Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)?

če snemajo javni prostor (kraj, nima veze) in me posnamejo na njem, me še vedno posnamejo ob snemanju javnega prostora (mogoče je bolj pravi izraz javni-zasebni prostor - ala katerikoli merkator). Če me posnamejo nekje zunaj tega območja je pa sporno.

Če bi kdaj postavljal kako panoramsko kamero, bi vedel, da se na objavljenem posnetku ne sme razločiti obrazov in registrskih tablic. Ja, lahko se te snema na javnem mestu. V konkretnem primeru pa se te ne sme snemati tako, da bi se te dalo prepoznati. In recimo če kdaj vidiš, da te je fotografiral fotograf na javnem mestu, lahko stopiš do njega in mu prepoveš objavo fotografij, na katerih si. In to mora upoštevati. Ni vse lih tak simpl - kot sem že napisal, tudi na javnem mestu obstaja določena stopnja pričakovane zasebnosti.

Dejstvo je, da več kot očitno izhajaš iz predpostavke, da je vsakršna sodobnejša tehnologija od tvoje 'kamnite sekire' resna grožnja za (tvojo?) zasebnost.

To, da sodobna tehnologija omogoča čuda stvari (med njimi tudi popolno sledenje in beleženje komunikacij), je dejstvo. Do določene stopnje je zbiranje takih informacij uzakonjeno (data retention direktive EU). To, da proizvajalci DPI tehnologije le-to v malo bolj ewil verzijah veselo prodajajo čudnim režimom, je tudi dejstvo. Iz tega se logično sklepa, da ni vse tako nedolžno, kot bi rad prikazal. Konec koncev lahko na svoji "kamniti sekiri" Mikrotiku izvem čuda podatkov o obnašanju uporabnikov, pa je v primerjavi z npr. CheckPointom res preprosta naprava.

Ko administratorja omrežja proglašaš za napadalca, ker uporablja sodobne tehnologije za zaščito omrežja in uporabnikov, greš odločno predaleč. Govoriš o 'potencialni' možnosti zlorabe? Potem pa mi razloži, kako je lahko po tvoje 'potencialna možnost zlorabe' manjša na doma sestavljenem Linux sistemu s pfsense.

Kar le Linuxa tiče - ne more biti. Po drugi strani pa se mora administrator omrežja zelo dobro zavedati, kaj počne (iz Pravokatorja sledi, da oni kekci na UL pojma niso imeli o tehnologiji in napravi, pa so vseeno dovolili uporabo le-te in še kontrolo nad njo prepustili tretji osebi!) in se tudi zavedati, da se lahko hitro spravi v resne težave. Od tu vse to opozarjanje na zakonodajo.

Vendar pa te moram opozoriti, da določena podjetja in organizacije tudi kazensko odgovarjajo za varnost podatkov, ki jih hranijo v svojih omrežjih in si nikakor ne morejo privoščiti 'shit happens' pristopa, ki ga ti tako vneto propagandiraš.

Jaz ti pa pravim da povsod ne rabimo take stopnje varnosti. In če si obenem še zelo "mobilna" firma, kjer ni delovne postaje in se laptopi premikajo med čuda lokacijami, ti je jasno, da je DPI firewall na meji omrežja bolj placebo, kot kaj drugega. Ne rečem da v Windows okolju z statičnimi delovnimi postajami ni koristi od tega. Obstajajo pa tudi drugačna okolja.

Škoda da ti že v šesto? pojasnujem eno in isto zadevo, ker kljub vsemu trudu, da ti razložim zadevo iz praktičnih izkušenj, ti še vedno ignoriraš vsako razlago in še kar naprej goniš svojo lajno.

He he, likewise SIcer pa, če bi se vedno o vsem strinjali, bi tole bilo precej dolgočasno mesto.

Ok, kaj smo zdej pogruntal? Kera zadeva je minimum, ki bi jo morala imeti firma s 15-30 računalniki?

Domnevam potem, da nek zywall routercek s firewallom ni nič, tudi če so odprti samo izbrani porti. Edino to sem razbral iz teh dveh strani postov.

