Fabricante | SC | ST | SD | I | RU | FC | AA | ME | IPv6 | FD | IDP | VPN | SSL | GC | OP | R | D | E | H | RobClavTotal |
Paloalto | 4 | 5 | 5 | 5 | 4 | 4 | 4 | 5 | 4 | 5 | 5 | 4 | 2 | 2 | 4 | 5 | 5 | 5 | 4 | 81 |
Cisco ASA | 3 | 4 | 2 | 2 | 3 | 2 | 3 | 4! | 4 | 3 | 2 | 5 | 5 | 2 | 3 | 4 | 5 | 5 | 4 | 61+4= 65 |
Juniper | 3 | 4 | 2 | 2 | 4 | 3 | 3 | 5 | 4 | 5 | 3 | 4 | 1 | 3 | 3 | 4 | 5 | 5 | 5 | 68 |
Checkpoint | 1 | 3 | 3 | 5* | 3 | D | 2 | 1 | 2 | 4 | 2 | 3 | 1 | 5 | 1 | 4 | 5 | 5 | D | 45+5+D+D= 56 |
Stonesoft | 3 | 3 | 3 | 4 | 3 | D | 2 | 1 | 2 | 4 | 2 | 5 | 1 | 5 | 3 | 4 | 5 | 4 | D | 54+D+D= 60 |
Fortinet(UTM) | 4 | 2 | 4 | 4* | 3 | 4 | 3 | 1 | 3 | 2 | 4 | 4 | 3 | 4 | 3 | 1 | 2 | 2 | D | 49+4+D= 56 |
Otros UTM | 5 | 1 | 3 | 1 | 3 | 3 | 4 | 1 | 1 | 2 | 4 | 3 | 4 | 1 | 3 | 1 | 1 | 1 | 1 | 43 |
Notas en la puntuación:
* Algunos de sus últimos productos, no toda la gama.
! MTE, mediante firewalls virtuales, no sobre el chasis principal
D Lo desconozco si lo permite auque sea integrando un tercer producto. Los valoro como 3, para no adulterar el resultado.
Puntuación de 1 a 5, atribuíble al producto no a la implantación de la solución.
1. muy insatisfecho, con esta información hubiese elegido otro firewall.2. Insatisfecho. No cumple los objetivos marcados.
3. Satisfecho. Cumple la mayoría de objetivos.
4. Muy satisfecho. Cumple todos los objetivos marcados.
5. Por encima de sus expectativas. Lo recomienda como caso de éxito.
Leyenda:
SC.-Satisfacción departamento compras
ST.-Satisfacción departamento técnico
SD.-Satisfacción dirección
I.-Inteligencia en la detección de aplicaciones, métodos de evasion/ofuscación y tunnelling.
RU.- Reglas de seguridad, nat, qos, ipsec o url filtering por usuario.
QoS.- Gestión de la utilización del ancho de banda disponible.
FC.- Capacidad de creación de reglas complejas de filtrado de contenido. (Control parental de navegación)
AA.- Antivirus, detección de ataques de dia 0, keyloggers, troyanos y virus de red.
IPv6.- Preparado para afrontar los nuevos retos de IPv6.
MT.-Múltiples tablas de enrutamiento, para implementar doble pila IPv4-ipv6 sin problemas de asimétrias por vlan. De esto puede depender el éxito de la migración a IPv6.
FD.-Funcionalidades diferenciales. En el cuadrante mágico de Gartner lo que se denomina visionarios, que viene dado por la inversion en I+D+I.
IDP.- Detección y protección ante ataques basados en firmas o comportamiento.
VPN.-VPN convencionales del tipo LAN-2-LAN o mediante cliente, IPSEC o SSL
SSL.-Con cliente o navegador con presentación de portal de aplicaciones, tipo citrix.
GC.- Gestión centralizada para multiples firewalls. Reglas multifirewall, reglas expecíficas, Actualización del software desde el servidor central, centralización de logs.
OP.- Costes operacionales de licencias de mantenimiento del firewall y facilidad de encontrar personal cualificado o formarlo.
R.-Rendimiento de los equipos con todas las funcionalidades en marcha.
D.-Cumplimiento de todas las funcionalidades que anuncia el datasheet.
E.-SLA de HA, Estabilidad del producto una vez configurado.
T.-Total de puntos por firewall
H.-Seguridad desde el host que se conecta. NAC
José Luís, mi recomendación es que pidas una demo(Gratuita y sin compromiso) de Paloalto y dejarás de tener dudas. Sino tienes una integradora de confianza, envíame un correo y se lo reenvío al mayorista que te ayudará a elegir una integradora que se ajuste a tus criterios.
Me comenta JL, que StoneGate esta a punto de sacar un nuevo firewall de nueva generación, veremos que tal.
Crear un comentario o un correo si hay alguna puntuación que no estéis de acuerdo o si conocéis algo que yo no.
