» »

PFsense vs Sonic Wall

PFsense vs Sonic Wall

«
1
2

Blisk ::

Kaj je bolje Pfsense ali Sonic Wall?
Kakšne so prednosti in slabosti?
Menda je Pfsense vedno slabši iz leta v leto.

SeMiNeSanja ::

SonicWall je pa boljši? Kot berem na forumih, jim je ogromno uporabnikov ušlo, ko jih je kupil Dell. Pod Dellom so hirali kar dolgo, dokler jih ta ni prodal investicijskim skladom. Sicer se najdejo tudi kakšni, ki SonicWall hvalijo, ampak jih je vse manj in niso pretirano glasni.

Drugače pa si ubral povsem napačno primerjavo. PFSense spada v povsem drugo kategorijo požarnih pregrad kot SonicWall.
Na spletu je kup entuziastov, ki se na PFSense navdušujejo predvsem zato, ker je odprtokodni in uporabnika nič ne stane. Poganjaš ga lahko na kakšni stari škatli, lahko ga nadgrajuješ z raznorazno odprtokodno šaro. Tu se pa potem tudi skriva past, da se ti lahko enega dne vse skupaj sesede, ker ena od komponent, ki so znešene vkup iz vseh vetrov, nekje zaštrika, ko jo boš posodabljal.
Poleg tega na PFSense nimaš na voljo naprednih varnostnih storitev, ki so danes ena od bistvenih komponent sodobnih požarnih pregrad. IPS, ki ga poganjajo na PFSense uporablja dejansko zastarele signature (Talos jih po 30 dneh da v brezpalačno uporabo), kar pomeni, da si rahlo bos pred vsem kar je novejše - razen če skleneš naročnino in plačuješ za naročnino.
Potem pa počasi že postane vprašljivo, če se ti sploh splača ukvarjati s to krparijo, ker za malenkost več denarja na kakšni sodobnejši rešitvi lahko že dobiš zaokrožen komplet varnostnih storitev.

Pri Sonicwall ni ničesar brezplačnega. Je običajna komercialna rešitev. Primerjaš ga lahko z drugimi rešitvami, kot npr. Fortinet, Sophos ali WatchGuard.
Ko sem nazadnje bolj podrobno gledal in ga primerjal z WatchGuardom, pride SonicWall za enako UTM prepustnost 100% dražji od WatchGuarda. Pa ni precenjen samo glede na performanse, precenjen je tudi glede na možnosti, ki jih nudi za filtriranje in glede na kakovost varnostnih storitev.
Ampakše vedno se najdejo kakšni, ki se ne pozanimajo, kaj vse na trgu obstaja in se pustijo zavesti v nakup, na koncu pa ga še celo hvalijo - ker česa drugega niti ne poznajo.

Jaz vsakemu lahko samo svetujem, da naj testirajo čim več različnih rešitev, predenj se odločijo za nakup.

Blisk ::

Gledal sem namreč tole zato sem vprašal.
https://www.netgate.com/solutions/pfsen...

SeMiNeSanja ::

To je v bistvu zgolj škatla - PFSense je itak brezplačen.
Ponujajo pa ti zraven tehnično podporo za PFSense, ki niti ni tako poceni.

Sama škatla pa glede na porte ni ravno optimalno konfigurirana za tipično slovensko poslovno omrežje - ima bistveno premalo UTP priključkov... Za $999 ti ponujajo drugo škatlo z Atom procesorjem in 8 UTP porti....

Problem pri PFSense je ta, da nikoli v naprej ne veš, koliko boš v praksi dejansko uspel stlačiti skozenj. Navajajo neko število connection-ov, ki pa ne pove praktično nič o prepustnosti.

Ali ti samo 'gledaš' in firbcaš, ali imaš kakšno konkretno potrebo? Za podjetje? Za doma je tista mašina, ki si jo gledal, takointako overkill...

Blisk ::

Za podjetje kjer je cca 90 klientov, ne bi kupoval nekaj kar moraš vsako leto plačevati licence, ki so precej drage in to nanese par jurjev.

SeMiNeSanja ::

Blisk je izjavil:

Za podjetje kjer je cca 90 klientov, ne bi kupoval nekaj kar moraš vsako leto plačevati licence, ki so precej drage in to nanese par jurjev.

To je zelo relativno.

Prvo se moraš vprašat zakaj pravzaprav gledaš novo požarno pregrado.
Ali jo zgolj zato, da se boš kasneje, ko bo šlo kaj narobe, lahko izgovarjal 'saj sem nabavil novo požarno pregrado'? Upam, da ne.
Če je ves problem v denarju, potem ostani na tem, kar imaš. pfSense te takointako ne bo bistveno bolje zaščitil. Mogoče bo nova mašina delala malo hitreje kot stari router ali karkoli že imaš, ampak čudežev ne bo delala. Škoda denarja.

Naloži denar v BTC-je, tko za vsak slučaj, in stvar je rešena. Dokler ne crkne, bo tudi stara kišta opravljala svoje delo (saj menda niste menjali na 10Gbps povezavo?). Ko stara crkne, pa greš pa na Bolho ali Ebay po nadomestno. 200€ max.

Podobno lahko tudi rečemo za AV, ki ga imajo vaši uporabniki na računalnikih. Škoda metati denar proč. Takointako moraš imeti backup, kaj boš potem še z antivirusom, pa da vsako leto zanj plačuješ še vzdrževanje...

Kaj pa službeni avtomobili? Vsako leto registracija, servisi,...? Zakaj ne preiti na službena kolesa? Bo ceneje!

Razumeš, kaj hočem povedat?

