Juniper odkril podtaknjena stranska vrata v svojih napravah

90+% podjetij sploh ni v stanju ugotoviti, da je prišlo do kakšne kompromitacije omrežja. Če kaj odkrijejo, se to zgodi bolj po naključju, kakor pa kot posledica nekih uveljavljenih procedur in varnostnih politik.

FW/NGFW definitivno ni rešitev problema. Je zgolj eno od orodij, s pomočjo katerih lahko nazdiramo varnostno politiko, katero smo definirali na papirju in jo po potrebi tudi 'vsilimo'. Vendar se to nanaša zgolj na del varnostne politike izmenjave prometa med omrežji. Poleg te politike imamo še vrsto drugih, za nadzor katerih pa so bolj primerna kakšna druga orodja.

Dokler nekdo ne razume, da ima opravka z orodjem, se tudi ne bo poglabljal v to, kaj mu to orodje omogoča. Lahko imaš lovski nož ali pa švicarski nož s kopico orodij. Morda s švicarskim nožem ne boš najbolje rezal, boš pa vsekakor lahko z njim počel veliko več, kot z lovskim nožem.

Toda kaj, ko ljudjem tega ne moreš dopovedat. Zato potem tudi nihče ne preverja, kakšne možnosti ponujajo različni proizvodi. Dvorni dobavitelj jih prepriča, da bo najdražja rešitev rešila vse težave, pobaše maržo in ponikne. Kupec pa kot papagaj naokoli govori, da ima najboljšo rešitev, kar jih je - ne da bi sploh vedel, kaj dejansko omogočajo ostale, ki so še na voljo na trgu.

Od tod tudi Hype, da samo PaloAlto, Cisco in CheckPoint kaj veljajo - koliko teh, ki to govorijo, je sploh preizkusilo še kaj drugega, kaj v praksi omogoča?

Koliko vas, ki imate veliko za povedati o FW/NGFW, je v praksi preizkusilo vsaj 5-6 različnih rešitev? Koliko vas je preizkusilo vsaj 3 rešitve, ki niso PA, Cisco, CheckPoint ali Juniper? Si na osnovi tega upate trditi, da ste poznavalci tega področja?

Če poznaš tehnologijo (ne vezano na vendorja), potem ti je dejansko vseeno katerio vendor.

Ravno ČE poznaš tehnologijo, potem bi moral vedeti, da njene implementacije lahko segajo od obupno pa do porazno, s kakšno svetlo izjemo sem pa tja. Kako potem ni pomembno, kateri vendor?

Za FW/NGFW testiranje potrebuješ, če imaš kakšne specifične zahteve

Specifična zahteva, ki jo mora imeti VSAK uporabnik je dobra upravljivost rešitve.
Trditev, da ne potrebuješ testiranja, je popolnoma zgrešena, saj brez testiranja nikoli ne boš vedel, katera rešitev ti omogoča lažje, bolj pregledno in logično upravljanje. Taka trditev gre na roke kvečjemu dvornemu dobavitelju, ki stranki rine rešitev, pri kateri bo sam imel največji zaslužek, pa ga je strah, da stranka nebi slučajno ugotovila, da lahko za pol manj denarja dobi rešitev, ki ji je celo bolj na kožo napisana, s katero bo bolj neodvisna od 'ekspertne podpore', katero ji nudi dvorni dobavitelj (seveda ne brezplačno).

Dajte že enkrat nehat vse rešitve metat v isti koš. Različne rešitve imajo različne prednosti in slabosti. Brez testiranja, te lahko vsak dvorni dobavitelj na suho nategne, da je njegova 'tista ena in edina', katero moraš vzeti. Naivnih kupcev pa je kot plevja, ki temu nasedejo, na koncu pa še naokoli govorijo, da je njihova rešitev alfa in omega - ne da bi kdajkoli sploh preizkusili katero drugo.

Dajte malo pogledat, kaj svojim strankam ponujajo 'ta veliki' - SRC, SNT, Astec, Nil,...
Ugotovili boste, da ponujajo izključno najdražje rešitve, pri katerih največ zaslužijo.

Dell SonicWall, Fortinet in WatchGuard so po NSS labs testih med top rešitvami - pa vam jih NOBEDEN od 'velikih' ne bo ponudil - ker premalo zaslužijo z njimi! Prodajalci so pač plačani po doseženi realizaciji, pa jim je bolj v interesu prodati škatlo za 20.000€, čeprav bi lahko ekvivalentna rešitev za 5.000€ od kakšnega 'manj imenitnega' proizvajalca, kupcu nudila celo več!

Ves ta 'nateg' pa si lahko privoščijo ravno zato, ker naivni kupci sami ne testirajo rešitev, da bi se prepričali, kaj dejansko katera ponuja.

Presneto - še z avtom greste na probno vožnjo pred nakupom, za hightech rešitev, pa svetujete, da ni potrebna nobena 'testna vožnja'?

aleksander10 je 3. jan 2016 ob 13:51 izjavil:

Največ bi morali zaslužiti z njihovo dodano vrednostjo (znanjem,podrpora, načrtovanje, itd) ne z maržo na sami škatli. Žal je tistih drugih več kot teh prvih, zato pa je stanje v Slo IT takšno kot je.

