DIY: FW + IDS + IPS?

Če te zanima DIY varianta, ti predlagam, da uporabiš malo boljšo oz. ne preveč staro mašino, pa gor inštaliraš požarni zid pfSense, zraven pa lahko dodaš še IDS/IPS, kot je Snort ali Suricata. Slednja bosta potrebovala malo več RAM-a za obratovanje (vsaj 1 giga). Sicer pa imajo na pfSense tudi komercialno podporo, sam požarni zid pa je zastonj.

http://www.pfsense.org

Koliko 'malo' je to 'manjše' podjetje? Kakšen throughput potrebuje?
Boš pri roki, da boš redno skrbel za update sistema in signatur?
Delaš to vsak dan, da boš lahko dal roko v ogenj, da je 'vodotesna' zadeva? Najbrž ne, sicer nebi spraševal?

Saj se 'da' narest stvar, samo če mene vprašaš, je to 'hobby varianta' - več se ukvarjaš s samim vzpostavljanjem zadeve, kot pa z dejansko varnostjo, ki naj bi bila namen postavljanja take zadeve.

Kaj je cilj? Prišparat 500€? Ne vem, koliko stane tvoja ura, niti koliko bi stalo podjetje, če jim internet pade dol za en dan, ker bi se ti 'nekaj podrlo' (crkne matična, disk,...).
V večini primerov, te na koncu takšna 'doma spacana' zadeva pride dražje, kot če uporabiš spodobno komercialno rešitev.
Če pa kot 'serviser' to ponujaš podjetju, pa na koncu lahko še tvoj ugled utrpi večjo škodo, kot je podjetje kvazi prihranilo.

Seveda je to moje osebno mogoče tudi malo pristransko mnenje, ker sam prodajam in inštalaram komercialne rešitve na tem področju. Vendar kljub temu, bi rekel, da naj se takšnih DiY zadev lotevajo le tisti, ki hudo dobro vedo, kaj počno in zakaj to počno.

Recimo nekaj takega se mi zdi zanimivo:

http://old.clearfoundation.com/Software...

Če realno gledaš, se da danes ny DiY osnovi zmetat skupaj kompletno UTM alternativo. Če to delaš vsakodnevno, si lahko celo že pripraviš kompleten image in ga samo še kopiraš.

Vprašanje pa je pri teh zadevah:
a) kako boš stvar upravljal
b) koliko časa vzame odkrivanje in odprava težav (kera komponenta jih ustvarja?)
c) kakovost signatur in posodabljanje
d) logiranje in analiza logov

Ker se te zadeve sestavljajo skupaj iz različnih komponent, moraš vsako posebej upravljat. Imaš niz konfiguracijskih datotek ali več spletnih vmesnikov, na koncu pa mora biti vse skupaj vigrano, drugače ne boš imel performans, ali pa še kakšne hujše težave (nezanesljivost delovanja)

Ker vsaka komponenta nekaj po svoje logira, moraš v primeru težav iskati po vrsti log datotek, ki imajo lahko še vsaka svoj format. Stvar lahko postane mazohistična, če s tem ne delaš vsakodnevno, da bi točno vedel v katerem grmu tiči zajec.

Signature in njihova kakovost so poseben problem. Imaš omejeno bazo AV signatur, kategorij Web strani, IPS signatur, za vse pa moraš še skrbeti, da se bodo samodejno posodabljale. Manjka pa ti potem še prepoznava aplikacij in povezava na AD, kar danes komercialni proizvodi že standarno nudijo.

Logiranje in analiza logov je lahko še pri komercialnih proizvodih težava - predvsem cenovne narave, ker mnogi proizvajalci kar zasolijo cene teh opcij.
Pri DiY pa imaš nekaj na Syslog, nekaj direktno v datotekah, v bistvi pa za vsak servis svoj lastni log. Pregleda skozi vse skupaj pa nimaš.

Če stvar ponujaš kot storitev, bi ti svetoval, da jim ponudiš eno ugodno komercialno rešitev, kjer se ne boš rabil ubadati s tem, kako vse skupaj sploh spraviti do delovanja, ampak se boš ubadal izključno s tem, kako stvar skonfigurirati za maksimalno možno varnost. Že s tem je lahko dosti dela, če stvar resno jemlješ, bodo pa tvoje ure bistveno bolj efektivno izkoriščene.
Ko pa bodo kakšne težave, jih boš veliko hitreje (ceneje) odpravil, kot bi jih na DiY rešitvi.

