Sziasztok! Ki milyen nagyobb gyártó eszközeivel "játszik"? Pozitív, negatív tapasztakatok, vélemények is érdekelnek. Köszi, ha írtok.
Hozzászólások
Mikrotik.
Pro: olcsó, sokat tud, megbízható a vas, kevés nyűg van vele.
Kontra: nehéz megtanulni, a wifi eszközei lehetnének jobbak.
u.i.
A forgalomelemző csodákkal (pl PaloAlto) természetesen nincs egy szinten, de az ára a fasorban sincs azokhoz képest. Egy KKV korlátozott erőforrásait érdemesebb inkább valamilyen átfogó védelmi rendszerre költeni, pl, Heimdal.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
Ma már egy klasszikus portszűrés nagyon kevés. Egy decrypt, blackist, stb képesség már igen sokat számíthat. A fenti egyébként ebben a környezebben egy TP-Likre vagy OpenWRT-re is igaz.
A mikrotik a klasszikus portszűrésnél azért többet tud. Simán csinálok vele dinamikus blacklist-et, ország szűrést, bekopogást, WG vpn-t, stb. és ezt fillérekből, havidíjas meg mindenre licenc baszakodás nélkül. A vashoz minden jár, és nem akkora köcsög a cég, mint pl, az UBNT ahol a pár éves vasra nincs frissítés, mert csak.
Szvsz, a drága NGFW helyett jobb megoldás egy végponti kibervédelmi szoftver. Egy USB-n bedugott ransomwre ellen a csilivili tűzfal nem ér semmit. Én a Mikrotik+Heimdal párost használom a legtöbb helyen, mert a KKV-k jellemzően nem végtelen erőforrással rendelkeznek.
De ez én vagyok.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
Én sem állítom az ellenkezőjét, viszont a héten egy Fortigate mögötti KKV-t próbálunk rendbe tenni, ahol egy ransomware lenullázta a céget. Ahogy Szalacsi bácsi mondaná, az ellen nem véd. Ha nem a más világra költöttek volna, hanem rendes végpont védelemre, akkor nem itt tartanának.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
Sokszor olcsóbb gyors és megbízható recovery-re költeni, mert azt mindenki tudja, hogy 100%-os védelem nincs, még akkor sem, ha éppen Fortigate vagy Palo Alto a termék neve.
Egy IT rendszer messze legfontosabb eleme, ahol nem szabad spórolni az a backup-restore rendszer. Kíváncsi lennék, hogy az NGFW fanok, hogyan oldanák meg egy KKV védelmét (fw, backup, endpoint), ahol a teljes megoldásra van mondjuk 1-2 millió össz keret. Nem euro hanem forint.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
Én kezdek ilyen téren "radikális" lenni, mert ott tartunk, hogy a mikro vállakozás tulaja/ügyvezetője is 20 milliós kocsival jár, és hát akkor tessék abból olcsóbban venni, hogy a lényegi részre maradjon pénz. Mert a céges személyautó (taxisokat kivéve) nem bevétel termelő beruházás, de az informatika elengedhetetlen a cégek 99%-nak a működéséhez, és arra muszáj rákölteni amit muszáj rákölteni.
Régen megértő voltam, és csináltuk fillérekből a szervereket, mindent. Aztán teltek az évek és egyre inkább láttam, hogy pénz mindig is van/volt, csak nem arra költik, amire kell, hanem arra ami látszik...
Hát, a különböző védelmeknek egymás mellett van meg a helye, nem elég csak ez vagy csak az.
A komolyabb határvédelem is kell, a végpontvédelem is kell. Plusz még hálózat védelem is kellene, mert az mutatja meg, ha valaki bejutott és bent próbálkozik bármivel. Meg pesze valami SIEM, hogy minderről értesüljünk és érdemben tudjunk is tenni valamit. Erre nyilván rá lehet vágni, hogy kinek van erre pénze, de ez mára olyan elengedhetetlen minden cégnél (a kicsiknél is), hogy inkább a céges kocsit kell 3 helyett 5 évre cserélni, hogy maradjon erre elég pénz...
Vagy lesz az, amit írsz, hogy kármentetek ransomware után, mert csak egy dologra áldoztak, és azt hitték, azzal le van tudva a teljes körű védelem, mert az az egy dolog drága volt (szerintük).
Én nagyon szeretem a Mikrotik-et router-nek, de azt el kell ismerni/fogadni, hogy csak egy router. Meg lehet ezzel-azzal erőszakolni, de komoly tudás kell, és nincs ezekhez az extrákhoz gyártói support (ami azért sok menedzsernél nem teljesen értelmetlen elvárás). Ezen felül egyre több helyen, különböző megfelelések miatt elvárás is az UTM egy sima router/tűzfal helyett (mondjuk ilyenkor a végpontvédelem, EDR-re is jellemzően elvárás).
A mi felelősségünk annyi, hogy a kisebb cégekkel - akik nincsenek kötelezve semminek a teljesítésére - is megértessük, hogy ezek nagyon fontos dolgok és muszáj költeni rá, és üzemeltetni a védelmi rendszereket.
Ezt én is így gondolom, de a súlyozás a tapasztalatom (30 év, KKV outsource üzemeltetés, tervezés, tanácsadás) szerint a következő, fontossági sorrendben:
1. Mentés, itt nincs kompromisszum (legkevesebb 2 de inkább 3-féle technológia, pull, push, offsite)
2. Végpontvédelem, lehetőleg integrált (IDS, IPS, Patch management, ransomware védelem, vírusvédelem)
3. Felhasználók oktatása!!!
4. Mail GW (spam szűrő)
5. IT munka szabályzatok és betartatásuk
6. Tűzfal
7. Belső hálózat védelme
8. Naplózás
+1 telefonok lehető legnagyobb mértékű korlátozása/kizárása a munkából
Szoktam kapni a hálózatos kollégáéktól, de szerintem a tűzfal közel sem a legkritikusabb elem. Egy KKV-nál erre ritkán jut pénz Enterprise megoldásokra. De ismétlem, ez én vagyok. Más gondolhatja máshogy, nincs szent igaz út.
A Fortigate melletti ransomware nem az én cégem volt, csak esemény utáni segítség voltam. A 2-es pont náluk a telepítéskor felrakott standalone ESET volt, a jól van az úgy felügyelt nélkül is.
Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.
Nekem tetszik a sorrended, mi is hasonló súlyozással dolgozunk, szintén KKV ügyfélkörrel vonalon.
Mi csak központi felügyelt végpontvédelmet adunk, EDR-t ritkán sikerül eladni, de patch management mindenben van amit kínálunk, mert az fontos, és aki szerződött ügyfél, annál figyeljük is, nem csak úgy van.
Amennyiben egy UTM felbonthatja a TLS-t, akkor látom értelmét, de ha nem megoldható, akkor nagy hasznát én nem látom, akkor nem igazán több, mint egy sima tűzfal. De ennél nem is azzal van a baj, hogy kifizetik-e egyszer, meg kifizetik-e az éves díjat. Hanem azzal, hogy e mellé már nem akarják kifizetni a tutujgatását, ami viszont kelleni szokott, mondván, fizettek már eleget a gyártónak.
Régen kaptam egy Fortigate 60-at, otthonra,szolgáltató,Telekom felhívott -legnagyobb csodálkozásomra- hogy frissitsem a fw-t. Gondolom látták, hogy Fortigate és abban az időben ekkora májer volt a Fortigate/Fortinet.
Viszont az ára , hát nem tudom újonnan van egyetlen olyan modeljük is ami kkv-k nak elfogadható,esteleg használtan. És akkor még erre jön az éves előfizetés.