Ste res tako bogati, da lahko šparate na najbolj kritičnem delu infrastrukture?

Vrni se na sam začetek vprašanja: ZAKAJ kupuješ požarno pregrado? Zakaj sploh imeti požarno pregrado?

Verjetno ne zato, ker si nekje prebral, da jo je baje dobro imeti?
Verjetno zato, da bo ščitila tvoje omrežje.
Verjetno ne pred grožnjami, kakršne smo poznali 10, 20 let nazaj - ampak pred današnjimi, aktualnimi?
S kolikšno verjetnostjo naj te obrani pred kakšno resnejšo grožnjo? 10%? 50%? 90%? Več?

No, tu pri teh odstotkih pa se zatakne. Tiste 'drage licence' niso licence, temveč naročnine na varnostne storitve. Te storitve vsaka zase malo po malo dvigujejo tisti odstotek verjetnosti, da te bo naprava zmogla obraniti pred kakšno grožnjo. Brez teh varnostnih storitev si danes praktično bos. Imaš filter, ki je pesek v oči. Nekaj omejuje, samo ne tisto, kar je najbolj problematično - današnji malware.

Ne vem, s čem se v podjetju ukvarjate. Zato tudi ne morem presoditi, kolikšno škodo bi vam lahko povzročil kakšen malenkost resnejši incident. V praksi je ta škoda zelo hitro večja, kot pa znašajo vse možne naročnine na najdražji požarni pregradi primerni za tvoje omrežje.

Pa da popravim tisto tvojo prvotno trditev, češ da je pfSense iz leta v leto slabši. Ne drži. Zgolj manj učinkovit je iz leta v leto!
Grožnje vsakodnevno napredujejo. pfSense pa je praktično še vedno isti kot pred leti.

Če se nebi rabil bati pri vsaki nadgradnji ene od dodatnih komponent, da se bo kje kaj zataknilo, bi bil pfSense v določenih scenarijih odlična rešitev. Tudi brez dodatkov je lahko odličen za določene namene. Ampak tu se potem moraš zavedati česa je sposoben, česa pa ne. Definitivno pa ga nebi uporabljal (razen mogoče v skrajni sili) za prehod med internetom in omrežjem, na katerem se nahajajo poslovni uporabniki.

Blisk ::

Trenutni firewall je skoraj kot da ga ni, nekaj kot je naprimner že vgrajeno v windows server 2012.
Drugo kar je podatki niso znanstvena fantastika, če tudi bi kdo uspel karkoli dobiti jim nič ne koristi.
Torej karkoli od firewala kupim, bo bolje kot je sedaj, vprašanje je samo kolikšni bodo stroški.

SeMiNeSanja ::

Ali si že kdaj imel kakšen 'spodoben' firewall v rokah?

Jaz bi ti svetoval, da pri dveh, treh ponudnikih zaprosiš za demo, da sploh vidiš, za kaj se pri celi zgodbi gre. Da ti vsak malo predstavi svojo zgodbo, ti jih pa naluknjaš z vprašanji in se o celi zadevi temeljito podučiš.

Nekaj si omenjal SonicWall. Si morda pridobil ponudbo za SonicWall, pa je prebila 'prag tolerance'? Naj ti pokažejo, kaj za ta denar dobiš. Naj ti posodijo enega, da vidiš, kako se zadeva obnese na tvojem omrežju.

Ko se enkrat nagledaš različnih rešitev in presodiš, katera je najbolj optimalna, boš veliko lažje presodil, koliko bi bil pripravljen nameniti za varovanje svojega omrežja.

Najslabše pa je sprejemati odločitve, ne da bi se bolje pozanimal. Saj te stane samo čas, naučiš se pa lahko zelo veliko. Pa ne le o požarnih pregradah - pogosto tudi o lastnem omrežju in uporabnikih na njemu.

SmeskoSnezak ::

SeMiNeSanja je izjavil:

Ali si že kdaj imel kakšen 'spodoben' firewall v rokah?

Jaz bi ti svetoval, da pri dveh, treh ponudnikih zaprosiš za demo, da sploh vidiš, za kaj se pri celi zgodbi gre. Da ti vsak malo predstavi svojo zgodbo, ti jih pa naluknjaš z vprašanji in se o celi zadevi temeljito podučiš.

Nekaj si omenjal SonicWall. Si morda pridobil ponudbo za SonicWall, pa je prebila 'prag tolerance'? Naj ti pokažejo, kaj za ta denar dobiš. Naj ti posodijo enega, da vidiš, kako se zadeva obnese na tvojem omrežju.

Ko se enkrat nagledaš različnih rešitev in presodiš, katera je najbolj optimalna, boš veliko lažje presodil, koliko bi bil pripravljen nameniti za varovanje svojega omrežja.

Najslabše pa je sprejemati odločitve, ne da bi se bolje pozanimal. Saj te stane samo čas, naučiš se pa lahko zelo veliko. Pa ne le o požarnih pregradah - pogosto tudi o lastnem omrežju in uporabnikih na njemu.

Nekje sem bral, da Fortinet uporablja ogromno korporacij. A ves mogoce, kako "boljsi" je od WatchGuarda, ki ga ti omenjas?
@ Pusti soncu v srce... @

Zgodovina sprememb…

SeMiNeSanja ::

SmeskoSnezak je izjavil:

Nekje sem bral, da Fortinet uporablja ogromno korporacij. A ves mogoce, kako "boljsi" je od WatchGuarda, ki ga ti omenjas?