Recimo, da se investira v netgearov Prosecure UTM25 firewall in prebere kup gradiva in ustrezno skonfigurira... Ali je to dovolj za neko bolj konktretno zaščito ali ni. v LAN ne stoji nič pametnega le mejl server pa kup kišt. Ni AD, DNS in podobnih stvari.

@zlobcek

Ne bit razočaran, če ti ne bom svetoval konkretnega proizvajalca oz. konkretnega proizvoda. Kot sam vidiš, bi me že tako najraje obsodili, da zganjam EPP, pa nebi želel temu dodati še kakšen dodaten povod. V enem od prejšnjih postov sem naštel nekaj proizvajalcev, ki jih imajo svetovne analitske hiše 'na radarju', poleg teh pa se na trgu najde še nekaj drugih proizvajalcev, ki nudijo tudi dokaj spodobne rešitve, pa niso pod drobnogledom analitskih hiš (stric Google jih pozna vse!).

Nakup požarne pregrade po 'katalogu' bi strogo odsvetoval. Vzemi si čas in si oglej več rešitev in se nikar ne zaleti v prvi približek tistemu, kar naj bi potreboval.
Prosi prodajalce, da ti svojo rešitev demonstrirajo ali pa celo naredijo demo inštalacijo na tvojem omrežju. Tako boš lahko hitro ocenil, kako 'kompleksna' je določena rešitev, ali jo boš zmogel obvladati brez da se najprej podaš na tri ($$$) tečaje. Svetujem ti, da izbereš rešitev, ki jo bo možno čimbolj intuitivno upravljati, saj ni smisel požarne pregrade, da na njej delaš doktorat (razen če nimaš kaj drugega početi?). Preveč kompleksna rešitev tudi resno povečuje možnost, da boš pri konfiguriranju delal napake, ki na koncu lahko celo ogrozijo varnost omrežja.

Imej pred očmi, da kupuješ rešitev, s katero boš živel najmanj naslednjih 5 let. Ne zanašaj se na to, kaj kolega svetuje - koneckoncev se tudi nebi poročil z neko žensko, ki bi ti jo kolega predlagal, ampak boš sam presojal za katero se boš vezal.

Različna podjetja imajo različne potrebe. V prejšnjih postih sem naštel niz možnosti, ki jih ponujajo današnje sodobne UTM naprave. Ko ti bodo demonstrirali dve, tri rešitve, boš počasi dobil občutek katere od teh možnosti bi ti v tvojem omrežju prav prišle, katere pa zagotovo ne boš nikoli potreboval. Ne ustraši se (zaradi zgornjih komentarjev), če ponujena rešitev ponuja možnost DPI in https inspekcije prometa. Na administratorju je, ali bo te napredne možnosti implementiral, ali pa jih ne vklaplja. Naj te ne zavajajo zgornji komentarji zoper DPI tehnologijo. Ta se na požarnih pregradah ponavadi implementira kot transparentni proxi za določeni protokol in omogoča, da na določenem protokolu 'izklopiš' oz. filtriraš opcije, ki jih nikakor ne želiš spustiti v svoje omrežje (ali pa iz njega ven). Naj ti ponudniki demonstrirajo kako deluje in se sam prepričaj za kaj se pravzaprav gre. Hitro boš ugotovil, da ti DPI na preprost način omogoča bistveno večjo fleksibilnost filtriranja.

Https inspekcija, ki je nekaterim tako zelo sporna, je ena od funkcionalnosti, ki jo bo pameten administrator vklapljal med zadnjimi in ne na vrat na nos, tako kot je bilo to v primeru 'provokatorja'. Kljub temu pa postaja vse bolj pomemben diferenciator med požarnimi pregradami. Https za škodoželjneže predstavlja na stežaj odprta vrata v tvoje omrežje in preko njega lahko pretakajo karkoli hočejo - mimo tvojega nadzora. Da se je https zlorabil za okužbo ali vdor v omrežje pa boš ugotovil šele, ko bo že prepozno. Zato se danes https nadzira enako kot http protokol. Kot sam vidiš iz diskusije, je pred uvedbo https inspekcije potrebno uporabnike podučiti o tem, da se bo filtriral tudi https promet in jih podučiti o tem, zakaj naj bi to bilo potrebno. Če najbolj skeptičnim uporabnikom še omogočiš, da se prepričajo na lastne oči, da pri tem ni možen vpogled v vsebino njihovih komunikacij, te zagotovo ne bo nihče obtoževal MITM napada.

