80 fős irodába tűzfal

Hálózati eszközök

Sziasztok

A segítségeteket kérem, egy 80 fős irodába néztem ki ezt a tűzfalat (WatchGuard® Firebox T50), az lenne a kérdésem, hogy szerintetek ez megfelelő lenne (ha valaki jelenleg is használ ilyet és van véleménye ne tartsa magában :D) vagy esetleg nagyobb teljesítményűt javasoltok?

Segítségeteket előre is köszönöm.

( d3n3s | 2017. 08. 09., sze – 10:13 )

A WatchGuard-ot még nem használtam, így nem tudok releváns pro-cons összehasonlítást mondani. Viszont papírforma szerint tökéletesnek kell lennie.
Esetleg HP MicroServer + PfSense(vagy OPNSense)? Illetve még ZyWall, vagy ha nagyobb a keret akkor CheckPoint.

Igen, bár most néztem át a Watchguard dokumentációját és ott írnak hasonló problémára megoldást.
Köszönöm, nem is értem, hogy miért nem jutott eszembe a Stormshield, nagyon profi tűzfalaik vannak.
Amit nem írtam le, hogy csak olyan megoldás lehet amit full össze tudok "lőni" Active Directory-val.

Más: Nekem régebben sikerült összerúgnom port egy PfSense IPsec - Openswan-al (néha úgy döntött, hogy nem működik).

---
Egy nap 24 óra, plusz az éjszaka!

Persze, össze tudod kötni a Stomshieldet AD-vel LDAP interface-en keresztül, sima ügy. Nálunk is össze van lőve vele és minden gond nélkül megy. Miután megvan, utána a már "ismert userek"-et bármelyik szabályhoz fel tudod használni. Ráadásul a v3.x óta bekerült a tűzfal adminba az egész stat rész, így nem kell külön telepíteni az administrator suites desktopra.

A legkisebb két eszközt leszámítva tud HA-t is, folyamatosan szinkronizálja a kapcsolatokat is, így ha a master megállása vagy épp frissítés miatti újraindulna, a masterré vált előző slave-en keresztül megy minden tovább és nem szakadnak meg a futó kapcsolatok.

Én mindenhova ezt adok, ha meg tudják/akarják fizetni :)

( gabrielakos v | 2017. 08. 09., sze – 10:14 )

recommended user count: 35 (whatever it means)

--
Gábriel Ákos

( freeoli v | 2017. 08. 09., sze – 10:51 )

Egy fontos, legyen, hozzá előfizetés vagy legyen ingyenes.

A lényeg, hogy mit is szeretnél vele. Amit javaslok, m inden forgalom szűrését akár L7-benm is. pfsense, opensense, untangle, endian ... ingyenes. A fizetősök közül van sok sok a kérdés, hogy akarsz-e szervert alá tenni vagy megveszed fizikai valójában is. Ha igen akkor jó a wachguard, jobb a sonicwall és sophos de előfizetés nélkül gyengébbek mint egy ingyenes megoldás, előfizetéssel meg mindent tudnak.

Erre én egy Sonicwall T300/T400-at javasolnék.

Nem nagyon követem a dolgokat, de feltűnt, hogy senki nem említette egyik hozzászólásban sem a Balabiték tűzfalát, amiről jó 10 évvel ezelőtt elég sokat hallottam. Ha jól rémlik, Zorp a neve, és ha jól emlékszem, volt egy kevesebbet tudó ingyenes változata is.

Esetleg azért nem említette senki, mert valami gond van vele, vagy a vetélytársak lényegesen jobbak?

Vagy csak véletlen?

Jól rémlik, zorp a neve :) Egyébként köszöni szépen, jól megvan, bár most már nem Balabit, hanem Balasys, de ezt tudjuk be ilyen cégtechnikai dolognak. Azt sem gondolom, hogy a vetélytársak jobbak lennének, pláne nem lényegesen, de a zorp egy kicsit máshova helyezi a fókuszt, nyilván vannak erősségei, meg gyengeségei. ( de persze disclaimer, én most itt dolgozom, úgyhogy nyilván magunk fele hajlik valamennyire a kezem.) Itthon van is egyébként szép számmal telepítés belőle, akár a kérdezőnek is jó lehet, bár azért inkább ennél kicsit nagyobb usecaseknél kezd kijönni az előnye, vagy, lévén alapvetően egy proxy tűzfal, olyan helyeken, ahol valami speckóbb igényt kell megoldani.