'Boljši' je predvsem v tem, da ponuja bistveno 'večje' škatle - kar pa je za 'malega uporabnika' povsem irelevantno, saj nimaš nič od tega, da veš, da obstaja od istega proizvajalca tudi škatla, katera zmore 155Gbps prepustnost, če je zate že 4Gbps polni overkill.

Naša podjetja spadajo v SME segment, zato je pogledovanje proti Enterprise rešitvam pogosto bolj v škodo, kot korist - sploh ko se gre za požarne pregrade. Kljub temu pa marsikateri uporabnik dela to napako.
Zahteve v velikih korporacijah se precej razlikujejo od tistih v SME segmentu. Pri Enterprise uporabnikih je požarna pregrada zgolj eden od varnostnih sistemov. Imajo ločene namenske IPS sisteme, namenske filtre za spletni promet in pošto in še kup drugih specializiranih rešitev, katere si v SME segmentu že zaradi upravljalskega bremena ne moreš privoščiti, tudi če bi ti finančno zneslo.
Posledično pa Enterprise rešitve ne omogočajo marsikatere banalne zahteve, na katero naletiš le v manjših SME okoljih. To ti je nekako tako, kot če primerjaš kamion in osebni avto ali avtobus in osebni avto. Vsak je prikrojen potrebam ciljnega trga.

Seveda ima Fortinet tudi kar opazen tržni delež v SME segmentu, vendar je to bolj posledica prodajne mreže in trženja, kot pa dejanske 'optimalnosti'.
Dejansko me je zabaval lanskoletni Gartner, ki je Fortinet prikazal kot 'zmagovalca', istočasno pa v opisu zapisal opozorila, po katerih je 'zmagovalna' pozicija popolnoma neupravičena:

CAUTIONS
    - Capabilities: Fortinet lags behind its direct competitors in cloud-based management that appeals to distributed offices in cloud
    enthusiast industries, such as retail and education. FortiCloud is Fortinet's first step in providing centralized management from a cloud
    portal. It integrates FortiView, but lacks fully featured centralized management of the configuration.

    - Malware prevention: Fortinet has a small base of customers using its cloud-based network sandboxing feature. Surveyed resellers
    report the lowest deployment rate of network sandboxing for vendors evaluated in this research. It also gets a low satisfaction score for
    the quality of its HTTPS decryption feature.

    - Customer experience: Surveyed clients and resellers expressed concerns about the lack of intuitiveness of the management console.
    Gartner also observed similar issues with clients managing distributed offices with a small in-house team.

    - Customer experience: Fortinet customers have reported difficulty in obtaining easy, responsive support from the Fortinet ecosystem.

    - Sales strategy: Gartner has observed that list prices in proposals outside of North America can be significantly higher than in the U.S.
    While a small uplift is expected, Fortinet clients outside of North America should verify competitive pricing propositions and not rely
    only on Fortinet's reputation for good pricing.


Na koncu pa ima še vsak uporabnik svoje lastne kriterije, želje, zahteve.
Na splošno se v Sloveniji kupci bistveno preveč zanašajo zgolj na marketinško govoričenje, mnogo premalo pa zahtevajo dejansko demonstracijo in evaluacijo rešitev pred nakupom.

Sicer pa se tudi ne vozimo vsi s Vokswagni. Zakaj bi potem vsi uporabljali požarne pregrade istega proizvajalca?

SmeskoSnezak ::

In katere resitve od "velikanov" ti priporocas SMEjem? Kajti tudi WatchGuard ima nekatere resitve za corp. V srednjem segmentu se najde "huda" konkurenca. Katera podjetja izstopajo, pozitivno seveda?
@ Pusti soncu v srce... @

SeMiNeSanja ::

SmeskoSnezak je izjavil:

In katere resitve od "velikanov" ti priporocas SMEjem? Kajti tudi WatchGuard ima nekatere resitve za corp. V srednjem segmentu se najde "huda" konkurenca. Katera podjetja izstopajo, pozitivno seveda?

Največji del NGFW/UTM pogače si delijo (po abecedi) Fortinet, SonicWall, Sophos in WatchGuard.
Potem pa imaš še cenovno višji segment z CheckPoint, Cisco in PaloAlto. Te po večini prodajajo 'veliki integratorji', ki imajo svoje stranke čvrsto v rokah in jim še na kraj pameti ne pade, da bi jim ponudili kakršnokoli cenovno ugodnejšo alternativo.
Nekaj pa je še 'eksotov', ki iščejo priključek k 'glavnini': Barracuda, Hillstone, Stormshield, Untangle, ...
Juniper pa vse bolj izgublja pozicijo. Je nekje tam, kjer je bil Cisco, predenj so na ASA naprave 'prilepili' Firepower Services. Jih pa tudi tepe izredno visok padec performans, ko vklopiš varnostne storitve - zaradi česa moraš že v štartu kupiti veliko zmogljivejšo (beri: dražjo) napravo.

Pri nas je drugače Cisco zgodovinsko zelo močno zasidran. Imaš kup uporabnikov, ki sploh ne bodo pogledali karkoli, kar nima Cisco logo na ohišju. Dejansko pa je v praksi večina Cisco ASA naprav pri nas prodanih brez kakršnekoli varnostne storitve, celo brez IPS. Tako opravljajo nalogo, ki bi jo lahko tudi Mikrotik za 20x nižjo ceno. Takle mamo.... nimaš kaj.