De az előfizetésekre nem árt odafigyelni.Veszel egy pár százezer forintos Zyxelt/Zywallt és még a ipsec VPN kliensét is csak éves előfizetéssel kapod meg.
De nem csak az árát kell nézni, a bevezetés minőségét is. Bármelyik gyártó embere ideírhatná a tűzfalai árát bármilyen license konstrukcióban, de jobban jársz, ha keresel egy céget, aki végigvezet a presalesen meg mindenen keresztül, az igènyeitekre hangolva.
A papír sok funkció meglétét megbírja, egy másik dolog, ha mennie is kell. Meg ugye magas rendelkezésre állás és hasonló dolog.
Ezt csak azért írom le, mert túl vagyok, úgy 3-4 hupos tűzfal tanácsadáson. Nem szokott ilyen módon rendes projekt lenni belőle.
A kkv környezet túl tág fogalom , kkv egy Bt , kis iroda, de kkv még a 249 fős 20 milliárdos árbevételúű cég. Nyilván máshogy áll egy komoly éves előfizetéshez az utóbbi és máshogy egy kis iroda. A kicsik és a nagyok igy elbeszélnek egymás mellett.
Ird le kérlek melyik gyári megoldáshoz nem tartozik ilyen. Cserébe kicserélik a hardvert ha szar.
Ha erre meg nincs szükség, marad az opensource megoldás. Ott is ki kell fizetni a tanulópénzt. Hibamegoldásban, problémákban, konfigban, minden ilyesmiben. Nincs ingyen pénz, nincs ingyen megoldás.
Én akikre gondoltam , azok a "kicsi" kkv-k. a pici kisvállalkozásokról beszélek . Használják a Zywall-t, stb-t előfizetés nélkül, kérték a rendes vpn klienst, de amikor kiderült a 30 000 ft-os előfizetés felhasználónként, nem kellett. Jobban jártak volna egy combos hagyományos routerrel. Előfizetés nélkül ezeket szerintem fölösleges megvenni. Kicsiknek az előfizetés fáj, nem is tudnak róla sok esetben, hogy kell majd.
Sok esetben nem is tudják, hogy milyen tudású eszköz kell nekik. Sem most, sem a közeli jövőben (1-2 év). Az organikus fejlődés meg tartogat ilyen aknákat.
Sonicwall esetében, ha lejár a lic., akkor csak az extra szolgáltatások szűnnek meg: gateway anti-virus, IPS/IDS, Botnet filter, Cloud anti-virus, content filter, anti-spyware.
Fortinetnél is. Sőt, vpn license sincs. Vehetsz csak eszköz garanciát, vagy főzött, vagy a'lacerte licenset. License nélkül is elmegy, csak nem lesz utm. Magyarul nem lesz több egy mezei tűzfalnál. Jade. Lesz pld wifi és switch kontroller, mert az is builtin funkció.
Essential Protection Service Suite for TZ370 (1 Year) [02-SSC-6625] £488.00
Essential Protection Service Suite for TZ370 (3 Years) [02-SSC-6627] £1,170.00
Advanced Protection Service Suite for TZ370 (1 Year) [02-SSC-6529] £592.00
Advanced Protection Service Suite for TZ370 (3 Years) [02-SSC-6531] £1,421.00
Ez engem is érdekelne, de gyakorlati tapasztalatokkal.
Én nagyra becsülök minden, a témába illő hozzászólást, de az, hogy az internet alapján ki szerint melyik a jó, igazából nem segít a választásban. Az tud segíteni, aki használ ilyent és van érdemi tapasztalata.
Én is a mikro- és kisvállakozási szintű eszközök iránt érdeklődöm, ilyen ügyfelünk van túlnyomó részben. Fontos lenne, hogy aki tapasztalatból ír, az megossza, hogy a készülék és a hozzá tartozó előfizetés milyen nagyságrend árban/évenként. Mert ez azért nem mellékes dolog a kéességeken túl.
Valamint érdekes lehet bizonyos ügyfeleknél a különböző megfelelőségek. Régebben, valami előadáson hallottam, hogy csak a Stormshield (volt Netasq) eszközei rendelkeznek minden tanusítvánnyal, ami bizonyos szervezeteknek (pl. államigazgatás, önkormányzat, stb.) elfogadott/megkövetelt. Nem tudom pl. ez mennyire igaz mostanában. Mert hiába pl. a Fortigate a "legjobb" ha valahová jogi okból nem lehet ajánlani itton.
Valamint az is érdekelne a tapasztalattal rendelkezőktől, hogy az SSL inspection mennyire használható manapság, ami a nagyrészt HTTPS forgalom mellett muszáj lenne, hogy érdemben csináljon valamit a védelem (nem műszakilag, úgy nyilván működik).
Valamint az is érdekelne a tapasztalattal rendelkezőktől, hogy az SSL inspection mennyire használható manapság, ami a nagyrészt HTTPS forgalom mellett muszáj lenne, hogy érdemben csináljon valamit a védelem (nem műszakilag, úgy nyilván működik).
Ez egy szofvare-es feature, működése és használhatósága teljesen független attól, hogy min fut és milyen címke van rajta.
Szerintem már maga az elv is kérdéses, mert ugye eltöri a TLS által adott hitelességet.
(persze értem hoigy miért 'kell')
Céges környezetben persze le lehet tolni a userek torkán, DE ezesetben is kiterjedt kivétel listát kell kezelni benne, mert - teljesen jogosan - nem minden alkalmazás/megoldás tolerálja ezt.
pl:
- autoupdate szerverek gyakran applikáció szinten ellenőrzik, hogy tényleg a megfelelő szerverhez csatlakoztál-e. ilyen esetben a HTTPS 'inspection' nem működik.
- komyolabb bankok crypto trezorok esetében sem szerencsés 'elfogadni' a TLS feltörés tényét, mert ilyenkor a céges policy sértheti a magánszférát, ami manapság már/még magasabb szinten van 'védve'
Többek közt ilyen megfontolások miatt került nálunk a https felbontás a tűzfal helyett a proxyra. Céges környezet, és igen, a userek torkán 'le lett tolva', bár nem rémlik, hogy pl. az új belépőknek szóló tájékoztatóban ez le lett volna írva (a bevezetéskor én ragaszkodtam hozzá, hogy kimenjen egy ismertető). Jobban lehet szabályozni, illetve a böngészés jogosultságait, kivétellistát is finomabban be lehet állítani rajta. Cserébe a tűzfal - egyébként sokat tudó - IDS/IPS funkcionalitása nagyrészt kiesett.
Nem túl sok autoupdate problémánk volt, bár amúgy jellemzően az egyes serverek ritkán mászkáltak az Internetre autoupdate-ért. A bank témában egyetértek, a merchant és finance kategóriában nem volt SSL/TLS bontás.
Viszont ezek a tapasztalatok nagy cégnél voltak, nem releváns KKV környezetre.
A tűzfalon felbontott TLS-ről gyakorlati tapasztalatom nincs, annak idején csak demo célból csináltunk TLS bontást, mérsékelt sikerrel, volt oldal, ami totál szétesett, de ez már lassan tíz éve volt, azóta nyilván fejlődött. Ami miatt proxy-n bontottunk, az a több beállítási lehetőség. Automatikusan frissülő kategória adatbázis, és meglehetősen sok opció különféle kivétellistákra, legyen az user, forrás/cél IP, domain, subdomainek, AD csoport alapján megadott jogosultságok, és lehetne sorolni. Mindezt a tűzfalon beállítani és karbantartani sokkal bonyolultabb lett volna, ha egyáltalán lehetséges. De ahogy írtam, ez nagy cég, sok ezer felhasználóval.
