Security Professionals
- ipfw add deny all from eindgebruikers to any
Vervanging van een Barracuda SSL VPN
26-06-2017, 12:08 door [Account Verwijderd], 9 reacties
Voor onze online omgeving gebruiken we momenteel een SSL VPN oplossing van Barracuda.
Echter door de groei, en bijkomst van diverse uitbreidingen voldoet deze niet meer aan de eisen die wij eraan stellen.
Zo worden websockets bv niet ondersteund, en deze zal in de toekomst ook niet ondersteund gaan worden.
Ik heb gekeken naar het een alternatief zoals Pulse Secure,
en hoewel deze aan vrijwel al onze eisen voldoet, kan je hier maar 1 netwerktouwtje aan koppelen.
Omdat wij met medische gegevens werken is dat niet wenselijk, ik moet zowel een LAN segment, als een 2de LAN erop kunnen koppelen.
Verder info bij Sonicwall en Juniper heb ik inmiddels aangevraagd, met onderstaande wensen en eisen.
Maar wellicht dat 1 van de experts mij hier ook in de goede richting kan wijzen.
Eisen :
- Virtual Appliance ( VMWare esxi 6.x ) Met mogelijkheden tot failover (active/passive) ivm uitwijklocatie, Ook licentie-technisch haalbaar
- OneTimePassword ( SMS via API, anders via mail )
- Single Sign On ( zowel user credentials en/of custom meegegeven in koppeling )
- HTTP2, HTML5, Web socket ondersteuning etc. ( kortom alle vormen van webverkeer )
- Reverse proxy
- Audit logging ( user niveau, wie, wanneer, wat ) Uit te lezen via DB koppeling of ASCII
- Web forwards naar bv OWA (ook SSO voor nodig)
- Mogelijkheid tot uitlezen groepen tbv toegangsrechten, AD en Custom koppeling
- Ondersteuning voor multidomein Extended Validation Certificate (SSL)
- Meerdere beheeraccounts kunnen configureren met verschillende rechten
- Schaalbare interface ( bv voor mobiele browser etc. )
- Compatible met Windows, Mac OS, Android, Windows Mobile, IOS.
- 24x7 support (telefonisch)
- Doorontwikkeling van de appliance, updates indien nieuwe functionaliteiten en protocollen in web standaarden worden opgenomen
- Aantal users momenteel 350, moet kunnen doorgroeien naar 500+ ( 10% concurrent )
- Sessies zonder gebruik van Java o.i.d., met agent is wel mogelijk.
- Goede admin guide beschikbaar
- Minimaal 2 netwerkaansluitingen (tbv 2 verschillende LAN segmenten)
Wensen :
- AD Koppeling
- RDP ondersteuning
- Auto start applicatie ( net als kiosk mode in windows )
- Mogelijkheid tot aanzetten maintenance mode
- Meerdere portals kunnen definiëren t.b.v. inlog d.m.v. lokale user Db en/of custom database koppeling
Echter door de groei, en bijkomst van diverse uitbreidingen voldoet deze niet meer aan de eisen die wij eraan stellen.
Zo worden websockets bv niet ondersteund, en deze zal in de toekomst ook niet ondersteund gaan worden.
Ik heb gekeken naar het een alternatief zoals Pulse Secure,
en hoewel deze aan vrijwel al onze eisen voldoet, kan je hier maar 1 netwerktouwtje aan koppelen.
Omdat wij met medische gegevens werken is dat niet wenselijk, ik moet zowel een LAN segment, als een 2de LAN erop kunnen koppelen.
Verder info bij Sonicwall en Juniper heb ik inmiddels aangevraagd, met onderstaande wensen en eisen.
Maar wellicht dat 1 van de experts mij hier ook in de goede richting kan wijzen.
Eisen :
- Virtual Appliance ( VMWare esxi 6.x ) Met mogelijkheden tot failover (active/passive) ivm uitwijklocatie, Ook licentie-technisch haalbaar
- OneTimePassword ( SMS via API, anders via mail )
- Single Sign On ( zowel user credentials en/of custom meegegeven in koppeling )
- HTTP2, HTML5, Web socket ondersteuning etc. ( kortom alle vormen van webverkeer )
- Reverse proxy
- Audit logging ( user niveau, wie, wanneer, wat ) Uit te lezen via DB koppeling of ASCII
- Web forwards naar bv OWA (ook SSO voor nodig)
- Mogelijkheid tot uitlezen groepen tbv toegangsrechten, AD en Custom koppeling
- Ondersteuning voor multidomein Extended Validation Certificate (SSL)
- Meerdere beheeraccounts kunnen configureren met verschillende rechten
- Schaalbare interface ( bv voor mobiele browser etc. )
- Compatible met Windows, Mac OS, Android, Windows Mobile, IOS.