Na koncu ima vsak proizvajalec neko svojo zgodbo in vizijo. Če si pameten kupec, greš od enega do drugega, jih poslušaš in se učiš. Potem razmisliš, kaj je tvoja zgodba in vizija (ter proračun) in si izbereš tisto rešitev, ki se najbolj ujema s tvojimi potrebami.

aleksander10 ::

Hit na performance imajo dejansko vsi, še posebej UTM zateve. Razlika je samo v tem, da eni priznajo, drugi pač ne. Pa še težko je primerjati naprave med seboj, če ne uporabljaš enake pogoje z vse. Eni celo goljufajo pri meritvah. Takle pač imamo.

Sicer pa vse te zadeve zgubljajo na vidlivosti, ker je pač zmeraj več prometa enkripticiranega in ga NGFW ne vidi. Tudi MTM za decoding ne pomaga, ker spletne strani že znajo prepoznati, če kdo sedi vmes. To še vedno ne pomeni, da je NGFW nepotreben. Še vedno je zelo potreben, samo moraš vedeti za kater promet in v katere smeri. Vse zadeve se sedaj selijo na endpoint, kjer se promet začne oz. predno se začne in seveda odkrivanje zlonamernih zadev restrospektivno glede na promet, ki se je odvijal na omrežju.

Zadeve v omrežju, tudi SMB-ju oz. SME morajo govoriti med seboj oz. se zavedati en drugega in si izmenjevati informacije (preko API-jev).
Npr. Cisco umbrella, ki govori z FireEye ali Checkpoint sandbox-om.

Security je kompleksna zadeva in nekateri se le tega lotevajo zelo pavšalno.
SeMiNeSanja je lepo napisal, da kupijo škatlo/e in si zatiskajo oči, da so sedaj varni. Žal ni tako preprosto.

SmeskoSnezak je izjavil:


Pri nas je drugače Cisco zgodovinsko zelo močno zasidran. Imaš kup uporabnikov, ki sploh ne bodo pogledali karkoli, kar nima Cisco logo na ohišju. Dejansko pa je v praksi večina Cisco ASA naprav pri nas prodanih brez kakršnekoli varnostne storitve, celo brez IPS. Tako opravljajo nalogo, ki bi jo lahko tudi Mikrotik za 20x nižjo ceno. Takle mamo.... nimaš kaj.


Zakaj Mikrotik, lahko ena stara škatla pa linux/openbsd gor pa FW sw pa si na konju :) LOL
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

Zgodovina sprememb…

darkolord ::

Zakaj Mikrotik, lahko ena stara škatla pa linux/openbsd gor pa FW sw pa si na konju :) LOL
Ker je vseeno bolj zanesljiv kot "ena stara škatla".

SeMiNeSanja ::

Kjer jaz vedno zavijem z očmi, so izjave kakšnih uporabnikov, ki bi radi imeli požarno pregrado in nekakšno varnost, s katero bi se rabili ukvarjati ene toliko, kot s kakšnim glupim switchem. Blackbox, set&forget.

Varnost pač ne funkcionira po sistemu 'nastavi in pozabi'. Saj tudi varnostne kamere ne postaviš, da jih potem ne bo nihče gledal.
Seveda pa bo bistvena razlika, kako pozorno vratar ali varnostnik gleda sliko varnostnih kamer v banki ali veleblagovnici, v primerjavi z neko garažo, parkiriščem,...

Enako pa velja tudi za varnost omrežja. Nekje se bistveno bolj pozorno spremlja dogajanje, drugod pa samo vsake toliko pogledaš, če so kakšni izredni dogodki. Nikoli pa ne smeš pozabiti nanjo, ker si potem izničil 3/4 tega, v kar si investiral.

aleksander10 ::

darkolord je izjavil:

Zakaj Mikrotik, lahko ena stara škatla pa linux/openbsd gor pa FW sw pa si na konju :) LOL
Ker je vseeno bolj zanesljiv kot "ena stara škatla".

Če nisi zaznal sarkazma, ti ne morem pomagati.
Ja Mikrotik je bolje kot nič, amapk je res samo bolje kot nič. Nič več kot to.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Še zmeraj imam raje popatchan aktualni Mikrotik, kot pa staro ASA škatlo s firmware-om izpred 10ih let (ki jih je še malo morje po slovenskih omrežjih) - pa čeprav bi v obeh primerih delala popolnoma isto nalogo.

Zgodovina sprememb…

darkolord ::

Ja Mikrotik je bolje kot nič, amapk je res samo bolje kot nič. Nič več kot to.
Bullshit.

SeMiNeSanja ::

Mikrotik je predvsem za svoj denar odličen usmerjevalnik.
Kot firewall pa je samo A od ABECEDA.

Tisti A je pred 20 leti povsem zadoščal. Danes pa še cela ABECEDA ne more s 100% zanesljivostjo jamčiti, da se ti ne more zgoditi kakšna štala, čim imaš še uporabnike v igri.

SeMiNeSanja ::

Sicer pa sem zadnjič imel zanimivo diskusijo z namestnikom informacijske pooblaščenke, ki pravi, da so že kaznovali podjetja, ker so imela neprimerno zaščito omrežja, z ZVOP-2 in GDPR pa bo tega samo še več.

In ne verjeti raznim odvetnikom, da bodo oni 'rešili' vse GDPR zahteve. Ni vse zgolj na papirju. Kar nekaj je tudi na dejanski zaščiti omreža in sistemov.

aleksander10 ::

darkolord je izjavil:

Ja Mikrotik je bolje kot nič, amapk je res samo bolje kot nič. Nič več kot to.
Bullshit.

Lahko je pljuvati, težje dokazati.

Miktrotik je router in ne FW, oz se dela da je tud FW.
Tudi Juniperju se ni izšlo mešanje routerja in FW sw-ja zato je tam kjer je.

