Astaro Security Linux 6.0

Это какой по счету из всей массы подобного пордукт? Сотый? Тысячный?

> Короче говоря, похоже на кучу педалек и костылей сделаных ради того чтобы "предприятиям малого или среднего бизнеса теперь не обязательно было содержать высококлассного специалиста по компьютерной безопасности, ответственного за внедрение и эксплуатацию полнофункциональной системы интернет-безопасности."

Это, конечно, у них маркетинговый перебор.

Пытался юзать Astaro версии 5. Довольно грамотно сделано...Если бы еще было бесплатно, давно бы начал ставить на сервера в небольшие конторы-клиенты. Довольно грамотно все сделано. Ну а за деньги можно и ручками поработать...

есть adamantix... больше ничего не нужно

А чё такое "шпионское по"? Это как-то связано с промышленным шпионажем?

рискну предположить какинть руткиты/бэкдоры etc

Ну написали бы rootkit и не морочили людям голову

ну так шпиенское по более пафосно звучит!

пробовал недавно 5ый, нормально так сделан, особых нареканий нет, но мелочи как всегда ручками исправляются =) самое забавное что инсталлятор два раза предупреждает, что снесет все нахрен с вашего винта =)

> Ну написали бы rootkit и не морочили людям голову

Тем, кто знает что такое rootkit, этот дистрибюутив не нужен.

Он караз нужен тем, кто знает только слово "шпионское ПО". Нефиг лишними мыслями головы манагеров загружать :)

специально ради ссаныча:
шпионское по - spyware: программное обеспечение, главная цель которого кража информации пользователя и ее незаметная передача в центр.
как правило встраивается в различные проприетарные поделки и шароварные программы.
пример: 7FaSSt
подробнее: http://www.spywareguide.com/

если вы о чем то не знаете, это еще не значит, что этого нет в природе.

а если вы о чем то знаете, это еще не значит, что можно есть на природе

> Ну написали бы rootkit и не морочили людям голову

Т.е. кейлоггеры/снифферы уже отменили?

юзал года 3 назад, незнаю что за версия, кажется еще тогда бесплатна была. произвело хорошее впечатление.

Checkpoint господа рулит!!!

>А чё такое "шпионское по"? spyware, rootkit'ы тут не при чем.

> Checkpoint господа рулит!!!

чекпоинт с их нарушающим RFC мэйлером может идти в ... или на ... или еще как, лишь бы подальше

>теперь не обязательно было содержать высококлассного специалиста по компьютерной безопасности

хех, а помоему у нас и так их далеко не везде содержат, а в целом говорят Astaro 5 была/есть неплохая штука, сам не видел

новая версия на ядре 2.6. интересно, патчи к ядру они сами делают... и вообще следят ли за обновлением..

Чекпойнт НЕрулит только из из за совершенно безумного оверпрайса. Да и fw на обычном пецуке - полюбому отстой, а на нокии какой-нить..цены.. даже говорить не хоцца.
ЗЫ Пиха в разы дешевле выходит.
ЗЫЫ Мейлгард на пиксе тоже рфс нарушает в известной степени.

> Да и fw на обычном пецуке - полюбому отстой

А ты вовнутре PIX'ам заглядывал? :-)

Угу:) Тока почему то 100 мегабит через себя продувает за просто так и 10 с криптовкой. А так да, формально тотже пецук.

> Тока почему то 100 мегабит через себя продувает за просто так

Как бы это тебе объяснить, чтобы не обидеть... Не стоит сопоставлять систему общего назначения и расширенный драйвер TCP/IP - а то ведь можно договориться до того, что PIX г...о, поскольку на нем gimp не запускается.

P.S.: моя рабочая станция как ты выразился "через себя продувает" 30 мегабит между локалкой и виндой в vmware(!), через честные SNAT и DNAT. Загрузки 95% загрузки процессора дает при этом собственно vmware :-)

"е стоит сопоставлять систему общего назначения и расширенный драйвер TCP/IP "
Не понял этой фразы если честно =)
Я, собсно, про то, что не стоит ставить купленный за большие бабки fw на "систему общего назначения" aka пецук. Я не говорю про говнороутеры с нетфильтром/pf/ipf. У них дргая ниша. Имеются ввиду коммерческие решения.

> > Не стоит сопоставлять систему общего назначения и расширенный драйвер TCP/IP > Не понял этой фразы если честно =)

Ну и сам тормоз! :-) IOS и пиксовая ось - именно "расширенные драйверы TCP/IP"

Что же до "пецуков" и "коммерческих решений" - то здесь бабушка надвое сказала.

Соплярис с чекпоинтом - это коммерческое решение?

А на ультраспарке 10-й?

А на соплярисе x86?

А если этот x86 уделывает спарку в три раза по производительности?

А линукс с чекпоинтом?

А линукс без чекпоинта?

А соплярис со сквидом на сапркстэйшне4?