Leteszem, bekapcsolom a ne legyen facebook pipát, megnyugszom, hogy akkor biztos úgy is van, és elfelejtem tűzfalnak nem biztos, hogy ideális választás. (Egyébként próbáljuk is elmozdítani security middleware irányba az általános tűzfalból a dolgot.) Ráadásul appliance-t sem adunk. Ha viszont van igényed arra, hogy részleteiben matass benne, meg sokfélét akarsz csinálni, akkor elég jól meg lehet vele csinálni, azt, amire szükséged van, úgy, ahogy azt te képzeled :).

És van neki "kevesebbet tudó ingyenes változata" is, ami egész konkrétan GPL, és alapjait tekintve egyébként ugyanaz, csak kevesebb proxy van benne, nincs hozzá GUI frontend, meg nyilván nem érhetőek el hozzá az olyan extrák, mint az előfizus spam meg vírusszűrők, url filterek, auth kliens stb.

Sajnos én úgy látom nagyon lelassult a fejlesztése évekkel ezelőtt. Kb évi egy (másfél?) minor hibajavító release jön a 6-osból. Marketingelve pedig gyakorlatilag nincsen.
Sok éves problémák nincsenek elvarrva benne (pl az évek óta nem támogatott Heartbeat 3.0 a gyári HA megoldás benne).

ezek kétségtelenül jogos észrevételek (bár pont lassan megint lesz egy release), én még viszonylag új fiú vagyok itt, de azt látom, hogy a 3->6 váltás ugyan nagyon sok mindent megoldott, de maradt még azért elvarrandó szál, és lehet, hogy érdemesebb lenne kisebb chunkokban adagolni dolgokat. A marketing részébe nem nagyon látok bele, de azért van az, csak valószínűleg nem annyira vagy target :) De egy sör mellett vmi meetupon egyébként szívesen mesélünk :)

IP BLackList-et tudsz vele csinálni nagyon 1xűen!

Mi úgy oldottuk meg hogy Cisco Talos, és emergingthreats BlackList-eket, 2 óránként parse-oljuk egy pár soros script-el (ki szedi az egyezőséget, megnézi eseteg megadott subnetek nincsenek-e benne), és generál Mikrotik (és mások) részére egy listát, ez mikrotik esetében egy .scr script.
A listán lévő IP-k mennek "ip firewall address-list"-re, mi adunk neki egy 2 napos time-otot is, ha esetleg gáz van router restart után timeout miatt dinamikus a rule, eldobja.
A .scr-t egy sima mikrotik script-el (/tool fetch url-re építve) óránként behúzzuk, és a kedves jellemzően kinai, ukrán, orosz barátaink kapnak innen egy DROP-ot.

Mikrotikből lehet amúgy IPS-t is csinálni, több megoldással is:
- 1xűbb, L7 filter, ezt nem nagyon szabad tul gondolni, sok mindenre nem jó, de pl. xmlrpc.php-t és társait kitiltani ha van mögötte webszerver nagyon szépen lehet.
- hatékony: /tool packet sniffer-el át lehet tolni megadott port teljes (vagy részleges) forgalmát valamilyen IDS appra, pl. suricata-ra, itt összerakod a megfelelő rule-okat.
írtunk egy python parser-t ami suricita logot olvassa, ha megadott feltételeknek megfelelő kapás van (severity 2+), akkor az adott IP mikrotikban szintén megy address-listre, és eldobásra (SSH-n lehet hozzáadni), szintén X órás timeout-al.

IP BlackList és suricata elég jó hatékonysággal tud működni!

ez gondolom forgalom függő is!

