Sonicwall NSA 2400 helyett mit?

Hálózati eszközök

Sziasztok,

 

Egy Sonicwall NSA 2400 utódját keressük, ami teljesítményben, tudásban legalább ennyit tud.

Amire szükség van:

-Site-to-site VPN kezelés (legalább 10 darab, de a több jobb)

-legalább 6 interfész (min 1G) + uplink (10G)

-nem felhős, nem éves licenszelés.

-stabil működés, dual táp nem feltétel, de good to have

-network objektumok, zónák ...stb standard fw featureök

-pfsense alapú dolgokat kerülnénk

 

Mit tudnátok ajánlani?

( godot v | 2024. 11. 14., cs – 09:04 )

OpnSense dobozok között nézz szét pl....

Ez neked pl meg is felelne:

https://shop.opnsense.com/product/dec2770-opnsense-rack-security-applia…

Jár hozzá OpnSense Business Edition lic 1 évig. De nem kötelező újra megvenni (bár nem egy nagy tétel 150eur/év). Ami funkciót írsz ahhoz több mint elég az OpnSense community edition is. A Business/Community váltást a GUI-n egy mozdulat bármikor állítani....

Volt egy olyan a végén h. pfsense alapú dolgokat kerülné, nálam az opnsense az ez a kategória.

Egyébként teljesen egyetértek veled, pont az opnsense hw az amit én is tervezek, mert mindent tud, van hivatalos support, jónak néznek ki a vasak is és nincs éves hadisarc, korrekt support díjon kapsz egy értelmes megoldást.

Alapvetően ezt a részt vágom, de ettől még egy pfsense alapú valami, egyszer majd eljutnak oda h. kikerüljön minden ilyesmi belőle, de még nem tartunk ott.

Egyébként a vasaik nekem kva szimpatikusak a szedett-vedett netgate-es vackokhoz képest. Sztem jövő év elején fogunk is venni 4 darabot, mert egyszerűen arra amire kell nincs jobb ár/érték arányban alternatíva.

Hasonló "vasakat" jó áron Sophos-tól tudsz venni még pl.

Sophos routerekben jó a hardver, és olyan OS-t raksz rá amit csak akarsz! Ráadásul egy csomóban tudsz CPU-t cserélni, RAM-ot bővíteni, adott esetben egy SSD helyett kettőt rakni RAID-ban.
A használtakat néha vicces áron lehet megvenni, mi elég sok SG230, SG210-et hajtunk a többségük használat volt véve, nagyobb VPN performancia miatt kapott valamilyen jellemzően i7 procit, és teljesen problémamentesen teszik a dolgukat.
Nagy előny még hogy kb. mindegyiken van dedikált VGA, tehát ha valamiért ASAP kell megnézni, és nincsen soros kábel, akkor sem vagy meglőve.

OPSense hardwereket mi is nézegettük már, de még sosem vettünk, pedig specikáció/ár arányban egész jónak tűnnek ! +a megjelenésük is egész korrekt.

Az utolsó mondatodra reagálva: lehet felélesztem a 20 évvel ezelőtti blogomat és majd csinálok pár fotót meg tesztet a kütyüről ha megvesszük. Nagyon úgy áll h. az lesz, mert tényleg nincs más, csak az általad is említett megoldások, de az meg kicsit olyan tákolás az én érzésem szerint.

Akkor már inkább abba az irányba mennék h. veszek erre kihegyezett vasat a supermicro-tól pl és teszek rá pf/opnsense-et. Csak azért meg itt bejön h. nem sok éves pénzért van egy supported könyezeted, ha bármilyen auditon elhangzik a támogatás kérdés, akkor ott van az előfizetés, meg a "gyári" hw. Így ezt ki lehet pipálni és a vasak is sokkal szimpatikusabbak mint a tákolós megoldás, vagy ahogy írtam már korábban a Netgate féle szedett-vedett appliance felhozatal.

