Forum » Informacijska varnost » PFsense vs Sonic Wall
PFsense vs Sonic Wall
SeMiNeSanja ::
Seveda ima direktno vezo.
Kakovost FW rešitve se izkazuje v tem, v kolikšnem deležu izpolnjuje zahteve (ena od definicij kakovosti: degree to which a set of inherent characteristics fulfils requirements.). Slednje so pa podane z varnostno politiko in ostalimi relevantnimi akti organizacije.
Po domače pomeni, da teh rešitev ne moreš ločiti na boljše in slabše, dokler ne poznaš potreb in zahtev uporabnikov.
Mnogo adminov ne ve našteti niti treh različnih proizvajalcev požarnih pregrad, kaj šele, da bi izbirali požarno pregrado na osnovi kakšne analize dejanskih 'requirement-ov'. Prej bi rekel, da 'requirement' prilagajajo glede na sposobnosti proizvoda, katerega obvladujejo (pa kakšen javni razpis kasneje ravno tako). Neredko se potem temu podredi tudi varnostno politiko - tisto na požarni pregradi, ker na papirju takointako ne obstaja.
Do danes še nisem videl javnega razpisa, kjer bi definirali dejanske potrebe, ki bi bil resnično odprt. Bolj ali manj se pretipka podatke z datasheet-a. Čeprav ne navedejo proizvajalca, bo poznavalec brez večjih težav določil točno kateri model katerega proizvajalca se išče, saj noben drugi ne ustreza 'zahtevam'. Nekako to ni ravno v skladu z zakonom, ampak očitno se nikomur ne ljubi rušiti take šalabajzersko pripravljene razpise.
Na bolj specializiranih forumih neprestano videvam ljudi spraševati, katero požarno pregrado naj kupijo - kot 'requirement' pa navajajo hitrost internetnega priključka, število uporabnikov, eventuelno še da bi radi UTM servise. Tu se potem zgodba konča, ker povprečni network admini preprosto nimajo znanja s tega področja, da bi lahko definirali še kakšne dodatne zahteve.
Neuki uporabniki brskajo po spletu, gledajo datasheet-e, pridejo do sklepa, da je itak vse isto, razlike so edino v kakšnih buzzwordih, ki si jih nekateri proizvajalci izmišljujejo. Potem pa še poslušajo kakšnega znanca, ki hvali svojo kišto - druge pa nobeno ne pozna.
Nekoč sem enemu takemu spraševalcu napisal, če bi šel tudi na forum vprašat, ali naj vzame za ženo Ančko, Pepco ali kero drugo. Tako, kot vsak v svoji ženi ceni določeno kombinacijo odlik, tako je tudi z požarnimi pregradami. Prav bi bilo, da vsakdo za svojo trdi, da je najboljša - ker če trdi karkoli drugega, jo je narobe izbral.
Tako, kot se ne poročiš na priporočilo prijatelja, da je Pepca tista 'najboljša', tako se tudi ne boš poročil kar na prvi pogled. Najprej boš šel na randi, malo pogledal, kako se ujemaš,..... Če nisi prepričan....greš pa še z Ančko, Rozi in Tino na randi.
Dejansko bi bilo treba enkrat postaviti nekaj proizvodov enega poleg drugega in uporabnikom demonstrirat, kako se določene zadeve konfigurira na različnih platformah. Gledalci sprašujejo, demonstratorji pokažejo.
Tako bi se ob pravi avdienci in vprašanjih zelo hitro pokazalo, kje ima katera rešitev svoje meje - tiste, s katerimi se noben proizvajalec ne hvali na spletnih straneh in datasheet-ih.
Absolutno je res težko reči 'ta požarna pregrada je najboljša', saj v različnih scenarijih lahko ena pride bolje do izraza kot druga. V določenih scenarijih celo povsem zadošča navaden Mikrotik.
Dodaten problem je tudi človeški faktor. Uporabnik, ki se ne more spoprijateljiti z logiko določene rešitve, pa če je ta še tako dobra, si ne bo naredil nobeno uslugo, da rine v tisto 'najboljšo' rešitev, ker se mu bodo prej ali slej dogajale napake pri konfiguriranju.
Še kako tudi vpliva razpoložljivi proračun na kakovost implementacije. Koliko imamo pri nas 'najboljših' ASA požarnih pregrad, ki nimajo niti IPS, kaj šele kakšno drugo varnostno storitev? Že res, da se je ASA dobro odrezala na NSS Labs testu - ampak kaj ti to koristi, če potem kupiš samo šasijo, ne pa tisto, kar jo je na testu definiralo kot solidno rešitev?
Noja... to dobro poznamo iz avtomobilistike - Če se bo BMW odlično odrezal na nekem testu, si ga bo Franci šel kupiti - osnovni model, brez vseh varnostnih dodatkov.
Njegova žena bi raje vzela Opla ali Renault z vsemi možnimi dodatki...a kaj ko se potem nima Franci s čem postavljati pred sosedom....
Dejanske zahteve se lahko spremenijo od danes do jutri. Če danes nisi imel podružnice, se to lahko čez noč spremeni. Preko noči se tudi lahko določi, da se bo do podjetja dostopalo le še preko VPN povezav. Preko noči se lahko naroči dvig hitrosti internetnega priključka. Spremembe so stalnica. Tako trenutne zahteve predstavljajo zgolj absolutni minimum, ki ga mora neka rešitev podpirat. Dejansko pa moraš planirat za 5-6 let v naprej - tolikšna je namreč povprečna življenjska doba sodobne požarne pregrade. Dejansko bi včasih rabil še kristalno kroglo v IT oddelku, da bi se lahko optimalno odločal.
aleksander10 ::
aleksander10 je izjavil:
Darklord je izpostavil eno zadevo, ki povečini manjka, če pa že je, se ga ne posodoblja. To je security document, kjer zajameš vse vrste security-ja v podjetju. .
Ta dokument nima direktne veze s kvaliteto FW rešitve.
Itak, da skoraj nobeno slovensko podjetje nima varnostne strategije... Oz. zelo malo...
Seveda je pomemben in je osnova za postavljanje pravil, preverjanje le teh in osnova za sankcije.
Ni pa direktno vezana na kvliteto, mu je pa smernica, kaj mora narediti. Kako je pa to naredil, je pa potrebno tako ali tako redno preverjati. FW ne postaviš in pustiš, ampak spreminjaš, preverjaš, itd. Security je "živa stvar" ali kakor bi rekli američani "on-going-stuff".
NSS labs ti da guideline, v katero smer gledat. NSS labs sam testira že v naprej znan scenarij, ki ga vendorji dobijo. Glede na scenarij nastavijo svojo rešitev.
Seveda pa ni to vsemogočna zadeva, da boš rekel Fortinet je naboljši in Palo najslabši, imaš pa nekaj več informacij, da se lahko odločik, katere vendorje boš testiral.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
Zgodovina sprememb…
- spremenilo: aleksander10 ()
SeMiNeSanja ::
aleksander10 je izjavil:
NSS labs ti da guideline, v katero smer gledat. NSS labs sam testira že v naprej znan scenarij, ki ga vendorji dobijo. Glede na scenarij nastavijo svojo rešitev.
Seveda pa ni to vsemogočna zadeva, da boš rekel Fortinet je naboljši in Palo najslabši, imaš pa nekaj več informacij, da se lahko odločik, katere vendorje boš testiral.
Točno tako - Gartner in NSS Labs sta orientacija, kot bi američani rekli 'who is invited to the party' - da si pogledaš, s katero rešitvijo v določeni kategoriji se splača ukvarjati.
Kljub temu pa je omenjeni PaloAlto dejansko najbolj kontraverzen na tem področju. Eni ga ljubijo in hvalijo v nebo, drugi ga pljuvajo in proglašajo za proč vržen denar.
NSS Labs je leto za letom sramota za PaloAlto. Zgodovinsko gledano, je pri NSS Labs testih vsak proizvajalec v povprečju enkrat padel na nos, večinoma na prvem testiranju, ki so se ga udeležili. To je do določene mere razumljivo - niso poznali procedure, niso bili optimalno pripravljeni. Praktično vsi so naslednje leto po 'polomu' bili bistveno boljši - razen PaloAlto. Se kar malo bojim, da bodo enega dne sklenili, da se ne bodo več udeleževali NSS Labs skupinskih testov..... Če kdo, potem si to lahko oni privoščijo na račun izjemnega marketinga.
So pa pri PaloAlto eni redkih v industriji, ki so se specializirali prav na požarne pregrade in vso zgodbo okoli njih. Večina drugih proizvajalcev se izumlja še na 1000 in en način, požarne pregrade pa niso nujno glavna prioriteta njihovega razvoja. Koliko takšnih proizvajalcev še poznate, ki se ukvarjajo izključno z požarnimi pregradami in zgodbo okoli njih?
aleksander10 ::
Mislim, da ima/bo imel Palo s tem velike težave, ampak to je že druga zgodba.
Gartnerju pa več ali manj ne verjemem, bolj NSS labs, pa še njim z zrnom soli in zdrave pameti. Je pa res, da NSS labs dela teste ne samo za NGFW, ampak tudi za druge stvari (endpoint protection, itd), kar je tudi zelo dobra referenca, kaj vzeti in testirati.
Gartnerju pa več ali manj ne verjemem, bolj NSS labs, pa še njim z zrnom soli in zdrave pameti. Je pa res, da NSS labs dela teste ne samo za NGFW, ampak tudi za druge stvari (endpoint protection, itd), kar je tudi zelo dobra referenca, kaj vzeti in testirati.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
SeMiNeSanja ::
aleksander10 je izjavil:
Mislim, da ima/bo imel Palo s tem velike težave, ampak to je že druga zgodba.
Gartnerju pa več ali manj ne verjemem, bolj NSS labs, pa še njim z zrnom soli in zdrave pameti. Je pa res, da NSS labs dela teste ne samo za NGFW, ampak tudi za druge stvari (endpoint protection, itd), kar je tudi zelo dobra referenca, kaj vzeti in testirati.