SeMiNeSanja je izjavil:

Mikrotik je predvsem za svoj denar odličen usmerjevalnik.
Kot firewall pa je samo A od ABECEDA.

Tisti A je pred 20 leti povsem zadoščal. Danes pa še cela ABECEDA ne more s 100% zanesljivostjo jamčiti, da se ti ne more zgoditi kakšna štala, čim imaš še uporabnike v igri.


Povdarek je na router, zato primerjaš jabolka in hruške.

Če nekdo ne nadgradi FW-ja ni kriva naprava ampak administrator. Če ga nekdo ne zna nastaviti, tudi ni problem v napravi, ampak osebi, ki jo upravlja.

To velja za vse, ne samo za ASA-o.

SeMiNeSanja je izjavil:

Še zmeraj imam raje popatchan aktualni Mikrotik, kot pa staro ASA škatlo s firmware-om izpred 10ih let (ki jih je še malo morje po slovenskih omrežjih) - pa čeprav bi v obeh primerih delala popolnoma isto nalogo.

Očitno si ostal tam nekje 10 let nazaj. HW se je vmes že zamenjal in tudi koda se je nadgradila (govorim za kasično ASA-o). Drugače pa je na novi škatlah, ki imajo drugačen OS.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

Zgodovina sprememb…

SeMiNeSanja ::

Ne rabiš to meni razlagat :)

Samo opozoril sem na situacijo, ki jo lahko srečaš v marsikaterem našem podjetju.

Res je, da Mikrotik ni firewall, ampak zlomka, če ti ga prodajajo kot 'firewall za reveže' - pa to ne samo kakšni nevešči prodajalci, celo Virtua ti ga prodaja po tem principu, ko bi morali vedeti dosti bolje.

Ni redko, da marketing dela varnosti več škode kot koristi.....

Blisk ::

Kako pa je s postavitvijo strežnikov z zunanjim IPjem za tem firewallom?

SeMiNeSanja ::

Blisk je izjavil:

Kako pa je s postavitvijo strežnikov z zunanjim IPjem za tem firewallom?

Nič posebnega...?

Port forwarding znajo delat celo domači routerčki, pa da nebi kakšen malo resnejši, bi bilo pa že škandal.

Je pa vendarle lahko pristop nekoliko drugačen, bolj fleksibilen.

Na WatchGuardu dodatne javne IP naslove 'prilepiš' na zunanji interface - enostavno jih vpišeš kot sekundarne IP naslove v tabelo na ustreznem WAN priključku.
Nato kreiraš tzv. SNAT akcije. To so v bistvu zgolj preslikave javnega na interni IP naslov. Za isti javni IP imaš lahko več različni preslikav na notranje IP naslove. S tem pa še ničesar ne prepuščaš skozi. Je zgolj 'reusable' lista nekih preslikav.

Bistveno potem narediš s firewall pravilom. Tam vpišeš za kateri port, od kje boš sprejel promet in katero preslikavo naj uporabi.
Tako recimo na isti javni IP obesiš pravilo za SMTP in ga pošlješ na mail server, z drugim pravilom pa npr. SSH in www promet na drugo mašino, ki poganja web server.

Imaš sicer tudi možnost uporabe 1:1 NAT-a ampak ta stvar še zdaleč ni tako fleksibilna.

.....vsaj kar se tiče IPv4 protokola.

Pri IPv6 so stvari malenkost drugačne in preskočiš NAT. Moraš pa zato malo bolj paziti, da noter res spuščaš samo tisto, kar ima notri kaj početi.

Zgodovina sprememb…

aleksander10 ::

SeMiNeSanja je izjavil:

Ne rabiš to meni razlagat :)

Samo opozoril sem na situacijo, ki jo lahko srečaš v marsikaterem našem podjetju.

Res je, da Mikrotik ni firewall, ampak zlomka, če ti ga prodajajo kot 'firewall za reveže' - pa to ne samo kakšni nevešči prodajalci, celo Virtua ti ga prodaja po tem principu, ko bi morali vedeti dosti bolje.

Ni redko, da marketing dela varnosti več škode kot koristi.....

Se strinjam :)
Virtua je pinko ponko in so točno to kar si napisal. Nevešči prodajalec.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

darkolord ::

No, česa od zgoraj naštetega pa naj ne bi znal?

SeMiNeSanja ::

Ne morem komentirat, ali je Virtua vešči prodajalec, oz. kakšen prodajalec na splošno je, ker nisem nikoli bil njihov kupec.

Na splošno pa 'veščnost' prodajalca lahko meriš z različnimi kriteriji - glede na prodajni uspeh ali pa glede na podporo kupcem v procesu nakupa in po njemu.
Ni nujno, da tisti ki največ proda, tudi najbolje svetuje svojim kupcem in jim tudi kasneje nudi kakšno podporo - pogosto ravno obratno.

Problem so na koncu bolj nevešči kupci, ki ne gredo drugam, čim vidijo, da jim prodajalec ne zna pojasniti vseh vprašanj. Problem je že to, da v štartu ne gredo preveriti par opcij, saj bi tako že takoj lahko videli, kako se prodajalci razlikujejo med seboj in lažje ocenili, kaj lahko od katerega pričakujejo.

Se pa še dobro spomnim, ko sem pred leti bil vabljen na predstavitev SonicWall rešitev. Najprej klasično nakladanje...so se pač naučili tistih nekaj slajdov zdeklamirati. Po končani predstavitvi stopim do prezentatorja, ki je imel še par kolegov 'tehnikov' okoli sebe in vprašam par banalnih vprašanj - od katerih niti enega niso zares znali odgovoriti. Res sem bil razočaran. Očitno sem pričakoval preveč?

