Sziasztok!
A KKV tűzfal témán felbuzdulva, gondoltam nézzük már meg ezt a KKV szó elhagyásával is, műszakibb szemmel és minden körítést nélkülözve (gondolok itt arra h. ne költsek tűzfalra, mert backupoljak, meg végpontvédelmezzek), csak a tűzfalakról flameljünk folytassunk eszmecserét.
Kezdjük azzal, hogy ha most tűzfalat kellene választani, akkor ki merre indulna? Szoftver, virtual appliance v. hw megoldás?
Kiben bízunk? Open source megoldások (pfsense, opnsense) vagy a "nagy" gyártók cuccai? El lehet érni opensource megoldásokkal kevesebb pénzből hasonló hatékonyságot, mint az N-edik nagy gyártó termékével (akár fizetős rulesetekkel, stb.)?
Kisebb gyártóknak a saját vasában bízzunk meg v. kockázatos megvenni egy Opnsense hardvert, mert 1 év múlva nem lesz support, akármi? Bezzeg a Palo Altonál tuti lesz? Vagy ez pont fordítva van? Nagy gyártó azt mondja h. eol, kis gyártó meg azt mondja h. oké, nem garis, de támogatom neked a 10 éves vasat is? (lásd. Mikrotik).
Eleve azt látom (a KKV topicban is), hogy nem beszéltünk arról h. mi van ha az adott KKV-nál datacenter-t akarunk védeni (értsd a gépeinket valami colocban), mert leginkább arról szól az a topic h. valami gatewayt tegyünk az userek elé. De van ám élet azon túl is. Nyilván az is válasz h. Mikrotik, de mi van ha több kell? Mondjuk IDS/IPS, értelmes VPN (Mikrotik azért elég korlátozott), DDoS észlelés esetleg, ilyesmik.
Remélem egymás legyilkolása nélkül születnek hasznos meglátások.
Hozzászólások
Én - egyelőre válasz nélkül - az utolsó bekezdéseden morfondíroznék el először: Azaz, mit értünk a mai IT-ben "tűzfal" alatt?
Tűzfalnak tekintjük-e a Mikrotik L3-L7 csomagszűrőjét, vagy csak a nextgen firewall-okat?
És valóban, felhasználókat, vagy kiszolgálókat védünk?
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
Szerintem annak tekinthetjuk, mert a mikrotik megoldasa egy csomagszuro, allapottarto tuzfal. Az utm az egy masik szint, a ketto el tud mukodni egymas mellett. Dillemmakent azt dobnam vissza h kell-e?
pl kiszolgalokornyezet vedelme eseten az utm egyaltalan nem biztos h erdekes. Ott inkabb az ids/ips lehet relevans.
Mancika gepet utm-el fogod vedeni, ez tiszta sor (igen kell vegpontvedelem, stb, de engedjuk el most).
Ugyanakkor branch office eseten mennyire van relevanciaja egy ids-nek? Ha teszem fel inputon minden tiltva kivetel az established related akkor minek nekem edge ids?
Ok, kiszurom a csunya forgalmat. Es? Fehivom a telekomot h errol az iprol ssh bruteforce-al probalkoznak? Azert lassuk be, ilyen kornyezetben nem fogsz RTBH-t meg hasonlo dolgokat csinalni.
A hatékonyság kapcsán:
Az open source megoldásokban is sokszor benne van "majdnem" az a tudás ami a nagy gyártók termékeiben. Pl az IPS/IDS/TLS/app detector/threat intel/whatever motor pl Snort is lehet akár a PfSense-ben is. Amúgy A Snortot a Cisco fejleszti a saját FTD cuccaihoz.
Suricata dettó.
Viszont az "threat intel" adatbázisok minősége amikhez előfizetés nélkül hozzáférsz az nem lesz olyan minőségű.
A nagy cégek napi százezres/milliós mennyiségben gyűjtik a végpontokról/honeypotokról világszerte a malware/ip reputation/URL/TLS fingerprint/whatever cuccost, MI-vel habosítják stb....
Ezeket a DB-ket érthető okból nem adják ingyen. És legtöbbször csak saját termékeikez elérhetők. Snort,Suricata -hoz elérhetőek mondjuk termék függetlenül kereskedelmi DB-k (pl ET PRo stb).
Szerintem mindenki vegyen Palo Alto-t, akinek van rá pénze.
De ez pazarlas szerintem ha nincsen ra tenyleg szukseged v nem is hasznalod a featureoket. Kicsit draga mulatsag sima stateful firewallnak.
2024-ben én nem nézem tűzfalnak a sima stateful tűzfalakat. Nyílván, az ngfw funkciókat használni kell.
Aki nem használja ezeket, az ne gondolja azt, hogy van tűzfala. Inkább egy routere van, ACL-ekkel. Az közelebb áll hozzá.
Egyébként ezzel sincs baj, ha értéktelenek az adatok az addott infrán.
