Licencia Security Plus para ASA 5505: is it worth it?

Escrito por coder el 24 de enero de 2010 en Informática | Hits: 158

En las siguientes capturas podéis ver las diferencias entre un ASA 5505 con la licencia Base y el mismo una vez cargada la licencia Security Plus (y reiniciado el appliance).


Como vemos, las diferencias no son muchas, pero... ¿son significativas? ¿vale la pena pagar los ~360EUR que cuesta el upgrade? Pues... es como todo, depende de las necesidades. Pasamos de un total de 3 VLANs permitidas y con la DMZ restringida para que no pueda iniciar tráfico hacia inside a 20 y sin la restricción, y con eso ya se puede jugar bastante. BASTANTE. Luego además tenemos el tema de los puertos trunk: en la base no podemos meter en modo trunk ningún puerto, por lo que no podemos 'estackar' switches con distintas VLANs para que acaben en una boca del ASA, y eso sí que restringe MUCHO las posibilidades de maniobra. Vamos, es la diferencia entre poder segmentar a nivel lógico la red interna de la organización o no poder hacerlo, porque si no podemos meter el tráfico de diferentes segmentos 802.1Q estamos muy limitados.

Tenemos también el soporte para dos ISPs, que siempre viene bien -si la empresa tiene esa necesidad, claro-, por aquello de tener una línea de backup por la que enrutar el tráfico si peta la primaria. A modo de acompañamiento, nos activan también el failover en activo/pasivo.

Lo último que llama la atención positivamente es el número de usuarios VPN simultáneos: se eleva de 10 a 25 concurrentes, con la salvedad de que se sigue manteniendo la limitación de SSL VPN a 2, y eso es problemático, porque hoy en día se está potenciando mucho esta vía de acceso, ya que desde el browser activas el túnel y es muy sencillo.

En el lado malo, además de lo que acabo de comentar de los 2 peers SSL VPN, tenemos sin duda que no elevan el número posible de inside hosts simultáneos, por lo que, teóricamente, si hacemos NAT y tenemos 11 clientes justo el día en el que un hipotético inspector Cisco viniera a ver nuestras instalaciones, nos caería un paquete xD

¿Vale la pena la licencia? Yo creo que sí, pero un poco más barata sería más razonable.



         

« Mala noticia para La Liga: Van Nistelrooy abandona el Madrid

Cisco ASA 5505: Monitor de ISP & backup »



Comentarios

  • El 2010-01-26 08:38:06, GLurPS (41.249.91) dijo:

    Lo que no he entendido nunca es la mania de potenciar los VPN cuando con NX se consigue un mismo nivel de seguridad en el acceso remoto y sin estar limitado el número de usurios por la configuracion del router. Me parece un derroche de recursos para usuarios que, al fin y al cabo, lo más seguro que transmitiran será un correo-cadena de un tio dándose de bofetadas con otro... o un ppt.

    Por lo demás... se puedene segmentar redes a nivel lógico y la respuesta ante un fall out se puede programar con servidores simétricos (ya sabes, como la NASA :P ). Claro, que yo paso de los de Cisco, ya sabes. No tengo licencia.

  • El 2010-01-26 20:18:56, GLurPS (41.249.103) dijo:

    'Fall out' por failover--> es una mala broma (por si aca)

[ Comentar la jugada ]