Firewall-Router OS?

 ( akoska00 | 2015. január 25., vasárnap - 15:01 )

Sziasztok,

A cegnel kellene fejleszteni egy kicsit, mert a jelenlegi Cisco rv042 -nek elertuk a korlatait.
Arra gondoltam, hogy egy telepitett utm lenne a legjobb, es olvastam az endian-rol, ami tudasban tok jo lenne. Azonban itt a HUP-on azt is olvastam, hogy tobbeteknek szivasa volt vele. Roviden a kovetkezok kellenenek:
-transzparens http, smtp, pop3 poxy (spam, antivirus)
-vpn pptp 20 kliensig
- szokasos router funkciok (pppoe, nat,stb)

Mit javasoltok?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Endian -al néha akadnak kellemetlenségek.

Mikrotik-es rúter !?

v.

Olcsóbb Mikrotik és egy linux a proxy-nak!?

Erre en is gondoltam, de az anyagi lehetosegek = 0, de HW van sok amire egy ilyet fel tudok kalapalni. Azert koszi!

Ha támogatott a HW, akkor vehetsz Mikrotik RouterOS licencet 45 $-ért x86-ra is.
De én kipróbálnám a pfSense-t is, a PPTP VPN tökéletesen működött rajta.

ha van egy PC a proxynak akkor minek a mikrotik?

RouterOS-ben is van proxy, bár tesztelésen kívül másra használtam.

köszönjük Emese :-)
abban igazad van, hogy ROS-ban van proxy, de hogy nem fogsz benne szűrni vírust, arra nyakamat teszem.
Az SMTP/POP szűrés is eléggé esélytelen mikrotik oldalról. Jó packetfilter van benne, de semmi több.

Jogos, csak rápillantottam, nem fogott meg.

write only mód? :-)

ha kevesebb mint 50 gép van, ez is jó lehet https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
--
>'The time has come,' the Walrus said<

+1 jó cucc, tud mindent, kivéve akkor ha valami nagyon iptables mágia kell, arra inkább mikrotik.

Ezzel az a baj hogy cegnel szeretne. Ennek a licensze ezt kizarja. akkor inkabb Endian, vagy IP-fire.

Köszi!

A leírás alapján úgy látom nincs PPPOE kliens benne. Egyébként mik a problémák az Endiannal?

Xen HV-n volt stabilitas es teljesitmenyproblema is.

--
http://blog.htmm.hu/

VAn. http://www.sophos.com/en-us/support/knowledgebase/119003.aspx

Az Endian sem rossz. ClearOS, Untangle, pFsense, hosszú lista, de a sophost jól ismerem, jó megoldás. Viszont 50ip-ig kizárólag otthoni felhasználóknak ingyenes és jár vele sophos vírusirtó is.

http://distrowatch.com/search.php?category=Firewall

Köszi!
Összességében a Sophos tűnik számunkra a legegyszerűbb választásnak. A többit néztem, ami a legjobb lett volna az Endian de sok helyen is olvastam stabilitási problémákról ezért egyenlőre ő nem lesz.

Untangle még egyszerűbb, de az annyira, hogy már zavaró.

Tényleg licensu szegéssel szeretnél utm et a hálózatba?

Ha jól értem a maol virusok aggasztanak leginkább. Nem lenne jobb egy cloud mailfilter részedre?

Nem, csak jó lenne.

Milyen szűrésre van szükséged?

A pfsense ad lehetőséget akár ssl kibontásra is.

Persze url szűréshez kell valami szolgáltatói url lista. Regexp sajnos nem kellőképp szofisztikált már.

A squid elé rakhatsz antivírus proxyt is.

A pptp kapcsolatokat tudja proxyzni befele, igy nem portpt fogsz nyitni.

Egyben lehetőséget is ad hogy pld ssl vpnt használj pptp helyett.

Többet üzemeltetek, egy jó konfiggal 0 gond van velük.

A snort egy agyrém benne, ha dolgoztál már fizetős ips megoldással, de használható

Mikrotik is nagyon jó szerszám, pld elsődleges tűzfalnak. Ha ezt sokallod, az nagy baj, mert többek között az ára miatt szeretik.
Nem mellesleg minden olyan szolgáltatás, pld redundancia van benne, amit jól ki is tudsz használni. Ad lehetőséget pld l7 filterek használatára is.

Szűrés nem szempont, csak az antivírus. A POP3/SMTP alatt szintén. A HTTP proxy továbbiakban a sávszélesség optimalizálására kellene. A pfSense-re én is gondoltam elolvasva a feature list-tet. Kár, hogy a proxy lehetőségek nincsenek benne :(

Az installban nincs. Viszont van benne internal repo, amivel behúzhatod a squid, illetve egyéb program igényeidet is. SMTP-ben konkrétan akár mail gateway-t is építhetsz. POP3 proxyzást most passzolnám. Azt sosem csináltam belőle.