Težava na koncu je ta, da moraš ugotoviti, da nekako 'zdrava konkurenca' pri nas ne deluje. Da se še vedno bolj prodaja po sistemu kdo si in koga poznaš, kot pa kaj dejansko ponujaš, po kakšni ceni in kakšno podporo boš lahko nudil.

aleksander10 ::

darkolord je izjavil:

No, česa od zgoraj naštetega pa naj ne bi znal?

Vse kar se tiče SD-WANa (router funkcija) je že kar manjka. Seveda govorimo o mission critical zadevah.
IPS oz NGFW zadeve.

SeMiNeSanja je izjavil:



Težava na koncu je ta, da moraš ugotoviti, da nekako 'zdrava konkurenca' pri nas ne deluje. Da se še vedno bolj prodaja po sistemu kdo si in koga poznaš, kot pa kaj dejansko ponujaš, po kakšni ceni in kakšno podporo boš lahko nudil.

Tu se strinjam, da največkrat prodajajo poznanstva. Seveda prodajajo ljudje, ne tehnologija, samo moraš biti svetovalec tem ljudem in ne samo prodajalec. Svetovalec mislim, arhitekturno da ugotoviš kaj jih žuli, kaj bi želeli narediti, ... Razumeti njihov business in glede na to svetovati. Živeti skupaj z njihovim omrežjem, predvsem takrat, ko gre kaj narobe.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

Zgodovina sprememb…

darkolord ::

aleksander10 je izjavil:

darkolord je izjavil:

No, česa od zgoraj naštetega pa naj ne bi znal?

Vse kar se tiče SD-WANa (router funkcija) je že kar manjka. Seveda govorimo o mission critical zadevah.
IPS oz NGFW zadeve.
Par buzzwordov torej?

Firewall ne dela IPS-ja, NGFW je pa UTM.

SeMiNeSanja ::

Če potrebuješ nevem kako napredne routing opcije, si nabaviš ustrezen router.

Že res, da požarne pregrade obvladajo določene funkcionalnosti routerjev, ampak resno - koliko je podjetij v SME segmentu, ki potrebujejo nevem kako napreden routing - in tega še nimajo pošlihtanega z routerji? Večina ne rabi niti multiwan, kaj šele kaj več.

@Darklord - kaj si pa mislil stem, da firewall ne dela IPS? Vsi firewall-i, ki kaj veljajo, nudijo tudi IPS kot eno od možnih varnostnih storitev.

@aleksander - že res, da ljudje prodajajo - samo prepogosto napačni ljudje, razni opportunisti, ki so se nekako znašli pri koritu. Slišijo, da se rabi požarno pregrado in prodajo 'kar nekaj', samo da si tisto provizijo vtaknejo v žep. Pri tem pa pojma nimajo, kaj so to pravzaprav prodali. Če so že pri koritu, pa je seveda bolje, da je zadeva čim dražja, da več pade v žep. Kakšne koristi bo imela stranka od tega, to pa ni njihov problem.

Osebno imam najraje prodajalce, ki dejansko stranki vzdržujejo omrežje in stranki skrbijo za opremo tudi potem, ko so jim jo prodali. Ti (če niso kaki šalabajzerji) točno vedo, kaj stranka potrebuje - in ne le stranka - tudi oni, da lahko opravijo delo, za katero jih stranka plačuje.

Mitja223 ::

Večina ne rabi niti multiwan? A ti to resno? Kaj pa če imajo telekomov poslovni paket in IP telefone? Potem bodo v vsako pisarno vlekli dva kabla? Pa v omari bodo imeli dvojne switche?

SeMiNeSanja ::

Mitja223 je izjavil:

Večina ne rabi niti multiwan? A ti to resno? Kaj pa če imajo telekomov poslovni paket in IP telefone? Potem bodo v vsako pisarno vlekli dva kabla? Pa v omari bodo imeli dvojne switche?

Od kdaj ti pa za IP telefonijo napeljejo posebno linijo?
Očitno si nekaj narobe razumel? Vlani nimajo nič skupnega z MultiWan - ta pojem stoji za več internetnih povezav. Zelo malo podjetij ima več kot eno internetno povezavo. O tem je bilo govora.

darkolord ::

SeMiNeSanja je izjavil:

@Darklord - kaj si pa mislil stem, da firewall ne dela IPS? Vsi firewall-i, ki kaj veljajo, nudijo tudi IPS kot eno od možnih varnostnih storitev.
UTM/NGFW nudi firewall + IPS + ...

Firewall sam po sebi pa ne.

SeMiNeSanja ::

darkolord je izjavil:

SeMiNeSanja je izjavil:

@Darklord - kaj si pa mislil stem, da firewall ne dela IPS? Vsi firewall-i, ki kaj veljajo, nudijo tudi IPS kot eno od možnih varnostnih storitev.
UTM/NGFW nudi firewall + IPS + ...

Firewall sam po sebi pa ne.

To je zgolj vprašanje terminologije.

Osebno sem bolj pristaš tega, da se požarne pregrade deli na 'klasične' in 'sodobne'.

Nepoznavalec si s pojmi UTM/NGFW kaj dosti ne zna pomagat - nenazadnje so se še strokovnjaki kar dolgo prepirali o tem, ali je NGFW zares neka nova kategorija, ali je to zgoj UTM z dodano storitvijo prepoznave aplikacij. Na koncu je šla stvar celo tako daleč, da so UTM ponudniki ponujali storitveno oskubljene pakete kot NGFW rešitve.