Ez egy szofvare-es feature, működése és használhatósága teljesen független attól, hogy min fut és milyen címke van rajta.
Igen, a technológiát, működését értem, ismerem. Nem jól fogalmaztam meg a kérdést.
Szerintem már maga az elv is kérdéses, mert ugye eltöri a TLS által adott hitelességet.
Igen, ezt szeretném megtudni, hogy mennyire van (általánosan) használtatban ez manapság, úgy, hogy egyébként a TLS lényegét öli meg. Amíg csak HTTP forgalmat szűrtek ezek a eszközök, addig egyértelmű volt műszakilag, stb. De amikor a titkosítottat csak közbeékelődéssel tudja vizsgálni...
A kérdés az, hogy amennyiben nem szabad/lehet a TLS forgalmat felbontani, akkor egyáltalán mi létjogosultsága van még ezeknek az IDS/IPS UTM-eknek? DNS alapú védelmet már bárhová lehet tenni, layer3 tűzfal ezer féle van sokkal olcsóbban, VPN szerver is tehető már akárhozá, akármire egy hálózatban, stb.
Röviden: ha nincs TLS felbontás, akkor mi előnye van egy UTM-nek egy sima IP alapú tűzfalhoz képest?
Azért vannak még fokozatok a TLS felbontás és az IP alapú csomagszűrő között.
Encrypted TLS visibility/fingerprinting megoldások vannak szinte minden tűzfal termékben.
Persze ezek sosem lesznek 100%-osak mivel folyik a cicaharc a security termékek gyártói és a nagy content providerek között. (TlS1.3 +ESNI , QUIC ,DOH stb)
Az a francia csoda az szép meg jó - igaz nagyon-nagyon-nagyon fontolva haladósan megy az LTS firmware fejlesztése (és most finoman fogalmaztam)... Az ígéretek és a valóság között, hogy is mondjam csak, jelentős időbeli eltérések vannak. (Szerintem ha maradtak volna az aviatika területén, mindenki jobban járt volna...)
A teljes TLS-bontáshoz a tervezettnél "egy számmal nagyobb" vasat érdemes venni - zabál, mint'állat ugyanis... A webes felülete erősen oldschool módon működik, meg kell szokni a logikáját. HTTP2 majd talán a következő LTS-ben, SMTP-t vagy fw módban engedd át rajta, vagy fogadd el, hogy nincs starttls (hiába ad szervered "bentről" a helo/ehlo -ra válaszként STARTTLS-t is, ez a csoda kihajítja a válaszból...)
A szűrőszabályai képesek úgy változni,hogy ami tegnap még valid volt és elérhető, az ma már nem, mert átrakták egy másik kategóriába, akár hibásan is, úgyhogy a filteringet kell néha simogatni.
Azért kérdeztem konkrét márkára, mert picit kellett ilyent tutjgatnom egyszer, és, hát, annak ellenére, hogy szívem csücske BSD pf alapú a csomagszűrő része (pontosabban az oprendszere alapja), nem igazán lopta be magát a szívembe, hogy finoman fogalmazzak.
De egyik bemutatójukon elhangzott, hogy csak nekik van meg minden szükséges EU tanusítvány, a többieknek nincs minden, így azok jogszerűen nem rakhatók EU-ban egy csomó helyre (állítások szerint; lehet ezért is olyan ráérős a fejlesztés, mert fix piacuk van egyelőre).
Nagyon kevés hely van, ahova NATO és fiszemf@sz0m tanusítás kell, amit a franciák (ugye hadiipari cég is a mamájuk...) tudnak - a többi gyártó meg kényelmesen viszi a piac többi részét...
Ja, nekem sem a szívem csücske igazából, de amikor volt hozzá szerencsém, azért nagyjából el lehetett vele boldogulni - csak ne akart sokszáz rule-t, vagy ha van, akkor ne akarj áttekinthető listát a szabályokról, hogy valójában honnan-hova-mit-hogyan...
Palo Altoval jó tapasztalataim vannak, az árával kevésbé :) Szerencsére nem nekem kell kifizetni. De az is akkor hatékony igazán (legalábbis elég sok funkciója akkor működik), ha belelát a TLS-be.
Hát a többi gyártó terméke alapján az erősen jelzőt én törölném.
Egyrészt egy KKV vesz mondjuk egy Netgate 4200 appliance-t. $549. "pfSense Plus SW w/lifetime upgrades". Link: https://www.netgate.com/pfsense-plus-software/how-to-buy#appliances Másrészt egy pfSense Plus SW TAC Lite verzió (ami benne van az appliance-ben) $129/év. Software defined firewall.
Nem néztem jobban utána (bár mintha egy 60F-es Forti is hasonló árban mozogna, bár ott az előfizetések ára az érdekesebb) . Elmozogtam OPNSense irányba pár éve ott ahol számít az alacsony költség és egy viszonylag jó képességű eszköz kell.
Nekik is van hw appliance megoldásuk, meg Business Edition változat szupporttal.
Ha még hozzávesszük a szintén fizetős Zenarmor kiegészítőt akkor szerintem jobb választás most mint a PfSense.
15 éve használjuk megelégedéssel ezer helyen. Az, hogy félúton megvette az egyik legnagyobb használója, semmit sem jelent a fejlesztés szempontjából, amit FreeBSD fejlesztők végeznek.
Ha elég az, amit tud, akkor jó lehet... HTTP/2? Na az nincs. SMTP-nél starttls? Na az sincs... Az n+1 feature, amit belengetnek az jellemzően a következő LTS-ben várhatő, de hogy mikor lesz következő LTS, az khm. nehezen prognosztizálható... Az, hogy a webes felülete így 202x-ben olyan, amilyen, azt már nem is említem... (Tudom, tűzfalat fejlesztenek, nem webes GUI-t...)
Mi Barracuda -t hasznalunk. Elajulva epp nem vagyok tole... nem is a funkcionalitas a gond, hanem a config szintaxis... nekem nem atlathato, de lehet azert, mert nem ilyenen szocializalodtam.
A KKV környezet azért erősen definiálásra szorul. Arra gondolsz h. kis iroda 20 felhasználóig pl.? Ez is KKV. De egyébként az is KKV h. szolgáltatok 100 ügyfélnek valami colocationből és a rendszeremben nincs user sem. Az egyik oldalon a kifelé menő oldal védelme prio, a másikon meg inkább a befelé (pl. ids,ips,stb.).
Egyébként engem is érdekelne h. melyikre ki mit ajánlana, mert hasonló topicon agyalok én is, inkább a második topicban. A befelé védelemre eddig ár-érték arányban a pfSense boxok egyébként egészen jók. A többi azért egy nagyságrenddel drágább, persze tisztában vagyok vele h. nem alma-almával a dolog.
OpenSense, pFsense, Sophos XG HW vagy csak SW, Zyxel, SonicWall ... a lista végtelen, de nagy kérdés, hogy pl AP managementet is szeretnél-e bele.
Nagyon sok mindent kéne még tudnunk. Méretek, átvitelek, felhasználások.
Ezek mellett igen fontos szempont a kitettsége is a cégnek és számításba is kell venni, hogy mi kárt okozhat egy átcsúszó malware, mert ha pl a decrpytet nem engedik akkor pl csak egy Palo Alto segíthet.
Mi a KKV? 5 fő? 200 fő? Mennyi a bevétel? Mennyi a napi vesztesség egy random malware pusztításakor? Igen sok kérdést kell tisztázni a döntéskor.
Ezeket az árakat meg nem tudom, honnan vetted. Teljesen irreálisak. Főleg, hogy annak a KKV aminek nincs ennyi pénze erre, annak nem kell teljes UTM szűrés 100Mbit fölött sem, 100mbit VPN mellé.