TO tudi jaz že leta pridigam!

Ampak očitno prodajniki ne dojamejo, da bi morali prodajati storitve, ne pa škatle. Ko bodo v prvem planu storitve oz. 'dodana vrednost', se bodo pričeli spogledovati tudi z ugodnejšimi rešitvami, s katerimi bi si 'odprli vrata' do novih strank, ki nimajo proračun v višini več desettisoč € samo za škatlo.

Seveda imaš problem z prodajo storitev, če je stranka porabila celotni predvideni proračun zgolj za škatlo. Stranka bo na koncu sama nekaj 'improvizirala', vse skupaj pa ne bo niti približno to, kar bi moralo biti.

Pozabljamo pa še na eno področje, ki se mu reče 'audit'. Karkoli nekdo nastavi, bi moral nekdo tretji pregledat. Žal je resen audit inf. sistemov precej zahtevna in draga zadeva. Imaš en kup 'penetracijskih testerjev', kar pa je spet čisto druga zadeva. Manjka se ponudbe nekih 'osnovnih' auditov, ki bi bili dovolj poceni, da bi si jih lahko vsakdo privoščil, nebi pa šli v nevem kakšne globine. Toliko, da te opozorijo na zadeve, ki se jih vidi že iz aviona, če so ti stvari šlihtali šalabajzerji.

Če nimaš strokovnega kadra, ne moreš sam preceniti, kakšno konfiguracijo ti je nekdo postavil. Postavljalcu ne boš verjel, da bi nujno potreboval še 3 dni dela, da bi vse skupaj optimiziral. Lahko mu celo plačaš 3 dneve dela, pa na koncu implementacija ne bo na nivoju najosnovnejših dobrih praks, kaj šele standardov. Kupuješ mačka v žaklu.

Na slovenskem se je v zadnjih letih razpaslo en kup podjetij, ki prevzamejo 'skrbništvo' nad omrežjem. Večinoma 'obvladajo' vse po vrsti. Vprašanje pa je, na katerem nivoju stvari 'obvladajo' in koliko se dejansko posvečajo 'nepomembnim podrobnostim'. Saj je lepo, če zaupaš takemu izvajalcu. Še bolje pa je, če si lahko privoščiš nekoga, ki zadevo periodično pregleda in opozori na morebitne pomanjkljivosti. Če so te manjše, jih bo skrbnik odpravil in se morda še sam kaj naučil. Če so pa velike, pa vsaj veš, da je skrajni čas, da zamenjaš skrbnika.

pegasus je 3. jan 2016 ob 23:22 izjavil:

SeMiNeSanja je 3. jan 2016 ob 22:52 izjavil:

Ko bodo v prvem planu storitve oz. 'dodana vrednost',

Zato eni že 15+ let furamo samo linuxe, pfsense in mikrotike ;) Ker če se res osredotočiš na dodano vrednost, potem zelo zelo težko prikažeš smisel v dragih branded škatlah.

Saj to je problem, da se prenapihuje ekstremno visoke cene 'branded' škatel.

To je tako, kot če bi trobil naokoli, da se je treba voziti s kolesi, ker so vsi 'branded' avtomobili dragi kot žafran - pogovarjali pa bi se ves čas samo o cenah luksuznih avtomobilov, pozabili pa da obstaja tudi nek srednji razred, ki te ravno tako prepelje z mesta A na mesto B, le z malo manj blišča in zavistnih pogledov.

Kolo ali luksuzna limuzina sta dve skrajnosti. Ja, tudi s kolesom boš prišel kamorkoli boš hotel - celo okoli sveta so se že pripeljali s kolesom. Pa bi priporočil kolo svojemu kolegu za pot okoli sveta? Kaj če nimaš ustrezne kondicije? Kaj če začne padati dež? Poleti najbrž res ne boš pogrešal klime, ki jo imaš v avtu. Kaj pa gretje pozimi?

Kot rečeno, se neprestano pogovarjamo o dveh cenovnih skrajnostih, tisto zlato sredino pa se lepo spregleda, ker se ljudje samoiniciativno ne pozanimajo, kaj je sploh na voljo. Marketing 'velikih' pa jih prepričuje, da so najdražje rešitve edine učinkovite.

Če greva definirati neko napredno varnostno politiko in jo bova poskusila implementirati vsak na svoji platformi - ti na Linuxu/pFsense/Mikrotik, boš hitro moral priznati poraz, ker določene stvari na teh platformah sploh ne boš mogel implementirat, za druge pa boš potreboval BISTVENO več časa (strankini €€€). Pri tem pa boš po precej veliki verjetnosti TI edini, ki bo vedel, kaj si sploh 'implementiral' in bo stranka v resnih težavah, če bi se iz kateregakoli razloga razšla s teboj. Tvoj nasledik, verjetno sploh nebi raziskoval zadevo, ampak bi vse skupaj implementiral na novo.