Gartner je bolj indikator uspeha marketinga določenega proizvajalca.
Boljši kot je marketing, bolje ko zna pripovedovati pravljice, bolje se rangiral v MQ-ju.
Gartner ne dela nobenih testov. Zanaša se izključno na intervjuje, ki jih vodijo z kupci in proizvajalci. Skratka gledajo kombinacijo tržnega deleža, mnenje uporabnikov in 'vizijo' proizvajalca. Sploh pri viziji pa je ogromno prostora za storytelling. Kako na koncu sestavijo tisti kvadrant, pa nikomur ni jasno.
Lanski Gartner za požarne pregrade je lepo pokazal, da ne velja samo gledat na razporeditev v kvadrantih, pač pa da moraš prebrati tudi besedilo pri posameznem proizvajalcu. Nekako se mi je zdelo, da se besedilo in slika ne ujemata.
NSS Labs v skupinskem testu dejansko testira rešitve, vendar zgolj v 'efektivnosti' glede na določen scenarij. Efektivnost pa je lahko zelo spreminjajoča, lahko nanjo vplivata konfiguracija in dnevna kakovost signatur (pri AV vsi poznamo dejstvo, da ni nujno, da bodo vsi proizvajalci že prvi dan po pojavu novega virusa tega tudi zaznavali).
V 'Value Map' pa sem tudi že videl primere, ko je ob izidu rezultatov proizvajalec že imel na trgu novo generacijo naprav, katera je za isto ceno bila 2x zmogljivejša od tiste testirane. Seveda je bila potem razvrstitev glede cene/zaščiten Mbps zastarela že ob sami objavi analize.
Nikakor pa NSS Labs v teh skupinskih testih ne presoja kateri proizvod je bolj fleksibilen, lažji za upravljanje, koliko rabiš še dodatno investirat da dobiš zaokroženo rešitev.
Skratka, moral bi še vedno sam naresti domačo nalogo in rešitve sam po lastnih kriterijih testirat.
aleksander10 ::
Se strinjam za NSS labs in testing, ker ta lahko velja v tistem trenutku. Pri tem testiranju je bolj pomembno koliko časa potrebuje da nekaj zazna in da zna nekaj pametnega prikazati in reagirati, torej odzivni čas. Če daš vsem dovolj časa, bodo vsi več ali man enako uspešni, v krajšem času pa ni nujno. Problem so perdvsem day0 napadi, ko še nihče ni odkril, da se nekaj dogaja. Kako hitro sistem oreagira in na kakšen način. Več ali manj imajo scenarije kako se obraniti, manjši delež ima opisano kako reagirati ko se napad dogaja, še manj pa tisth, ki retrospektivno pogledajo, kaj se je zgodilo, ko se je napad prenehal in kje vse je nesnaga pristala.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
SeMiNeSanja ::
Kakršnokoli retrospektivno gledanje močno zavisi od nastavitev logiranja. Redkokdo dejansko logira prav vse (icmp, dns, ntp,...), ker bi si enostavno zabil loge z informacijami, ki nimajo prav visoke vrednosti.
Škrtarjenje pri logiranju se zelo hitro pojavi, če moraš hraniti loge preko dolgega obdobja, diskove kapacitete pa so bolj skromne -ali pa da ti po možnosti še celo zaračunavajo količino shranjenih logov.
Potem imaš enostavno logiranje, pa tja do debug logiranja - ki ti res veliko pove, vendar ga ne želiš imeti vključenega, če res ne rabiš delat neko diagnostiko.
Potem pa je še vprašanje, kaj so dejanski pogoji, pod katerimi se pripravi konfiguracija na teh testih. Če npr. že v osnovi blokiraš vse vrste potencialno nevarnih datotek, boš dejansko popačil rezultat - čeprav bi v praksi zadeve tako nastavil. Žal pa ni povedano, ali to dovoljujejo ali ne. Predpostavil bi, da se to ne dovoli, saj sicer ne dobiš realnih podatkov o efektivnosti varnostnih storitev - saj te nimajo kaj delati, če že prej vse sumljivo porežeš proč.
Precej razlike je tudi, če uporabljaš proxije, ki request in response 'razstavijo' in potem spet po RFC sestavijo nazaj, še pred tem pa lepo odstranijo vse protokolske anomalije, porežejo predolge vrstice, čudne headerje,... ali pa samo 'gledaš' paketke, medtem ko letijo mimo tebe, ne da bi se direktno vtikal vanje.
Ravno tako nič ne povedo, ali so testirali tudi učinkovitost pri TLS prometu.
Kar nekaj ugank na koncu, ki pa niti niso nebistvene - nimajo pa nujno prav veliko skupnega z nastavitvami v realnem življenju.
Škrtarjenje pri logiranju se zelo hitro pojavi, če moraš hraniti loge preko dolgega obdobja, diskove kapacitete pa so bolj skromne -ali pa da ti po možnosti še celo zaračunavajo količino shranjenih logov.
Potem imaš enostavno logiranje, pa tja do debug logiranja - ki ti res veliko pove, vendar ga ne želiš imeti vključenega, če res ne rabiš delat neko diagnostiko.
Potem pa je še vprašanje, kaj so dejanski pogoji, pod katerimi se pripravi konfiguracija na teh testih. Če npr. že v osnovi blokiraš vse vrste potencialno nevarnih datotek, boš dejansko popačil rezultat - čeprav bi v praksi zadeve tako nastavil. Žal pa ni povedano, ali to dovoljujejo ali ne. Predpostavil bi, da se to ne dovoli, saj sicer ne dobiš realnih podatkov o efektivnosti varnostnih storitev - saj te nimajo kaj delati, če že prej vse sumljivo porežeš proč.
Precej razlike je tudi, če uporabljaš proxije, ki request in response 'razstavijo' in potem spet po RFC sestavijo nazaj, še pred tem pa lepo odstranijo vse protokolske anomalije, porežejo predolge vrstice, čudne headerje,... ali pa samo 'gledaš' paketke, medtem ko letijo mimo tebe, ne da bi se direktno vtikal vanje.
Ravno tako nič ne povedo, ali so testirali tudi učinkovitost pri TLS prometu.
Kar nekaj ugank na koncu, ki pa niti niso nebistvene - nimajo pa nujno prav veliko skupnega z nastavitvami v realnem življenju.
user-pass ::
SeMiNeSanja je izjavil:
/.../ Nekako to ni ravno v skladu z zakonom, ampak očitno se nikomur ne ljubi rušiti take šalabajzersko pripravljene razpise. /.../
Ti razpisi so v nulo premisljeni, brez skrbi. Zlato pravilo v Sloveniji je, da ko se podmizno zmenijo z izvajalcem, potem se sele lotijo razpisa, zaradi nekih tecnih protikorupcijskih zakonov pac.
Invictus ::
V Sloveniji izvajalec napiše pogoje razpisa.
Naročniki so ponavadi preveč butasti, da bi uspeli sami spisat en papir...
Naročniki so ponavadi preveč butasti, da bi uspeli sami spisat en papir...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
SeMiNeSanja ::
SeMiNeSanja je izjavil:
/.../ Nekako to ni ravno v skladu z zakonom, ampak očitno se nikomur ne ljubi rušiti take šalabajzersko pripravljene razpise. /.../
Ti razpisi so v nulo premisljeni, brez skrbi. Zlato pravilo v Sloveniji je, da ko se podmizno zmenijo z izvajalcem, potem se sele lotijo razpisa, zaradi nekih tecnih protikorupcijskih zakonov pac.
Meni se ne zdi, da bi bili v nulo premišljeni, če razpisnim pogojem ustreza samo en proizvod na celem svetu. Kdorkoli bi hotel spodbijati tak razpis, bi zlahka dokazal, da se gre za preferiranje določenega proizvoda / proizvajalca / dobavitelja.
Drugače nimam nič proti, da se najprej naredi pošten (tehnični) predizbor rešitev (z odprtim javnim pozivom!), na koncu pa z razpisom samo še poišče ponudnika, ki bo izbrano rešitev najugodneje ponudil. Vsak dober gospodar bi tako delal. Pri nas je pa to očitno preveč komplicirano.
Druga skrajnost pa je tista, ko kriterijev praktično ni, samo da je cena najnižja. Naročajo WC papir, dobijo pa enoslojnega, ko prst koj skozenj pogleda. Nazadnje si vsak utrga 4x toliko papirja, kot bi ga sicer in ves prihranek splava po WC-ju v greznico.
Itak se ve, da so mnogi razpisi v naprej dogovorjeni z znanim dobaviteljem. Je pa tudi res, da se je nek dobavitelj lahko mesece trudil, da bi do posla prišlo, postavil demo, prilagajal zadeve,..... pa da na koncu odide praznih rok, ker bo nekdo na razpisu ponudil 10 centov manj - ob tem, da ga prej nikjer ni bilo? Praviloma bi mu morali ves tisti trud poplačati ločeno, kot storitve, a kaj, ko je država škrt (kjer ni treba) in ga potolaži, da bo itak dobil trud povrnjen, ko bodo kupili njegovo rešitev. Potem je pa jasno, da morajo ustrezno pripraviti razpis, da se bo to tudi zgodilo.
aleksander10 ::
V Sloveniji izvajalec napiše pogoje razpisa.
Naročniki so ponavadi preveč butasti, da bi uspeli sami spisat en papir...
Nekaterim naročnikom res ni nič jasno. Obstaja nekaj svetlih izjem, ki vedo kaj hočejo in tako tudi napišejo razpis.
Za zaščito prodajalca, ki je vložil kruh, pa lahko poskrbi vendor in seveda razpisovalec razpisa, kjer mora zahtevati avtentično opremo, potrjeno s strani vendorja (vendorjev razpis) in da je nova, če seveda išče novo (non refurbish) opremo.