Zyxel USG FLEX 100H kb 200k HUF és évente 100K a minden licence.
Őszintén leszarom, hogy mennyi pénzük van, mert minden vállalkozó üzletpolitikája a maximális lehúzás, de a tulajnak azért minden évben jár a 10-20% osztalék plusz a családnak a céges autó a pénzed után meg rohanhatsz ... Szarevőkkel nagyon régóta nem foglalkozom, nem éri meg, baszódjanak meg ahol vannak és sajnos a többség az. Mindegyiknek egy csapat majom kell, de banánja már nincsen. G mercis Q8-as X5-ös prosztóverseny a magyar vállalkozói szféra. Persze tisztelet a kivételnek. A kivételnek meg hajlandó vagyok egy PC-re egy szürke free Sophos XG-t telepíteni vagy egy Opensense-t, de ott maga a PC is már pénzbe fog kerülni, mert erre nem jó a titkárnő régi lerúgott szarja amit majd 10k-ért megmókol a szaki.
ez az osszeg eltorpul meg egy fozott vasbol osszerakott 3-2-1 backup megoldashoz kepest is. kb. diszkekre se eleg :D ami meg alap kell(ene) legyen.
ami meg a 600k HUF-ot illeti... az egy havi nyugdij nettojara szamolva is keves berkltsg, nemhogy egy fizetesnek :D
SonicWall-nál is van ransomware védelem és kb. 190ezer/év 3 éves előfizetés (havi 16ezer).
AP management - valóban fontos kérdés, de nálunk pl. kizárólag csak guest hálózat van wifin. A cég minden egyes dolgozó gépe vezetékes - oldscool szemlélet én már csak ilyen vagyok.
A wildilre központilag gyűjti és folyamatosan tolja körbe a világba az összes olyan hostot / címet és mindent ami fertőző és azonnal tiltja, decrypt nélkül.
mikrotik: ha nincs másra lehetőség, nem igazi tűzfal, hanem csak egy komolyabb router, sok esetben kevés az erőforrás komolyabb funkciókra (ok, tudom van RB5009), de nem is létezik hozzá adott sw komponens (pl haproxy, dns filter stb) ami miatt nem igazán használható mint rendes tűzfal.
fortigate: ha van pénz az eszközre és az éves előfizetésre akkor hajrá, vezető gyártő a saját szegmensében, Enterprise eszköz, és nem KKV, hátránya hogy a komolyabb funkciókhoz kell az előfizetés (pl. firmware frissítéshez is), nem támogatja a opensource dolgokat (pl wireguard), és én még nem találtam meg benne automatizmus lehetőségét (pl ipsec tunnel újraindítása, ha megáll), multigigabit támogatás hiánya a tűzfal sorozaton, fortinet-s switch és AP kezelhető a tűzfalról de a rossznyelvek szerint ezek az eszközök nem egy csúcstermékek illetve kell nekik egy külön hálózat (fortilink), a biztonsági szűrés switch és AP esetében nem az eszközön hanem a fortigate-n tőrténik, ezért megfelelően kell tervezni az erőforrásigényt.
opnsense: ahol lehet ezt használom, nagysok funkciót tud extra előfizetés nélkül. Hátránya hogy x86-s hw kell alá, ami ritka 1U kivitelben. (van a gyártónak saját eszköze is, amit meg lehet vásárolni)
Mikrotik vonalon, olcsón, már RB5009-cel, a konténer funkciókat kihasználva, egy gyors USB stick-kel sok mindent össze lehet rakni (DNS szűrés, reverse proxy, stb.), és akkor kis fogyasztású, megbízható, különálló hardveren futnak. De ehhez meg szakember kell, nem OOB megy, és nem kényelmes webfelületről. Szóval lesz olyan, akinek ez alternatíva, meg lesz (előbbinél sokkal több) olyan, akinek nem.
inkabb ne, plz... :)
majd ha "beerik" naluk is ez a dolog vegre... vagy inkabb... akkorse...
vagy ha megis, akkor se a hatarvedelmi eszkozon...
kb. mint a bare metal pub ip-s hostra dokkert rakni (ami aztan kb. instant root access barminek ami "a kontenerben" fut)
Köszönöm eddig is mindenkinek. Jogos, valóban a KKV tág fogalom. Jelenlegi cégméret 50-100 user, 10 Mrd HUF éves árbevétel. 2 DC-ben kialakított S2D HCI clusteren futó rendszert kell majd elérni két telephelyről (site-to-site VPN), továbbá mobil klienseknek (remote access vpn). Védelem, ahogy többen is írták több lépcsős megoldás kell, hogy legyen. Az eredeti kérdéskör az adatközponti és telephelyi tűzfalakra vonatkozna. Nyilván örülök, hogy felmerült a mentési stratégia, végpontvédelem, naplózás, felhasználó oktatás, stb. kategória is és jó ha ebben is megosztjuk a tapasztalatokat, véleményeket.
Hozzászólások
Mikrotik.
Pro: olcsó, sokat tud, megbízható a vas, kevés nyűg van vele.
Kontra: nehéz megtanulni, a wifi eszközei lehetnének jobbak.
u.i.
A forgalomelemző csodákkal (pl PaloAlto) természetesen nincs egy szinten, de az ára a fasorban sincs azokhoz képest. Egy KKV korlátozott erőforrásait érdemesebb inkább valamilyen átfogó védelmi rendszerre költeni, pl, Heimdal.
Ma már egy klasszikus portszűrés nagyon kevés. Egy decrypt, blackist, stb képesség már igen sokat számíthat. A fenti egyébként ebben a környezebben egy TP-Likre vagy OpenWRT-re is igaz.
A mikrotik a klasszikus portszűrésnél azért többet tud. Simán csinálok vele dinamikus blacklist-et, ország szűrést, bekopogást, WG vpn-t, stb. és ezt fillérekből, havidíjas meg mindenre licenc baszakodás nélkül. A vashoz minden jár, és nem akkora köcsög a cég, mint pl, az UBNT ahol a pár éves vasra nincs frissítés, mert csak.
Szvsz, a drága NGFW helyett jobb megoldás egy végponti kibervédelmi szoftver. Egy USB-n bedugott ransomwre ellen a csilivili tűzfal nem ér semmit. Én a Mikrotik+Heimdal párost használom a legtöbb helyen, mert a KKV-k jellemzően nem végtelen erőforrással rendelkeznek.
De ez én vagyok.
<off>Minusz jel lesz valamikor? :) Teljesen más világ a kettő...</off>
Én sem állítom az ellenkezőjét, viszont a héten egy Fortigate mögötti KKV-t próbálunk rendbe tenni, ahol egy ransomware lenullázta a céget. Ahogy Szalacsi bácsi mondaná, az ellen nem véd. Ha nem a más világra költöttek volna, hanem rendes végpont védelemre, akkor nem itt tartanának.
Sokszor olcsóbb gyors és megbízható recovery-re költeni, mert azt mindenki tudja, hogy 100%-os védelem nincs, még akkor sem, ha éppen Fortigate vagy Palo Alto a termék neve.
trey @ gépház
+sok
Egy IT rendszer messze legfontosabb eleme, ahol nem szabad spórolni az a backup-restore rendszer. Kíváncsi lennék, hogy az NGFW fanok, hogyan oldanák meg egy KKV védelmét (fw, backup, endpoint), ahol a teljes megoldásra van mondjuk 1-2 millió össz keret. Nem euro hanem forint.
KKV-ról volt szó. A szó, amit te keresel az 1-2millióra, az a mikro.