Грань "коммерческое решение" и "другая ниша" ну очень зыбкая - многие филиалы ЦБ ходят в сеть через всякие линуксы и фрюхи. Во многих комбанках чекпоинты настроены так, что лучше бы уж они поставили линукс в настройках по умолчанию. :-)

Ну и сам тормоз! :-) IOS и пиксовая ось - именно "расширенные драйверы TCP/IP"
Я не ттормос, я Урмас :)
Покатит и такая формулировка, хотя я не совсем согласен. Ну не важно.


"Соплярис с чекпоинтом - это коммерческое решение?
...."
Ты забыл чекпойнт на винде:)
Безусловно. Чекпойнт на чем угодно - коммерческое решение по определению. Хоть на спарке, хоть на пекуке, хоть на нокии или вообще на собачьей упряжке. Похрен.
Сквид на спаркстейшне - нет, если специально _только_ под это не купить спаркстейшн:) Хотя может есть извращенцы:)

"Грань "коммерческое решение" и "другая ниша" ну очень зыбкая - многие филиалы ЦБ ходят в сеть через всякие линуксы и фрюхи. Во многих комбанках чекпоинты настроены так, что лучше бы уж они поставили линукс в настройках по умолчанию. :-)"
Согласен. Но мы тут исходим из того что клиенту (предположим) нужен пиха/чекпойнт. Ну нужен по функционалу. Как например у нас, где на пихе висит пара сотен ipsec'ов со всякими извратами типа nat-t. Короче ситуация когда кастомер готов заплаить и получить вкусную штуку по своим потребностям. 90% что это будет либо пих, либо Fw-1. Это реалии рынка.
Че мы имеем в сухом остатке. В при приблизительно равном функционале пиха уделает пецук/спарк по производительности раз, ибо там просто нету лишней херни, зато есть как ты говоришь "расширенные драйверы TCP/IP", по надежности два, ибо там нечему ломаться - винтов например нету, кучи пропеллеров нету, не похерится он если из розетки дернуть, ну и ДА. По цене. По деньгам это будет в разы дешевше. Чего действительно рулит в чекпойнте так это консоль управления. Все. Функционал там тотже. Косяков поровну вроде. Ну масштабируется он по лучше на сетки с кучей гейтов, ну получится на fw-1 сокращение времени обслуживания за счет централизованного управления всей шнягой. Тем не менее это ИМХО фигня ибо в таких случаях конфигурации на шлюзах как правило однотипные.
Кароче, в ИМХО газенваген файрволы на компиках.

"А соплярис со сквидом на сапркстэйшне4?"
У меня кста сквид, внешний днс, ftp и почтовый релейник на спарке живут. Но это не коммерческое решение никак =)

> Чекпойнт на чем угодно - коммерческое решение по определению.

Ну тогда и redhat на чем угодно - коммерческое решение. И сузя. И мандрейк. И асп и альт - их же все за деньги с поддержкой предлагают?!

> Сквид на спаркстейшне - нет, если специально _только_ под это не купить спаркстейшн:)

Ну, тогда купленный за 500 баксов комп под линуксовый шлюз в сеть и купленная в ларьке рядом для него федора - тоже коммерческое решение??? :-)

Впрочем, фигня все это. Главное же IMHO вот что:

> Но мы тут исходим из того что клиенту (предположим) нужен пиха/чекпойнт

Неправильно. Клиента на.уй не нужен ни пикс, не чекпойнт, ни солярис, ни винда, ни линукс, ни даже сам провайдер :-) Ему нужена возможность получать из интернета данные без риска стать чуть-чуть беременным, то бишь доступ к ресурсам глобальной сети и изоляция ресурсов внутренней. И желательно с наименьшим значением соотношения цена/эффективность.

Ну и соответственно из этого и надо исходить.

а как же понты?
IMHO манагеры тоже люди и любят всякие громкие имена.
Cisco знают в их мире, а про чекпонты далеко не все.

Скачать дают, а что значит 30 дневная версия, она что через 30 дней денег запросит и работать перестанет, как виндюк?http://www.astaro.com/firewall_network_security/security_solution

" Ему нужена возможность получать из интернета данные"
Я кажется вразумительно сказал, речь _НЕ_ идет о случаях, когда потребности ограничиваются только перечисленными тобой пунктами.

Опа! А теперь подробнее, что еще может потребоваться кроме NAT / VPN / пакетного фильтра с коннтрэком от ящика, используемого как файрвол? :-)

Конкретно мне кроме перечисленного нужен traversal nat, авторизация для некоторых сессий, TAC+, обслуживание _большого_ количества vpn соединений и failover для самого ящика.

Чем специальная железка для fw лучше обычного пецука я в предыдущем посте рассазал.

Что еще умеет делать пих/fw-1, кроме тобой перечистенного, мне в 20-й раз объяснять лень. Иди на сайте у них почитай. Или тут по борде поищи.

ЗЫ. Если бы мне от ящика были нужны только перечисленный тобой свойства я бы поставил какой-нить длинк за $300. В таком тривиальном случае я ну ВООБЩЕ не вижу никакого резона ставить fw на пецук.

ирсипоклонники в очередной раз слили по полной =) улыбнули =)