Ampak tega večinoma ne dajo v razpise, ker nesposobni, nepodučeni ali pa leni.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
Zgodovina sprememb…
- spremenilo: aleksander10 ()
aleksander10 ::
SeMiNeSanja je izjavil:
Kakršnokoli retrospektivno gledanje močno zavisi od nastavitev logiranja. Redkokdo dejansko logira prav vse (icmp, dns, ntp,...), ker bi si enostavno zabil loge z informacijami, ki nimajo prav visoke vrednosti.
Škrtarjenje pri logiranju se zelo hitro pojavi, če moraš hraniti loge preko dolgega obdobja, diskove kapacitete pa so bolj skromne -ali pa da ti po možnosti še celo zaračunavajo količino shranjenih logov.
Potem imaš enostavno logiranje, pa tja do debug logiranja - ki ti res veliko pove, vendar ga ne želiš imeti vključenega, če res ne rabiš delat neko diagnostiko.
Potem pa je še vprašanje, kaj so dejanski pogoji, pod katerimi se pripravi konfiguracija na teh testih. Če npr. že v osnovi blokiraš vse vrste potencialno nevarnih datotek, boš dejansko popačil rezultat - čeprav bi v praksi zadeve tako nastavil. Žal pa ni povedano, ali to dovoljujejo ali ne. Predpostavil bi, da se to ne dovoli, saj sicer ne dobiš realnih podatkov o efektivnosti varnostnih storitev - saj te nimajo kaj delati, če že prej vse sumljivo porežeš proč.
Precej razlike je tudi, če uporabljaš proxije, ki request in response 'razstavijo' in potem spet po RFC sestavijo nazaj, še pred tem pa lepo odstranijo vse protokolske anomalije, porežejo predolge vrstice, čudne headerje,... ali pa samo 'gledaš' paketke, medtem ko letijo mimo tebe, ne da bi se direktno vtikal vanje.
Ravno tako nič ne povedo, ali so testirali tudi učinkovitost pri TLS prometu.
Kar nekaj ugank na koncu, ki pa niti niso nebistvene - nimajo pa nujno prav veliko skupnega z nastavitvami v realnem življenju.
No logiraš lahko kar ves promet, ki ga delajo tvoji endpoint in to kar lepo na vsakem stikalu, katerem so naprave priključene (netflow/ipfix) in glede na to tudi delaš anomali detection. Celo netflow/ipfix lahko pošiljajo končne naprave, predno se kaj zakodira. In z vsemi temi podatki s celotnega omrežja potem lahko zelo natančno delaš in primerjaš kaj ne normalni promet in kaj ni. in to retrospektivno. Seveda, da potrebuješ za to kar veliko procesorke moči, datastora pa niti ne tako veliko.
Žal MTM proxy-ji so postali tudi več ali manj neuporabni, ker le te lahko zaznaš in servis prenega delovati.
Če pa samo gledaš paketke ki so zakodirani, jih najlažje gledaš na samem endpoint-u. Tam, preverjaš in se odločaš kako in kaj. Zato je postaja endpoint security zelo pomemben, ker glede na projekcije je že sedaj več kot 60% gogglovega internetnega prometa zakodirange (https://www.pcmag.com/news/342935/77-pe...
Ampak, zopet te vse rešitve morajo delovati v navezi, da se dejansko lahko odzoveš na napad.
Tako ali tako pa je našibkejši člen sam uporabnik (naiven, nopodučen uporabnik), vključno z kvazi administratorji.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
SeMiNeSanja ::
Ne vem, zakaj misliš, da so 'MTM proxiji' postali več ali manj neuporabni. Meni odlično deluje. So pa seveda posamezne spletne strani, ki 'nagajajo' in jih moraš dodat kot izjeme, katere se ne dekriptirajo. Je pa tega razmeroma malo. Daleč od tega, da bi lahko govoril o kakšni neuporabnosti.
Podatke seveda lahko zbiraš križemkražem, si filaš loge v terabajte - ampak brez ustrezne obdelave, je to vse skupaj nepotrebno kurjenje elektrike.
Pa ni težava samo v mašineriji, ki bi zmlela vse loge, da bi našla dejanske probleme - problem je tudi v tzv. 'threat logic' - podatkih, kateri vsebujejo indikatorje groženj, kateri ti na koncu vržejo ven ustrezne alarme. Komercialni viri tovrstnih podatkov so vse kaj drugega kot poceni, brez njih pa bolj kot ne vidiš samo nekakšno statistiko, katera ti prej generira false alarme, kot pa kakšne resnično uporabne. Potem pa še ostaja vprašanje, kdo je kaj takega sploh sposoben upravljati - mikro podjetje s 5-imi zaposlenimi zagotovo ne. Tudi povprečen vzdrževalec sistemov ne. Dejansko moraš imeti že kar precej veliko uporabnikov in IT kadra, da se ti splača lotevati takšne investicije.
Namesto da si sam postavljaš drago mašinerijo, se zadeve selijo v oblak, kjer se pojavlja vse več ponudnikov, ki izvajajo korelacije dogodkov na endpointih in požarnih pregradah. Vendar moraš biti kar precej pazljiv, da med vrsticami prebereš, kaj dejansko katera rešitev počne. Ene zgolj nudijo komunikacijo med endpointom in požarno pregrado, ne premorejo pa dejanske korelacije podatkov.
WatchGuard v svojem 'all inclusive' Total Security paketu vključuje storitev TDR (Threat Detection and Response), ki temelji na Hexis Hawkeye-G rešitvi, katero so portirali v oblak. Pri tej zadevi mi je všeč, da ne nadomešča obstoječi AV na računalnikih, ampak ga nadgradi. Mnogi drugi ponudniki so bolj radikalni, tako da imaš lahko na koncu na računalniku slabši AV, kot si ga imel prej.
Pri AV vedno dobiš črnobelo sliko datotek - ali je dobra ali slaba, vmesnih stopenj ni. TDR sem vnese nekakšno rangiranje, tako da so datoteke in procesi ocenjeni od 0 pa do 10. Glede na oceno procesa oz. datoteke lahko sprožiš avtomatizirane akcije. Tako potem na koncu samo po mailu dobiš obvestilo, da je bil nek proces pobit ali določena datoteka vržena v karanteno - neodvisno od tega, kaj sicer tvoj AV pravi. Te avtomatizirane akcije pa si lahko prilagodiš glede na splošno stopnjo ogroženosti. Tako ob kakšni poplavi malware-a lahko dvigneš tzv. Cybercon, kar potem povzroči, da se izvajajo bolj rigorozna pravila. Če si prej procesu/datoteki z oceno 3 še pogledal skozi prste, ga lahko pri višji stopnji ogroženosti s to oceno lahko že pobiješ oz. datoteko pošlješ v karanteno.
Prednost je predvsem v tem, da s samim vzdrževanjem praktično nimaš dela. To opravijo drugi na cloudu. Ti zgolj namestiš senzorje in definiraš pravila za določen Cybercon ter občasno pogledaš spletno konzolo, če je bilo kaj alarmov in katere stopnje so bili.
Sam sem si kar malo previsok Cybercon nastavil, pa mi občasno nagaja pri kakšnih datotekah, ki so preveč 'sveže' in jih internet še ni 'registriral' (med drugim se preverja hash na VirusTotal in podobnih platformah). Tako potem sešteje score od analize datoteke in 'unseen' statusa, pa ti ga lepo pokne v karanteno.
Je pa tudi koristna informacija, če je bila določena sumljiva datoteka najdena še na kakšnem drugem računalniku. Če si jo obsodil (avtomatsko preko pravil ali ročno) na karanteno, jo bo poslalo tudi na ostalih računalnikih.
Poleg tega pa TDR vključuje tudi Lastline sandbox analitiko datotek, kar še dodatno podpre AV, ki ga imaš na računalniku.
Tovrstne varnostne storitve počasi postajajo standarden dodatek pri sodobnih požarnih pregradah. Če smo pred kakšnimi 5-imi leti spremljali, kako so proizvajalci eden za drugim dodajali prepoznavo aplikacij, se danes podobno dogaja pri integraciji endpointa v perimeter rešitev. Kdor česa podobnega še ne ponuja, bo prisiljen to v kratkem dodati v svojo ponudbo, sicer ne bo več igral v prvi ligi, če temu tko rečemo.
Ampak pri vseh naprednih tehnologijah, smo na koncu še vedno priča podjetjem, ki nimajo nič drugega, kot tisti router, katerega jim je dostavil ISP.... go figure.
Podatke seveda lahko zbiraš križemkražem, si filaš loge v terabajte - ampak brez ustrezne obdelave, je to vse skupaj nepotrebno kurjenje elektrike.
Pa ni težava samo v mašineriji, ki bi zmlela vse loge, da bi našla dejanske probleme - problem je tudi v tzv. 'threat logic' - podatkih, kateri vsebujejo indikatorje groženj, kateri ti na koncu vržejo ven ustrezne alarme. Komercialni viri tovrstnih podatkov so vse kaj drugega kot poceni, brez njih pa bolj kot ne vidiš samo nekakšno statistiko, katera ti prej generira false alarme, kot pa kakšne resnično uporabne. Potem pa še ostaja vprašanje, kdo je kaj takega sploh sposoben upravljati - mikro podjetje s 5-imi zaposlenimi zagotovo ne. Tudi povprečen vzdrževalec sistemov ne. Dejansko moraš imeti že kar precej veliko uporabnikov in IT kadra, da se ti splača lotevati takšne investicije.
Namesto da si sam postavljaš drago mašinerijo, se zadeve selijo v oblak, kjer se pojavlja vse več ponudnikov, ki izvajajo korelacije dogodkov na endpointih in požarnih pregradah. Vendar moraš biti kar precej pazljiv, da med vrsticami prebereš, kaj dejansko katera rešitev počne. Ene zgolj nudijo komunikacijo med endpointom in požarno pregrado, ne premorejo pa dejanske korelacije podatkov.
WatchGuard v svojem 'all inclusive' Total Security paketu vključuje storitev TDR (Threat Detection and Response), ki temelji na Hexis Hawkeye-G rešitvi, katero so portirali v oblak. Pri tej zadevi mi je všeč, da ne nadomešča obstoječi AV na računalnikih, ampak ga nadgradi. Mnogi drugi ponudniki so bolj radikalni, tako da imaš lahko na koncu na računalniku slabši AV, kot si ga imel prej.
