Forum » Omrežja in internet » Firewall zaščita za mala podjetja
Firewall zaščita za mala podjetja
Mavrik ::
Vsekakor kaka strojna zadeva + dodatno morda še sw.
Verjetno je avtor hotel imeti kaj konkretnejšega - kakšna strojna zadeva? Kateri software?
The truth is rarely pure and never simple.
mat xxl ::
Na tako vprašanje je težko odgovoriti, naj avtor definira, česa se boji, kaj ščiti, kako ima uporabnike , ki hodijo na ven izobražene in pa kak buđžet ima v mislih, potem mu lahko kdo kaj svetuje, sicer je vse tak tak ........
hmm23 ::
Na tako vprašanje je težko odgovoriti, naj avtor definira, česa se boji, kaj ščiti, kako ima uporabnike , ki hodijo na ven izobražene in pa kak buđžet ima v mislih, potem mu lahko kdo kaj svetuje, sicer je vse tak tak ........
Podjetje ima več spletni strani, ki so občasno hekane, hekerji so največji problem, uporabniki so večinoma študenti brez veliko varnostnega znanja. Par 100€ bi dali za to.
Mavrik ::
V tem primeru si upam trditi da firewall skoraj gotovo ni vaš problem - vdore v slabo napisane in uporabljane spletne strani se težko preprečuje s firewallom. Za kaj več boš pa moral dati več podatkov :)
The truth is rarely pure and never simple.
NoName ::
Gomez9 - obrni se na uporabnika SeMiNeSanja, on ima menda čez firewalle Watchguard.. next generation firewalli in podobno... verjetno direktno tebi na kožo pisano...
I can see dumb people...They're all around us... Look, they're even on this forum!
c3p0 ::
Najboljša preventiva proti hekanju, so redno posodabljane skripte, vključno z vsemi moduli in varnostnimi priporočili, oz. dobro napisana domača koda (večinoma je žal obup).
Drugače pa mod_security za apache, z ustreznimi pravili zaustavi marsikaj. Aplikacija, ki poskenira vsako skripto, naloženo preko PHP/CGI/FTP itd. in jo komaj nato dovoli posneti na željeno mesto, tudi.
Za nadaljnjo varnost poskrbi dober firewall, zaprt tudi navzven za večino portov; aktivno spremljanje logov in blokiranje raznih brute force ugibanj gesel, process monitor, IDS (Snort) itd.
Drugače pa mod_security za apache, z ustreznimi pravili zaustavi marsikaj. Aplikacija, ki poskenira vsako skripto, naloženo preko PHP/CGI/FTP itd. in jo komaj nato dovoli posneti na željeno mesto, tudi.
Za nadaljnjo varnost poskrbi dober firewall, zaprt tudi navzven za večino portov; aktivno spremljanje logov in blokiranje raznih brute force ugibanj gesel, process monitor, IDS (Snort) itd.
SeMiNeSanja ::
@Gomez9 - ko se pogovarjaš o firewall-ih, je dobro najprej razumeti, da obstaja več kategorij, oz. generacij teh rešitev.
Lahko začneš z navadnim packet filtrom in ACL-i, ki definirajo kdo sme kam komunicirati na določenem portu, kaj več pa ne omogočajo. Dokaj podobne zmogljivosti imajo tzv. stateful packet filtri, ki jih najdeš v mnogih rešitvah, ki so lahko krmiljene preko ukazne vrstice, pa vse tja do kolikor tolikor všečnih spletnih vmesnikov.
Takšen 'navaden firewall' zgolj omejuje promet, se pa ne vtika vanj. Ker to marsikomu ne zadošča, so se sčasoma oblikovale dodatne rešitve od http proxi-jev, pa do naprednih IPS/IDS sistemov, s pomočjo katerih se skuša reševati pomanjkljivo varnost, ki jo nudi zgolj filtriranje portov.
Te dodatne rešitve so lahko dokaj kompleksne in zahtevne za upravljanje, zato so proizvajalci sčasoma začeli ponujati tzv. UTM rešitve, ki v eni napravi združujejo funkcionalnost požarne pregrade in prej omenjenih dodatnih rešitev. Namen je bil poenostavitev upravljanja in cenejše vzdrževanje, saj imamo opravka zgolj z eno rešitvijo namesto dveh do petih.
Potem se je zgodila še marketinška potegavščina, ki se ji reče 'Next Generation Firewall', ki za moje pojme v bistvu ni nič drugega kot UTM s sposobnostjo prepoznave aplikacij in uporabnikov.
Kot končni uporabnik ti je lahko čisto vseeno, kako nekdo imenuje svojo rešitev UTM ali Next Gen - bistveno je kaj je proizvajalec 'potlačil' v svojo škatlo, kakšna je kakovost teh 'storitev', kako preprosto (ali komplicirano) je upravljanje - in seveda cena za vse skupaj pri zmogljivosti, ki jo potrebuješ.