DiY je za nekam, kjer stvar postaviš in jo naslednjih nekaj let (razen posodabljanja) ne dotikaš. Problem pa je, čim zadevo skonfiguriraš do neke malo resnejše varnosti, da stvar ne moreš 'kar pustiti', ampak moraš stalno nekaj spreminjati na pravilih, čim se nekaj na mreži spremeni. Skratka te že sama zadeva zapelje, da pričneš sklepati neke kompromise na račun stopnje varnosti, da ti ne bo treba stalno nekaj 'čačkat', sploh ker to 'čačkanje' ni ravno pretirano elegantno.

Jasno pa da se te stvari vedno nekje zataknejo pri osnovni investiciji in kasnejšem vzdrževanju. Pri 5 uporabnikih, če so trije od tega 'odvisneži' (ne morejo brez - ali tako na veliko uporabljajo internet?), lahko dobiš 'kompletno rešitev' že za manj od 1100€, vključno z vsemi mogočimi servisi, naročninami na signature, logiranjem in analizo logov.

Če primerjaš s 'starim PC-jem', ki je vreden morda 200€, na katerem bi se zezal en teden po 4 ure dnevno, da bi upedenal polovico tistih storitev, ob uporabi manj kakovostnih javno razpoložljivih signatur, že ob tvoji najnižji urni postavki prideš na skupen znesek 800€ oz. 976€ z DDV. Vsega skupaj si potemtakem prihranil 100€ - ob znatno manj zmogljivi rešitvi

Seveda je treba tudi komercialno rešitev še skonfigurirati, tako da v končni fazi prideš na prihranek okoli 500€ - o katerem sem govoril na začetku, ki pa je za moje pojme hitro po vodi, če moraš na vse skupaj dati še nekakšno 'garancijo'.

Slaba stran komercialne rešitve je v bistvo kasneje, ko se pojavi strošek z obnavljanjem naročnine na signature. Ti so potem pri rešitvi tega ranga nekje okoli 400€ letno, kar pa v bistvu tudi ni konec sveta, če govorimo o kakovostnih signaturah.

Zato pa vprašam, ane ;)

DIY je meni ljuba zadeva, ker se rad igram... Očitno tukaj se finančno pač nebi splačalo, plan je pač bil, da nekaj malega zaslužim ob mojem igranju :) Kako bi na to gleda stranka raje nebi vedel :D

Kaj od komercialne zadeve bi torej predlagal?

Hvala!

AnotherMe je 26. maj 2015 ob 08:07 izjavil:

Dobro jutro!

Za manjše podjetje bi rabil boljšo zaščito od vgrajene v routerju. Razmišljal sem o stari kišti, in neki namenski open source programski opremi, ki bi nadomestila razmeroma drage komponente.

1. Se to sploh splača delat?
2. Kaj bi predlagali?
3. V primeru, da to ni smiselno, kakšne so alternative prijazne podjetniku, ki povsod špara?

Hvala za nasvete!

A znaš definirati kaj naj bi pomenilo "bi rabil boljšo zaščito od vgrajene v routerju"?

Podobno kot je napisal SeMiNeSanja;
Sosedje so "neumni" uporabniki, klikajo vse po vrsti in imam sedaj redne dvo do tritedenske obiske, ker je potrebno počisti računalnike ipd...
Pred kratkim je eden izmed njih fasal nek criptolocker na domači računalnik, ki ga je imel sinhroniziranega prek googledrive na služben računalnik - verjetno vam je jasno kako je bilo naprej? :)
Kakorkoli, zadevo smo uspešno rešili in je ostal samo brez parih fotk in nekih starih dokumentov, ki jih itak ne rabi več.
Je pa "incident" bil zadosti za motivacijo, da je zadevo treba v prihodnje preprečit.
Trenutno se postavlja backup, da v prihodnje vsaj brez datotek kdo ne ostane, naslednji korak pa je nek pametnejši sistem zaščite na sami mreži - tisti mali netgear routerček, ki jim ga je dal telemach ni nek presežek, predvsem manjka en pameten pregled nad tem kaj se dogaja na omrežju...

Zgoraj opisan primer je samo to, kaj je ljudi vzpodbudilo k razmišljanju, da pa mogoče le ni vse tako enostavno...