Fortigate helyett milyen NGFW kis cégnek

Security-all

Sziasztok,

 

Érdekelne a véleményetek.

Háttér:

Én alapvetően nagyvállatoknak és 50-100 fő feletti KKV-knak szoktam dolgozni hálózatbiztonsági témákban. Legfőképp Palo Alto-val, Fortinet-tel, F5-ttel, Imperva-val és más enterprise megoldásokkal foglalkozom.

Egy ismerősömön keresztül megkerestek, hogy ajánljak tűzfalat egy 10 fő körüli cégnek 500k-ig, mert volt egy ransomware-ük, és letitkosult a NAS, ami egy Asus router mögött volt (persze kiforgatva publikba). Most venni szeretnének végpontvédelmet, NGFW-t és valami mentési megoldásra is szükség lenne, de nagyon árérzékenyek.

Nekem (lehet, hogy szerencsére) nincs tapasztalatom ilyen low budget megoldásokkal, szinte bármilyen munkát nézek az elmúlt időszakból, az 10 millió fölött beszerzéssel járt.

Ha egy két évvel ezzelőtt kérdeznek meg, akkor azt mondtam volna, hogy vegyenek egy kis Forti-t. A Palo Alto-t sokkal jobbnak tartottam akkor is, de a kis PA-440 is 2 millió körül van 3 év licensszel.

A Fortinet viszont nagyon elk***vult mostanában. Nagyon gyenge minőségű a kód. Firmware frissítés után pl leállhat a radius, másik firmware-rel nem logol, a harmadikkal szakadoznak az IPSEC tunnelek, stb. Ha nem frissítem, akkor meg durva sérülékenységek vannak benne, amivel több céget is bucira vágtak magyarországon is. Szóval jó szívvel nem tudom ajánlani.

Milyen NGFW-t tudnátok ajánlani ebben a kategóriában?

Esetleg milyen más megoldást?

A backup-ot megoldom opensource, de szükség lenne normális VPN-re, URL filtering-re, ssl inspection-re, stb.

  • 1239 megtekintés

( buccaneers v | 2025. 04. 26., szo – 13:19 )

Szerkesztve: 2025. 04. 26., szo – 13:24

én - minden ilyen topichoz ezt írom, pedig nem fizetnek nekem - sok éve használom:

SONICWALL

TZ270 vagy TZ370 javaslatom.

Firewall Inspection Throughput: 3.00 Gbps

Application Inspection Throughput: 1.50 Gbps

IPS Throughput: 1.50 Gbps

Threat Prevention Throughput: 1.00 Gbps

VPN Throughput: 1.30 Gbps

Maximum Connections: 900000

New Connections/Sec: 9000

Ethernet Ports: 8x1GbE

 

TZ sorozat entry level, de nagyon jó CPU teljesítménnyel és van enterprise kategória és van nem appliance megoldás: NSV - Virtual Firewall (VMware ESXi, Microsoft Hyper-V és KVM)

Istennel a hazáért és a szabadságért !

Kétlem, hogy egy Marvell Armada 7040-el szerelt TZ370 hozza az 1.5 Gbps IPS throughputot, főleg ha mellette mást is csinál.  

(De nem kötekszem, mert kipróbálni nem tudom, az ára miatt jó esélyel soha nem fogunk találkozni. Jobb helyeken az isp-k Armada 8040-el szerelt routereket vágnak az otthoni előfizetőkhöz úgyhogy kétlem, hogy a "vas" miatt ;))

( gyuri23 | 2025. 04. 26., szo – 14:24 )

Nem NGFW megoldást ajánlanék, hanem kliens oldalon védeném a végpontokat, amit amúgy sem lehet lespórolni a világ legjobb tűzfala mellett sem.

