médias empresas não querem depender de um firewall que não tem suporte fácil e é poco difundido entre os sysadmins.
    Gosto muito do pfsense e pretendo usa-lo durante muito tempo... ,mas infelizmente a empresa pensa no meio mais prático para ela,que nesse caso iria comprar o fortigate, pagar R$40 mil e ter suporte 24h,podendo colocar a culpa em uma empresa grande se der algo errado,pagar um suporte mensal e ficar "despreocupado".
    Eu como o único que cuida dos servidores aqui da empresa  :) indústria aeronáutica + metalúrgica,tenho a sensação de que o pessoal não quer depender de um firewall (open source) gerenciado por uma pessoa.. sendo que a empresa está em expansão rápida.

    Minha opinião  :)

    O pfsense sempre deu conta das 2 empresas pessoal.. 300+ usuários,tudo redondo e bem configurado,mas faz parte.



  • @vina18:

    Marcello você pegou no ponto principal… uma empresa do porte em que eu trabalho e até pequenas e médias empresas não querem depender de um firewall que não tem suporte fácil e é poco difundido entre os sysadmins.

    Não vamos confundir as coisas, pfSense tem suporte sim, tanto nacional quanto internacional.

    Luiz Gustavo e o Jack através de suas empresas dão suporte comercial a ferramenta. E tenho certeza absoluta que não vai custar 40 mil.

    Você ainda pode optar por outras ferramentas pagas baseadas em pfSense.(aqui no forum já tivemos um longo tópico sobre isso).

    Você pode convencer a empresa que um excelente custo benefício seria você fica com a função de ser o suporte nivel 1 e qualquer problema mais cabeludo, você sobe para o contrato que estiver dando manutenção na ferramenta.

    Software livre não significa software de graça tão pouco software largado.  ;)



  • @marcelloc:

    @vina18:

    Marcello você pegou no ponto principal… uma empresa do porte em que eu trabalho e até pequenas e médias empresas não querem depender de um firewall que não tem suporte fácil e é poco difundido entre os sysadmins.

    Não vamos confundir as coisas, pfSense tem suporte sim, tanto nacional quanto internacional.

    Luiz Gustavo e o Jack dão suporte comercial a ferramenta. E tenho certeza absoluta que não vai custar 40 mil.

    Você ainda pode optar por outras ferramentas pagas baseadas em pfSense.(aqui no forum já tivemos um longo tópico sobre isso).

    Você pode convencer a empresa que você fica com a função de ser o suporte nivel 1, qualquer problema mais cabeludo, você sobe para o contrato que estiver dando manutenção na ferramenta.

    Software livre não significa software de graça tão pouco software largado.  ;)

    Nem sabia disso  :) …pensei que se tratando de suporte nacional não havia nada,apenas o suporte gringo premium estaria disponível.Bom saber que temos profissionais dando suporte aos pfsense por aqui,isso fortalece o mercado de tal ferramenta.
    Ao me referir a falta de suporte ao pfsense,séria apenas comparando o número de pessoas que dão suporte ao fortigate no Brasil.

    Normalmente se contrata empresas com nome no mercado e que tenham profissionais com certificações,como no caso da certificação para o fortigate.
    Será que um dia teremos certificação pfsense ? :D



  • @vina18:

    Será que um dia teremos certificação pfsense ? :D

    O processo de certificação não custa barato para a empresa. Um dos criadores do pfSense postou recentemente que por agora não vão fazer.



  • Por isso marcello eu acho o trabalho que tu faz muito interressante,pois você está melhorando cada vez mais o pfsense com melhorias em diversos pacotes.Vou fazer uma apresentação com tudo o que conversamos aqui nesse tópico e enfatizar que nesse caso a empresa poderia contratar uma empresa que cuidaria do suporte ao pfsense em caso de um sinistro  :)

    Qualquer melhoria ou algo muito específico a empresa pode se dispor a pagar por elas.Marcello pode gostar disso  :D

    Cadê o Jack para ajudar no tópico ?  :)



  • Interessante esse debate. A questão é realmente complicada.

    O ponto realmente é a praticidade que o "cliente" quer.
    Eu tenho facilidade em "vender" a solução com PFSense pois represento uma empresa de Serviços em TI. A dificuldade do nosso amigo é que ele é apenas um. Mesmo esclarecendo sobre o suporte pago do PFSense, esse suporte não irá se apresentar pessoalmente, como faço com meus clientes.

    Para esse tipo de negócio, além de apresentar as vantagens funcionais e financeiras, é preciso demonstrar confiança e convencer o cliente de que você "é o cara" que está oferecendo "a solução" para os problemas dele.