Szerintem ezt kategorikusan nem jelentheted ki. Mondok egy példát. Van egy szerver, amit beraknak colocba, de semmi sem érhető el rajta, csak és kizárólag egy vpn-hez kapcsolódva. Akkor most kell nekem ngfw arra az 1 darab nyitott input portra? Vagy elég ha van reszponzív tűzfalam ami pl. kizárja a próbálkozókat n darab sikertelen kísérlet után? Értem amit mondasz h. az ngfw többet tud, szebbet tud, stb. De egy kvázi lezárt rendszernél mire jó nekem? Matyizhatok rá h. próbálkozik valami lüke feltörni a routert magát az amúgyis zárt porton v. mi?
Lehet, hogy túl radikális vagyok, de a példád pont engem támaszt alá.
Az általad említett feladatra egy régi Cisco ISR 4300-as router például tökéletesen alkalmas. Tud Ipsec-et, ACL-t és route-ol. Ez nem tűzfal funkció.
Ha meg van egy airgap-elt infrád és nem lehet elérni sehonnan, akkor az attól még nem tűzfal, csak nincs is szükséged rá.
Nyílván, a stateful tűzfal az egy rendes tűzfal, csak az én szememben az már nulla.
A témaindításnál KKV volt a téma. Pont a KKV-k kibervédelméről írtam a szakdogám. Régebben jobban megérte a nagyokat támadni, mert ott több volt a zseton, de az automatizált támadások miatt most már megéri a kicsiket is.
Aztán ebből az fejlődött ki, hogy a multiknál és állambácsinál ezeket megfogja a Palo meg a Forti, az Openwrt-s, PfSense-es, Mikrotikes KKV meg beszívja.
A KKV-knál a user-ek is szabadabban kattingatnak jobbra-balra. Ráadásul a userek gyakrabban lokál adminok a saját gépükön. Threat Protection, URL filtering, DNS security, AppID, stb nélkül semmire nem mész. A 443/tcp-t úgy is kinyitod kifelé. Rákattintanak valamire, aztán annyi. A stateful tűzfal nem ismeri fel az alkalmazást. Áttolhatok rajta akármit.
Szerintem, ha egy KKV nem tudja/akarja megengedni magának, hogy vegyen egy tűzfalat 5 évre egy magyar átlagbér feléért vagy egy olcsóbb Latitude áráért, akkor ne is akarjon digitális eszközöket használni.
Tudom, radikális vagyok :D
Support a nagyoknál - hacsak nem mennek csődbe - tuti lesz, a legtöbb nagy gyártó jó előre leírja az életciklus-modellt, EOS/EOL dátumokat konkrétan, azt is, hogy minimum hány év az EOS és az EOL közti különbség, melyik SW verziót meddig támogatják, stb. Cserébe viszont az upgrade-re csak akkor vagy jogosult, ha van support szerződésed.
Igen, ezt vagom, de pl egy Mikrotiknel majdnem tudod azt mondani h amig a vas ki nem leheli a lelket, addig oke leszel, mert az sw-t frissitheted amig csak akarod. Ehhez kepest egy Fortit meg csak subscriptionnel, meg ha nem is hasznalsz rajta semmit csak a stateful inspectiont.
Igy kicsit arnyaltabb a tamogatas fogalma azert.
Igen, ha csak stateful inspectiont használsz, akkor az egész felesleges, ez esetben egy tetszőleges Linux tűzfalat is betehetsz iptablesszel vagy nftablesszel., és akkor még a mikrotik sem kell :)
Én vagy "nagy" gyártótól választanék HW-t, vagy szoftvereset sima szerverre (nem a szoftveres cég "saját" hardverére).
A minap hallottam egy előadáson, hogy az ids/ips az a végén minden termékben a suricata, snort... Szóval elvileg a nyílt forrású/ingyenes is lehet olyan jó. Csakhogy a szabálygyűjtemény benne az érték, nem a szoftver, az meg nem biztos, hogy az alap suricata-hoz elérhető legjobb fizetős van olyan jó, mint a nagy gyártók irtózat mintavételéből felépített egyedi verzióé. Ráadásul manapság már elő lehet fizetni külön vagy plusz CSI-re, ami gyorsabban reagál a friss dolgokra, és akár több gyártó termékéhez is elérhető szabályokat ad.
Nekem az a kérdésem, hogy a többi hálózati eszközzel azonos gyártót érdemes választani praktikusságból (rendszerben üzemeltetni közös felügyeleten), vagy érdemesebb más gyártót bevinni, ezzel is nehezítve a hozzáférést (ha valamihez hozzáfér illetéktelen, az ne mindenhez legyen egyszerre pl.)? Vagy ez hülye kérdés?
Azért jutott eszembe, mert megjelent az Ubiquiti Enterprise Fortress Gateway nagyon versenyképes áron, előfizetési díj mentesen, és next-gen AI védelmet ígérve. Az most egy dolog, hogy mennyire jó vagy rossz, tételezzük fel, versenyben van a többi szereplővel. De kockázat-e a közös központi menedzselés minden más UBNT eszközzel együtt?
