Fortigate helyett milyen NGFW kis cégnek.

Security-all

Sziasztok,

 

Érdekelne a véleményetek.

Háttér:

Én alapvetően nagyvállatoknak és 50-100 fő feletti KKV-knak szoktam dolgozni hálózatbiztonsági témákban. Legfőképp Palo Alto-val, Fortinet-tel, F5-ttel, Imperva-val és más enterprise megoldásokkal foglalkozom.

Egy ismerősömön keresztül megkerestek, hogy ajánljak tűzfalat egy 10 fő körüli cégnek 500k-ig, mert volt egy ransomware-ük, és letitkosult a NAS, ami egy Asus router mögött volt (persze kiforgatva publikba). Most venni szeretnének végpontvédelmet, NGFW-t és valami mentési megoldásra is szükség lenne, de nagyon árérzékenyek.

Nekem (lehet, hogy szerencsére) nincs tapasztalatom ilyen low budget megoldásokkal, szinte bármilyen munkát nézek az elmúlt időszakból, az 10 millió fölött beszerzéssel járt.

Ha egy két évvel ezzelőtt kérdeznek meg, akkor azt mondtam volna, hogy vegyenek egy kis Forti-t. A Palo Alto-t sokkal jobbnak tartottam akkor is, de a kis PA-440 is 2 millió körül van 3 év licensszel.

A Fortinet viszont nagyon elk***vult mostanában. Nagyon gyenge minőségű a kód. Firmware frissítés után pl leállhat a radius, másik firmware-rel nem logol, a harmadikkal szakadoznak az IPSEC tunnelek, stb. Ha nem frissítem, akkor meg durva sérülékenységek vannak benne, amivel több céget is bucira vágtak magyarországon is. Szóval jó szívvel nem tudom ajánlani.

Milyen NGFW-t tudnátok ajánlani ebben a kategóriában?

Esetleg milyen más megoldást?

A backup-ot megoldom opensource, de szükség lenne normális VPN-re, URL filtering-re, ssl inspection-re, stb.

  • 390 megtekintés

( buccaneers v | 2025. 04. 26., szo – 13:19 )

Szerkesztve: 2025. 04. 26., szo – 13:24

én - minden ilyen topichoz ezt írom, pedig nem fizetnek nekem - sok éve használom:

SONICWALL

TZ270 vagy TZ370 javaslatom.

Firewall Inspection Throughput: 3.00 Gbps

Application Inspection Throughput: 1.50 Gbps

IPS Throughput: 1.50 Gbps

Threat Prevention Throughput: 1.00 Gbps

VPN Throughput: 1.30 Gbps

Maximum Connections: 900000

New Connections/Sec: 9000

Ethernet Ports: 8x1GbE

 

TZ sorozat entry level, de nagyon jó CPU teljesítménnyel és van enterprise kategória és van nem appliance megoldás: NSV - Virtual Firewall (VMware ESXi, Microsoft Hyper-V és KVM)

Istennel a hazáért és a szabadságért !

Kétlem, hogy egy Marvell Armada 7040-el szerelt TZ370 hozza az 1.5 Gbps IPS throughputot, főleg ha mellette mást is csinál.  

(De nem kötekszem, mert kipróbálni nem tudom, az ára miatt jó esélyel soha nem fogunk találkozni. Jobb helyeken az isp-k Armada 8040-el szerelt routereket vágnak az otthoni előfizetőkhöz úgyhogy kétlem, hogy a "vas" miatt ;))

( gyuri23 | 2025. 04. 26., szo – 14:24 )

Nem NGFW megoldást ajánlanék, hanem kliens oldalon védeném a végpontokat, amit amúgy sem lehet lespórolni a világ legjobb tűzfala mellett sem.

A Heimdal pl. megfizethető, megoldás erre https://heimdalsecurity.com/ A Ransomware Encryption Protection modulja a Network Security-val szerintem hatékonyabb bármelyik NGFW megoldásnál.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( hrgy84 | 2025. 04. 26., szo – 17:02 )

Ha a NAS ki van forgatva publicba, akkor a legjobb Fortinet tűzfal se fogja megvédeni a ransomware támadásoktól.

Nulladik lépés: átnézni a teljes jelenlegi tűzfalmegoldást, a hülyeségeket megszüntetni, hálózatbiztonsági alapokat leoktatni az üzemeltetőknek. Végig kell menni az összes üzleti igényen, ha kell, azokon változtatni, opcionálisan IPSEC/OpenVPN tunneleket kihúzgálni, kliens VPN megoldásokat bevezetni (OpenVPN alapon).

Ha ez a lépés megvan, onnantól meg mindegy, mit ajánlasz, Mikrotiktől pfSense / OpnSense vonalig terjedhet a skála akár, mert egy hálózat biztonsága elsődlegesen a jól beállított tűzfalon múlik, nem pedig azon, hogy a szóban forgó tűzfal 50 ezer vagy 5 millió forintba kerül. Az már egy másodlagos szempont.