A Heimdal pl. megfizethető, megoldás erre https://heimdalsecurity.com/ A Ransomware Encryption Protection modulja a Network Security-val szerintem hatékonyabb bármelyik NGFW megoldásnál.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

egyetertek, semmilyen tuzfal nem fogja meg a legujabb ransomokat csak ha mar elemeztek es bekerult a db-be. egyik ugyfelunk par hetente beszopott valamit, igaz rengeteget leveleztek kulfodiekkel (konyvkiado) es kb mindent megnyitottak amit kaptak (kulonosen a szamlanak vagy hasonlonak alcazottakat). vegul a kaspersky kliens vedelem lett a megoldas, azota is beszopjak oket de a KAV megfogja, logban latszik hogy kb 10 file utan behaviour alapjan megallitja es azokat is rollbackeli. ezt semmliyen NGFW-vel nem fogod megcsinalni...

tuzfal inkabb DDoS ellen jo meg az ilyen wordpress/joomla bugok probalgatasa ellen, a kliens virusokra nem igazan. mostanaban pl olyan pdf-eket kuldenek amiben a kepen van egy QR kod amit telefonnal lefotozva es megnyitva feldob egy adathalasz login oldalt...

Pontosan, szignatúra alapú védelem már rég nem elég, csak a viselkedés alapú megoldások működnek jól. És inkább küzdök néhanapján amikor a spécikönyvelő.exe egyszer csak megáll mint a szög, mert nem tetszik a pofája a ransomware védelemnek, és tehetem whitelist-re, mint reszelem vissza mentésből az egész céget :D

Az én kedvencem mostanában a ZeroTrust. Néhány hét betanulás után, mikor kiderült ki mit művel a gépen, bekapcsoljuk és onnantól kezdve senki nem indít el semmi új dolgot és jöhet a sírás rívás, hogy de nekem nagyon kéne az üdvözlőlap generátor, amit most töltöttem le :)

Hogy vetted rá a KAV-ra a céget, most, hogy a nemzetközi helyzet fokozódik? :)

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

ez meg a haborubekemuvelet elott volt...  de ismerek olyat ahol most hosszabbitottak 800 gepre. amugy a kaspersky 3 eve kuldott egy tajekoztatot amiben a papara is megeskudtek hogy semmi kozuk az oroszokhoz, svajcban van a szerveruk meg minden.

Én azt szoktam mondani, hogy csak abban van választási lehetőséged, hogy kibe ne bízz. Lopni így is úgyis fogják az adataid.

Mindig mosolygok, amikor előadnak egy performance-ot, hogy KAV hú de ellop mindent és amikor kérdezem, hogy az adatok hol vannak, azok meg az Azure-ban. Ha önként adnak oda mindent egy multicégnek, az persze jobb...

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

PRISM (a felhőben mind csak ígéret)

IT biztonság 10 pontja

1. Ha valaki fizikailag hozzáfér egy számítógéphez, az már nem a te számítógéped.
...

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Ezzel egyettértek, de normális végpontvédelmet már vettek (az incidens utáni napon).

A windows PC-ken felül viszont van egy csomó IOT eszközük, ipari gépük, PLC-k, kamerák, riasztó, meg kitudja mi.

A háromnegyedéhez nincs semmilyen frissítés.

Szükségük van egy tűzfalra mindenkép. Az a minimum, hogy normálisan szegmentálni kell a hálózatot, illetve a sok publikba kiforgatott szolgáltatást ki kell kapcsolni és RA VPN-t csinálni.

( hrgy84 | 2025. 04. 26., szo – 17:02 )

Ha a NAS ki van forgatva publicba, akkor a legjobb Fortinet tűzfal se fogja megvédeni a ransomware támadásoktól.

Nulladik lépés: átnézni a teljes jelenlegi tűzfalmegoldást, a hülyeségeket megszüntetni, hálózatbiztonsági alapokat leoktatni az üzemeltetőknek. Végig kell menni az összes üzleti igényen, ha kell, azokon változtatni, opcionálisan IPSEC/OpenVPN tunneleket kihúzgálni, kliens VPN megoldásokat bevezetni (OpenVPN alapon).

Ha ez a lépés megvan, onnantól meg mindegy, mit ajánlasz, Mikrotiktől pfSense / OpnSense vonalig terjedhet a skála akár, mert egy hálózat biztonsága elsődlegesen a jól beállított tűzfalon múlik, nem pedig azon, hogy a szóban forgó tűzfal 50 ezer vagy 5 millió forintba kerül. Az már egy másodlagos szempont.

