Security Professionals - ipfw add deny all from eindgebruikers to any

Vervanging van een Barracuda SSL VPN

26-06-2017, 12:08 door [Account Verwijderd], 9 reacties
Voor onze online omgeving gebruiken we momenteel een SSL VPN oplossing van Barracuda.
Echter door de groei, en bijkomst van diverse uitbreidingen voldoet deze niet meer aan de eisen die wij eraan stellen.
Zo worden websockets bv niet ondersteund, en deze zal in de toekomst ook niet ondersteund gaan worden.

Ik heb gekeken naar het een alternatief zoals Pulse Secure,
en hoewel deze aan vrijwel al onze eisen voldoet, kan je hier maar 1 netwerktouwtje aan koppelen.
Omdat wij met medische gegevens werken is dat niet wenselijk, ik moet zowel een LAN segment, als een 2de LAN erop kunnen koppelen.
Verder info bij Sonicwall en Juniper heb ik inmiddels aangevraagd, met onderstaande wensen en eisen.
Maar wellicht dat 1 van de experts mij hier ook in de goede richting kan wijzen.

Eisen :
- Virtual Appliance ( VMWare esxi 6.x ) Met mogelijkheden tot failover (active/passive) ivm uitwijklocatie, Ook licentie-technisch haalbaar
- OneTimePassword ( SMS via API, anders via mail )
- Single Sign On ( zowel user credentials en/of custom meegegeven in koppeling )
- HTTP2, HTML5, Web socket ondersteuning etc. ( kortom alle vormen van webverkeer )
- Reverse proxy
- Audit logging ( user niveau, wie, wanneer, wat ) Uit te lezen via DB koppeling of ASCII
- Web forwards naar bv OWA (ook SSO voor nodig)
- Mogelijkheid tot uitlezen groepen tbv toegangsrechten, AD en Custom koppeling
- Ondersteuning voor multidomein Extended Validation Certificate (SSL)
- Meerdere beheeraccounts kunnen configureren met verschillende rechten
- Schaalbare interface ( bv voor mobiele browser etc. )
- Compatible met Windows, Mac OS, Android, Windows Mobile, IOS.
- 24x7 support (telefonisch)
- Doorontwikkeling van de appliance, updates indien nieuwe functionaliteiten en protocollen in web standaarden worden opgenomen
- Aantal users momenteel 350, moet kunnen doorgroeien naar 500+ ( 10% concurrent )
- Sessies zonder gebruik van Java o.i.d., met agent is wel mogelijk.
- Goede admin guide beschikbaar
- Minimaal 2 netwerkaansluitingen (tbv 2 verschillende LAN segmenten)

Wensen :
- AD Koppeling
- RDP ondersteuning
- Auto start applicatie ( net als kiosk mode in windows )
- Mogelijkheid tot aanzetten maintenance mode
- Meerdere portals kunnen definiëren t.b.v. inlog d.m.v. lokale user Db en/of custom database koppeling
Reacties (9)
26-06-2017, 12:41 door Anoniem
Zelf ben ik ook bezig met de vervanging van een Barracuda SSL VPN. Grootste reden hiertoe is dat Java benodigd is en het platform niet meer doorontwikkeld wordt. Barracuda zelf adviseert hun NG Firewall, maar na de ervaringen met hun support voor de SSL VPN is dat voor ons uitgesloten.

Tot nu toe is Pulse Secure het enige alternatief wat ik gevonden heb qua functionaliteit. Pulse Secure is een voortzetting van Juniper VPN maar dan als zelfstandig bedrijf (bedrijfsonderdeel is verkocht door Juniper). Derhalve verwacht ik ook niet veel van Juniper als het op VPN aankomt. Voor zover ik kan nagaan heeft Pulse Secure wel VLAN support, kan je daar mogelijk iets mee? Standaard heb je een WAN en een LAN, dat zijn al 2 netwerkaansluitingen, dus eigenlijk wil je er dus 3.

Pulse Secure is ook een van de weinigen die devices uitbrengt specifiek voor VPN.
Bij de meeste andere fabrikanten is het "slechts" een onderdeel van hun NG Firewall maar mist er behoorlijk wat functionaliteit. Je zou nog bij F5 Networks kunnen kijken, ik weet niet of die voldoet aan je eisen, maar het is het uitzoeken waard. Een ander mogelijk alternatief is een CITRIX Access Gateway, daar is ook redelijk veel mee mogelijk.
26-06-2017, 12:53 door Anoniem
Ja, Pulse Secure is het antwoord!