Leírtad a kulcsszót! Audit, igen, ezek a megoldások egy audit-on sajnos problémásak lehetnek.
Persze a csodás NIS2 miatt lassan minden 3-4 évnél idősebb hardver is az lesz, kicsit vicces az hogy egy Dell PE630/PE730-at pl. le kell cserélni NIS2 miatt ....

Sophos HW használatot nem érzem tákolásnak, más OS-t futtatunk rajta ennyi.
Normál szerverből csinálunk router-t megoldást szintén csináljuk Dell R620-650 vonal jellemzően, ha van rá keret/hely akkor ez a legjobb megoldás, itt van mód feladatra specifikált HW összeállítására, pl. n db 10G/40G LAN, ha kell van rá gyártói garancia. De árban a fentiekkel nincsen egy árszinten.

OPSense HW-król én személy szerint szívesen olvasok tesztet! :)

Amúgy én személy szerint APU2 dobozokat szeretem kisebb SBS környezetben, csak sajnos már évek óta nem kapható + már HW is elavult.

Alapvetően egy auditon át tudsz menni gyártói support nélküli vassal is egyébként. A NIS2 a legtöbb kontroll esetében nem azt írja elő h. hogyan csináld, hanem azt h. csináld. Nyilván szárazabb és biztonságosabb érzés egy gyártó által támogatott cucc, mert akkor lehet mutogatni h. igen, ez itt van, pipa, menjünk tovább. De ha te azt mondod h. PE620 van és azon futtatod a cuccot és az a tartalékolás és támogatási megoldás h. van még 2 ilyen gép polcon ugyanabban a konfigban és van hozzá leírásod h. hogy kell a helyére varázsolni, akkor jó is vagy.

Az egyedi megoldásoknál az a sz.póroller, hogy az auditor bizonyítékot kér, egy gyártói supportnál ez gyakorlatilag azonnal megvan, a saját tákolást meg neked kell körberakni mindenféle eljárásrenddel, papírral, ellenőrzéssel, stb.

Oda akartam kilukadni h. igazából majdnem ugyanott vagy, mert amit kifizetsz a gyártónak h. legyen pipa a support és támogatás, azt az időt/pénzt belerakod abba h. a saját megoldásodat hozd szintre.

Egyébként azért ennyire nem enemy a NIS2, mert egészen megengedő kontrollok is léteznek benne. Én személy szerint szeretem is h. van egy ilyen framework, mert remekül oda lehet rakni egy ügyvezető elé h. látod, ezért vesszük a drágábbat, mert az teljesíti ezt az X kontrollt és mindenki nyugodtan alszik. Eddig kevésbé volt mire mutogatni, mert a kibervédelmi tveket leszarta a magyar kkv menedzser/tulajdonos. Most ha leírja h. márpedig vegyek az ebayről routert 20 forintét, akkor oké, de nem megy át egy auditon, ő mondta, a nap végén ő felel. Eddig ez ilyen baromi szürke dolog volt, most sokmindent egyértelműsítenek az új törvények, lásd 23/XXIII, meg 7/2024 MK rendelet.

( fairlane | 2024. 11. 14., cs – 09:24 )

Gyorsan megnéztem, de Checkpoint, Palo Alto, Cisco, Fortinet vonalon nem találni olyan fizikai appliance-t, ahol nincs éves licencelés.
(Ha tévednék, akkor javítsatok ki).

...úgyis jönnek...

minden komoly FW-nak van éves lic. és már a CAD programok esetén és majd a Windows 12-nél is az lesz.

Router és SSL offloading, VPN server, port filter funkció még nem FW illetve UTM.

 

NSa 2400 elég régi cucc:

Notice: Discontinued Product
Last Order Day (LDO): 2012-04-01
End of Support (EOS): 2019-05-01

- Ennek a teljesítményét még egy TZ desktop is übereli.