Én kezdek ilyen téren "radikális" lenni, mert ott tartunk, hogy a mikro vállakozás tulaja/ügyvezetője is 20 milliós kocsival jár, és hát akkor tessék abból olcsóbban venni, hogy a lényegi részre maradjon pénz. Mert a céges személyautó (taxisokat kivéve) nem bevétel termelő beruházás, de az informatika elengedhetetlen a cégek 99%-nak a működéséhez, és arra muszáj rákölteni amit muszáj rákölteni.
Régen megértő voltam, és csináltuk fillérekből a szervereket, mindent. Aztán teltek az évek és egyre inkább láttam, hogy pénz mindig is van/volt, csak nem arra költik, amire kell, hanem arra ami látszik...
Hát, a különböző védelmeknek egymás mellett van meg a helye, nem elég csak ez vagy csak az.
A komolyabb határvédelem is kell, a végpontvédelem is kell. Plusz még hálózat védelem is kellene, mert az mutatja meg, ha valaki bejutott és bent próbálkozik bármivel. Meg pesze valami SIEM, hogy minderről értesüljünk és érdemben tudjunk is tenni valamit. Erre nyilván rá lehet vágni, hogy kinek van erre pénze, de ez mára olyan elengedhetetlen minden cégnél (a kicsiknél is), hogy inkább a céges kocsit kell 3 helyett 5 évre cserélni, hogy maradjon erre elég pénz...
Vagy lesz az, amit írsz, hogy kármentetek ransomware után, mert csak egy dologra áldoztak, és azt hitték, azzal le van tudva a teljes körű védelem, mert az az egy dolog drága volt (szerintük).
Én nagyon szeretem a Mikrotik-et router-nek, de azt el kell ismerni/fogadni, hogy csak egy router. Meg lehet ezzel-azzal erőszakolni, de komoly tudás kell, és nincs ezekhez az extrákhoz gyártói support (ami azért sok menedzsernél nem teljesen értelmetlen elvárás). Ezen felül egyre több helyen, különböző megfelelések miatt elvárás is az UTM egy sima router/tűzfal helyett (mondjuk ilyenkor a végpontvédelem, EDR-re is jellemzően elvárás).
A mi felelősségünk annyi, hogy a kisebb cégekkel - akik nincsenek kötelezve semminek a teljesítésére - is megértessük, hogy ezek nagyon fontos dolgok és muszáj költeni rá, és üzemeltetni a védelmi rendszereket.
Ezt én is így gondolom, de a súlyozás a tapasztalatom (30 év, KKV outsource üzemeltetés, tervezés, tanácsadás) szerint a következő, fontossági sorrendben:
1. Mentés, itt nincs kompromisszum (legkevesebb 2 de inkább 3-féle technológia, pull, push, offsite)
2. Végpontvédelem, lehetőleg integrált (IDS, IPS, Patch management, ransomware védelem, vírusvédelem)
3. Felhasználók oktatása!!!
4. Mail GW (spam szűrő)
5. IT munka szabályzatok és betartatásuk
6. Tűzfal
7. Belső hálózat védelme
8. Naplózás
+1 telefonok lehető legnagyobb mértékű korlátozása/kizárása a munkából
Szoktam kapni a hálózatos kollégáéktól, de szerintem a tűzfal közel sem a legkritikusabb elem. Egy KKV-nál erre ritkán jut pénz Enterprise megoldásokra. De ismétlem, ez én vagyok. Más gondolhatja máshogy, nincs szent igaz út.
A Fortigate melletti ransomware nem az én cégem volt, csak esemény utáni segítség voltam. A 2-es pont náluk a telepítéskor felrakott standalone ESET volt, a jól van az úgy felügyelt nélkül is.
Nekem tetszik a sorrended, mi is hasonló súlyozással dolgozunk, szintén KKV ügyfélkörrel vonalon.
Mi csak központi felügyelt végpontvédelmet adunk, EDR-t ritkán sikerül eladni, de patch management mindenben van amit kínálunk, mert az fontos, és aki szerződött ügyfél, annál figyeljük is, nem csak úgy van.
Amennyiben egy UTM felbonthatja a TLS-t, akkor látom értelmét, de ha nem megoldható, akkor nagy hasznát én nem látom, akkor nem igazán több, mint egy sima tűzfal. De ennél nem is azzal van a baj, hogy kifizetik-e egyszer, meg kifizetik-e az éves díjat. Hanem azzal, hogy e mellé már nem akarják kifizetni a tutujgatását, ami viszont kelleni szokott, mondván, fizettek már eleget a gyártónak.
Csakis Fortigate. Azon belül a forgalomra méretezve kell választani megfelelő modellt.
Régen kaptam egy Fortigate 60-at, otthonra,szolgáltató,Telekom felhívott -legnagyobb csodálkozásomra- hogy frissitsem a fw-t. Gondolom látták, hogy Fortigate és abban az időben ekkora májer volt a Fortigate/Fortinet.
Viszont az ára , hát nem tudom újonnan van egyetlen olyan modeljük is ami kkv-k nak elfogadható,esteleg használtan. És akkor még erre jön az éves előfizetés.
De az előfizetésekre nem árt odafigyelni.Veszel egy pár százezer forintos Zyxelt/Zywallt és még a ipsec VPN kliensét is csak éves előfizetéssel kapod meg.
https://www.broadbandbuyer.com/products/52438-zyxel-secuextender-zz3y01f/
Kieg: forti javítva.
https://blog.claryel.hu
Így. Forti.
De nem csak az árát kell nézni, a bevezetés minőségét is. Bármelyik gyártó embere ideírhatná a tűzfalai árát bármilyen license konstrukcióban, de jobban jársz, ha keresel egy céget, aki végigvezet a presalesen meg mindenen keresztül, az igènyeitekre hangolva.
A papír sok funkció meglétét megbírja, egy másik dolog, ha mennie is kell. Meg ugye magas rendelkezésre állás és hasonló dolog.
Ezt csak azért írom le, mert túl vagyok, úgy 3-4 hupos tűzfal tanácsadáson. Nem szokott ilyen módon rendes projekt lenni belőle.
A kkv környezet túl tág fogalom , kkv egy Bt , kis iroda, de kkv még a 249 fős 20 milliárdos árbevételúű cég. Nyilván máshogy áll egy komoly éves előfizetéshez az utóbbi és máshogy egy kis iroda. A kicsik és a nagyok igy elbeszélnek egymás mellett.
https://blog.claryel.hu
Ird le kérlek melyik gyári megoldáshoz nem tartozik ilyen. Cserébe kicserélik a hardvert ha szar.
Ha erre meg nincs szükség, marad az opensource megoldás. Ott is ki kell fizetni a tanulópénzt. Hibamegoldásban, problémákban, konfigban, minden ilyesmiben. Nincs ingyen pénz, nincs ingyen megoldás.
Én akikre gondoltam , azok a "kicsi" kkv-k. a pici kisvállalkozásokról beszélek . Használják a Zywall-t, stb-t előfizetés nélkül, kérték a rendes vpn klienst, de amikor kiderült a 30 000 ft-os előfizetés felhasználónként, nem kellett. Jobban jártak volna egy combos hagyományos routerrel. Előfizetés nélkül ezeket szerintem fölösleges megvenni. Kicsiknek az előfizetés fáj, nem is tudnak róla sok esetben, hogy kell majd.
https://blog.claryel.hu
+1.
Sok esetben nem is tudják, hogy milyen tudású eszköz kell nekik. Sem most, sem a közeli jövőben (1-2 év). Az organikus fejlődés meg tartogat ilyen aknákat.