Pri AV vedno dobiš črnobelo sliko datotek - ali je dobra ali slaba, vmesnih stopenj ni. TDR sem vnese nekakšno rangiranje, tako da so datoteke in procesi ocenjeni od 0 pa do 10. Glede na oceno procesa oz. datoteke lahko sprožiš avtomatizirane akcije. Tako potem na koncu samo po mailu dobiš obvestilo, da je bil nek proces pobit ali določena datoteka vržena v karanteno - neodvisno od tega, kaj sicer tvoj AV pravi. Te avtomatizirane akcije pa si lahko prilagodiš glede na splošno stopnjo ogroženosti. Tako ob kakšni poplavi malware-a lahko dvigneš tzv. Cybercon, kar potem povzroči, da se izvajajo bolj rigorozna pravila. Če si prej procesu/datoteki z oceno 3 še pogledal skozi prste, ga lahko pri višji stopnji ogroženosti s to oceno lahko že pobiješ oz. datoteko pošlješ v karanteno.
Prednost je predvsem v tem, da s samim vzdrževanjem praktično nimaš dela. To opravijo drugi na cloudu. Ti zgolj namestiš senzorje in definiraš pravila za določen Cybercon ter občasno pogledaš spletno konzolo, če je bilo kaj alarmov in katere stopnje so bili.
Sam sem si kar malo previsok Cybercon nastavil, pa mi občasno nagaja pri kakšnih datotekah, ki so preveč 'sveže' in jih internet še ni 'registriral' (med drugim se preverja hash na VirusTotal in podobnih platformah). Tako potem sešteje score od analize datoteke in 'unseen' statusa, pa ti ga lepo pokne v karanteno.
Je pa tudi koristna informacija, če je bila določena sumljiva datoteka najdena še na kakšnem drugem računalniku. Če si jo obsodil (avtomatsko preko pravil ali ročno) na karanteno, jo bo poslalo tudi na ostalih računalnikih.
Poleg tega pa TDR vključuje tudi Lastline sandbox analitiko datotek, kar še dodatno podpre AV, ki ga imaš na računalniku.
Tovrstne varnostne storitve počasi postajajo standarden dodatek pri sodobnih požarnih pregradah. Če smo pred kakšnimi 5-imi leti spremljali, kako so proizvajalci eden za drugim dodajali prepoznavo aplikacij, se danes podobno dogaja pri integraciji endpointa v perimeter rešitev. Kdor česa podobnega še ne ponuja, bo prisiljen to v kratkem dodati v svojo ponudbo, sicer ne bo več igral v prvi ligi, če temu tko rečemo.
Ampak pri vseh naprednih tehnologijah, smo na koncu še vedno priča podjetjem, ki nimajo nič drugega, kot tisti router, katerega jim je dostavil ISP.... go figure.
imagodei ::
Najprej Disclaimer: Brez zamere. Tole pišem zato, ker se mi zdi škoda te teme oz. se mi zdi škoda, da se o področju varnosti ter o konkretnih prednostih UTM/NGFW (kje, kako) ne napiše malo več.
Ampak, od mojega prejšnjega sporočila dalje vidim samo precej trepljanja po hrbtu, medsebojnih vzpodbudnih besed, obnavljanja stanja (ja, vemo, admini ne poznamo področja mrežne varnosti), predlogov o pisanju politik, omenjanja Gartnerja, ipd. Zelo malo pa vsebinsko o tem, kaj NGFW so in pred čem nas ščitijo. Čemu je danes neko podjetje na internetu izpostavljeno in pred čem nas nek kvaliteten NGFW ščiti, kjer nas npr. nek 10 let star (posodobljen) Zyxel, ASA, dd-wrt ali pa magari PFSense ne? Konkretno? Ne samo premetavati buzzwordov. IPS, DPI, UTM - to se sliši fino, ampak ne pove dosti. Kaj konkretno naj bi moderni firewalli/UTM/NGFW počeli? L7 pregled podatkov, da odkrijejo viruse, trojance? Kaj tretjega? Prestrezanje SSL prometa in de-facto MITM? Ja - kaj nam dejansko grozi "tam zunaj", je prevalenca napadov na L4+ nivojih res tako visoka? Je res takšne narave, da NGFW-ji to lahko rešijo, ali so večji problem razni socialni inženiringi, (spear) phisingi/CEO Fraudi in druge kompleksne prevare, keyloggerji, custom backdoori, fizična varnost omrežja...? Imamo kje kakšne številke?
Se mi zdi, da bi si to celo zaslužilo kak obsežnejši članek. Nenazadnje smo forum, ki mu takšni članki še kako pritičejo.
Ampak, od mojega prejšnjega sporočila dalje vidim samo precej trepljanja po hrbtu, medsebojnih vzpodbudnih besed, obnavljanja stanja (ja, vemo, admini ne poznamo področja mrežne varnosti), predlogov o pisanju politik, omenjanja Gartnerja, ipd. Zelo malo pa vsebinsko o tem, kaj NGFW so in pred čem nas ščitijo. Čemu je danes neko podjetje na internetu izpostavljeno in pred čem nas nek kvaliteten NGFW ščiti, kjer nas npr. nek 10 let star (posodobljen) Zyxel, ASA, dd-wrt ali pa magari PFSense ne? Konkretno? Ne samo premetavati buzzwordov. IPS, DPI, UTM - to se sliši fino, ampak ne pove dosti. Kaj konkretno naj bi moderni firewalli/UTM/NGFW počeli? L7 pregled podatkov, da odkrijejo viruse, trojance? Kaj tretjega? Prestrezanje SSL prometa in de-facto MITM? Ja - kaj nam dejansko grozi "tam zunaj", je prevalenca napadov na L4+ nivojih res tako visoka? Je res takšne narave, da NGFW-ji to lahko rešijo, ali so večji problem razni socialni inženiringi, (spear) phisingi/CEO Fraudi in druge kompleksne prevare, keyloggerji, custom backdoori, fizična varnost omrežja...? Imamo kje kakšne številke?
Se mi zdi, da bi si to celo zaslužilo kak obsežnejši članek. Nenazadnje smo forum, ki mu takšni članki še kako pritičejo.
- Hoc est qui sumus -
SeMiNeSanja ::
Problem je vedno v občinstvu, katero je enkrat povsem laično, drugič pa poznavalci. Ko enemu rečeš 'IPS', ta vsaj približno ve o čemu govoriš, drugi pa si misli 'še en buzzword'.
Zadeve so v zadnjem desetletju tako napredovale, da jih je praktično nemogoče razložiti v enem preprostem članku. Moral bi naresti kar celodnevno predavanje, če bi hotel razložiti vse pojme in principe delovanja sodobnih požarnih pregrad in varnostnih storitev na njih. Če samo gor pogledaš razlago ene same storitve TDR, lahko vidiš, da se gre pri nekaterih v ozadju za kar precej kompleksne zadeve, katere je teško razložiti s parimi besedami.
Najbolj praktično bi bilo prirediti kakšno delavnico, kjer bi si lahko vsak zainteresiran tudi praktično pogledal, kako zadeve izgledajo in kako se z njimi upravlja.
Morda bo za koga zanimiv krajši vpogled v nekoliko manj razvpit aspekt varnosti, katerega sem pred nekaj leti sestavil v dokumentu 'Dynamic Security'. Čeprav se dokument ukvarja s specifično tematiko, vendarle hitro vidiš, da klasične požarne pregrade niti približno ne posegajo na to področje, pravzaprav niti večina sodobnih NGFW ne pokriva tega aspekta...
Zadeve so v zadnjem desetletju tako napredovale, da jih je praktično nemogoče razložiti v enem preprostem članku. Moral bi naresti kar celodnevno predavanje, če bi hotel razložiti vse pojme in principe delovanja sodobnih požarnih pregrad in varnostnih storitev na njih. Če samo gor pogledaš razlago ene same storitve TDR, lahko vidiš, da se gre pri nekaterih v ozadju za kar precej kompleksne zadeve, katere je teško razložiti s parimi besedami.
Najbolj praktično bi bilo prirediti kakšno delavnico, kjer bi si lahko vsak zainteresiran tudi praktično pogledal, kako zadeve izgledajo in kako se z njimi upravlja.
Morda bo za koga zanimiv krajši vpogled v nekoliko manj razvpit aspekt varnosti, katerega sem pred nekaj leti sestavil v dokumentu 'Dynamic Security'. Čeprav se dokument ukvarja s specifično tematiko, vendarle hitro vidiš, da klasične požarne pregrade niti približno ne posegajo na to področje, pravzaprav niti večina sodobnih NGFW ne pokriva tega aspekta...
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
A_A ::
SeMiNeSanja je izjavil:
Problem je vedno v občinstvu, katero je enkrat povsem laično, drugič pa poznavalci. Ko enemu rečeš 'IPS', ta vsaj približno ve o čemu govoriš, drugi pa si misli 'še en buzzword'.
Zadeve so v zadnjem desetletju tako napredovale, da jih je praktično nemogoče razložiti v enem preprostem članku. Moral bi naresti kar celodnevno predavanje, če bi hotel razložiti vse pojme in principe delovanja sodobnih požarnih pregrad in varnostnih storitev na njih. Če samo gor pogledaš razlago ene same storitve TDR, lahko vidiš, da se gre pri nekaterih v ozadju za kar precej kompleksne zadeve, katere je teško razložiti s parimi besedami.
Najbolj praktično bi bilo prirediti kakšno delavnico, kjer bi si lahko vsak zainteresiran tudi praktično pogledal, kako zadeve izgledajo in kako se z njimi upravlja.
Morda bo za koga zanimiv krajši vpogled v nekoliko manj razvpit aspekt varnosti, katerega sem pred nekaj leti sestavil v dokumentu 'Dynamic Security'. Čeprav se dokument ukvarja s specifično tematiko, vendarle hitro vidiš, da klasične požarne pregrade niti približno ne posegajo na to področje, pravzaprav niti večina sodobnih NGFW ne pokriva tega aspekta...