Er is een test/demo vm (DTE versie) beschikbaar waar je dit tevens allemaal mee kunt testen.

Dit product stamt uit de tijd van Juniper (en Netscreen) en was toen al een top product.

ps, ik heb geen aandelen, ben geen verkoper en heb geen belang
26-06-2017, 12:54 door SecOff - Bijgewerkt: 26-06-2017, 12:54
Heb je al eens naar een Citrix Netscaler gekeken. In mijn ervaring is dit de meest robuuste en gebruiksvriendelijke oplossing. Ik zie zo geen dingen in jouw lijst met eisen en wensen die niet kunnen. Ik heb nog geen ervaring met sonicwall maar juniper zou ik niet doen, het duurt vaak lang voordat nieuwe versies van bv operating systems en owa worden ondersteund.

suc6
26-06-2017, 13:05 door Anoniem
pfSense komt mogelijk een heel eind aan je lijstje tegemoed, al dan niet als opnsense.
26-06-2017, 17:08 door Anoniem
Wij gebruiken BIG-IP Edge Gateways van F5. Ik ken niet alle specs, maar het biedt heel veel opties en de VPN client draait op vrijwel alle end-points (via de browser ik ook mogelijk). Het biedt ook de mogelijkheid om de end-points te checken op security settings, voordat je een client toelaat (zijn de laatste patches geinstalleerd? draait er een up-to-date AV? etc).
Wij gebruiken het icm 2FA met client certificaat en AD password.
27-06-2017, 08:01 door Anoniem
Je schrijft dat je met medische gegevens werkt. Dat houdt in dat je met bijzondere persoonsgegevens werkt. En dat betekent weer dat je bijzondere maatregelen .pet nemen ren aanzien van de bescherming van de gegevens. Op zich zit je op het goede pad, maar firewall/VPN server virtueel? Niet doen. Nooit doen. Virtuele servers zijn zeer kwetsbaar voor hacks door de supervisor, en nee, dat is niet theoretisch. Voor de situatie waar jij de gegevensbescherming probeert te regelen dien je het hoogste niveau van beveiliging te hebben zonder compromis.

Daarmee verdwijnen de beperkingen die je jezelf oplegt, je kunt doosjes van juniper, cisco, checkpoint, f5 inzetten.

Bedenk ook dat virtuele vpn servers serieuze restricties met betrekking tot performance hebben.
27-06-2017, 18:15 door Anoniem
supervisor moet natuurlijk hypervisor zijn. autocorrectie van telefoon...
27-06-2017, 18:57 door Anoniem
Door Anoniem: Je schrijft dat je met medische gegevens werkt. Dat houdt in dat je met bijzondere persoonsgegevens werkt. En dat betekent weer dat je bijzondere maatregelen .pet nemen ren aanzien van de bescherming van de gegevens. Op zich zit je op het goede pad, maar firewall/VPN server virtueel? Niet doen. Nooit doen. Virtuele servers zijn zeer kwetsbaar voor hacks door de hypervisor[edit], en nee, dat is niet theoretisch. Voor de situatie waar jij de gegevensbescherming probeert te regelen dien je het hoogste niveau van beveiliging te hebben zonder compromis.

Daarmee verdwijnen de beperkingen die je jezelf oplegt, je kunt doosjes van juniper, cisco, checkpoint, f5 inzetten.

Bedenk ook dat virtuele vpn servers serieuze restricties met betrekking tot performance hebben.

Ik kan me hier volledig bij aansluiten, geen enkele compromis sluiten m.b.t. veiligheid.
28-06-2017, 22:51 door SecGuru_OTX - Bijgewerkt: 28-06-2017, 22:52
Hoewel zo goed als alle cloud en hosting omgevingen virtueel zijn opgebouwd zou ik zelf ook voor fysieke appliances gaan.

Mijn ervaring is dat Pulse Secure goedkoper is dan Netscaler of Big-IP.

Ik zou alleen geen OTP op basis van SMS of E-mail willen adviseren. Je kan ook kiezen voor bv Vasco Digipass eventueel met een App op je mobiele telefoon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.