Ponavadi imajo vse požarne pregrade na nivoju stateful packet filtra čudovite prepustnosti. Čim pa vklapljaš dodatne servise, pa znajo te performanse rapidno padati, v nekaterih primerih celo do takšne stopnje, da uporabniki določene servise prično izklapljati, da bi bila rešitev sploh še uporabna. Zato je zelo pomembno, da smo pri nakupu pazljivi pri UTM prepustnosti rešitve za katero se odločamo. V najslabšem primeru se nam lahko zgodi, da smo plačali naročnine za IPS, AV,... in jih ne moremo uporabljati, ker je HW premalo zmogljiv. Ni malo kupcev, ki so gledali zgolj na 'firewall throughput' (zmogljivost zgolj paketnega filtra) in so bili potem razočarani!
Vsekakor pa samo požarna pregrada ne bo rešila težave s spletnimi stranmi in vdori vanje. Do določene mere lahko pomaga, če znaš izkoristiti njen potencial, vendar še veliko bolj bistveno je posodabljanje spletnih strežnikov, skript in pravilno (varno) programiranje spletnih aplikacij.
Varnost gledano v celoti, je kot orkester. Če eden v orkestru fuša, je cela predstava v riti, pa če ostali še tako dobro igrajo. Če spletna aplikacija 'grdo fuša', ne moreš pričakovati, da bo to potem rešila požarna pregrada.
Cenovni razred rešitev je močno odvisen od zmogljivosti in naprednih (UTM) storitev, ki jih želiš imeti. Mnogi proizvajalci ponujajo ugodne 'all inclusive' pakete, ki se jih bistveno bolj splača jemati, kot pa zgolj eno samo storitev (npr. IPS).
Mene osebno pri tvojem opisu še najbolj iritira navedba 'malo podjetje', ker je to lahko zelo relativen pojem. Imaš mala podjetja, ki imajo internetno linijo 4/2Mbps, imaš pa tudi lahko malo podjetje, ki ima gigabitno linijo. Za ene je malo podjetje tako s tremi uporabniki, za druge tako s 25-imi. Tudi uporabniki se razlikujejo med seboj. Eni razen maila praktično ne uporabljajo interneta (npr. uporabniki v proizvodnji), medtem ko drugi iz linije iztisnejo še zadnji bit in se nebi pritoževali, če bi bila linija 3x zmogljivejša.
Če imate spletne serverje na lastni mreži, je tudi vprašanje, ali imajo strani na njemu mogoče 100 obiskov na dan, ali jih imajo toliko na sekundo.
Skratka cel kup parametrov in razmislekov, s katerimi si je treba biti na jasnem, predenj lahko začneš ugotavljati, katera požarna pregrada je najbolj primerna zate.
Kot končni uporabnik moraš biti zelo pozoren tudi na to, kako zahtevna je zadeva za upravljanje. Če je preveč komplicirana, se lahko dogaja, da pri konfiguriranju narediš napake, ki lahko ogrozijo varnost celotne postavitve in si na koncu na slabšem, kot si bil prej.
Priporočam ti, da si odgovoriš na zgornja vprašanja in ugotoviš, kakšno vrsto požarne pregrade želiš/potrebuješ in koliko zmogljiva naj bo. Ravno tako ugotovi, ali potrebuješ napredne UTM storitve in katere od njih. Potem pa malo pogooglaj, kaj se ponuja v katerem cenovnem razredu in preveri kam to paše v tvojem proračunu. Po potrebi ga prilagodi (izpod 400€ praktično ni naprednejših rešitev). Izberi nekaj potencialnih kandidatov in si jih pusti demonstrorati, da vidiš, če bi jih zmogel upravljati in kaj ti dejansko te rešitve nudijo. Razlike med 'datasheet-om' in dejansko uporabo so ogromne, zato se ne zanašaj preveč na skope informacije iz datasheet-ov - stvari je treba videti na lastne oči!
Lahko začneš z navadnim packet filtrom in ACL-i, ki definirajo kdo sme kam komunicirati na določenem portu, kaj več pa ne omogočajo. Dokaj podobne zmogljivosti imajo tzv. stateful packet filtri, ki jih najdeš v mnogih rešitvah, ki so lahko krmiljene preko ukazne vrstice, pa vse tja do kolikor tolikor všečnih spletnih vmesnikov.
Takšen 'navaden firewall' zgolj omejuje promet, se pa ne vtika vanj. Ker to marsikomu ne zadošča, so se sčasoma oblikovale dodatne rešitve od http proxi-jev, pa do naprednih IPS/IDS sistemov, s pomočjo katerih se skuša reševati pomanjkljivo varnost, ki jo nudi zgolj filtriranje portov.
Te dodatne rešitve so lahko dokaj kompleksne in zahtevne za upravljanje, zato so proizvajalci sčasoma začeli ponujati tzv. UTM rešitve, ki v eni napravi združujejo funkcionalnost požarne pregrade in prej omenjenih dodatnih rešitev. Namen je bil poenostavitev upravljanja in cenejše vzdrževanje, saj imamo opravka zgolj z eno rešitvijo namesto dveh do petih.