Sem prebral. Dobra rešitev, da ti ne zabija FW po nepotrebnem.
Poldi112 ::
@imagodei
Lani sem si pobližje pogledal fortigate. In v grobem so bile napredne (utm) funkcije:
AV, IPS - oba imata opcijo gledati tako signature, kot tudi same anomalije/odstopanja od pričakovanega obnašanja(hevristika?). AV ima še opcijo poslati file v sandbox (cloud, z omejitvami, plačljivo).
DPI
DLP - Data leak prevention. Mu daš share / datoteke, da jih poskenira, in potem pazi, da niso del prometa čez network.
Web filter - pokategorizira www, tako da recimo rečeš - dovolim vse razen Adult (Dating,Gambling), Social networks, Malicious websites.
App control - pokategorizira aplikacije (protokole), tako da recimo blokiraš torrente in Counter strike.
V praksi imaš precej več parametrov, po katerih lahko klasificiraš promet, ter nato gor obešaš varnostne servise, ki misliš, da jih tam rabiš. Zdaj glede na to, da sem ga uporabljal doma, nekih silnih vzorcev napadov nisem videl. Ustavil mi je par cryptolockerjev, to je pa več ali manj to. Zdaj, ko je naročnina pretekla, mirno spet živim s klasičnim FW. :)
Lani sem si pobližje pogledal fortigate. In v grobem so bile napredne (utm) funkcije:
AV, IPS - oba imata opcijo gledati tako signature, kot tudi same anomalije/odstopanja od pričakovanega obnašanja(hevristika?). AV ima še opcijo poslati file v sandbox (cloud, z omejitvami, plačljivo).
DPI
DLP - Data leak prevention. Mu daš share / datoteke, da jih poskenira, in potem pazi, da niso del prometa čez network.
Web filter - pokategorizira www, tako da recimo rečeš - dovolim vse razen Adult (Dating,Gambling), Social networks, Malicious websites.
App control - pokategorizira aplikacije (protokole), tako da recimo blokiraš torrente in Counter strike.
V praksi imaš precej več parametrov, po katerih lahko klasificiraš promet, ter nato gor obešaš varnostne servise, ki misliš, da jih tam rabiš. Zdaj glede na to, da sem ga uporabljal doma, nekih silnih vzorcev napadov nisem videl. Ustavil mi je par cryptolockerjev, to je pa več ali manj to. Zdaj, ko je naročnina pretekla, mirno spet živim s klasičnim FW. :)
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
aleksander10 ::
Takih spletnih strani je zmeraj več, ki ropznavajo Dekrypcijo na poti. Sej kaj pa drugega dekriptyo počne. Na eni strani se predtavi, da je nekaj kar ni, naredi dekripcijo, preveri promet in na drugi strani naredi zopet enkricijo in se predstavlja zopet nekaj kar ni. V eno smer ni server, v drugo stran, ni klient. In Google, Facebook in podobni to že zelo dobro zaznavajo.
Problem je, ker enkripcija, če je je veliko zelo obremenjuje napravo. Seveda je rešitev, da vzameš zunanjo, kar pa pomeni, da ti izniči UTM napravo, kjer je dejansko namen, da imaš vse v enem.
Ko govoriva o treat analizi, se pa strinjam, do potrebuješ mašinerijo, ki to zna analizirati. Pri Cisco-u lahko govrimo o Stealtwatch-u, ETA-ju in Cognitive analytics v oblaku. (
AV za mene je tudi nekako obsolete, vsaj v taki obliki, kot je implementiran sedaj. Ja mora biti, ni pa neke velike koristi od tega. Zakaj, zato ker dela več ali manj na signature base, ne zna pa delati analize, kaj je noramlno delovanje in kaj je nenormalno delovanje OS. AV ti recimo ne zazna, da notepad, ki je text editor, pošilja nek promet za command in control, ki je izven tvojega omrežja in tudi FW tega ne zazna, se je legitimen promet, ki se tunelira skozi DNS. Razne Advance Malware Protection rešitve znajo reagirati tudi ob tem, ker to ni normalo delovanje OSa.
Še en velik problem FW-jev na splošno je, da ne vidjo vsega prometa, ker ni nujno, da sploh gre čezenj. Recimo promet znotraj omrežja med različnimi segemnti omrežja (med uporabniki, med strežniki). Kako takrat ugotovit kaj se ti dogaja? Recimo takrat ko se je to dogajalo je bilo Day0, sedaj ko je nekdo odkril, da je zadeva znana, kako retrospektivno z nazaj ugotoviti, kje se je to dogajalo. S pomočjo naprav iz prejšnega odstavka, to lahko zelo dobro preveriš in dobiš informacije.
FW/NGFW je dejasnko samo en delček varnosti celotnega sistema. Večinoma podjetji nima pojma kakšen promet se jim pretaka po omrežju. Nekaj vedo na perimetru, od tam naprej pa skoraj nič več. So svetle izjeme. Da bi pa kdo delal kakšne analize na tem, je pa že znanstvena fantastika, za 99,99 firm v Sloveniji, zopet z nekaj svetlimi izjemami.
Ogromno od tega lahko že počneš z OpenDNS-om oz. podobnimi.
Kaj narediš če uporabljajo povezavo na cloud share aka box.com, icloud.com, etc in tam pretakajo datoteke gor in dol?
Se pa strinjam, da bi bilo dobro tole prenest v kakšno dugo temo, ker smo kar zašli iz poti.
Problem je, ker enkripcija, če je je veliko zelo obremenjuje napravo. Seveda je rešitev, da vzameš zunanjo, kar pa pomeni, da ti izniči UTM napravo, kjer je dejansko namen, da imaš vse v enem.
Ko govoriva o treat analizi, se pa strinjam, do potrebuješ mašinerijo, ki to zna analizirati. Pri Cisco-u lahko govrimo o Stealtwatch-u, ETA-ju in Cognitive analytics v oblaku. (
AV za mene je tudi nekako obsolete, vsaj v taki obliki, kot je implementiran sedaj. Ja mora biti, ni pa neke velike koristi od tega. Zakaj, zato ker dela več ali manj na signature base, ne zna pa delati analize, kaj je noramlno delovanje in kaj je nenormalno delovanje OS. AV ti recimo ne zazna, da notepad, ki je text editor, pošilja nek promet za command in control, ki je izven tvojega omrežja in tudi FW tega ne zazna, se je legitimen promet, ki se tunelira skozi DNS. Razne Advance Malware Protection rešitve znajo reagirati tudi ob tem, ker to ni normalo delovanje OSa.
Še en velik problem FW-jev na splošno je, da ne vidjo vsega prometa, ker ni nujno, da sploh gre čezenj. Recimo promet znotraj omrežja med različnimi segemnti omrežja (med uporabniki, med strežniki). Kako takrat ugotovit kaj se ti dogaja? Recimo takrat ko se je to dogajalo je bilo Day0, sedaj ko je nekdo odkril, da je zadeva znana, kako retrospektivno z nazaj ugotoviti, kje se je to dogajalo. S pomočjo naprav iz prejšnega odstavka, to lahko zelo dobro preveriš in dobiš informacije.
FW/NGFW je dejasnko samo en delček varnosti celotnega sistema. Večinoma podjetji nima pojma kakšen promet se jim pretaka po omrežju. Nekaj vedo na perimetru, od tam naprej pa skoraj nič več. So svetle izjeme. Da bi pa kdo delal kakšne analize na tem, je pa že znanstvena fantastika, za 99,99 firm v Sloveniji, zopet z nekaj svetlimi izjemami.
@imagodei
Lani sem si pobližje pogledal fortigate. In v grobem so bile napredne (utm) funkcije:
AV, IPS - oba imata opcijo gledati tako signature, kot tudi same anomalije/odstopanja od pričakovanega obnašanja(hevristika?). AV ima še opcijo poslati file v sandbox (cloud, z omejitvami, plačljivo).
DPI
DLP - Data leak prevention. Mu daš share / datoteke, da jih poskenira, in potem pazi, da niso del prometa čez network.
Web filter - pokategorizira www, tako da recimo rečeš - dovolim vse razen Adult (Dating,Gambling), Social networks, Malicious websites.
App control - pokategorizira aplikacije (protokole), tako da recimo blokiraš torrente in Counter strike.
Ogromno od tega lahko že počneš z OpenDNS-om oz. podobnimi.
Kaj narediš če uporabljajo povezavo na cloud share aka box.com, icloud.com, etc in tam pretakajo datoteke gor in dol?
Se pa strinjam, da bi bilo dobro tole prenest v kakšno dugo temo, ker smo kar zašli iz poti.
Aleksander
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
"A friend is someone who gives you total freedom to be yourself. (J.M.)"
Zgodovina sprememb…
- spremenilo: aleksander10 ()
SeMiNeSanja ::
Če gremo po SANS, obstaja 20 najbolj kritičnih kontrol, ki se zadnje čase vse pogosteje omenjajo (čeprav ne vem zakaj šele zdaj tolikokrat slišim zanje). Ko greš od točke do točke, se na koncu izkaže, da ustrezna, pravilno konfigurirana požarna pregrada lahko igra določeno vlogo pri celo 16-ih od 20-ih kontrolah!
Pri nekaterih igra centralno vlogo, pri drugih postransko - ampak nikakor ni možno trditi, da bi bila nek postranki kos železnine.
Da ne more vplivati ne dogajanje znotraj omrežja tudi ni povsem res. Zgodovinsko je to dejansko držalo, ker je igrala izključno vlogo zaščite na perimetru. Notranja omrežja so bila 'flat' - en segment in konec. Potem so prišli VLAN-i. Požarna pregrada bi zlahka usmerjala promet med VLAN-i in ga spotoma še filtrirala - če nebi bila kupljena za hitrost 20-100 Mbps internetnega priključka, izjemoma morda 1Gbps. Zadeve se je rešilo z usmerjanjem na switchih in nekaj ACL-i na njih, ker bi zamenjava požarne pregrade za dovolj zmogljivo bilo v večini primerov enostavno predrago. Vendar switch razen ACL-ov ne nudi dodatnih varnostnih funkcionalnosti - potrebovali pa bi vsaj IPS.