- 24x7 support (telefonisch)
- Doorontwikkeling van de appliance, updates indien nieuwe functionaliteiten en protocollen in web standaarden worden opgenomen
- Aantal users momenteel 350, moet kunnen doorgroeien naar 500+ ( 10% concurrent )
- Sessies zonder gebruik van Java o.i.d., met agent is wel mogelijk.
- Goede admin guide beschikbaar
- Minimaal 2 netwerkaansluitingen (tbv 2 verschillende LAN segmenten)
Wensen :
- AD Koppeling
- RDP ondersteuning
- Auto start applicatie ( net als kiosk mode in windows )
- Mogelijkheid tot aanzetten maintenance mode
- Meerdere portals kunnen definiëren t.b.v. inlog d.m.v. lokale user Db en/of custom database koppeling
Reacties (9)
Zelf ben ik ook bezig met de vervanging van een Barracuda SSL VPN. Grootste reden hiertoe is dat Java benodigd is en het platform niet meer doorontwikkeld wordt. Barracuda zelf adviseert hun NG Firewall, maar na de ervaringen met hun support voor de SSL VPN is dat voor ons uitgesloten.
Tot nu toe is Pulse Secure het enige alternatief wat ik gevonden heb qua functionaliteit. Pulse Secure is een voortzetting van Juniper VPN maar dan als zelfstandig bedrijf (bedrijfsonderdeel is verkocht door Juniper). Derhalve verwacht ik ook niet veel van Juniper als het op VPN aankomt. Voor zover ik kan nagaan heeft Pulse Secure wel VLAN support, kan je daar mogelijk iets mee? Standaard heb je een WAN en een LAN, dat zijn al 2 netwerkaansluitingen, dus eigenlijk wil je er dus 3.
Pulse Secure is ook een van de weinigen die devices uitbrengt specifiek voor VPN.
Bij de meeste andere fabrikanten is het "slechts" een onderdeel van hun NG Firewall maar mist er behoorlijk wat functionaliteit. Je zou nog bij F5 Networks kunnen kijken, ik weet niet of die voldoet aan je eisen, maar het is het uitzoeken waard. Een ander mogelijk alternatief is een CITRIX Access Gateway, daar is ook redelijk veel mee mogelijk.
Tot nu toe is Pulse Secure het enige alternatief wat ik gevonden heb qua functionaliteit. Pulse Secure is een voortzetting van Juniper VPN maar dan als zelfstandig bedrijf (bedrijfsonderdeel is verkocht door Juniper). Derhalve verwacht ik ook niet veel van Juniper als het op VPN aankomt. Voor zover ik kan nagaan heeft Pulse Secure wel VLAN support, kan je daar mogelijk iets mee? Standaard heb je een WAN en een LAN, dat zijn al 2 netwerkaansluitingen, dus eigenlijk wil je er dus 3.
Pulse Secure is ook een van de weinigen die devices uitbrengt specifiek voor VPN.
Bij de meeste andere fabrikanten is het "slechts" een onderdeel van hun NG Firewall maar mist er behoorlijk wat functionaliteit. Je zou nog bij F5 Networks kunnen kijken, ik weet niet of die voldoet aan je eisen, maar het is het uitzoeken waard. Een ander mogelijk alternatief is een CITRIX Access Gateway, daar is ook redelijk veel mee mogelijk.
Ja, Pulse Secure is het antwoord!
Er is een test/demo vm (DTE versie) beschikbaar waar je dit tevens allemaal mee kunt testen.
Dit product stamt uit de tijd van Juniper (en Netscreen) en was toen al een top product.
ps, ik heb geen aandelen, ben geen verkoper en heb geen belang
Er is een test/demo vm (DTE versie) beschikbaar waar je dit tevens allemaal mee kunt testen.