Sonicwall esetében, ha lejár a lic., akkor csak az extra szolgáltatások szűnnek meg: gateway anti-virus, IPS/IDS, Botnet filter, Cloud anti-virus, content filter, anti-spyware.
Alap FW funkciók megmaradnak: portfilter, routing, NAT, LB, DHCP, VPN stb.
Firmware frissítés a Last Order Day + 5év = EoS és ingyenes.
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Fortinetnél is. Sőt, vpn license sincs. Vehetsz csak eszköz garanciát, vagy főzött, vagy a'lacerte licenset. License nélkül is elmegy, csak nem lesz utm. Magyarul nem lesz több egy mezei tűzfalnál. Jade. Lesz pld wifi és switch kontroller, mert az is builtin funkció.
amúgy csak popcornozni jövök.
Jó cucc a Forti és nagyobb cég maga is több termékkel. Nem akartam versenyeztetni a SonicWall-t, csak mint kevésbé ismert gyártót behozni a tudatba.
SonicWall-nál van SSL VPN Lic. - örök lic. (nem éves) átvihető másik eszközre stb.
Kisebb cégeknek telepítettem SonicWall-t, itthon is van egy laborom belőle (3-4db) - én megszerettem.
Amikor DELL bekebelezte az nem tett neki jót - lemaradtak az innovációval, de jó pár éve újra önálló cég lett.
(Cégek, ahol dolgoztam volt Check Point, Palo Alto Networks, F5 Big-IP, QRadar SIEM és Sonic Wall.)
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Ha az OPNsense tetszik, akkor ez a vasak is jók (mindenképp az NVMe változatokat érdemes csak választani):
https://shop.opnsense.com
SonicWall kicsitől a vállalati HA-ig és itthonra is.
A "kicsi":
Firewall/VPN Performance:
Firewall inspection throughput 3 Gbps
Threat prevention throughput 1 Gbps
Application inspection throughput 1.5 Gbps
IPS throughput 1.5 Gbps
Anti-malware inspection throughput 1 Gbps
TLS/SSL inspection and decryption throughput (DPI SSL) 500 Mbps
IPSec VPN throughput 1.38 Gbps
Connections per second 9,000
Maximum connections (SPI) 900,000
Maximum connections (DPI) 200,000
Maximum connections (DPI SSL) 30,000
High availability Active/Standby with stateful synchronization
Certifications:
FIPS 140-2 Level 2, ICSA Network Firewall, ICSA Firewall Enterprise, ISCA Network Antivirus / AntiMalware, Common Criteria NDPP (with VPN and IPS)
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
melyik tipus tudja a fenti sebessegeket? es mennyibe kerul?
TZ370 - desktop kivitel
SonicWall TZ370 (hardware only) £540.00
SonicWall TZ370 TotalSecure - Essential Edition (1 Year) £851.00
SonicWall TZ370 TotalSecure - Advanced Edition (1 Year) £948.00
Lic. only:
Essential Protection Service Suite for TZ370 (1 Year) [02-SSC-6625] £488.00
Essential Protection Service Suite for TZ370 (3 Years) [02-SSC-6627] £1,170.00
Advanced Protection Service Suite for TZ370 (1 Year) [02-SSC-6529] £592.00
Advanced Protection Service Suite for TZ370 (3 Years) [02-SSC-6531] £1,421.00
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Ez engem is érdekelne, de gyakorlati tapasztalatokkal.
Én nagyra becsülök minden, a témába illő hozzászólást, de az, hogy az internet alapján ki szerint melyik a jó, igazából nem segít a választásban. Az tud segíteni, aki használ ilyent és van érdemi tapasztalata.
Én is a mikro- és kisvállakozási szintű eszközök iránt érdeklődöm, ilyen ügyfelünk van túlnyomó részben. Fontos lenne, hogy aki tapasztalatból ír, az megossza, hogy a készülék és a hozzá tartozó előfizetés milyen nagyságrend árban/évenként. Mert ez azért nem mellékes dolog a kéességeken túl.
Valamint érdekes lehet bizonyos ügyfeleknél a különböző megfelelőségek. Régebben, valami előadáson hallottam, hogy csak a Stormshield (volt Netasq) eszközei rendelkeznek minden tanusítvánnyal, ami bizonyos szervezeteknek (pl. államigazgatás, önkormányzat, stb.) elfogadott/megkövetelt. Nem tudom pl. ez mennyire igaz mostanában. Mert hiába pl. a Fortigate a "legjobb" ha valahová jogi okból nem lehet ajánlani itton.
Valamint az is érdekelne a tapasztalattal rendelkezőktől, hogy az SSL inspection mennyire használható manapság, ami a nagyrészt HTTPS forgalom mellett muszáj lenne, hogy érdemben csináljon valamit a védelem (nem műszakilag, úgy nyilván működik).
Ez egy szofvare-es feature, működése és használhatósága teljesen független attól, hogy min fut és milyen címke van rajta.
Szerintem már maga az elv is kérdéses, mert ugye eltöri a TLS által adott hitelességet.
(persze értem hoigy miért 'kell')
Céges környezetben persze le lehet tolni a userek torkán, DE ezesetben is kiterjedt kivétel listát kell kezelni benne, mert - teljesen jogosan - nem minden alkalmazás/megoldás tolerálja ezt.
pl:
- autoupdate szerverek gyakran applikáció szinten ellenőrzik, hogy tényleg a megfelelő szerverhez csatlakoztál-e. ilyen esetben a HTTPS 'inspection' nem működik.
- komyolabb bankok crypto trezorok esetében sem szerencsés 'elfogadni' a TLS feltörés tényét, mert ilyenkor a céges policy sértheti a magánszférát, ami manapság már/még magasabb szinten van 'védve'
szerintem.
zrubi.hu
Többek közt ilyen megfontolások miatt került nálunk a https felbontás a tűzfal helyett a proxyra. Céges környezet, és igen, a userek torkán 'le lett tolva', bár nem rémlik, hogy pl. az új belépőknek szóló tájékoztatóban ez le lett volna írva (a bevezetéskor én ragaszkodtam hozzá, hogy kimenjen egy ismertető). Jobban lehet szabályozni, illetve a böngészés jogosultságait, kivétellistát is finomabban be lehet állítani rajta. Cserébe a tűzfal - egyébként sokat tudó - IDS/IPS funkcionalitása nagyrészt kiesett.
Nem túl sok autoupdate problémánk volt, bár amúgy jellemzően az egyes serverek ritkán mászkáltak az Internetre autoupdate-ért. A bank témában egyetértek, a merchant és finance kategóriában nem volt SSL/TLS bontás.
Viszont ezek a tapasztalatok nagy cégnél voltak, nem releváns KKV környezetre.
Mi a különbség az UTM-en felbontott és a proxy-n felbontott TLS között? Mi előny származott a proxy-ra költöztetésből?
szerintem semmi.
Az hogy melyik feature melyik és milyen hardveren fut, az szerintem kizárólag skálázhatósági kérdés.
pl egy pfSense-en minden mehet egy vason is, ha bírja CPU/RAM ügyileg.
Ha már nem, akkor lehet 'levenni' róla feladatokat, és külön vasra/appliance-ra bízni.
Szerintem manapság már 'tűzfal' nem csak egy termék, hanem egy határvédelmi szolgáltatás, aminek része (lehet)
- IP filtering,
- NAT,
- routing
- Proxy,
- VPN,
- és akár egyéb alapvető szolgáltatások is mint: DNS, DHCP, NTP, SMTP gw.