Ni pa nujno, da bi bila ustrezna požarna pregrada, ki bi opravljala routing med VLAN-i predraga. Če ne gledaš nadražjih rešitev, so danes rešitve z dovolj visoko IPS prepustnostjo povsem dosegljive tudi povprečnim podjetjem. Seveda filtriraš še vedno med segmenti omrežja in/oz. VLAN-i, kar pa v večini primerov povsem zadošča, da lahko izoliraš določene skupine, oddelke, server room,....
Mislim, da danes ne boš več našel proizvajalca, ki nebi priporočal segmentacijo omrežja. Seveda pa je cenovna lestvica zelo razpotegnjena, ko iščeš rešitve, ki bodo npr. zmogle filtrirati do 10Gbps IPS prometa in pri tem še prepoznavati uporabnike in aplikacije, ter vse to tudi logirat.
Ker je vse skupaj na nekaterih rešitvah enostavno izven dosega proračuna, se potem ustvarja vtis, kot da je to nesmisel, da bi se požarna pregrada ukvarjala z usmerjanjem prometa med VLAN-i, posledično pa tudi, da je neuporabna za kakršnokoli varovanje prometa znotraj omrežja.
Kar se v veliki meri skriva, je tudi kakovost posameznih varnostnih storitev. Če proizvajalec napiše, da imaš v paketu AV, to še nič ne pomeni. Celo če napiše od katerega ponudnika dobiva signature, to še nič ne pomeni. AV preverjanje na požarnih pregradah je največji krivec za padec performans. Da se malo prihrani na spominu, še bolj pa na performansah, pa se neredko uporablja okrnjene nabore signatur. Potem pa imamo še takšne signature, ki jih proizvajalec požarne pregrade sam ustvarja (poleg vsega drugega) in takšne, ki jih ustvarjajo podjetja, katerih izključni posel so AV rešitve (Kasperski, Bitdefender, AVG,...). Ni teško uganiti, katere so verjetno bolj kakovostne.
Drugače pa je bistvo UTM/NGFW rešitev tzv. 'layered security' - večnivojska zaščita. Vsi se zavedamo, da so prav vse varnostne storitve pomanjkljive. Vendar ko enkrat uporabimo več različnih varnostnih storitev hkrati, močno dvignemo nivo zaščite. Celo v primeru, da ena od storitev povsem izpade, še vedno nismo povsem izpostavljeni.
Zelo zanimiva je bila kalkulacija, ki sem jo delal včeraj. Gledal sem ceno samostojne Strongarm rešitve (podobno kot OpenDNS/CiscoUmbrella) v primerjavi s ceno požarne pregrade, ki že vključuje Strongarm DNS filter v svoji naročnini (poleg vseh ostalih naročnin).
V treh letih in 60 uporabnikih pride Strongarm 60 * 3$/mesec * 36mesecev = 6.480$. Za ENAKO ceno pa pri WatchGuardu že dobiš T70 ali M200 (oboje priporočeno do 60 uporabnikov) - skupaj z 3 leti VSEH opcijskih varnostnih naročnin, katere nudijo - tudi z DNSWatch - Strongarm DNS filtrom.
Cisco Umbrella se mi zdi, da je nekje v istem cenovnem razredu ali celo še dražji kot Strongarm.
Tu se potem pokaže tista dejanska dodana vrednost, katero prinašajo UTM rešitve - nudijo nam napredne varnostne storitve po 'diskontnih' cenah!
Kdor bi imel navaden router in dodal Strongarm ali Cisco Umbrella, še vedno nebi imel IPS, prepoznave aplikacij, antispam-a, analitike v peskovniku,...
Karkoli od tega bi dodal kot samostojno rešitev, bi imel bistveno več dela z upravljanjem, stroški pa bi rasli v nebo.
Pri nekaterih igra centralno vlogo, pri drugih postransko - ampak nikakor ni možno trditi, da bi bila nek postranki kos železnine.
Da ne more vplivati ne dogajanje znotraj omrežja tudi ni povsem res. Zgodovinsko je to dejansko držalo, ker je igrala izključno vlogo zaščite na perimetru. Notranja omrežja so bila 'flat' - en segment in konec. Potem so prišli VLAN-i. Požarna pregrada bi zlahka usmerjala promet med VLAN-i in ga spotoma še filtrirala - če nebi bila kupljena za hitrost 20-100 Mbps internetnega priključka, izjemoma morda 1Gbps. Zadeve se je rešilo z usmerjanjem na switchih in nekaj ACL-i na njih, ker bi zamenjava požarne pregrade za dovolj zmogljivo bilo v večini primerov enostavno predrago. Vendar switch razen ACL-ov ne nudi dodatnih varnostnih funkcionalnosti - potrebovali pa bi vsaj IPS.
Ni pa nujno, da bi bila ustrezna požarna pregrada, ki bi opravljala routing med VLAN-i predraga. Če ne gledaš nadražjih rešitev, so danes rešitve z dovolj visoko IPS prepustnostjo povsem dosegljive tudi povprečnim podjetjem. Seveda filtriraš še vedno med segmenti omrežja in/oz. VLAN-i, kar pa v večini primerov povsem zadošča, da lahko izoliraš določene skupine, oddelke, server room,....
Mislim, da danes ne boš več našel proizvajalca, ki nebi priporočal segmentacijo omrežja. Seveda pa je cenovna lestvica zelo razpotegnjena, ko iščeš rešitve, ki bodo npr. zmogle filtrirati do 10Gbps IPS prometa in pri tem še prepoznavati uporabnike in aplikacije, ter vse to tudi logirat.
Ker je vse skupaj na nekaterih rešitvah enostavno izven dosega proračuna, se potem ustvarja vtis, kot da je to nesmisel, da bi se požarna pregrada ukvarjala z usmerjanjem prometa med VLAN-i, posledično pa tudi, da je neuporabna za kakršnokoli varovanje prometa znotraj omrežja.
Kar se v veliki meri skriva, je tudi kakovost posameznih varnostnih storitev. Če proizvajalec napiše, da imaš v paketu AV, to še nič ne pomeni. Celo če napiše od katerega ponudnika dobiva signature, to še nič ne pomeni. AV preverjanje na požarnih pregradah je največji krivec za padec performans. Da se malo prihrani na spominu, še bolj pa na performansah, pa se neredko uporablja okrnjene nabore signatur. Potem pa imamo še takšne signature, ki jih proizvajalec požarne pregrade sam ustvarja (poleg vsega drugega) in takšne, ki jih ustvarjajo podjetja, katerih izključni posel so AV rešitve (Kasperski, Bitdefender, AVG,...). Ni teško uganiti, katere so verjetno bolj kakovostne.
Drugače pa je bistvo UTM/NGFW rešitev tzv. 'layered security' - večnivojska zaščita. Vsi se zavedamo, da so prav vse varnostne storitve pomanjkljive. Vendar ko enkrat uporabimo več različnih varnostnih storitev hkrati, močno dvignemo nivo zaščite. Celo v primeru, da ena od storitev povsem izpade, še vedno nismo povsem izpostavljeni.
Zelo zanimiva je bila kalkulacija, ki sem jo delal včeraj. Gledal sem ceno samostojne Strongarm rešitve (podobno kot OpenDNS/CiscoUmbrella) v primerjavi s ceno požarne pregrade, ki že vključuje Strongarm DNS filter v svoji naročnini (poleg vseh ostalih naročnin).
V treh letih in 60 uporabnikih pride Strongarm 60 * 3$/mesec * 36mesecev = 6.480$. Za ENAKO ceno pa pri WatchGuardu že dobiš T70 ali M200 (oboje priporočeno do 60 uporabnikov) - skupaj z 3 leti VSEH opcijskih varnostnih naročnin, katere nudijo - tudi z DNSWatch - Strongarm DNS filtrom.
Cisco Umbrella se mi zdi, da je nekje v istem cenovnem razredu ali celo še dražji kot Strongarm.
Tu se potem pokaže tista dejanska dodana vrednost, katero prinašajo UTM rešitve - nudijo nam napredne varnostne storitve po 'diskontnih' cenah!
Kdor bi imel navaden router in dodal Strongarm ali Cisco Umbrella, še vedno nebi imel IPS, prepoznave aplikacij, antispam-a, analitike v peskovniku,...
Karkoli od tega bi dodal kot samostojno rešitev, bi imel bistveno več dela z upravljanjem, stroški pa bi rasli v nebo.
darkolord ::
Tukaj nikakor ne gre pozabiti na eno pomembno stvar - če ena naprava prevzame več nivojev varnosti, potem ta naprava hitro postane single point of failure glede varnosti.
Ne glede na to, koliko je to praktično, je že po kmečki logiki jasno, da ni pametno, da imaš eno napravo, ki je internet-facing, hkrati ima pa lovke razpredene po tvojem celotnem omrežju.
Če je taka naprava kompromitirana, napadalec na pladnju dobi:
- silent dostop do vseh TLS šifriranih podatkov (banke, ...)
- administratorski dostop do endpointov
- dostop do notranjega mrežnega prometa
- ...
Mokre sanje za nepridiprave in tričrkovne agencije.
Ne glede na to, koliko je to praktično, je že po kmečki logiki jasno, da ni pametno, da imaš eno napravo, ki je internet-facing, hkrati ima pa lovke razpredene po tvojem celotnem omrežju.
Če je taka naprava kompromitirana, napadalec na pladnju dobi:
- silent dostop do vseh TLS šifriranih podatkov (banke, ...)
- administratorski dostop do endpointov
- dostop do notranjega mrežnega prometa
- ...
Mokre sanje za nepridiprave in tričrkovne agencije.
Zgodovina sprememb…
- spremenilo: darkolord ()
SeMiNeSanja ::
No, v luči enega blogposta zadnjih dni ....