HTH
RobClav
13 comentarios:
Hola:
Desearia conocer donde obtengo informe del WAF en PA con XSS y SQL inj?, tienes algun link?.
Gracias por la ayuda
Hola,
el informe de WAF ahora lo miro porque me suena haberlo visto. Respecto a los ataques/vulnerabilidades del tipo XSS e inyección SQL, la respuesta de PAN es que son tratadas por firmas, pero te dejo un comentario al respecto de la gente de PAN. La discusión era comparar un producto dedicado solo a estos aspectos como es IMPERVA, con utilizar solo las firmas de PAN:
"he Imperva product only looks at SQL HTTP and HTTPS traffic. Their entire database is dedicated XSS and SQL injection and profiling web and DB devices. We have SQL injection signatures to detect wel known attacks but we do not have any insight into the databases. We have user-id and we can restrict access to networks or devices but we can not tell you if a user has logged in as an admin or run some commands that only an admin should be using. We are a firewall first (all protocols and applications) with threat prevention and AV capabilities as well.
Steve Krall"
HHT,
robclav
Hola de nuevo,
he econtrado este artículo en su web.
http://www.paloaltonetworks.com/researchcenter/2009/02/a-waf-does-not-make-you-pci-compliant/
De todos modos, via la web del fabricantes preguntales por esta info.
Un saludo
Por cierto, en uno de los últimos post, hablo del appliance de Mykonos software, que parece es un WAF, en la línea que necesitabas.
Robclav
Has probado los clavister SG4500?
Xavi, te contesto en un nuevo post. Como respuesta breve, te diré que no los he probado, así que nada que decir de estabilidad, rendimiento o facilidad de uso.
A nivel de recomendación Juniper si no te gusta PAN.
Hola. Que tal los Sonicwall?? Los han colocado ahora la NSSLab a la altura de Paloalto. Gracias
Hola Miguel Ángel,
los fabricantes han evolucionado mucho, y además a nivel teórico muchos haces muchas cosas. La cuestión es como lo hacen de bien, el target y cual es la experiencia con el producto.
En concreto el tema de posicionamiento de NSSLAB hace referencia a dos vectores, precio y protección ante ataques. Si tu valoras un equipo en 1 euros, por muy mala que sea tu protección, el ratio calidad-precio se dispara.
El análisis de Gartner me parece más serio, porque evalua conceptos como innovación, funcionalidades, penetración en mercado, estabilidad...etc.
Por otra parte, las veces que he configurado un SonicWall, me ha parecido muy buen producto para pyme, pero no lo veo con 10.000 objetos, mil tipos de aplicaciones, 10 administradores simultáneos...etc
Por no hablar del comportamiento de sus funcionalidades cuando sales del camino marcado.
Si es una instalación de menos de 50 usuarios que solo navegan, perfecto. Si es para algo crítico, NI DE BROMA.
Si coges tres firewalls de la comparativa, verás que unos incorporan las funcionalidades "justitas" y otros en toda su profundidad.
Un simil sería entre una furgoneta que la utilices para trasportar sacos de arena a una obra con barro, y un camión volquete. Ambos pueden trasportar sacos, pero al llegar al barro el camión no tiene problemas en pasar con toda la carga y el otro posiblemente se quede clavado. Pues lo mismo, todos hacen cosas similares, pero depende de lo que les pidas.
hth,
Robclav
Hola,
recientemente estamos haciendo un estudio interno sobre las diferentes soluciones del mercado en seguridad perimetral. Nos encontramos con que la R75.40 de Checkpoint apriori está cargada de nuevas funcionalidades y un entorno de gestión francamente atractivo.
Es cierto que si miras los números de Checkpoint parecen algo inflados, throughputs de más 15 Gb para arriba y más 8 Gb en tráfico de IPS en la serie 12000. En la parte de aplicaciones, identifican más de 4500 apps y casi 250000 widgets sociales... uff!! Algo no cuadra, o Checkpoint se ha puesto muy mucho las pilas o hay bastante fachada.
Mi pregunta es, has podido ver/probar lo último de Checkpoint? qué opinión te merece frente a PAN que es lo que viene sonando muy fuerte?
Saludos y enhorabuena por el blog, ya soy un asiduo.
Hola Juanillo,
primero de todo gracias por seguir el blog.
Ahora entrando en materia, la comparativa de firewalls está hecha tras el contacto con los equipos por eso no he evaluado todos.
El datasheet de Checkpoint habla del rendimiento con una sola regla en la política con un permit any any, no nat, no qos, no identificación de usuarios, aplicaciones...vamos con TODOS los módulos bajados, utilizando Jumbo Frames.
Por lo que te tienes que basar en el rendimiento que ofrecen con el módulo de IPS activo y creerte un 75%.
Eso no quita que Checkpoint se está poniendo las pilas exactamente igual que el resto de fabricantes de Firewalls.
Dependiendo del escenario Checkpoint tiene ventajas cuando el escenario, son miles de reglas, con muchos cambios diarios, políticas diferentes con varios gateways(firewalls que ejecutan las políticas compiladas por la consola)y con muchos administradores.