Ker požarno pregrado kupuješ za najmanj 5 let, ne glej samo na nabavno ceno. Preveri koliko te bo rešitev stala v celotnem življenjskem ciklu in kaj dejansko za ta denar dobiš. Preveri kakšne so možnosti po poteku življenjskega cikla za nadgradnjo na novejši model in kakšne težave lahko pričakuješ ob taki nadgradnji.
Prepričaj se, da rešitev nima 'skritih stroškov'. Določene rešitve postanejo polno funkcionalne šele, ko dokupiš še določene dodatne opcije (logging, reporting,...). Preveri kaj vsebuje osnovni paket in katere opcije boš moral še dokupiti in upoštevaj skupno ceno!

Ne kupuj rešitve, ki bi imela na 'trusted' strani zgolj switch oz. porte povezane v bridge. Glede na to, da poganjate lastni mail server potrebuješ že v štartu možnost dveh ločenih subnetov, morda boš jutri rekonfiguriral omrežje, pa boš potreboval še kakšen dodatni subnet.
Izogibaj se rešitev, ki te silijo, da mail server definiraš kot 'virtual server'. Te rešitve so morda uporabne za domačo rabo, ne nudijo pa tiste fleksibilnosti, ki jo potrebuješ v podjetju.

Naj ti ponudniki demonstrirajo in razložijo uporabnost UTM storitev. Ponavadi proizvajalci nudijo možnost, da vzameš zgolj eno ali dve UTM storitvi (npr. IPS+antivirus), lahko pa več storitev skupaj ponujajo v bistveno ugodnejšem paketu.

Preceni zmogljivost rešitve, ki jo boš potreboval. Če imaš internet s pasovno širino 20/20 in mail server na ločenem subnetu, tvoja požarna pregrada pa zmore 30Mbit/s, potem se moraš zavedati, da bodo tvoji uporabniki tudi do mail serverja prihajali s to hitrostjo in ne z 1 Mbit, kot bi si to morda želel. Več ko imaš filtriranih subnetov na požarni pregradi, bolj moraš paziti na to, da boš izbral ustrezno zmogljivost - kasnejše nadgradnje so namreč lahko dokaj draga zadeva.

Bodi zoprn kupec z miljonom butastih vprašanj. Po parih proizvodih boš postal ekspert za zastavljanje vprašanj, hkrati pa ti bo vse bolj jasna slika, kaj dejansko potrebuješ.
Če ti prodajalec ni pripravljen posvetiti dve uri časa za spodobno demonstracijo proizvoda v vrednosti 1000€ in več, ne pričakuj, da ti bo kasneje posvečal čas, ko boš potreboval tehnično podporo ali kakšen dober nasvet.

Kar se tiče tvojega vprašanja glede AV, ti bom odgovoril tako: imaš dve vrsti proizvajalcev požarnih pregrad - eni sami nabirajo in vzdržujejo signature za IPS in AV, drugi te signature kupijo pri kateremu od znanih AV ponudnikov (Kasperski, AVG,...). Verjetno ne bo potrebno razlagati, katerim signaturam lahko bolj zaupaš?

Kateri so po tvoje boljši ?

Vse manj se tudi uporabljajo proxy strežniki za keširanje dostopa do spletnih vsebin, saj so se povezave tako pohitrile, da danes praktično ni več razloga za njihovo uporabo.

Ni povsod po svetu flat-rate net dostop , ponudniki storitev plačujejo linije glede na količine podatkov (kar je velik razlog), recimo YT ima postavljene cache serverje tudi v Slo.