Iskola + kollégium mai BlackList count (úgy hogy igazából nincs nyár miatt ott senki):
root@fw:~ # tcpdump -n -e -ttt -r /var/log/pflog | grep "rule 24" | wc -l
tcpdump: WARNING: snaplen raised from 116 to 160
1259

Mikrotik RB1100AHx2 - Hosting-ban, mögötte ~20VM jellemzően web, mail, etc ... szerver:

# CHAIN ACTION BYTES PACKETS
0 ;;; xxx-BlackList XXX IN
forward drop 381 782 4 883
1 ;;; xxx-BlackList XXX OUT
forward drop 23 722 23

Elég sok script kiddie-t, SPAM forrást, etc... kiszed.

valamit csinal, 1.5 ora alatt (ezen a gepen 4 vm van, web/mail/dns):

input:
45 4026 DROP all -- enp2s0f0 * 0.0.0.0/0 0.0.0.0/0 match-set blacklist src

fwd:
2 80 DROP all -- enp2s0f0 * 0.0.0.0/0 0.0.0.0/0 match-set blacklist src

kiprobalom majd az egyetemen is, 3 x /24 subneten biztos lesz kapas... bar ott befele most se engedek kb semmit, mert a szerverek mar nem ott vannak

A'rpi

van az is de csak logol, nagyon sok a false riasztas, nem bizom benne annyira hogy IPS-kent hasznaljam, IDS-nek sem az igazi, vagy csak en nem allitottam be jol :) vszinu kene hozza venni par elofizetos rulesetet...

de az ip blacklist csinal vmit:
666 73427 DROP all -- enp2s0f0 * 0.0.0.0/0 0.0.0.0/0 match-set blacklist src
448 25436 DROP all -- enp2s0f0 * 0.0.0.0/0 0.0.0.0/0 match-set blacklist src

rules.emergingthreats.net teljesen jó lista!, erre nyugodtan lehet építeni.
Ha minden benne van akkor kb. mindent logol, http auth, imap login, etc ...

Ki kell belezni a rule-okat, és máris jó lesz.
Rakj fel egy Scirius-t (https://github.com/StamusNetworks/scirius), ez egy python-ban írt jól használható rule manager.
Csak a fontosabb rule-okat kell benne hagyni, vagy úgy beállítani hogy csak azokra drop-oljon.

Suricata szerintem nagyon jól meg van csinálva, Snort-nál jobban skálázodik, de akár Snort VRT (Cisco) rule-ok is berakhatóak alá, snort ugye single thread, suricata multi thread.
Nekünk egyetlen fájdalmunk van vele, OpenBSD-hez nincsen modul igy teljes inline IPS-t nem lehet vele csinálni (Linux-al, FreeBSD-vel lehet) - persze van divert-to PF-ben de az nem az igazi.

na egy kicsit nagyobb halon par ora alatt, top 10 ip:
(country id eloszor whois aztan geoip, erdekes hogy neha elter a 2)

1137 37.139.50.4 country: RU RU, Russian Federation
874 191.96.249.61 country: SC IP Address not found
536 80.82.77.139 country: SC NL, Netherlands
521 80.82.77.33 country: SC NL, Netherlands
348 60.191.38.77 country: CN CN, China
301 185.129.148.170 country: LV IP Address not found
200 60.191.38.78 country: CN CN, China
194 66.240.192.138 Country: US US, United States
179 66.240.236.119 Country: US US, United States
155 77.72.82.16 country: GB RU, Russian Federation
103 77.72.82.179 country: GB RU, Russian Federation

( qtgame v | 2017. 08. 09., sze – 18:44 )

Szia!

Hasznalunk tobb helyen is WG-t, teljesen tokeletesen mukodik. Van amelyik peldany AD-val beszelget, a kliensek SSO-val autholnak... Csak ajanlani tudom ezeket a tuzfalakat.
Szerintem a T50-es tokeletesen meg fog felelni. Szivesen valaszolok maganban, ha van kerdesed.

QT

( STP | 2017. 08. 09., sze – 19:10 )

Mit tudsz, a gondolatolvasó tanfolyam mikor indul?

( tigris v | 2017. 08. 09., sze – 20:24 )

Mindenkinek nagyon köszönöm a gyors válaszát, ha megérkeznek az eszközök akkor írok róla a blog szekcióba (így is tartozom egy T440p-s irománnyal :D).

---
Egy nap 24 óra, plusz az éjszaka!

Ezekbe a kínai cuccokba még mindig vicces Geleiék reklámja:

We free charge pre-install windows 7 unlicensed version for buyers, if you need please leave a message; Unlicensed windows 10 need charge extra $10/unit ; Official windows 7/8/10 need charge extra $50/unit.

Valami spec OEM agreement része lehet. ;)