WOKEBUSTERS
https://www.cpachungary.com/wokebusters

( GaLbi | 2024. 11. 14., cs – 12:12 )

Én úgy tudom, hogy Fortigate eszközöket meg lehet vásárolni előfizetés nélkül is, csak ha olyan szolgáltatást akarsz használni, ami hozzá van kötve, akkor lehet vele probléma. (firmware frissítés)

Vagy el lehet menni kínai eszközök irányába (FS.com Europe - HPC, Data Centre, Enterprise, Telecom, Ruijie Networks | Network Devices and Solutions Provider)

Átgondolnám az OpnSense vonalat, mert nagyon más opciód nem lesz.

(pontosan mi a probléma a pfsense alapú dolgokkal?)

Ha az előfizetés lejártával nem tudsz frissíteni firmware-t az elég vidám egy tűzfal eszköznél....

Ha innen nézzük akkor kb, egyik ilyen eszköz sem jöhet szóba ....

A Forti nemrég konkrétan berakott a firmware-ba ellenőrzést, hogy ne lehessen új főverzióra frissíteni, ha valahonnan "véletlenül" megvan az image file,de már nincs előfizetésed:

https://docs.fortinet.com/document/fortigate/7.4.0/new-features/107956/…

Pl Cisco FTD még nem kényszeríti ki ezt,de ami késik nem múlik.

Tetszik vagy nem sajnos ki kell pengetni a valamilyen díjat a nagy gyártóknál (is). vagy megoldod "amit tudsz" open source eszközökkel.

Hurrá, up2date a firmware. És? Egy értelmes funkciót se tudsz használni, amitől több az eszköz mint egy bármilyen másik csomagszűrő tűzfal ipsec és ssl vpn lehetőségekkel. Akkor meg minek veszel drága vasat? :)

Szóval ezen a ponton sztem szinte mindegy h. az fw update fizetős-e v. sem, hiszen aki Fortit vesz v. Checkpointot, nem azért veszi h. legyen egy n+1-edik csomagszűrője kvadrágán sztem.

Nekem van 8-10db ebay-en vásárolt Sonicwall-om (20-50USD) - ami naprakész firmware-al rendelkezik könyvelő irodákban, ügyvédeknél szolgálja a második életét, illetve raktáron tartok pár darabot hardverhiba esetén azonnal tudom cserélni.

- nem volt kurva drága

- cégnél szintén az van (előfizetéssel) - értek hozzá, nekem ez kényelmes.

- volt már kezem alatt más cégeknél Check Point, F5, Forti, Juniper stb. 

Ár/Szolgáltatás/Teljesítmény összevetésben nem tartom rossz cuccnak.

WOKEBUSTERS
https://www.cpachungary.com/wokebusters

örülj neki, hogy a Sonicwall még adja.

Nem erre megy az ipar.

Sok-sok éve még óriási felháborodást váltott ki hogy a HP a szerver BIOS és ILO stb frissítéseket előfizetéshez kötötte.

Manapság már az ingerküszöböt sem üti meg egy ilyen bejelentés.

 

Egyébként ha nem kell NGFW funkció az eredeti poszt-toló-nak elég lehet egy Mikrotik RB5009. Ők pl forever adják a firmware-t.

Nem vonom kétségbe h. jó. Pusztán azt h. van értelme.

Nyilván ha ezt szoktad meg és ezt te adod mint szolgáltató, akkor tök jó és ebben a méretben még so-so jó is lehet egy megfelelő végpontvédelemmel.

Amit én állítok h. újonan nekiugrani és venni egy Fortit/Sonic-ot/"whatever NGFW"-t úgy, hogy már eleve arra készülsz h. a supportot nem akarod fizetni, az nettó hülyeség. Akkor vegyél egy Mikrotiket, mert kb. az a szint. Vagy akkor ahogy te írtad vegyél egy levetett Sonicwallt, ha az kényelmes.

Egyébként csak halkan jegyzem meg h. a nagy gyártó is ugyanazt az eszközt adja el neked (pl. snort), a support arról szól h. kapsz hozzá egy használható rulesetet és ez az ami pénzbe kerül. Neki lehet indulni az OWASP rulesettel, de azért az lófütty a Cisco által nemtom milyen néven kiadott, naponta többször frissített rulesethez képest.