Ahora bien, los informes, los logs, la inteligencia, la integración de los diferentes módulos son mediocres hoy en día.
Para trabajar con un checkpoint tienes que traducir las peticiones de usuarios/dept al mundo checkpoint, configura aquí una cosa, en la otra pestaña otra, ten tú en cuenta la interelaciones, que proceso va antes o después para nats, qos, PBR, hay otros donde está todo más integrado, y simplifica mucho la vida.
Pide una demo de un CP, de un PAN y de Fortinet.
Saldrás de dudas rápido sobre Checkpoint.
Checkpoint suele integrarse a petición del cliente, en clientes que lo tengan en sus acuerdos marco, o que haya trabajado directamente el fabricante. Eso te da una idea de su posición actual en el mercado. Por cierto, pregunta el precio, y lo que incluye el mantenimiento.
Hola Juanillo,
primero de todo gracias por seguir el blog.
Ahora entrando en materia, la comparativa de firewalls está hecha tras el contacto con los equipos por eso no he evaluado todos.
El datasheet de Checkpoint habla del rendimiento con una sola regla en la política con un permit any any, no nat, no qos, no identificación de usuarios, aplicaciones...vamos con TODOS los módulos bajados, utilizando Jumbo Frames.
Por lo que te tienes que basar en el rendimiento que ofrecen con el módulo de IPS activo y creerte un 75%.
Eso no quita que Checkpoint se está poniendo las pilas exactamente igual que el resto de fabricantes de Firewalls.
Dependiendo del escenario Checkpoint tiene ventajas cuando el escenario, son miles de reglas, con muchos cambios diarios, políticas diferentes con varios gateways(firewalls que ejecutan las políticas compiladas por la consola)y con muchos administradores.
Ahora bien, los informes, los logs, la inteligencia, la integración de los diferentes módulos son mediocres hoy en día.
Para trabajar con un checkpoint tienes que traducir las peticiones de usuarios/dept al mundo checkpoint, configura aquí una cosa, en la otra pestaña otra, ten tú en cuenta la interelaciones, que proceso va antes o después para nats, qos, PBR, hay otros donde está todo más integrado, y simplifica mucho la vida.
Pide una demo de un CP, de un PAN y de Fortinet.
Saldrás de dudas rápido sobre Checkpoint.
Checkpoint suele integrarse a petición del cliente, en clientes que lo tengan en sus acuerdos marco, o que haya trabajado directamente el fabricante. Eso te da una idea de su posición actual en el mercado. Por cierto, pregunta el precio, y lo que incluye el mantenimiento.
Buenas de nuevo,
nosotros somos clientes de Checkpoint desde tiempos inmemoriales... jeje. Hemos tenido la oportunidad de probar un PAN configurado en modo sniffer.
A priori lo que se ve con el PAN es la simplificación del entorno y la visibilidad que te da en cuanto empieza a recibir datos. Estoy seguro que la administración y el día a día sería sencilla, todo está a mano y todo tiene sentido.
Por otra parte está Checkpoint, siempre lo he visto oscuro, a veces críptico, y bueno hasta que no llevas tiempo con él se puede decir que te das unas cuantas tortas.
Pero no sólo la administración del producto es lo que pesa en la decisión evidentemente, aunque no niego que PAN es muy tentador .. jeje Está la parte económica también, que la tendremos que ver más adelante. Pero sobretodo están las tripas, la tecnología en la que se apoya todo esto. PAN te viene y te explica su Single Pass Parallel Processing, wildfire y demás... y realmente ves que todo es muy novedoso y que realmente han hecho hacer a los demás que den un paso hacia delante (renovarse o morir).
No obstante he podido ver algunos informes de NSS Labs en los que parece que la solución de Checkpoint está algo por encima en cuanto a seguridad. Me explico, en el informe se muestra un gráfico donde aparece la seguridad del firewall, antes de tocar nada, (con parámetros y configuración de fabrica y sin ningún tipo de optimización, siempre según NSS-labs), y el nivel de seguridad que alcanza una vez depurado por una persona experta en cada una de estos fabricantes.
Bueno pues el vendor B (checkpoint) obtiene un 85% de saque y con tuneo un 97,3% de Block Rate. Sin embargo PAN, vendor E, si nos fijamos, de saque solo tenemos un 60% de seguridad el otro 33% se obtiene a base de crear objetos y personalizaciones especificas, y aun así se queda a un 4% del check point… un poco de miedo si que da. El informe es el de "NETWORK INTRUSION PREVENTION SYSTEMS
2010"
Está claro que la decisión va a ser difícil. También supongo que estamos comparando un mercedes con un Audi, compremos el que compremos será un buen coche.
Saludos de nuevo
Hola. Nos puedes apoyar con comenatrios sobre FW Sophos y Pfsense. Gracias
Publicar un comentario