Seveda imaš različne scenarije. V nekatere paše tudi Linux/pFsense/Mikrotik - umetnost pa je pravilno presoditi, kdaj še delaš uslugo stranki, da ji svetuješ takšno rešitev, kdaj pa bi bilo bolje predlagati nekaj drugega.

Jupito je 4. jan 2016 ob 02:09 izjavil:

pegasus je 1. jan 2016 ob 16:32 izjavil:

Nisem vedel, da imamo tudi v net-sec svetu toliko fanboisma ...

Čakaj, da šele kakšnega trgovca srečaš tule. Wink. Wink.

Ne gre se za fanboyizem, temveč za silni razkorak med teorijo in prakso.

Če si vsaj malo strokovnjaka, ne boš delal za manj kot 50€/uro. SPODOBNO Linux/pFsense zaščito, ki bi bila funkcionalno vsaj približno ekvivalentna eni sodobni z vsemi moduli boš postavljal in konfiguriral na kožo stranki najmanj en teden, pa še bo kje štekalo.

Če stvar postaviš na eno skromno mašino za 200€, boš tako že na 2200€.

3/4 strank potem zadevo ne bo znalo posodabljati, naresti kakšno prilagoditev, nadzirati dogajanja, kaj šele, da bi imela na voljo kakšna poročila.
Torej bo odvisna od implementatorja, ki je edini, ki se mu sanja, kako se pedena zadevščino. Škatla bo nekaj delala, ampak kdo bo stranko opozoril, če se dogaja kaj nenavadnega na mreži? Bo morala torej plačati še mesečno vzdrževanje? Koliko?

Kje je potem prihranek za stranko?

V teoriji seveda vsi trdite, kakšne super variante se da sestaviti na Linux/pFsense. Ko pa hočeš videt to super implementacijo, pa na koncu nima praktično nihče kaj dosti več za pokazat kot goli pFsense z peščico firewall pravil. Če kje naletiš na kakšno RESNO konfiguracijo, je to že pravi čudež. Dejansko vsi nakladajo, kaj se DA naresti, ZNA pa le redko kdo.

Poleg tega stranka, ki se odloči za pFsense, se ne odloči zanj zaradi njegove tehnične superiornosti, temveč zato, ker meni, da ji proračun kaj več od tega ne dovoli. S tem je potem tudi jasno, da ji proračun ne bo prenesel kakšne resne napredne konfiguracije.

Potem pa še ostane odprto vprašanje performans takšne na kup znešene rešitve, ki bi imela funkcionalnost na nivoju komercialne UTM/NGFW rešitve. Gledaš pFsense stran, na kateri ponujajo fancy škatle - pri nobeni pa ne zmorejo napisat, kakšno prepustnost ti bo dejansko omogočala. Potem pa izberi ta pravo...?

čuhalev je 4. jan 2016 ob 09:32 izjavil:

Koliko mi lahko UTM/NGFW pomaga, če gre promet večinoma preko TCP 443. Kakšne podrobne analize se lahko ugotovi? Zaenkrat vidim, da lahko pregleduje, ali gre za SSL promet ali ne. V primeru SSL podrobnejša analiza ni možna ...

Ima kdo kakšen seznam/smernice na kaj je potrebno biti pozoren pri nadzoru omrežja?

Današnje rešitve večinoma znajo nadzirati https promet enako kot http.
Seveda pa moraš na kliente naložiti certifikat požarne pregrade, sicer ne vidiš, katere povezave so zaupanja vredne, katere pa ne.

'Slep' si samo za https povezave, kjer imaš obojestranski certifikat (sigenca, nlb, poštarca na klientu). Tu vidiš domeno, kam gre promet, kar gre tudi v statistiko. Ker pa se pri teh domenah običajno gre za 'zaupanja vredne' in občutljive destinacije, takointako nebi izvajal DPI-ja na teh povezavah.

Za običajni https, pa lahko izvajaš od filtriranja spletnih strani po vsebini, prepoznavo aplikacij, AV preverjanje, IPS,...

Seveda to ne velja za prav vse rešitve. Zato je toliko bolj pomembno, da se prepričaš, kaj pravzaprav kupuješ (testiranje!!!).

čuhalev je 4. jan 2016 ob 09:32 izjavil:

Koliko mi lahko UTM/NGFW pomaga, če gre promet večinoma preko TCP 443. Kakšne podrobne analize se lahko ugotovi? Zaenkrat vidim, da lahko pregleduje, ali gre za SSL promet ali ne. V primeru SSL podrobnejša analiza ni možna ...

Ima kdo kakšen seznam/smernice na kaj je potrebno biti pozoren pri nadzoru omrežja?

Rabiš SSL intercept škatlo še :D kakšen F5 :) Kakšni UTM/NFGW pa sami podpirajo SSL decrypt, da lahko pregledujejo kaj je v SSL prometu.

gdo stoji za stranskimi vrati
https://cryptome.org/2015/12/gchq-junip...

https://theintercept.com/2015/12/23/jun...

gdo stoji za stranskimi vrati

Kdo, grammar nazi out.

Presenečenje za koga sploh ?