    Está ai um debate que participei no Linked-In alguns meses atrás: Os profissionais de TI precisam obter mais conhecimentos comerciais. Saber vender, não só produtos e serviços, como a sua própria imagem.
    Por isso várias empresas da área possuem Gerentes e CIOs que são muito mais administradores do que Técnicos, tomando decisões com risco alto e sem eficiência.



  • @vina18:

    Cadê o Jack para ajudar no tópico ?  :)

    Opa… estamos aqui, na escuta. ;)

    Na prática vina18, não gosto e nem costumo legislar em causa própria nos fóruns das comunidades de tecnologia que participo. Mas, conforme o colega marcelloc mencionou, existem várias boas opções nacionais de se obter consultoria e suporte profissional abrangente em pfSense, além é claro do suporte oficial/formal do BSD Premium. A ConexTI, empresa da qual sou sócio e responsável técnico, oferece ao mercado uma plataforma de serviço intitulada de PROTEUX - Que na prática é o pfSense embarcado em hardware homologado e dimensionado para o cenário de cada cliente + implementação + configuração + suporte contínuo e garantido por contrato (opcional).

    Resumindo: Nós oferecemos uma solução como serviço para o cliente corporativo. Ele (cliente) fica ciente desde o princípio de que o core desta solução é um Software Livre e que, portanto, ele está pagando pelo hardware + dimensionamento da solução + configuração e suporte (opcional) - Que obviamente não custa nem perto de R$ 40mil (infelizmente… rsrsrs)!

    Obviamente que na ConexTI nós não trabalhamos apenas com pfSense (embora seja o nosso carro chefe para soluções do gênero). O mercado exige que você analise as necessidades e expectativas de cada ambiente computacional de forma holística. Em outras palavras, é preciso dar a "Cesar o que é de Cesar". Existem cenários e necessidades que possuem outras indicações e não há demérito algum em usar a ferramenta mais indicada para cada caso. Ao contrário, isso é ser profissional. ;)

    Enfim, é óbvio que defendo bravamente o pfSense (por todas as questões técnicas que já conhecemos). Mas minha dica é: Use sempre a solução que tenha o melhor TCO (custo total de propriedade) para o case em específico e, claro, que vá ao encontro das suas necessidades técnicas.

    No mercado não há espaço para xiitas. Ao mesmo tempo em que o pfSense atende com extrema qualidade a imensa maioria das organizações. Eu acredito que se levarmos em conta estes dois aspectos nas apresentações a serem feitas para os gestores (que estão preocupados com as regras do seu negócio - não com bits e bytes), certamente o pfSense se torna uma solução altamente viável!

    Abraços!
    Jack



  • Estou acompanhando o debate e vou dar o meu ponto de vista.
    Eu me encontro em uma situação muito semelhante a do amigo VINA. Sou sysadmin de uma empresa e por aqui sou o único no que faço.
    Diferente da sua empresa, aqui apesar de ter um faturamento gigante, o que é importante é fazer funcionar gastando o quanto menos.
    Tendo em vista essa metodologia já passei por algumas ferramentas como Microfosoft TMG (lixo), iptables (bom porem, não te esta interface amigável e as facilidades que o pf nos trás), e agora estou utilizando o pfsense, cara esse cara é uma maravilha me atende em tudo que preciso.
    Porem neste peregrinação ate encontrar o firewall que me atenda, tentei colocar vários outros aqui que no caso são pagos como: checkpoint, Cisco ASA, Sonicwall entre outros mas quando o valor passava dos 10 mil a diretoria não queria nem ver o orçamento.
    Creio que uma solução paga é uma ótima escolha quando a empresa tem essas condições e isso demostra que a mesma se preocupa com a TI. No seu caso se é isso que a empresa quer e a ferramenta vai suprir com as necessidades você deve aceitar. Pense que se você mater o pf e um dia ele der problema a diretoria via falar eu avisei. Se for o contrário voce só tem a ganhar, vai aprender a trabalhar com outra ferramenta o que irá contar para o seu CV e tem pra onde correr quando o bicho pega. Mesmo sabendo que o pf tbm tem suporte.

    A minha opinião é que vc deve deixar bem claro o que o PF faz e o que a outra ferramenta tem que fazer. Se a diretória quiser mesmo assim a outra ferramenta ótimo bola pra frente e vamos aprender.

    De qualquer forma você não perde. A menos que você esteja contratado só pelo pfsense ai o bixo pega. kkkkkk Mas tenho certeza deu que não é o caso.


Log in to reply