Az „új router” kaland (2. rész)

Avagy "Szia Uram! Ids/ips ilyen lett. Maradhat?"

Hardverigények

Hamar leesett, hogy az ids/ips futtatással elérhető áteresztőképesség lesz a meghatározó szempont a hardver kiválasztásánál – azon túl , hogy legalább gigás legyen az összes ethernet segge ugye.

Gigabites forgalom szűrésére komoly vas kell; olvasgatom a (csalódott) tapasztalatokat, hogy mennyit változik az elérhető legnagyobb sávszélesség, ha ids/ips-t kapcsol be a polgár. Jelenleg nálunk 350Mbps lefele / 20 Mbps felfele van, ami nyilván nem gigabit és nem is használjuk ki, de szeretnék mozgásteret – a jövőre tekintettel.

Nosza nézzünk körül hogy milyen hardver kell a Snort alá! Ja, meg van a Suricata is – sőt, most ez tűnik a „divatnak”.

Hát őőő… a nagyságrendek se nagyon stimmelnek egy normális kommersz otthoni router adottságaihoz képest… Kéne… izé... 4 mag, 2GHz órajel és minimum 4G ram, ha gigabitet kell tudni kihajtani? Logokat tárolni, feldolgozni ilyesmi… ezekre inkább nem is gondolok. :)

Nézzük meg, hogy mi van az OpenWrt hardwer táblázatában, ami ilyet tud. Ez nekem használhatatlan, sorry. Nem tudok kifejezést beírni pl. a cpu szám sorba, hogy a legalább kétmagos szappantartók jöjjenek fel vagy órajelre vagy ramra. Szűrögessek az árukeresőn és nézegessem, hogy melyik ajánlott? Erre nem állok készen. Keresgéljünk a közösség irányából!

A Flint 2-t ajánlgatja a fórumok népe, ami frankó gép, de 1G ramba nem fér bele egyik fenti „komoly” ids/ips se. Úgy tűnik, hogy a vpnezés az új „divat”, ezt is arra találták ki, de nekem nem szempont, nem kell, meg elég idegen tőlem a gondolat, hogy „minden” forgalmat egy (második) cégen folyassak keresztül (pénzért). ASUS és TP-Link alternatívának eléggé ok és nagy előnye az OpenWrt kompatibilitás – ha végül még is ezen a vonalon maradnék. Mondjuk itthon senki nem árulja, de ezt majd akkor mérlegelem, ha ahhoz a folyóhoz érek.

 

Na tehát legalább desktop PC szintű hardver kellene ide - ahogy olvasom a közösség ilyen célra mini pc-ket ajánlgat. Hamar képbe kerül a DIY (do it yourself), a pfSense vagy OPNSense install meg jönnek az appliance-t. A DIY bogár szépen lassan elkezdi befészkelni magát a gondolatvilágomba...

Ok, nézzük meg akkor, hogy mennyiből lehet egy ilyet kihozni! Isten veled OpenWrt, helló *Sense!

 

Finoman kezdem érezni a zseton szagát is – drága lesz a buli, ha ragaszkodom az ilyen szintű biztonsághoz… Nincs min csodálkozni igazából. Egyáltalán mennyit fog ez fogyasztani, melegedni?

 

Kitérő 1: Mit tud az ASUS és a TP-Link?

Kezdenek elvadulni a dolgok (költségkilátások), rátekintek mégis, hogy aktuálisan mit nyújtanak a kommersz üdvöskéim ids/ips képességek terén és mit mond ezekről a közösség.

Az ASUS az AiProtection nevű dolgot adja, ami a Trend Micro valamilyen bizb*szaira épül. Színes, szagos, megvédi a modern emberfiát, családját és eszközeit az internet veszélyeitől és nem mellesleg a parental controls nekem sokat segít abban, hogy az utódok ne legyenek olyanok, mint az apjuk volt. ;) Ilyen van a jelenlegi routerünkben is (ingyen), be is van kapcsolva, nagy ritkán fogdoz is meg rosszindulatú weboldalakat. Viszonylag nyugodt vagyok tőle, de ugye a cél a fejlődés. :)

A TP-Link HomeShield ugyanez, csak pepitában – ahogy az öregem mondta volna – ezek egymással versenyeznek. Boldog stockcsaládok széles mosollyal mindkét site-on. Csak a marketing szövegben prezentáltak alapján a TP-Link megoldása tűnik izgalmasabbnak a szülői felügyelet fronton (profilok, rewards pl). Választani mondjuk nem tudnék a kettő közül. Így ötödszörre feltűnik, hogy minkét helyen a stockanyuka laposka. (Sorry laposkák, imádlak benneteket! Is.) Édes Istenem, hogy mennyire kimértek ezek a termékismertetőnek álcázott bullshitter oldalak!

 

Kérjük a közönség segítségét. Az ASUS megoldásáról akadok bele vélemény kérésekbe (kapcsoljam be, mennyire jó, stb) és válaszokra. A „semmire valótól” a „Trend Micro-nak nem adom az adatąimat” (senkinek se) spektrumon helyezkedik el a népálláspont.

