¡Te damos la bienvenida al nuevo sysarmy --help! Para recuperar tu usuario pedí un password reset.

Que hacer con un par de checkpoint 4400

Hola como están, es mi primer post acá

Hace tiempo que ando buscando una solución para reemplazar un par de routers/firewalls pfsense virtualizados, mas que nada por el uso de espacio en rack (los tengo en gabinetes rackeables de 4u) y buscando alguna cosa que sea NG/UTM pero no muy caro.

Estuve averiguando presupuestos (fortinet, watchguard) pero oh sorpresa, me regalaron un par de equipos checkpoint 4400.

Ahora el tema es así, ya de pique me doy cuenta que para vpn, ya estaría precisando una licencia aparte (hoy estamos usando openvpn), y no estoy seguro de que tenga que pagar por alguna otra cosa mas (clusterXL), descontando soporte. Por lo que estuve averiguando no son baratos.

Esto agregado a que el hardware ya esta discontinuado, me da la impresión de que se va a convertir en un agujero negro de dinero. Estoy con estas opciones:

  • usarlos , tengo que pagar licencia para VPN, o implementar openvpn aparte.
  • formatearlos e intentar instalarles pfsense en ellos , migrar configuración de los viejos, y después a la larga poner algún IPS como suricata
  • prenderlos fuego y comprar fortinet/watchguard/sophos

La empresa donde trabajo son unos 100-150 usuarios en total, hay mas o menos unos 500 mbits de internet repartidos en 3 o 4 servicios. Por ahora el uso de vpn pico en la pandemia fue de 30 usuarios

Es un medio de comunicación por lo que últimamente la disponibilidad de internet se ha vuelto algo bastante crítica, y si bien vengo zafando, tengo bastante preocupación por el tema de seguridad.

Muchas gracias gente

Etiquetado:

Mejores respuestas

  • Respuesta ✓

    Si estás jugado con la plata es un problema pero si no prenderlos fuego es una buena opción, o usarlos para algún sitio interno pero no como router de borde, siendo que tenés el hardware descontinuado, no sé cómo viene con el tema de actualizaciones de firmware y no contas con licencias para VPN vas a tener que salir a implementar openvpn, desplegarlo a todos los usuarios que es un bodrio (me tocó), y encima rogar que no se te jodan los 4400. Si me preguntas a mi, compra Forti, para esa cantidad de usuarios con un modelo 100/200 vas a andar, después desplegas Forticlient para VPN, es gratis si no lo usas como endpoint y solo usas VPN. Si tenés a los usuarios bajo un dominio podés desplegar la instalación y configuración de Forticlient con una GPO.

    Finalmente a los usuarios los integras al Forti con LDAP para que logueen VPN, no tenes que andar generando esos podridos certificados de openvpn, y uala no renegas más. Después si hay mucha biyuya te compras otro forti y lo metes en cluster.

  • Respuesta ✓

    Usar hardware/software End Of Life es un riesgo grande, si tenes mision critica forti o armar algo con pfsense pero sobre hw confiable quizas es tu opcion.

Respuestas

  • Gracias por los comentarios, me pongo en campaña para conseguir Forti el año que viene...

Accede o Regístrate para comentar.