Szörnyű ezt kimondani, de a legtöbb cégnél, pláne a KKV szektorban vészesen hiányos a biztonságról szóló elképzelés. Rengeteg olyan szofisztikált és kevésbé szofisztikált támadás van manapság, ami régen nem volt, vagy nem volt annyira jellemző. 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

nem akarok vitába szállni veled, de:

- a topic nyitó NGFW-re kért javaslatot - így a mikrotik és társai nem abba a kategóriába tartoznak.

- OpenVPN-t, meg manapság meg nem használunk - főleg új rendszernél.

A Sonicwall Essential Protection Service Suite (EPSS) és Advanced Protection Service Suite (APSS) előfizetés tartalmazza:

  1. Capture Advanced Threat Protection (ATP) és Real-Time Deep Memory Inspection (RTDMI).
  2. Reassembly-Free Deep Packet Inspection (RFDPI).
  3. Gateway Anti-Virus (GAV) és Intrusion Prevention System (IPS)
  4. DPI-SSL (Deep Packet Inspection of SSL/TLS)
  5. Content Filtering Service (CFS) and Geo-IP/Botnet filter
  6. Capture Client - Endpoint protection

(aki többre kíváncsi kigooglizza, azzal is tanul).

A többi meg igaz, hogy a KKV szektorban gond van tudatos IT biztonsággal és azon egy csoda tűzfal sem segít, de az se, ha "IT szakember"  azt mondja, hogy iptables = firewall

Istennel a hazáért és a szabadságért !

Nagyon szór, hogy mennyire árérzékeny itthon egy pár tíz főt foglalkoztató KKV. Egyáltalán nem vitatom, hogy a Sonicwall sokkal jobb erre a célra, de lehet, hogy még az is drága lesz nekik. Lehet, hogy rosszul fogalmaztam meg, de a nagyvállalatok irányából jövő kollegát szerettem volna arra érzékenyíteni, hogy elképzelhető, hogy már egy (ASUS routernél) jobban konfigurálható alap tűzfal is elégségesen ki fogja szolgálni a partner igényeit. Igen, a tűzfal messze több, mint az IPTables, és rengeteg egyéb szűrés-védelem-stb rakható bele - kérdés, hogy a partner hajlandó-e kifizetni az iptables és a tűzfal közötti árkülönbözetet. Ha nem, akkor viszont nem szabad elengedni a dolgot, mivel az iptables szintű "tűzfalakból" is van minőségi, ami akár megfelelő védelmet is adhat - szigorúan lekorlátozott hálózattal.

Btw, az OpenVPN-nel amúgy mi a baj? Valószínű az IPSec jobb, de tapasztalatom szerint sokkal körülményesebben konfigurálható (pláne, ha a partner informatikusa sose látott még olyat), míg az OpenVPN-nek relatíve kisebb a belépési küszöbje.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

igen, mindig ezek a piszkos anyagiak - egy TZ370 1 éves licensszel kb. 510-530ezer+ ÁFA majd a 2 éves licensz is annyi lehet.

Nem tudom eldönteni, hogy a cégek, ezt ki tudják-e fizetni. Ha lejár a licensz - mint sima router/FW -ként tovább tudják használni - nem áll le - mögé lehet tenni valami SquidGuard tartalom szűrő proxyt.

OpenVPN helyett a WireGuard saját UDP alapú protokoll - gyorsabb (kevesebb késleltetés), kisebb overhead és erősebb titkosítás.

IPSec: Site-to-Site -ra.

Istennel a hazáért és a szabadságért !

Én elsősorban KKV területen dolgozom. Az 500e nem tűnik kifizethetetlenül soknak, de ha összeadsz mindent ami az IT-nek kell, akkor már elég durva számok jönnek ki. Ilyenkor ott spórolsz ahol tudsz. Na itt mindjárt megy a levesbe az NGFW licenc, ami a saját véleményem szerint ár érték arányban amúgy is túlárazott.