Én úgy vagyok ezzel, hogy a semminél biztos jobb, olyan hatalmasan sok „adatomat” meg nem adom, mert forgalomban nem látszik meg, hogy habzsolnák a bitjeimet. Az a gyanúm, hogy ezek valami url/ip/kulcsszó/hash alapú megoldások lehetnek, amikhez annyira nem kötődöm, hogy másnak ne akarjam megmutatni. :)

 

Na most ha ez ilyen, akkor mi van „feljebb?” Pillantsunk már rá, hogy mit tud egy olyan rendszer, „amiért pénzt is kérnek” meg hogy mennyi az annyi – mert hogy ilyen ajánlásokat is látok, hogy Ubiquiti/UniFi?

( zeller | 2025. 02. 14., p – 11:21 )

Az AX3000 nem EOL, és teljesen korrekten muzsikál nekem - igaz nem nagy család, és a szülői felügyelet sem kell már, de csigabites uplink mellett 3-4 eszközzel aktívan használva a netet nem volt döccenés, meg homokórázás, ami a routerre lett volna visszavezethető. A trendmájkrós cucc természetesen be van kapcsolva rajta.
Nekem -némi végpontvédelemmel megspékelve- megfelel.

( Seaweed | 2025. 02. 14., p – 12:23 )

Szerkesztve: 2025. 02. 14., p – 12:32

Ha a Flint2 kevés akkor ott a BPI-R3/R4. 2 illetve 4 giga RAM-al.

Én pl. minipc-t nem állítanék be routernek/tűzfalnak. Többet fogyaszt, zúghat a ventillátora (már ha nem passzív, de ahogy nézem az olcsók/50E körül/ mind ventisek).

De ha mégis így döntesz, akkor egy kis tapasztalat:
-Nem igazán kedvelem a *sense-ek NAT-olátását, nekem sehogy se sikerült mesh wireguard vpn esetén (igen site to site) "áttörni" azt, relay kellett neki.
Javaslom az openwrt alapú NethSeurity-t (de ugyan csak nem volt gondom ilyen téren Mikrotik RouterOS+CHR, Openwrt, VyOS alapú EdgeOS-el...bár lehet mind ez neked nem is fontos, csak kikívánkozott :Đ)

( hrgy84 | 2025. 02. 14., p – 12:29 )

Általában az IPS/IDS megoldások nem nagyon streamelnek ki a gyártó fele, mert ritkán marad erre kapacitás - ahol ilyen kell, ott általában felmerül az, hogy sok kliens is van, sok szerver is, és kintről is jön dögivel az áldás. Valamint ezen három tetszőleges keveréke. Szóval én kiszűrném a "nem adom a adataim" című véleményeket.

Többféle megoldás van amúgy a piacon, a pfSense is tud dolgokat - de korlátozottan -, nem tudom mekkora a hálózat, amit védeni kell, mekkora a támadási vektor, ilyesmi, nehéz erre bármit mondani. Ha csak játszani kell, arra a pfSense megoldása elég lehet, az alapokat megtanulod úgyis, és minden termék más, a mechanikus megvalósítást úgyis minden alkalommal újra fogod tanulni.

Azt lehet tudni, hogy mi az eredeti üzleti igény? Miért kell ez a fajta védelem? Valamilyen szabvány megfelelőség miatt?

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

( ncc1701 | 2025. 02. 15., szo – 06:28 )

Irodában anno még, mikor ilyesmivel játszottam, akkor linuxos pc volt 3-4 ethernet porttal. Most már nincs ehhez türelmem, nincs ids, sima mikrotik router van, kalap.

Amúgy már elkezdett gyárilag kezel(get)ni domain tiltólistákat a RouterOS (szkriptelés nélkül), valamint én ezt a Tanyacsenölös kolléga által is bemutatott módszert alkalmazom, hogy amely IP olyan portot próbálgat, amihez nincs köze, megy a tiltólistára. Otthonra elég lehet.

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

( willy v | 2025. 02. 15., szo – 09:21 )

Most akkor kihívást, folyamatos tamagocsit, vagy megoldást keresel? (nem kötekedek, de nem értem)

( quash | 2025. 02. 16., v – 19:48 )

Csak kiváncsíság

Csak kíváncsiságból, had kérdezzem már meg, hogy pontosan mire/hogyan szeretnél pl. IPS-t használni?
Vagy ha az IPS-t elengeded, akkor egy IDS-től mit vársz?

Csak mert oké hogy felkerül kb. bármire egy Snort vagy egy Suricata (tételezzük fel hogy a hardver elégséges), mivel szeretnéd őket használni?
Milyen ruleset(ek) pl.?
Pl. ha felkerül egy ET Open, akkor az normál módban, IPS-ként egy átlagos otthoni hálózat esetén percenként fog legjobb esetben is valamilyen eseményt naplózni.
Ha IPS-t csinálsz belőle, max fél óra is a fél belső hálózatot blokkolni fogja!