Az az irány egyébként egyáltalán nem hülyeség h. pl. OpnSense és fizetős ruleset a snort/suricata alá. Azzal már majdnem ott tudsz lenni, mint a nagyok, de még mindig olcsóbb azért szignifikánsan.

Ha meg nem kellenek ilyen varázslatok h. IDS/IPS, akkor ezekről nem is kell értekezni, mert a csomagszűrőt, a VPN-t, meg az összes ilyen "basic" firewall funkciót kb. bármi tudja, még egy Mikrotik is.

( nsandoragy | 2024. 11. 15., p – 19:48 )

Félig off.

Stormshield tűzfalakkal van valakinek gyakorlati tapasztalata? Nem nagyon látom itt pörögni az oldalon, amerikai fórumokon nem ismert (ez érthető), a német fórumokon felvetett probléma megoldása meg egy francia fórumra mutat azt meg már nem értem :D

Egyik német ügyfél ezt akarja és eddig a különböző iparági minősítéseken kívül nem látok komoly érvet mellettük.

Nálunk néhány ügyfélnél van, olykor több darab különböző országokbeli telephelyeiken, és elégedettek vele, nem gondolkodnak a cseréjén és nem sokallják az éves díját.

OpenBSD pf alapú csomagszűrőre épül, NGFW IDS/IPS, DNS szűrés Whalebone alapon, HA lehetőség van benne, csak előfizetéses modellben működik, de az előfizetés időtartama alatt eszköz hiba esetén cserélik "gariban", nem csak az FW és ruleset update jár a pénzért.

Az előfizetésnek folyamatosnak kell lennie, ha kimarad év, akkor utólag ki kell fizetni a folytatáshoz (általában/jellemzően). Előfizetés nélkül semmit sem lehet rajta frissíteni, a szolgáltatások külön-külön fizethetők elő, nem csak egy all-in csomag van. Előfizetés nélkül működik tovább a legutolsó állapot szerint. Konfigurálni lehet, nem korlátoz előfizu nélkül ilyesmit.

Egyébként EU termék, és jó a hazai (szakmai) support, meg asszem van projektvédelem is (nem fog alád igérni egy másik ajánlattevő azonos termékkel).

Én nem annyira szeretem a konfigurációját, mert "kicsit" kitekert (szerintem), de igazából nem rosszabb, mint a többi NGFW, csak más. Árban versenyképes általában, azt viszont nem tudom, hogy szűr-e úgy, vagy jobban/rosszabbul, mint a többiek, nem végeztem ilyen irányú kutatást, kérdezősködést.

( neutrino v | 2024. 11. 16., szo – 12:50 )

Szerkesztve: 2024. 11. 16., szo – 12:50

Az éves licensz alatt azt értem, hogy nem érdekelnek olyan termékek, amit megvesz az ember, és pl utána évente meg kell újítani a licenszet, hogy bizonyos funkciók továbbra is működjenek. Tehát ne legyen "butább" 1 évvel a vásárlás után, mert nem fizetek rá. Az, hogy nincs support nem érdekes.

Aláírás _Franko_ miatt törölve. 
RIP Jákub.
neut @

Akkor esetleg a Sophos XGS széria. Alapból jár hozzá a base licenc, ami meg perpetual (ahogy olvastam).

Ezt tudja a base licence: "Networking, wireless, Xstream architecture, unlimited remote access VPN, site-to-site VPN, reporting"

Gyakorlati tapasztalatom nincs vele, csak más terméküket használtam.

...úgyis jönnek...

Ajánlom. Ugyanaz mint mindegyik más nagyjából. Viszonylag kevés nem opensource alapkat használ. Gyakorlatilag mindent tud amit el lehet képzelni és többet is. Endpoint management, WiFi controller, load balancer, stb. Az ingyenes licenc 50 címig használható és így tesztelhető, beleértve a ha-t. Valamint bármilyen PC-n elfut.