Ko greš v štacuno in vprašaš za televizor, tudi ne pričakuješ, da ti bo kdo ponudil črnobel CRT, niti barvni CRT televizor - klasični televizor. Pričakuješ, da ti bodo ponudili velik ploščat LED ekran z visoko ločljivostjo - sodoben televizor. Nihče si tu ne beli glave s tem, kako je treba zadevo poimenovati - še vedno govorimo izključno o televizorjih.

Pri požarnih pregradah pa te logike ni. Greš v štacuno in vprašaš za požarno pregrado, pa ti bodo ponujali vse od 'črnobelega' stateful packet filtra zapakiranega v škatli na kateri piše 'firewall', pa tja do zadnjega krika mode na tem področju. Nevešč kupec potem gleda ceno.... na koncu pa si reče 'zakaj bi plačal 100x več, če je tisto ta poceni tudi firewall?'. Prodajalec pa mu ne zna povedati, da mu je ravnokar prodal črnobeli CRT med požarnimi pregradami.

Za določene stvari je črnobel CRT povsem zadosten (npr. prikaz slike z kamere na zvoncu vhodnih vrat), zagotovo pa ne boš hotel gledat svetovno prvenstvo v nogometu na takšnem ekranu.

Tu se še manjka ogromno, da bodo uporabniki začeli ločevati med klasičnimi in sodobnimi rešitvami. V bistvu niti vsi IT-jevci te lekcije niso vzeli in jih včasih celo navadni uporabniki prehitevajo.

Zgodovina sprememb…

aleksander10 ::

Dejmo se najprej zmeniti kaj je SMB/SME, potem se lahko pogovarjamo kaj kdo potrebuje.

Večinoma podjetji, ki jih jaz poznam in delam z njimi, imajo potrebo po multi WAN povezljivosti. Tako ko imaš to rabiš nekaj "pametneg", ki zna to na pametni način uporavljat. In ja router je samo en delček tega in SD-WAN ni samo buzzword ampak real life rešitev, ki jo nekatrei že uspešno uporabljajo.

Lepo si opisal UTM oz. NGFW +1
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Če sem rekel, da 'večina' podjetij pri nas nima več kot eno internetno povezavo, potem to pomeni, da najmanj 95% podjetij nima več kot ene povezave. To ne pomeni, da je nebi potrebovali - marsikje niti ni možnosti za več kot eno povezavo. Potem je pa tu še cenovni faktor - če ne 'premorejo' za kaj boljšega, kot je tisti providerjev router, je malo verjetno, da bodo investirali še v backup linijo. V skrajnem primeru pa v marsikaterem mikro podjetju posežejo kar po tethringu s pomočjo mobilnega telefona...

Moraš malo pogledat statistiko števila podjetij po velikosti. Ogromen odstotek podjetij je nekje do 10 zaposlenih. Tistih nad 50 zaposlenimi pa je dobesedno le še peščica - po SURS-u leta 2016 vsega 1,2% oz. vsega skupaj dobrih 2300 podjetij od 196000!!! Temu primerno potem tudi govorim o 'večini' - pretežno zelo malih podjetij. Pa tudi segment med 10-50 zaposlenimi ni prav velik - šteje vsega slabih 7300 podjetij.

Ko si pa enkrat nakoplješ dodatno linijo, pa ugotoviš kaj hitro, da je teorija eno, praksa pa drugo. SD-WAN? A smo si sploh že na jasnem, kaj pomeni SD-WAN? Meni se namreč zdi, da si vsak proizvajalec pod tem predstavlja nekaj drugega. Uporabno pa je spet šele od neke določene velikosti podjetj navzgor. Tam v skrajni konici ledene gore.

V bistvu me ne skrbi toliko za tiste 1,2% 'velikih'. Skrb bi nam moralo povzročati tistih 98,8% malih in mikro podjetij z manj kot 50 zaposlenimi, katera običajno ne premorejo IT kadra in si najemajo nekega 'mojstra za vse'. Med temi pa najdeš tudi take, ki pravijo, da ne potrebuješ nič drugega, kot soliden backup, za karkoli več od tega pa je škoda denarja. Predvidevam, da tisti mojster dobro služi z restavriranjem sistemov svojih strank....

aleksander10 ::

SMB se lahko meri na več načinov. Ni samo vezano na število ljudi ampak koliko prometa naredijo letno. Lahko je po tvojih kriterjih malo podjetje pa vseeno naredi promet, ki ga uvršča v mid-market, če ne v sam enterprise in ja tudi taki potrebujejo enterprise rešite, ker imajo misson critical zadeve.

Primer lahko dam kakšno proizvodnjo, kjer načeloma je klasičen IT majhen in spada lahko v SMB, po drugi strani pa z prihodom vseveč avtomatizacje, senzorjev in IoTja (res velik problem za security) in se tem dobimo veliko podjetje, kjer če mu njihov core business neha delovati, merijo izgube v milijonih.

SMB po ameriških zadevah je nekaj, po evropskih nekaj drugega. Tudi tu so velika odstopanja.

Zato je težko predalčkati podjetja na nek enostaven način. In tako kot si že omenil, potrebno je živeti z njimi, da jim lahko prav svetuješ in da razumeš kaj je njihov core business.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

V tujini je kar nekaj podjetij, ki so se specializirala na to, da svojim strankam pokrivajo zgolj varnostni segment omrežja, tzv. Managed Security Services Provider-ji - MSSP.

Za razliko od tistih 'mojstrov za vse', se ti ukvarjajo zgolj z varnostnim vidikom, saj se je izkazalo, da marsikateri 'mojster za vse' temu področju enostavno ni več dorasel, zlasti kadar se gre za bolj 'one man band' vzdrževalce.