Podjetje je imelo Meraki firewall. Meraki je malo bolj basic firewall zadeva, ki je dokaj enostavna za upravljati - v obklaku. Nimaš lokalnega upravljanja, nimaš lokalnih skrbi. Kao.......
Poleg Merakija so imeli še enega hudbnega admina. Ne vem kaj je počel, da so ga odpustili, vsekakor pa je poskrbel za to, da je spremenil kontaktni mail in gesla na Meraki cloud accountu. S tem je onemogočil vpogled v kakršnekoli statistike požarne pregrade, ne morejo izvajati nobenih sprememb, ne morejo nič.
So mislili, da bodo kontaktirali Meraki podporo, posredovali dokazilo o lastništvu naprave, pa da jim bodo zadevo odklenili. Morali so se pustiti podučiti, da to ne bo šlo. NOBENEGA načina ni, da bi se dokopali nazaj do upravljanja SVOJE požarne pregrade.
Meraki pravi, da so sami krivi, saj je zahteva, da se določi dva administratorja, tako da lahko drugi povrne account. Kaj ti to koristi, če imaš opravka z hudobnim zaposlenim, ki preprosto drugega admina izbriše ali pa mu spremeni mail in geslo?
Zgodba je popolna nočna mora. Tisto napravo lahko vržejo samo še v kanto za smeti. Čeprav načeloma 'dela', ne moreš vedeti, ali ni hudobni bivši sodelavec vgradil še kakšna stranska vrata, tako da njegov zli duh morda še vedno straši po omrežju.
Merakija v tistem podjetju ne bodo več kupovali....
Tudi sicer se je Meraki marsikateremu uporabniku zameril, saj moraš plačevati, da lahko napravo upravljaš preko oblačne platforme. Ko naročnina poteče, naprava preneha delovati.
Ker se je za Meraki ogrelo precej nekdanjih Cisco ASA uporabnikov, ki nikoli niso plačali nobene naročnine za ASA napravo, jih je to dejstvo na Merakiju ujelo nepripravljene. Temu večja je bila jeza.
Še ena zgodba, ki potrjuje dejstvo, da se je treba pred nakupom pozanimati kaj pravzaprav kupuješ, ne šele potem, ko je že prepozno.
Podjetje je imelo Meraki firewall. Meraki je malo bolj basic firewall zadeva, ki je dokaj enostavna za upravljati - v obklaku. Nimaš lokalnega upravljanja, nimaš lokalnih skrbi. Kao.......
Poleg Merakija so imeli še enega hudbnega admina. Ne vem kaj je počel, da so ga odpustili, vsekakor pa je poskrbel za to, da je spremenil kontaktni mail in gesla na Meraki cloud accountu. S tem je onemogočil vpogled v kakršnekoli statistike požarne pregrade, ne morejo izvajati nobenih sprememb, ne morejo nič.
So mislili, da bodo kontaktirali Meraki podporo, posredovali dokazilo o lastništvu naprave, pa da jim bodo zadevo odklenili. Morali so se pustiti podučiti, da to ne bo šlo. NOBENEGA načina ni, da bi se dokopali nazaj do upravljanja SVOJE požarne pregrade.
Meraki pravi, da so sami krivi, saj je zahteva, da se določi dva administratorja, tako da lahko drugi povrne account. Kaj ti to koristi, če imaš opravka z hudobnim zaposlenim, ki preprosto drugega admina izbriše ali pa mu spremeni mail in geslo?
Zgodba je popolna nočna mora. Tisto napravo lahko vržejo samo še v kanto za smeti. Čeprav načeloma 'dela', ne moreš vedeti, ali ni hudobni bivši sodelavec vgradil še kakšna stranska vrata, tako da njegov zli duh morda še vedno straši po omrežju.
Merakija v tistem podjetju ne bodo več kupovali....
Tudi sicer se je Meraki marsikateremu uporabniku zameril, saj moraš plačevati, da lahko napravo upravljaš preko oblačne platforme. Ko naročnina poteče, naprava preneha delovati.
Ker se je za Meraki ogrelo precej nekdanjih Cisco ASA uporabnikov, ki nikoli niso plačali nobene naročnine za ASA napravo, jih je to dejstvo na Merakiju ujelo nepripravljene. Temu večja je bila jeza.
Še ena zgodba, ki potrjuje dejstvo, da se je treba pred nakupom pozanimati kaj pravzaprav kupuješ, ne šele potem, ko je že prepozno.
Blisk ::
V Sloveniji izvajalec napiše pogoje razpisa.
Naročniki so ponavadi preveč butasti, da bi uspeli sami spisat en papir...
No zdaj mi pa ti strokovno razloži, kako naj bo naročnik tako pameten, da bo točno vedel kakšen požarni zid in to tudi dal v razpis???
Če mogoče ne veš, v ameriki pa verjetno tudi drugje imajo v firmi zaposlenega enega človeka za požarne zidove in se samo s tem ukvarja, potem enega za epošto, enega za web server, par komadov za exchange, ker itak dela da bog pomagi, potem enega za printerje, itd. Verjetno si dojel, da imajo za vsako področje enega strokovnjaka.
Pri nas v Sloveniji, si firma zagotovo tega ne more privoščiti in zato povprečen sistemc se lahko še tako trudi pa ne bo oblvadal vsega niti približno, tudi nadpovprečen sistemc ne, kaj šele podpovprečen katerih je največ in ki vse kar delajo odpravljajo težave, ko se zatakne papir v prinerju ali ko pade mrežni kabel iz računalnika. Kar je pa že kaj več od tega pa seveda pokličejo firmo, ki se ukvarja s temi zadevami.
Ampak sem že tudi sam doživel, da so poslali "strokovnjaka" iz firme, da bo prišel zadevo rešiti, na koncu je ni rešil, so jo samo zaračunali, rešil sem jo pa potem sam čez vikend, ko sem se imel čas zajebavat z zadevo in iskat na google.
Blisk ::
Tukaj nikakor ne gre pozabiti na eno pomembno stvar - če ena naprava prevzame več nivojev varnosti, potem ta naprava hitro postane single point of failure glede varnosti.
Ne glede na to, koliko je to praktično, je že po kmečki logiki jasno, da ni pametno, da imaš eno napravo, ki je internet-facing, hkrati ima pa lovke razpredene po tvojem celotnem omrežju.
Če je taka naprava kompromitirana, napadalec na pladnju dobi:
- silent dostop do vseh TLS šifriranih podatkov (banke, ...)
- administratorski dostop do endpointov
- dostop do notranjega mrežnega prometa
- ...
Mokre sanje za nepridiprave in tričrkovne agencije.
Ja to je res, samo treba se je zavedati, da so večinoma problem finance. Za našo firmo 2 firewala, je prevelik zalogaj.
Poleg tega pa kar sem do zdaj preveril na netu in bral pričevanja ljudi, ki se ukvarjajo samo s tem ali, ki imajo oz so testirali več različnih zadev, sem prišel do nekih zaključkov.
Od najboljšega sophos je naročnina tudi med najdražjimi. Poleg tega pa sem začel dvomiti v to da UTM mora biti na vsak način.
Za Fortigate, ki je najdražji sem moral skoraj dva tedna prosit ponudbo, IBM slovenija ne jebe sploh.
Vprašanje je zdaj samo, res rabim UTM, če ja potem se bom verjetno odločal med Endian in Untangle, ki sta cenovno nekje skupaj, s tem, da ima Untangle več preferenc in nekak ga ljudje bolj poznajo in ga tudi bolj hvalijo.
Sicer pa od vsega kar sem prebral na netu ljudje še vedno uporabljajo pfsense ali opensense, ki je fork od pfsense ampak menda je boljši.
Nekako vsi, ki so imeli ali še imajo velika imena firewalov še vedno imajo tudi pfsense ali pa so celo šli s kakih plačljivih zadev na pfsense, tudi ocene, ki sem jih gledal, je pfsense nekje med prvimi tremi oz. petimi, Res pa da ni UTM.
Zgodovina sprememb…
- spremenil: Blisk ()
SeMiNeSanja ::
@Blisk - naštevaš različne požarne pregrade, kot da je med njimi razlika le v ceni.
Dejansko so razlike že na najbolj osnovnem konceptualnem nivoju. Pri avtomobilih bi govorili o limuzinah, kjer imaš kupeje, karavane,..... skratka že v osnovi različne koncepte.
Posledično tudi precej zavisi od tega, kakšen tip admina si, če ti bo koncept enega proizvajalca bolje ustrezal, kot koncept drugega.
Šele potem pride na vrsto izpolnjevanje dodatnih zahtev, kaj vse mora biti škatla sposobna ponuditi.....za sprejemljivo ceno.
Npr. jaz kot WatchGuard freak, bi bil na smrt nesrečen, če bi mi vsilil Sophos-a ali Fortinet napravo. Pri enem se počutim kot nemočnega, ker mi ne nudi vseh mogočih opcij, ki sem jih vajen, pri drugemu pa je že sam koncept skregan z mojo logiko, kako bi bilo najbolj pametno upravljati omrežje.
Ampak je dovolj drugih uporabnikov, ki jih to ne moti (vsaj dokler česa drugega ne poznajo?) in so s svojimi rešitvami povsem zadovoljni.
Drugače pa je naštevanje pfSense v isti sapi z UTM požarnimi pregradami ni na mestu. pfSense je črnobeli CRT TV v času ko se ostali spogledujejo z 4k OLED TV-ji. Da si greš v produkcijsko okolje postaviti pfSense kot požarno pregrado, moraš že kar dobro vedeti, kaj delaš - ali pa si zgolj en navaden šalabajzer, ki o sodobnem network security-ju nima pojma.
Obstajajo določeni scenariji, kjer je pfSense tudi danes povsem sprejemljiva rešitev, vendar žal večina postavitev v praksi ni tovrstnih.
Preprosto rečeno, ljudje ne ločijo med različnimi rešitvami in jih prepogosto tiste 'drobne razlike' tudi ne zanimajo. Kot da se postavlja požarno pregrado zgolj zato, da na nekemu spisku lahko naredijo še eno kljukico, "tudi to smo poštimali" - pa ni važno kako.