A szoftveresnek inkabb virtualizalva latom ertelmet, mert egy komplett vas fogyasztasa indokolatlanul sok tud lenni egy celhw-hoz viszonyitva. Nyilvan itt most DC-re hegyezem ki, de gyakorlatilag mindenkinek szamit a villanyszamla is.
Nalam most ezert nagyon szurke a dolog, mert pont az opnsense vasakat nezegettem, meg a pfsense vasakat. Oszinten szolva a pfsense eleg bazari az opnsense-hez kepest, ami a vasat illeti. Supportban nemtom melyik mit ad pontosan, de mintha az opnsense-hez tobbminden vackot lehetne megvenni (zenarmor mint utm, stb). A pfsense-ben mintha nem lenne jelenleg normalis utm, csak ez az openappid-s megoldas, ami meg van, de minek kategoria az en fejemben.
Egy szerver kornyezetben van ertelme egy fizetos snort/suricata melle egy utmnek vajon? Ugy egyebkent.
> Csakhogy a szabálygyűjtemény benne az érték, nem a szoftver
ez igy van sok mas eseten is. clamav-ot is a cisco fejleszti/hasznalja, de nyilvan nem a free db-vel. amiota cisco lett, az enginet fejlesztik ezerrel, a free db meg szarabb mint valaha... nyilvan van sajatjuk hozza es abba toljak az eroforrast.
vagy pl wine vs crossover, ugyanaz a sw csak crossoverek adnak hozza jol megirt konfigot/guit, a wine-al meg szophatsz te mire beallitod 1-1 szoftverhez.
> megjelent az Ubiquiti Enterprise Fortress Gateway
nemreg halllottam rola, kivancsi lennek mit tud, osszehasonlitva pl. fortival
A közös managementhez (mert lemaradt h. írjak erre véleményt):
Ezen a ponton szerintem kockázatot értékelsz és vállalsz v. nem vállalsz. Egy unified management azért kva jó tud lenni és baromi kényelmes. A kényelmen van a hangsúly. Enterprise környezetben szinte musthave, mert manageljél 100AP-t egyesével, sok sikert :)
Ugyanakkor ha a központi managementet nyomja meg valaki, akkor viszonthallásra, bármihez hozzáfér a hálózatodon.
Szerintem -ha most azt a scenáriót nézzük h. enterprise és zömében kifelé szűrés, nagy hálózat mgmt- egy jól beállított és védett közös mgmt nem ördögtől való, de MFA, key based auth és társai kell mindenképpen, tehát a management kifejezetten kritikus védelmi szempontból.
Amin most én agyalok konkrétan oda amúgy ez a cucc tök jó lenne a mikrotik alá, mint threat prevention, ha tényleg olyan f.sza mint írják. Nem láttam a piacon olyan megoldást, mint ez h. nincs előfizetési díj, de mégis kapsz ngfw feature setet. Kicsit utánaolvasgatok én is is, mert ez is egy tök jónak kinéző valami, persze tudjuk h. ez a soho kategória. De mindenki olyan majmot szerezzen, amit tud etetni is :)
Még egy picit visszakanyarodva a közös managementre: enterprise szinten nem úszod meg szerintem. Bár abban azért látok kockázatot h. a wifit és a security gatewayt ugyanonnan manageled. Ugyanakkor ezt a Forti is megcsinálta és senki sem köpködi érte (itt sem, pedig az nagy szó). Én azért funkcionálisan elválasztanám, de legalább annyira h. a security dolgok 1 felület, wifi megint egy másik, stb.
A management hálózat legyen elszeparálva mástól, és tűzfalon keresztül, VPN-en át lehessen csak hozzáférni, ha megoldható, akkor a VPN legyen valami 2FA authentikációval. Akkor nehéz lesz felnyomni.
- MIKROTIK-t vegyük ki az eszközlistából, nem az a kategória, amit megfelelő az igényeknek
- a tűzfalat külön eszközre tesszük (HW appliance) hogy a mögötte lévő összes eszközt tudjuk rajta kerül menedzselni (pl. a szerverek management kártyája) Ne az legyem, ha megáll a fizikai vas, akkor megáll minden és nem tudok ránézni a hosztingba lévő eszközökre.
- IT döntés az, hogy minden eszközöm egy gyártó terméke (együtt menedzselem), vagy külön van a SWITCH-AP és tűzfal.
- egy fajta tűzfalat használók mindenhol, mert egyforma eszközöket könnyű karbantartani.
- mindenhova kell az NGFW szűrés opció, függetlenül, hogy az az eszköz hol található (co-location, HQ, branch)
- 5 évvel ezelöt azt mondtuk, hogy majd megnézzük 5 év múlva, hogy mit tudnak az UNIFI tűzfalak. Most is ezt tartom, nézzük meg mi lesz velük 5 év múlva.