Fontos kiegészítés, hogy a repo-ban található csomagok beépülnek a GUI-ba

Hoszzú olvasgatás után ez lesz a nyerő. Köszi!
Egy láma kérdésem lenne. DMZ. Van egy modem-router -> LAN környezet. Van szerver a LAN on, aki OWA, ActiveSync-et,Oulook Anywhere-t publikál jelenleg a routeren forwardolva (https - 443)Ha beállítom a pfsense-t proxy-firewall-vpn funkciókkal, hova a legpraktikusabb/legbiztonságosabb elhelyezni a struktúrában? A routeren (Cisco RV042) van DMZ port. Jó a Router->pfsense->LAN, vagy a pfsense menjen a DMZ port-ba? Proxy lenne és reverse proxy egy OWA-hoz, illetve bejövő VPN kapcsolatokat kellene kezelnie.

A Cisco jelen esetben nem csak feleslegesen bonyolítja a hálózatot? Pfsense-be még beteszel egy interfészt, és oda teszed a szervert?

Meghagynám. Biztonság szempontjából kérdéses a DMZ. Ha jól értelmezem, akkor a jelenlegi port forwarding konfigurációban ha kompromittálódik a 443-on a szerver, akkor az egész LAN szegmens veszélybe kerülhet. Ha a pfSense kikerül a DMZ-be, akkor mint reverse proxy, és cache proxy-ként lesz beállítva a LAN számára, és ha valami miatt összeszakad (összeszakítják), akkor a LAN (és a szerver)nem kerül veszélybe. Vagy rosszul gondolom?

Alapvetően jól gondolod csak kérdéses hogy így még érdemes e a pfsense-en gondolkozni.

Gyakorlatilag te scannelő proxy-t futtatnál és talán email gateway-t, meg VPN szervert. Meg kell nézni hogy támogatja az antivírus az OS-eket.

IMAP-al és POP-al nem hiszem hogy érdemes bajlódni, URL-ket és végrehajtható/csatolt állományokat tudsz proxy-n illetve SMTP-n szűrni.

https://openwrt.org/
Ez felmegy MIkroTik-re is és nem kell érte fizetned.

A Mikrotik hardverért viszont kell fizetnie :)!
Az openwrt viszont felmegy x86 vasakra, kezel több hálókártyát is, talán még egy pendriveról is tudod használni.

Az Endiánt csak komolyabb tesztelés után ajánlom, kicsit béta íze van neki.

A kettes sorozat:
-> Valamelyik proxy (nem HTTP) beállításnál WSOD-zik.
-> Ha egyszer beállítottad az adott hálózati csatolóra hogy pingeljen egy host-ot és így nézze hogy van-e kapcsolat, akkor onnan ha fene-fenét eszik, akkor sem tudod ezt a funkciót kikapcsolni webes felületről. De a host átírható. x)
(-> Mintha lett volna olyan, hogy elszálltak a hálózati csatolók beállításai, de ez nagyon zárójeles.)
-> Snort rendben volt.
-> HTTP szűrés (ClamAV, Squid) rendben volt míg használtuk, aztán nem bírt a sok userrel és kidobta a taccsot.
-> Tűzfal és routing beállítások rendben voltak, megfelelően ment a webes felület.
-> A DNSmasq nem a világ legjobban konfigurálható DNS szervere, szóval ha több igényed van annál, mint a hosts-ba írogatni a helyi ip:név párosokat, akkor más kell.
-> OpenVPN rendben volt.
Amúgy egész megbízható.

A hármas sorozat:
-> Bugos a VPN kezelés, valami számomra érthetetlen okból elszáll a Blue csatoló ha fut a VPN.
-> Nincs WSOD.
-> Snort rendben.
-> HTTP szűrés mint a kettesben.
-> Tűzfal / routing rendben.
-> Maradt a dnsmasq.
Kicsit bizonytalanabbnak érzem mint a kettest, bár lehet hogy hozzátett ehhez egy keveset az itt-ott felbukkanó "devel" felirat.. Egy kicsit lassabb is. De gond ezzel sem volt.

Mindkettő szépen fut KVM-ben. Telepítéskor sima IDE-ként kell a virtuális lemezt odaadni neki, csak akkor látja. Telepítés után már ismeri a virtio-t, nem lesz vele gond.

Szóval elég szeszélyes a kicsike. :)

OpenBSD

A legjobb de ősz lesz mire mindent beállít.

Debian/ubuntu.

Ez az SMTP/POP3 nem teljesen világos, hogy mit is szeretnél velük... így abban sem vagyok 100% biztos, hogy igényeidnek megfelel, de adnék egy esélyt a Zeroshellnek. Ahol lehet ezt használom, és az "igénytelen", de cserébe legalább gyors WebGUI miatt nincs olyan érzésem sem, hogy manuálisan hamarabb bekonfigolnám, mint kattintgatva (lásd pl: Zentyal...)
http://www.zeroshell.org/

Megnéztem ezt a ZeroShell-t. Egész jó kis cuccos. Semmi varázslat, csak a nyers cuccok :) Lehet elkezdem tesztelgetni.

Tök jó..Tesztelem...