Ha számolgatunk, a Heimdal végpontvédelem, egy tipikus KKV összeállításban (az elérhető modulok kb fele) 40-50€ per gép. Ezért nagyságrendekkel többet kapsz, mint egy NGFW. Például HW leletár, Patch Management (nem csak Windows hanem az összes általános program!) NIS2 riportolás, BitLocker központi kezelés, USB kontrol, olyan ransomware védelem ami a fájlműveleteket is és a titkosításhoz szükséges CPU hívásokat is figyeli a gépen a kontroller szerverek hálózati forgalmával együtt , DNS proxy, RDP brute force detection, központi kliens oldali tűzfal management, Hash alapú ZeroTrust (na ez nagyon durva cucc) és persze vírus védelem.

Szerintem a különbség magáért beszél, hogy ha limitált az anyagi keret, hol fogsz spórolni.

Nem azt mondom, hogy az NGFW szükségtelen, de nem a legfontosabb a védelemben. Egy elég szigorú beállítású „mezei” tűzfal, már elégséges egy komoly végpontvédelemmel, de egy NGFW végpontvédelem nélkül elégtelen.

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

Szerencsére az eddig sem volt igény az ügyfél részéről, hogy az eddigi működést folytatva szeretnének létezni.

Elfogadták, hogy át kell állítani a gondolkodásmódot és nagyobb hangsúlyt kell fektetni a digitális rendszereik védelmére.

Szügségük van hálózati szegmentációra, biztonságos távelérésre, megfelelő végpontvédelemre, stb..

Ettől függetlenül, szerintem egy normális NGFW-t nem hasonlíthatunk össze egy tradicionális IP-Port szűrő tűzfallal.

Például, a TCP 443-at kifelé úgy is ki kell nyitnod, hogy tudjanak böngészni. Innentől kezdve, egy buta tűzfal mindent kienged, ahol a destination TCP 443. Ami lehet SSL VPN vagy SSH, akármi, ami TCP-n megy. Elég ha rákattintanak valamire a böngészőben és nyitnak egy reverse shell-t vagy bármit (márha a végpontvédelem sincs a helyzet magaslatán).

Például, a TCP 443-at kifelé úgy is ki kell nyitnod, hogy tudjanak böngészni

:)

jah, csak hát nem minden eszköznek, és főleg nem mindenkinek kell tudni 'böngészni' - szóval ismét csak IT policy, hálózati szeparáció, és máris egy egyszerű - de megfelelően konfigurált - csomagszűrő is drasztikusan meg tudja növelni a fűnövesztő bt. IT biztonságát.- több millás előfizetős csodatűzfal és havi/éves előfizetés nélkül is.

Ha még ezt fokozod egy proxy-val, akkor máris authentikáltan, URL filterezve tudod kiengedni 'böngészni' az arra jogosultakat. - mindezt akár ingyenes/open source softverekkel/szolgáltatásokkal megoldva...

 

Egy ilyen kis cégnek sokkal inkább egy szolgáltató kell, aki üzemelteti is a szaraikat, nem csak elad egy-két dobozt jó nagy árréssel nekeik.

(az ilyen szolgáltatóknak  általában van bevált/javasolt határ és végpont édelmi és megoldásuk is, esetleg monitoring, SOC is szolgáltatásként)

 

szerintem.

zrubi.hu

( trey | 2025. 04. 27., v – 14:35 )

Stormshield

(európai gyártó, ami egyre inkább szokott manapság számítani egyes helyeken)

trey @ gépház

Pár hónapja cseréltem egy ügyfélnél egy régebbi 2U méretű Stormshield-et Palo-ra (a pontos modellszámra nem emlékszem).

Akkor valamennyire megismerkedtem vele, de annyiban kimerül a dolog, hogy a konfigot átalakítottam PA-ra.

Most ránéztem az oldalukra és az SN-220 elég is lehet. Feljebb a kolléga ajánlotta a Sonicwall-t. Összevetem vele.

Abban valami újabb generációs Intel Atom van (a CVE-kből ítélve :)), amúgy nem értem miért nem írja egyik sem milyen vasat árulnak.