Egy kis cégnél - vagy akár otthon - ezek mind elmennek egy vason. Akár még egy OpenWRT-s szappantartón is - amit hívhatsz akár tűzfalnak is ;)
zrubi.hu
A tűzfalon felbontott TLS-ről gyakorlati tapasztalatom nincs, annak idején csak demo célból csináltunk TLS bontást, mérsékelt sikerrel, volt oldal, ami totál szétesett, de ez már lassan tíz éve volt, azóta nyilván fejlődött. Ami miatt proxy-n bontottunk, az a több beállítási lehetőség. Automatikusan frissülő kategória adatbázis, és meglehetősen sok opció különféle kivétellistákra, legyen az user, forrás/cél IP, domain, subdomainek, AD csoport alapján megadott jogosultságok, és lehetne sorolni. Mindezt a tűzfalon beállítani és karbantartani sokkal bonyolultabb lett volna, ha egyáltalán lehetséges. De ahogy írtam, ez nagy cég, sok ezer felhasználóval.
Igen, a technológiát, működését értem, ismerem. Nem jól fogalmaztam meg a kérdést.
Igen, ezt szeretném megtudni, hogy mennyire van (általánosan) használtatban ez manapság, úgy, hogy egyébként a TLS lényegét öli meg. Amíg csak HTTP forgalmat szűrtek ezek a eszközök, addig egyértelmű volt műszakilag, stb. De amikor a titkosítottat csak közbeékelődéssel tudja vizsgálni...
A kérdés az, hogy amennyiben nem szabad/lehet a TLS forgalmat felbontani, akkor egyáltalán mi létjogosultsága van még ezeknek az IDS/IPS UTM-eknek? DNS alapú védelmet már bárhová lehet tenni, layer3 tűzfal ezer féle van sokkal olcsóbban, VPN szerver is tehető már akárhozá, akármire egy hálózatban, stb.
Röviden: ha nincs TLS felbontás, akkor mi előnye van egy UTM-nek egy sima IP alapú tűzfalhoz képest?
Azért vannak még fokozatok a TLS felbontás és az IP alapú csomagszűrő között.
Encrypted TLS visibility/fingerprinting megoldások vannak szinte minden tűzfal termékben.
Persze ezek sosem lesznek 100%-osak mivel folyik a cicaharc a security termékek gyártói és a nagy content providerek között. (TlS1.3 +ESNI , QUIC ,DOH stb)
Mélyvíz:
https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2024/pdf/BRKSEC-3…
Nyilván ez részben Cisco FTD centrikus, de az elmélet is benne van.
Az a francia csoda az szép meg jó - igaz nagyon-nagyon-nagyon fontolva haladósan megy az LTS firmware fejlesztése (és most finoman fogalmaztam)... Az ígéretek és a valóság között, hogy is mondjam csak, jelentős időbeli eltérések vannak. (Szerintem ha maradtak volna az aviatika területén, mindenki jobban járt volna...)
A teljes TLS-bontáshoz a tervezettnél "egy számmal nagyobb" vasat érdemes venni - zabál, mint'állat ugyanis... A webes felülete erősen oldschool módon működik, meg kell szokni a logikáját. HTTP2 majd talán a következő LTS-ben, SMTP-t vagy fw módban engedd át rajta, vagy fogadd el, hogy nincs starttls (hiába ad szervered "bentről" a helo/ehlo -ra válaszként STARTTLS-t is, ez a csoda kihajítja a válaszból...)
A szűrőszabályai képesek úgy változni,hogy ami tegnap még valid volt és elérhető, az ma már nem, mert átrakták egy másik kategóriába, akár hibásan is, úgyhogy a filteringet kell néha simogatni.
Azért kérdeztem konkrét márkára, mert picit kellett ilyent tutjgatnom egyszer, és, hát, annak ellenére, hogy szívem csücske BSD pf alapú a csomagszűrő része (pontosabban az oprendszere alapja), nem igazán lopta be magát a szívembe, hogy finoman fogalmazzak.
De egyik bemutatójukon elhangzott, hogy csak nekik van meg minden szükséges EU tanusítvány, a többieknek nincs minden, így azok jogszerűen nem rakhatók EU-ban egy csomó helyre (állítások szerint; lehet ezért is olyan ráérős a fejlesztés, mert fix piacuk van egyelőre).
Nagyon kevés hely van, ahova NATO és fiszemf@sz0m tanusítás kell, amit a franciák (ugye hadiipari cég is a mamájuk...) tudnak - a többi gyártó meg kényelmesen viszi a piac többi részét...
Ja, nekem sem a szívem csücske igazából, de amikor volt hozzá szerencsém, azért nagyjából el lehetett vele boldogulni - csak ne akart sokszáz rule-t, vagy ha van, akkor ne akarj áttekinthető listát a szabályokról, hogy valójában honnan-hova-mit-hogyan...
pfSense, mert:
- a Core verzió teljesen ingyenes, nagyon sok fícsörrel.
- fut VM-ben, saját vason, de megveheted brand (Netgate) hardverrel együtt is.
az alapja BSD, és ~minden is van rá extra csomagként.
zrubi.hu
Vagy a tesója: OPNsense.
Nagy előnye a rugalmasság. Meg nem biztos, hogy minden ügyfél szívesen fizeti ki a nagy gyártók termékeire a "vámot" évente.
A PfSense amúgy is abandonware. 0 érdemi fejlesztés, még a security patchek követése is kérdéses számomra.
A PfSense Plus amit a Netgate nyomat helyette. Az viszont céges felhasználásra fizetős erősen.
De ha már venni kell... akkor eszembe nem jutna PfSense-t venni. Inkább Forti vagy Palo.
Palo Altoval jó tapasztalataim vannak, az árával kevésbé :) Szerencsére nem nekem kell kifizetni. De az is akkor hatékony igazán (legalábbis elég sok funkciója akkor működik), ha belelát a TLS-be.
Hát a többi gyártó terméke alapján az erősen jelzőt én törölném.
Egyrészt egy KKV vesz mondjuk egy Netgate 4200 appliance-t. $549. "pfSense Plus SW w/lifetime upgrades". Link: https://www.netgate.com/pfsense-plus-software/how-to-buy#appliances
Másrészt egy pfSense Plus SW TAC Lite verzió (ami benne van az appliance-ben) $129/év. Software defined firewall.
Nem néztem jobban utána (bár mintha egy 60F-es Forti is hasonló árban mozogna, bár ott az előfizetések ára az érdekesebb) . Elmozogtam OPNSense irányba pár éve ott ahol számít az alacsony költség és egy viszonylag jó képességű eszköz kell.
Nekik is van hw appliance megoldásuk, meg Business Edition változat szupporttal.
Ha még hozzávesszük a szintén fizetős Zenarmor kiegészítőt akkor szerintem jobb választás most mint a PfSense.
Stormshield
trey @ gépház
Meneküljön, ki merre lát... :-D Inkább maradtak volna a repülőgépek és más légi járművek gyártásánál...
15 éve használjuk megelégedéssel ezer helyen. Az, hogy félúton megvette az egyik legnagyobb használója, semmit sem jelent a fejlesztés szempontjából, amit FreeBSD fejlesztők végeznek.
trey @ gépház
Ha elég az, amit tud, akkor jó lehet... HTTP/2? Na az nincs. SMTP-nél starttls? Na az sincs... Az n+1 feature, amit belengetnek az jellemzően a következő LTS-ben várhatő, de hogy mikor lesz következő LTS, az khm. nehezen prognosztizálható... Az, hogy a webes felülete így 202x-ben olyan, amilyen, azt már nem is említem... (Tudom, tűzfalat fejlesztenek, nem webes GUI-t...)
Mi Barracuda -t hasznalunk. Elajulva epp nem vagyok tole... nem is a funkcionalitas a gond, hanem a config szintaxis... nekem nem atlathato, de lehet azert, mert nem ilyenen szocializalodtam.