Dit product stamt uit de tijd van Juniper (en Netscreen) en was toen al een top product.
ps, ik heb geen aandelen, ben geen verkoper en heb geen belang
Heb je al eens naar een Citrix Netscaler gekeken. In mijn ervaring is dit de meest robuuste en gebruiksvriendelijke oplossing. Ik zie zo geen dingen in jouw lijst met eisen en wensen die niet kunnen. Ik heb nog geen ervaring met sonicwall maar juniper zou ik niet doen, het duurt vaak lang voordat nieuwe versies van bv operating systems en owa worden ondersteund.
suc6
suc6
pfSense komt mogelijk een heel eind aan je lijstje tegemoed, al dan niet als opnsense.
Wij gebruiken BIG-IP Edge Gateways van F5. Ik ken niet alle specs, maar het biedt heel veel opties en de VPN client draait op vrijwel alle end-points (via de browser ik ook mogelijk). Het biedt ook de mogelijkheid om de end-points te checken op security settings, voordat je een client toelaat (zijn de laatste patches geinstalleerd? draait er een up-to-date AV? etc).
Wij gebruiken het icm 2FA met client certificaat en AD password.
Wij gebruiken het icm 2FA met client certificaat en AD password.
Je schrijft dat je met medische gegevens werkt. Dat houdt in dat je met bijzondere persoonsgegevens werkt. En dat betekent weer dat je bijzondere maatregelen .pet nemen ren aanzien van de bescherming van de gegevens. Op zich zit je op het goede pad, maar firewall/VPN server virtueel? Niet doen. Nooit doen. Virtuele servers zijn zeer kwetsbaar voor hacks door de supervisor, en nee, dat is niet theoretisch. Voor de situatie waar jij de gegevensbescherming probeert te regelen dien je het hoogste niveau van beveiliging te hebben zonder compromis.
Daarmee verdwijnen de beperkingen die je jezelf oplegt, je kunt doosjes van juniper, cisco, checkpoint, f5 inzetten.
Bedenk ook dat virtuele vpn servers serieuze restricties met betrekking tot performance hebben.
Daarmee verdwijnen de beperkingen die je jezelf oplegt, je kunt doosjes van juniper, cisco, checkpoint, f5 inzetten.
Bedenk ook dat virtuele vpn servers serieuze restricties met betrekking tot performance hebben.
supervisor moet natuurlijk hypervisor zijn. autocorrectie van telefoon...
Door Anoniem: Je schrijft dat je met medische gegevens werkt. Dat houdt in dat je met bijzondere persoonsgegevens werkt. En dat betekent weer dat je bijzondere maatregelen .pet nemen ren aanzien van de bescherming van de gegevens. Op zich zit je op het goede pad, maar firewall/VPN server virtueel? Niet doen. Nooit doen. Virtuele servers zijn zeer kwetsbaar voor hacks door de hypervisor[edit], en nee, dat is niet theoretisch. Voor de situatie waar jij de gegevensbescherming probeert te regelen dien je het hoogste niveau van beveiliging te hebben zonder compromis.
Daarmee verdwijnen de beperkingen die je jezelf oplegt, je kunt doosjes van juniper, cisco, checkpoint, f5 inzetten.
Bedenk ook dat virtuele vpn servers serieuze restricties met betrekking tot performance hebben.
Daarmee verdwijnen de beperkingen die je jezelf oplegt, je kunt doosjes van juniper, cisco, checkpoint, f5 inzetten.
Bedenk ook dat virtuele vpn servers serieuze restricties met betrekking tot performance hebben.
Ik kan me hier volledig bij aansluiten, geen enkele compromis sluiten m.b.t. veiligheid.
Hoewel zo goed als alle cloud en hosting omgevingen virtueel zijn opgebouwd zou ik zelf ook voor fysieke appliances gaan.
Mijn ervaring is dat Pulse Secure goedkoper is dan Netscaler of Big-IP.
Ik zou alleen geen OTP op basis van SMS of E-mail willen adviseren. Je kan ook kiezen voor bv Vasco Digipass eventueel met een App op je mobiele telefoon.
Mijn ervaring is dat Pulse Secure goedkoper is dan Netscaler of Big-IP.
Ik zou alleen geen OTP op basis van SMS of E-mail willen adviseren. Je kan ook kiezen voor bv Vasco Digipass eventueel met een App op je mobiele telefoon.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.