Če kupuješ požarno pregrado zato, da boš svoje omrežje dejansko zaščitil pred sodobnimi grožnjami, si moraš vzeti čas in se malo poglobiti v zadeve. Saj ti prodajalci rade volje marsikaj razložijo. Žal je veliko tega čisto marketinško nabijanje, ampak po kakšnih treh različnih rešitvah počasi že začneš dojemat, kaj je prazno nakladanje, kaj pa ima neko tehnično težo. Drugo so seveda razna zavajanja, ki jih imajo prodjalci tudi v uporabi.... ampak to imaš pri vseh rečeh... vsak TV ima najlepšo sliko, vsak avto je nabolj udoben varen, varčen,...
Dejansko so razlike že na najbolj osnovnem konceptualnem nivoju. Pri avtomobilih bi govorili o limuzinah, kjer imaš kupeje, karavane,..... skratka že v osnovi različne koncepte.
Posledično tudi precej zavisi od tega, kakšen tip admina si, če ti bo koncept enega proizvajalca bolje ustrezal, kot koncept drugega.
Šele potem pride na vrsto izpolnjevanje dodatnih zahtev, kaj vse mora biti škatla sposobna ponuditi.....za sprejemljivo ceno.
Npr. jaz kot WatchGuard freak, bi bil na smrt nesrečen, če bi mi vsilil Sophos-a ali Fortinet napravo. Pri enem se počutim kot nemočnega, ker mi ne nudi vseh mogočih opcij, ki sem jih vajen, pri drugemu pa je že sam koncept skregan z mojo logiko, kako bi bilo najbolj pametno upravljati omrežje.
Ampak je dovolj drugih uporabnikov, ki jih to ne moti (vsaj dokler česa drugega ne poznajo?) in so s svojimi rešitvami povsem zadovoljni.
Drugače pa je naštevanje pfSense v isti sapi z UTM požarnimi pregradami ni na mestu. pfSense je črnobeli CRT TV v času ko se ostali spogledujejo z 4k OLED TV-ji. Da si greš v produkcijsko okolje postaviti pfSense kot požarno pregrado, moraš že kar dobro vedeti, kaj delaš - ali pa si zgolj en navaden šalabajzer, ki o sodobnem network security-ju nima pojma.
Obstajajo določeni scenariji, kjer je pfSense tudi danes povsem sprejemljiva rešitev, vendar žal večina postavitev v praksi ni tovrstnih.
Preprosto rečeno, ljudje ne ločijo med različnimi rešitvami in jih prepogosto tiste 'drobne razlike' tudi ne zanimajo. Kot da se postavlja požarno pregrado zgolj zato, da na nekemu spisku lahko naredijo še eno kljukico, "tudi to smo poštimali" - pa ni važno kako.
Če kupuješ požarno pregrado zato, da boš svoje omrežje dejansko zaščitil pred sodobnimi grožnjami, si moraš vzeti čas in se malo poglobiti v zadeve. Saj ti prodajalci rade volje marsikaj razložijo. Žal je veliko tega čisto marketinško nabijanje, ampak po kakšnih treh različnih rešitvah počasi že začneš dojemat, kaj je prazno nakladanje, kaj pa ima neko tehnično težo. Drugo so seveda razna zavajanja, ki jih imajo prodjalci tudi v uporabi.... ampak to imaš pri vseh rečeh... vsak TV ima najlepšo sliko, vsak avto je nabolj udoben varen, varčen,...
Blisk ::
Kaj pa je ščitenje pred sodobnimi grožnjami??
Kripto virusi in spletne strai z virusi?
Te zadeve dejansko že antivirusni program na računalniku predeluje in če navaden user nima pravic nameščanja programske opreme je tudi že to nekaj.
Sicer imam sedaj nameščen shorewall tako da karkoli bom dal bo bolje kot sedaj. Pa glede na to, da nismo ravno banka ali kaj podobnega, je vprašanje zakaj bi šel na nek firewall kjer moram letno plačevati 1600€ naročnine za posodabljanje?
Kripto virusi in spletne strai z virusi?
Te zadeve dejansko že antivirusni program na računalniku predeluje in če navaden user nima pravic nameščanja programske opreme je tudi že to nekaj.
Sicer imam sedaj nameščen shorewall tako da karkoli bom dal bo bolje kot sedaj. Pa glede na to, da nismo ravno banka ali kaj podobnega, je vprašanje zakaj bi šel na nek firewall kjer moram letno plačevati 1600€ naročnine za posodabljanje?
Invictus ::
[
No zdaj mi pa ti strokovno razloži, kako naj bo naročnik tako pameten, da bo točno vedel kakšen požarni zid in to tudi dal v razpis???
Se pravi, je po tvoje normalno, da nekdo naroča opremo za deset tisoče EUR, pa o tem nima pojma?!?!?!?!
Da ne govorimo potem še o specifikacijah in testih...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Blisk ::
[
No zdaj mi pa ti strokovno razloži, kako naj bo naročnik tako pameten, da bo točno vedel kakšen požarni zid in to tudi dal v razpis???
Se pravi, je po tvoje normalno, da nekdo naroča opremo za deset tisoče EUR, pa o tem nima pojma?!?!?!?!
Da ne govorimo potem še o specifikacijah in testih...
Ja ni normalno kadar naroča za deset tisoče evrov, ker dvomom da to kdo počne v teh primerih se najame nekoga.
Je pa normalno, da se to počne za par jurjev.
Invictus ::
Pri nas v Sloveniji, si firma zagotovo tega ne more privoščiti in zato povprečen sistemc se lahko še tako trudi pa ne bo oblvadal vsega niti približno, tudi nadpovprečen sistemc ne, kaj šele podpovprečen katerih je največ in ki vse kar delajo odpravljajo težave, ko se zatakne papir v prinerju ali ko pade mrežni kabel iz računalnika.
Če bi oni tega povprečnega sistemca vrgli ven in za isti letni denar najeli zunanjo firmo, bi dobili bistveno boljšo rešitev...
Tako pa firme zaposlujejo enega podpovprečnega sistemc, ker je direktor rekel da ga rabimo, ki pa nima pojma, razen da zna inštalirati windowse in vtikati kable...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
jukoz ::
Ni nujno da je to boljše, lahko da najamejo zunanjo firmo ki nima pojma. S takimi je res fajn delat.
Invictus ::
Saj potem so tako ali tako na istem...
Samo pri zunanji firmi pol šef nima opcije sproščanja svojih frustracij kot pri zaposlenemu...
Samo pri zunanji firmi pol šef nima opcije sproščanja svojih frustracij kot pri zaposlenemu...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Blisk ::
Pri nas v Sloveniji, si firma zagotovo tega ne more privoščiti in zato povprečen sistemc se lahko še tako trudi pa ne bo oblvadal vsega niti približno, tudi nadpovprečen sistemc ne, kaj šele podpovprečen katerih je največ in ki vse kar delajo odpravljajo težave, ko se zatakne papir v prinerju ali ko pade mrežni kabel iz računalnika.
Če bi oni tega povprečnega sistemca vrgli ven in za isti letni denar najeli zunanjo firmo, bi dobili bistveno boljšo rešitev...
Tako pa firme zaposlujejo enega podpovprečnega sistemc, ker je direktor rekel da ga rabimo, ki pa nima pojma, razen da zna inštalirati windowse in vtikati kable...
Pozabljaš to, da so večina danes povprečni sistemci.
Če pa že imaš sistemca, ki obvlada, je pa temu tudi primerna plača, noben ti ne bo delal za jurja neto.
Drugo pa ne poznam sistemca, pa mislim, da ga tudi ni, ki bi vse obvladal, ali obvlada eno področje bolj drugo manj, da pa bi vse, ga ni.
Pa tema je FIREWALL ne sistemci!
Zgodovina sprememb…
- spremenil: Blisk ()
SeMiNeSanja ::
@Blisk - kaj bi rad od nas?
Da ti damo blagoslov, da lahko vzameš kakšen poceni Ubiquity Edgerouter ali Mikrotik in da si s tem zagotovil 'potrebo po požarni pregradi'?
Od mene takega blagoslova ne boš dobil. Razen če varuješ omrežje brez uporabnikov, ki ima povezavo le s točke A do točke B, kjer navzven ni odprtih portov,.....
Ali pa če imaš navadno 'guest' omrežje, kjer nudiš izključno 'povezljivost', ostalo pa naj vsak zase poskrbi. Če to lepo navedeš v pogojih priklopa, bi tudi to še šlo nekako skozi.
Nikakor pa ne na tipičnem poslovnem omrežju z 'navadnimi' uporabniki, ki počno vse, kar pač navadni uporabniki počno.
Da ti damo blagoslov, da lahko vzameš kakšen poceni Ubiquity Edgerouter ali Mikrotik in da si s tem zagotovil 'potrebo po požarni pregradi'?
Od mene takega blagoslova ne boš dobil. Razen če varuješ omrežje brez uporabnikov, ki ima povezavo le s točke A do točke B, kjer navzven ni odprtih portov,.....
Ali pa če imaš navadno 'guest' omrežje, kjer nudiš izključno 'povezljivost', ostalo pa naj vsak zase poskrbi. Če to lepo navedeš v pogojih priklopa, bi tudi to še šlo nekako skozi.
Nikakor pa ne na tipičnem poslovnem omrežju z 'navadnimi' uporabniki, ki počno vse, kar pač navadni uporabniki počno.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | FirewallaOddelek: Omrežja in internet | 7201 (2392) | somebody16 |
» | Backdoor-i v Cisco (in drugih) napravah (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 30955 (25801) | jukoz |
» | Zamenjava za Cisco 1600 routerOddelek: Omrežja in internet | 6041 (5308) | deadbeef |
» | Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )Oddelek: Novice / NWO | 29853 (25397) | AC_DC |
» | Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )Oddelek: Omrežja in internet | 22592 (19569) | NeMeTko |