A KKV környezet azért erősen definiálásra szorul. Arra gondolsz h. kis iroda 20 felhasználóig pl.? Ez is KKV. De egyébként az is KKV h. szolgáltatok 100 ügyfélnek valami colocationből és a rendszeremben nincs user sem. Az egyik oldalon a kifelé menő oldal védelme prio, a másikon meg inkább a befelé (pl. ids,ips,stb.).
Egyébként engem is érdekelne h. melyikre ki mit ajánlana, mert hasonló topicon agyalok én is, inkább a második topicban. A befelé védelemre eddig ár-érték arányban a pfSense boxok egyébként egészen jók. A többi azért egy nagyságrenddel drágább, persze tisztában vagyok vele h. nem alma-almával a dolog.
OpenSense, pFsense, Sophos XG HW vagy csak SW, Zyxel, SonicWall ... a lista végtelen, de nagy kérdés, hogy pl AP managementet is szeretnél-e bele.
Nagyon sok mindent kéne még tudnunk. Méretek, átvitelek, felhasználások.
Ezek mellett igen fontos szempont a kitettsége is a cégnek és számításba is kell venni, hogy mi kárt okozhat egy átcsúszó malware, mert ha pl a decrpytet nem engedik akkor pl csak egy Palo Alto segíthet.
KKV környezet, legyen Zyxel/Zywall +1 év UTM licensz, ez úgy 750 000 Ft+évente 600 000 . Na ezt add be egy kis kkv-nak .
https://blog.claryel.hu
Mi a KKV? 5 fő? 200 fő? Mennyi a bevétel? Mennyi a napi vesztesség egy random malware pusztításakor? Igen sok kérdést kell tisztázni a döntéskor.
Ezeket az árakat meg nem tudom, honnan vetted. Teljesen irreálisak. Főleg, hogy annak a KKV aminek nincs ennyi pénze erre, annak nem kell teljes UTM szűrés 100Mbit fölött sem, 100mbit VPN mellé.
Zyxel USG FLEX 100H kb 200k HUF és évente 100K a minden licence.
Őszintén leszarom, hogy mennyi pénzük van, mert minden vállalkozó üzletpolitikája a maximális lehúzás, de a tulajnak azért minden évben jár a 10-20% osztalék plusz a családnak a céges autó a pénzed után meg rohanhatsz ... Szarevőkkel nagyon régóta nem foglalkozom, nem éri meg, baszódjanak meg ahol vannak és sajnos a többség az. Mindegyiknek egy csapat majom kell, de banánja már nincsen. G mercis Q8-as X5-ös prosztóverseny a magyar vállalkozói szféra. Persze tisztelet a kivételnek. A kivételnek meg hajlandó vagyok egy PC-re egy szürke free Sophos XG-t telepíteni vagy egy Opensense-t, de ott maga a PC is már pénzbe fog kerülni, mert erre nem jó a titkárnő régi lerúgott szarja amit majd 10k-ért megmókol a szaki.
ez az osszeg eltorpul meg egy fozott vasbol osszerakott 3-2-1 backup megoldashoz kepest is. kb. diszkekre se eleg :D ami meg alap kell(ene) legyen.
ami meg a 600k HUF-ot illeti... az egy havi nyugdij nettojara szamolva is keves berkltsg, nemhogy egy fizetesnek :D
"csak egy Palo Alto segíthet" -re reagálva:
SonicWall-nál is van ransomware védelem és kb. 190ezer/év 3 éves előfizetés (havi 16ezer).
AP management - valóban fontos kérdés, de nálunk pl. kizárólag csak guest hálózat van wifin. A cég minden egyes dolgozó gépe vezetékes - oldscool szemlélet én már csak ilyen vagyok.
WOKEBUSTERS
https://www.cpachungary.com/wokebusters
Ha a decryptet nem engedik, mennyivel jársz jobban a Palo Altoval?
A wildilre központilag gyűjti és folyamatosan tolja körbe a világba az összes olyan hostot / címet és mindent ami fertőző és azonnal tiltja, decrypt nélkül.
Vagyis van egy IP/host blacklisted. Szerintem az másnak is, itt már csak a lista minősége számít.
Ha van rá lóvé akkor FortiGate (jó lenne tudni az igényeket de amúgy licensz nélkül is több mint használható), ha nincs akkor MikroTik
mikrotik: ha nincs másra lehetőség, nem igazi tűzfal, hanem csak egy komolyabb router, sok esetben kevés az erőforrás komolyabb funkciókra (ok, tudom van RB5009), de nem is létezik hozzá adott sw komponens (pl haproxy, dns filter stb) ami miatt nem igazán használható mint rendes tűzfal.
fortigate: ha van pénz az eszközre és az éves előfizetésre akkor hajrá, vezető gyártő a saját szegmensében, Enterprise eszköz, és nem KKV, hátránya hogy a komolyabb funkciókhoz kell az előfizetés (pl. firmware frissítéshez is), nem támogatja a opensource dolgokat (pl wireguard), és én még nem találtam meg benne automatizmus lehetőségét (pl ipsec tunnel újraindítása, ha megáll), multigigabit támogatás hiánya a tűzfal sorozaton, fortinet-s switch és AP kezelhető a tűzfalról de a rossznyelvek szerint ezek az eszközök nem egy csúcstermékek illetve kell nekik egy külön hálózat (fortilink), a biztonsági szűrés switch és AP esetében nem az eszközön hanem a fortigate-n tőrténik, ezért megfelelően kell tervezni az erőforrásigényt.
opnsense: ahol lehet ezt használom, nagysok funkciót tud extra előfizetés nélkül. Hátránya hogy x86-s hw kell alá, ami ritka 1U kivitelben. (van a gyártónak saját eszköze is, amit meg lehet vásárolni)
Mikrotik vonalon, olcsón, már RB5009-cel, a konténer funkciókat kihasználva, egy gyors USB stick-kel sok mindent össze lehet rakni (DNS szűrés, reverse proxy, stb.), és akkor kis fogyasztású, megbízható, különálló hardveren futnak. De ehhez meg szakember kell, nem OOB megy, és nem kényelmes webfelületről. Szóval lesz olyan, akinek ez alternatíva, meg lesz (előbbinél sokkal több) olyan, akinek nem.
https://help.mikrotik.com/docs/display/ROS/Container#Container-Disclaim…
inkabb ne, plz... :)
majd ha "beerik" naluk is ez a dolog vegre... vagy inkabb... akkorse...
vagy ha megis, akkor se a hatarvedelmi eszkozon...
kb. mint a bare metal pub ip-s hostra dokkert rakni (ami aztan kb. instant root access barminek ami "a kontenerben" fut)
kiváló 1U brand servereket lehet kapni itthon 100k HUF körül, garanciával - ami igény esetén akár helyszini gari is lehet (persze, használtan)
Köszönöm eddig is mindenkinek. Jogos, valóban a KKV tág fogalom. Jelenlegi cégméret 50-100 user, 10 Mrd HUF éves árbevétel. 2 DC-ben kialakított S2D HCI clusteren futó rendszert kell majd elérni két telephelyről (site-to-site VPN), továbbá mobil klienseknek (remote access vpn). Védelem, ahogy többen is írták több lépcsős megoldás kell, hogy legyen. Az eredeti kérdéskör az adatközponti és telephelyi tűzfalakra vonatkozna. Nyilván örülök, hogy felmerült a mentési stratégia, végpontvédelem, naplózás, felhasználó oktatás, stb. kategória is és jó ha ebben is megosztjuk a tapasztalatokat, véleményeket.