A recovery imagehez meg fiók és serial kell (a serial nem nehéz mert, ha a shodian-ban használja az ember a product:"Stormshield Network Security" keresőszót a  "Common name" mezőből ki lehet random másolni egyet, gondolom ez lehet a default az átlag rendszergazdi meg nem foglalkozik vele, hogy ez így jól van-e nem tudom)

Légyszi írj már ide pár sort, ha átfutottad (mint egyébként ilyenhez értő, nyilván a lényeget fogod nézni), hogy melyiket ajánlod majd az ügyfélnek a kettőből (Sonicwall vs Stormshield), és miért!

Nálunk is kezd előtérbe kerülni az ügyfeleknél, hogy a jó mentés, szegmentálás, végpontvédelem mellé kellene egy jobb határvédelem a "sima" csak IP alapú tűzfal helyett. Több helyen nem mindegy, mennyibe kerül először és évente.

Köszi!

( zrubi v | 2025. 04. 28., h – 09:28 )

hogy ajánljak tűzfalat ... mert volt egy ransomware-ük

Igen, nem, azellen nem véd!

zrubi.hu

( GaLbi | 2025. 04. 28., h – 09:33 )

Ha nincs pénz Enterprise eszközre, akkor OPNsense-t javasolnék, ha van akkor maradnék a Forti vonalon. De ahogy írtak semmit nem ér a rendszer, ha nincs megfellelően beállítva (szegmentálás, kifelé nem nyitott portok, stb.) illetve a kliens oldalon nincs megfelelő védelmi vonal.

A probléma talán az lesz, hogy:

  • ha vásárolsz extra szolgáltatásokat az OPNSense-hez, akkor annak költsége már vetekedni fog egy Enterprise eszköz előfizetésével
  • mindenhol vannak problémák, FG-nél is és OPNSense-vel is lesznek. (FG-nél elég nagy az irodalma annak, hogy mit tegyél és mit ne tegyél vele)
  • azért húznék egy határt, hogy mit lehet egy ilyen kis cégnél bevezetni és mit nem, mert pl. az SSL inspection-hoz kell egy két extra dolog. 

( zrubi v | 2025. 04. 28., h – 09:41 )

Teljesen tipikus, hogy esemény után egyből kapkodással - de normális végpontvédelmet már vettek (az incidens utáni napon) - rontják tovább a helyzetet...

Ha előtte semmilyen IT secrity nem volt, akkor először tervezni kellene. Hozzáértő segítségével...

 

A ransomware egy nagyon jó példája annak, hogy teljesen mindegy mennyi pénzt költesz IT security-ra, ha nincs teljes körűen átgondolva és megtervezve, és/vagy a userek nincsenek rendszeresen oktatva, és/vagy nincs is IT security policy, akkor legközelebb is ugyan úgy besz*pják. Aztán csak pingvineznek, hogy dehát mennyit költöttünk rá, és mégis szar.

 

Szóval először IT security policy kell, aztán hálózati szegmentáció, update/patch management, majd vírusvédelem. - és sajnos egyik sem váltja kia a másikat!

Ezek megléte és/vagy ismerete után lehet (de legalábbis érdemes) bármilyen terméket megvenni...

 

az 'NGFW' meg önmagában csak egy (elavult) buzzword.

Open/pfSense alapon is lehet 'tökéletes' tűzfal megoldást csinálni, ha hozzáértők tervezik és üzemeltetik.

 

szerintem.

zrubi.hu

aztán hálózati szegmentáció,

Mert ugye, az \\egyszemnagyonfontosszerver\kozos megosztás nem írható mindenki által (de), amit úgy basz agyon egy user által elindított ransomware, mint a huzat.

Amiket írtál, azok közül az egyik legfontosabb az oktatás, illetve ilyen büdzsészegény helyeken nem a milliók elszórása mindenféle IT sec csodaszerre, hanem inkább a minél gyorsabb és teljes bajság utáni recovery kidolgozása.

Open/pfSense alapon is lehet 'tökéletes' tűzfal megoldást csinálni,

A kérdés az szokott lenni kis irodánál, mint ez, hogy "aztán min fog stabilan futni?", amikor meg kiderül, hogy "ja, valami normális vas is kéne alá" a 7/24/365 üzemhez, akkor kiderül, hogy a vas+hozzáértők árából már kijön egy stabilan futó UTM eszköz is. Természetesen, ahhoz is kell érteni.

trey @ gépház