Potem se je zgodila še marketinška potegavščina, ki se ji reče 'Next Generation Firewall', ki za moje pojme v bistvu ni nič drugega kot UTM s sposobnostjo prepoznave aplikacij in uporabnikov.
Kot končni uporabnik ti je lahko čisto vseeno, kako nekdo imenuje svojo rešitev UTM ali Next Gen - bistveno je kaj je proizvajalec 'potlačil' v svojo škatlo, kakšna je kakovost teh 'storitev', kako preprosto (ali komplicirano) je upravljanje - in seveda cena za vse skupaj pri zmogljivosti, ki jo potrebuješ.
Ponavadi imajo vse požarne pregrade na nivoju stateful packet filtra čudovite prepustnosti. Čim pa vklapljaš dodatne servise, pa znajo te performanse rapidno padati, v nekaterih primerih celo do takšne stopnje, da uporabniki določene servise prično izklapljati, da bi bila rešitev sploh še uporabna. Zato je zelo pomembno, da smo pri nakupu pazljivi pri UTM prepustnosti rešitve za katero se odločamo. V najslabšem primeru se nam lahko zgodi, da smo plačali naročnine za IPS, AV,... in jih ne moremo uporabljati, ker je HW premalo zmogljiv. Ni malo kupcev, ki so gledali zgolj na 'firewall throughput' (zmogljivost zgolj paketnega filtra) in so bili potem razočarani!
Vsekakor pa samo požarna pregrada ne bo rešila težave s spletnimi stranmi in vdori vanje. Do določene mere lahko pomaga, če znaš izkoristiti njen potencial, vendar še veliko bolj bistveno je posodabljanje spletnih strežnikov, skript in pravilno (varno) programiranje spletnih aplikacij.
Varnost gledano v celoti, je kot orkester. Če eden v orkestru fuša, je cela predstava v riti, pa če ostali še tako dobro igrajo. Če spletna aplikacija 'grdo fuša', ne moreš pričakovati, da bo to potem rešila požarna pregrada.
Cenovni razred rešitev je močno odvisen od zmogljivosti in naprednih (UTM) storitev, ki jih želiš imeti. Mnogi proizvajalci ponujajo ugodne 'all inclusive' pakete, ki se jih bistveno bolj splača jemati, kot pa zgolj eno samo storitev (npr. IPS).
Mene osebno pri tvojem opisu še najbolj iritira navedba 'malo podjetje', ker je to lahko zelo relativen pojem. Imaš mala podjetja, ki imajo internetno linijo 4/2Mbps, imaš pa tudi lahko malo podjetje, ki ima gigabitno linijo. Za ene je malo podjetje tako s tremi uporabniki, za druge tako s 25-imi. Tudi uporabniki se razlikujejo med seboj. Eni razen maila praktično ne uporabljajo interneta (npr. uporabniki v proizvodnji), medtem ko drugi iz linije iztisnejo še zadnji bit in se nebi pritoževali, če bi bila linija 3x zmogljivejša.
Če imate spletne serverje na lastni mreži, je tudi vprašanje, ali imajo strani na njemu mogoče 100 obiskov na dan, ali jih imajo toliko na sekundo.
Skratka cel kup parametrov in razmislekov, s katerimi si je treba biti na jasnem, predenj lahko začneš ugotavljati, katera požarna pregrada je najbolj primerna zate.
Kot končni uporabnik moraš biti zelo pozoren tudi na to, kako zahtevna je zadeva za upravljanje. Če je preveč komplicirana, se lahko dogaja, da pri konfiguriranju narediš napake, ki lahko ogrozijo varnost celotne postavitve in si na koncu na slabšem, kot si bil prej.
Priporočam ti, da si odgovoriš na zgornja vprašanja in ugotoviš, kakšno vrsto požarne pregrade želiš/potrebuješ in koliko zmogljiva naj bo. Ravno tako ugotovi, ali potrebuješ napredne UTM storitve in katere od njih. Potem pa malo pogooglaj, kaj se ponuja v katerem cenovnem razredu in preveri kam to paše v tvojem proračunu. Po potrebi ga prilagodi (izpod 400€ praktično ni naprednejših rešitev). Izberi nekaj potencialnih kandidatov in si jih pusti demonstrorati, da vidiš, če bi jih zmogel upravljati in kaj ti dejansko te rešitve nudijo. Razlike med 'datasheet-om' in dejansko uporabo so ogromne, zato se ne zanašaj preveč na skope informacije iz datasheet-ov - stvari je treba videti na lastne oči!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | PFsense vs Sonic Wall (strani: 1 2 )Oddelek: Informacijska varnost | 18321 (14972) | Blisk |
» | Nov botnet na milijonih naprav IoT (strani: 1 2 )Oddelek: Novice / Varnost | 23107 (20379) | SeMiNeSanja |
» | Locky Virus (strani: 1 2 )Oddelek: Informacijska varnost | 27757 (24773) | Manna |
» | DIY: FW + IDS + IPS?Oddelek: Omrežja in internet | 1659 (1309) | SeMiNeSanja |
» | Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )Oddelek: Omrežja in internet | 22736 (19713) | NeMeTko |