Szörnyű ezt kimondani, de a legtöbb cégnél, pláne a KKV szektorban vészesen hiányos a biztonságról szóló elképzelés. Rengeteg olyan szofisztikált és kevésbé szofisztikált támadás van manapság, ami régen nem volt, vagy nem volt annyira jellemző. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

nem akarok vitába szállni veled, de:

- a topic nyitó NGFW-re kért javaslatot - így a mikrotik és társai nem abba a kategóriába tartoznak.

- OpenVPN-t, meg manapság meg nem használunk - főleg új rendszernél.

A Sonicwall Essential Protection Service Suite (EPSS) és Advanced Protection Service Suite (APSS) előfizetés tartalmazza:

  1. Capture Advanced Threat Protection (ATP) és Real-Time Deep Memory Inspection (RTDMI).
  2. Reassembly-Free Deep Packet Inspection (RFDPI).
  3. Gateway Anti-Virus (GAV) és Intrusion Prevention System (IPS)
  4. DPI-SSL (Deep Packet Inspection of SSL/TLS)
  5. Content Filtering Service (CFS) and Geo-IP/Botnet filter
  6. Capture Client - Endpoint protection

(aki többre kíváncsi kigooglizza, azzal is tanul).

A többi meg igaz, hogy a KKV szektorban gond van tudatos IT biztonsággal és azon egy csoda tűzfal sem segít, de az se, ha "IT szakember"  azt mondja, hogy iptables = firewall

Istennel a hazáért és a szabadságért !

Nagyon szór, hogy mennyire árérzékeny itthon egy pár tíz főt foglalkoztató KKV. Egyáltalán nem vitatom, hogy a Sonicwall sokkal jobb erre a célra, de lehet, hogy még az is drága lesz nekik. Lehet, hogy rosszul fogalmaztam meg, de a nagyvállalatok irányából jövő kollegát szerettem volna arra érzékenyíteni, hogy elképzelhető, hogy már egy (ASUS routernél) jobban konfigurálható alap tűzfal is elégségesen ki fogja szolgálni a partner igényeit. Igen, a tűzfal messze több, mint az IPTables, és rengeteg egyéb szűrés-védelem-stb rakható bele - kérdés, hogy a partner hajlandó-e kifizetni az iptables és a tűzfal közötti árkülönbözetet. Ha nem, akkor viszont nem szabad elengedni a dolgot, mivel az iptables szintű "tűzfalakból" is van minőségi, ami akár megfelelő védelmet is adhat - szigorúan lekorlátozott hálózattal.

Btw, az OpenVPN-nel amúgy mi a baj? Valószínű az IPSec jobb, de tapasztalatom szerint sokkal körülményesebben konfigurálható (pláne, ha a partner informatikusa sose látott még olyat), míg az OpenVPN-nek relatíve kisebb a belépési küszöbje.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

igen, mindig ezek a piszkos anyagiak - egy TZ370 1 éves licensszel kb. 510-530ezer+ ÁFA majd a 2 éves licensz is annyi lehet.

Nem tudom eldönteni, hogy a cégek, ezt ki tudják-e fizetni. Ha lejár a licensz - mint sima router/FW -ként tovább tudják használni - nem áll le - mögé lehet tenni valami SquidGuard tartalom szűrő proxyt.

OpenVPN helyett a WireGuard saját UDP alapú protokoll - gyorsabb (kevesebb késleltetés), kisebb overhead és erősebb titkosítás.

IPSec: Site-to-Site -ra.

Istennel a hazáért és a szabadságért !

Én elsősorban KKV területen dolgozom. Az 500e nem tűnik kifizethetetlenül soknak, de ha összeadsz mindent ami az IT-nek kell, akkor már elég durva számok jönnek ki. Ilyenkor ott spórolsz ahol tudsz. Na itt mindjárt megy a levesbe az NGFW licenc, ami a saját véleményem szerint ár érték arányban amúgy is túlárazott.

Ha számolgatunk, a Heimdal végpontvédelem, egy tipikus KKV összeállításban (az elérhető modulok kb fele) 40-50€ per gép. Ezért nagyságrendekkel többet kapsz, mint egy NGFW. Például HW leletár, Patch Management (nem csak Windows hanem az összes általános program!) NIS2 riportolás, BitLocker központi kezelés, USB kontrol, olyan ransomware védelem ami a fájlműveleteket is és a titkosításhoz szükséges CPU hívásokat is figyeli a gépen a kontroller szerverek hálózati forgalmával együtt , DNS proxy, RDP brute force detection, központi kliens oldali tűzfal management, Hash alapú ZeroTrust (na ez nagyon durva cucc) és persze vírus védelem.

Szerintem a különbség magáért beszél, hogy ha limitált az anyagi keret, hol fogsz spórolni.

Nem azt mondom, hogy az NGFW szükségtelen, de nem a legfontosabb a védelemben. Egy elég szigorú beállítású „mezei” tűzfal, már elégséges egy komoly végpontvédelemmel, de egy NGFW végpontvédelem nélkül elégtelen.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.