Tako, kot imaš lahko hišnika, ki ti odlično porihta večino težav po hiši, pa na koncu še vedno rabiš električarja ali vodovodarja, ko se gre za kaj bolj zahtevnega. Tako nekako je tudi v IT-ju. Področje je postalo preširoko, da bi ga lahko en sam strokovnjak kakovostno pokril od A-Ž.

Smo pa pri nas še čisto na začetku z ponudbo MSSP storitev. V tujini so že precej dlje, kar se tega tiče.

aleksander10 ::

Se strinjam, to drži kot pribito. :)
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Zanimiva pa je še ena plat te MSSP zgodbe.

Proizvajalci so že zdavnaj doumeli, da so napredne UTM rešitve lahko popolni overkill za nekega Janeza, Franza ali Joe-a, ki si komajda uspe namestiti domači usmerjevalnik. Istočasno pa vedo, da tudi podjetja z 5 uporabniki potrebujejo kakovostno zaščito. Glede na statistiko, ki sem jo zgoraj prikazal, pa je segment mikro podjetij vse kaj drugega kot zanemarljiv.

Zato so pričeli razvijati posebne MSSP ponudbe, katere tovrstnim partnerjem omogočajo tudi drugačne oblike nabave oprreme in prodajo varnosti kot storitve.

WatchGuard npr. omogoča izredno poceni nakup 'škatel', ki so namenjene izključno dajanju v najem. Vzporedno pa kot MSSP kupuješ 'žetončke' s katerimi sproti (mesečno) 'polniš' tiste škatle z varnostnimi storitvami. Če stranka odpove sodelovanje, nehaš škatlo 'polniti' z žetoni, jo pospraviš v skladišče in zopet pričneš 'polniti', ko jo oddaš naslednji stranki.
Prednost je nizka osnovna investicija in posledično hitra povrnitev investicije za novo stranko.

Za stranko pa je prednost, da ravno tako nima neke visoke enkratne investicije, hkrati pa vse skupaj najema kot storitev, torej lahko vse skupaj poknjiži v stroške.

Glede na to, da podobne programe ponujajo tudi drugi proizvajalci, je zanimivo, da je pri nas ponudba najema varnosti kot storitve tako skromna.

aleksander10 ::

No sej te zadeve delajo vsi. Vem da Cisco dela to z vsemi svojimi rešitvami. Ja in res ta spodniji del ni zanemrljiv. Kakorkoli se čudno sliši, ampak pri ponujanju teh zadev, rešitev najbolj prednačijo, povprašujejo ravno SP-ji, za katere je to nekakšen new revenue, ki ga prej niso nikoli mogli resnično doseči. Pri nas je TS kar na dobri poti do tega. Koliko bodo uspešni, pa bo čas pokazal.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Za moje pojme, večini ljudi še vedno ni jasno, da je požarna pregrada v bistvu zgolj ORODJE.

Marsikdo ima še vedno zmotno predstavo in dobesedno išče rešitev, ki bo delovala po sistemu 'set&forget' - nastavi in pozabi. Tega principa so vajen pri routerjih in switchih, radi pa bi, da jim tudi požarna pregrada deluje po tem sistemu.

Saj načeloma lahko - vendar v tem primeru ne pričakuj, da ti bo nudila kakšno resno zaščito. Višjo stopnjo zaščite boš želel implementirati, več se boš moral z njo ukvarjati. Tako imaš npr. v kakšni banki administratorja, ki ima na skrbi zgolj požarno pregrado in njeno upravljanje/nadzor (nad njim pa še enega, ki skrbi za 'big picture' in adminu odobrava spremembe).

Na drugi strani pa ni realno pričakovati, da bo v podjetju z 5 uporabniki nekdo sedel in gledal, kaj se dogaja na požarni pregradi - nenazadnje večinoma niti razumel ne bo, kaj vidi. Da bo to delal nekdo (mssp) proti plačilu, je privlačna alternativa - vendar pa je tudi tu treba biti realen - za nekaj 10€ na mesec, se ne bo nihče ukvarjal zgolj s teboj. Tako se potem nekako naredi nek kompromis, da je varnost na sprejemljivo visokem nivoju, nadzor pa periodičen (dnevno, tedensko,...) - seveda poleg tistih alarmov ob izrednih dogodkih.

Da boš to lahko zagotavljal, pa potrebuješ solidno orodje, ki ti omogoča čim več tega, kar si stranka izmisli, ne glede na to, kako preprosto ali kompleksno je strankino omrežje. Rabiš nekakšen švicarski nož, da ne bo treba posegati po dodatnih rešitvah ali pa stranki reči 'tega se pa ne da'. Marsikaj se da, če smo v štartu izbrali pravo orodje.
To se pa ne izbira glede na datasheet-e, govoričenje znancev, diskusije po forumih - moraš kar lepo sam zavihat rokave in se prepričati, kaj ti pravzaprav omogočajo različna orodja, ugotoviti, če ti sploh 'ležijo v roki'. Nič kaj dosti koristi ni od orodja, če si npr. skregan z njegovo logiko. V takem primeru se zelo hitro prično dogajati napake.
Zelo pomemben element je tudi čas, v katerem lahko diagnosticiraš in odpraviš neko težavo. Tega ne moreš razbrati iz nobenega datasheet-a. Dejansko ni alternative temu, da zadeve testiraš na lastnem omrežju.

Pa to pri nas kdo dela? Nekako imam občutek, da večinoma niti ne poznajo kaj vse je na voljo v določeni kategoriji rešitev. Spogledujejo pa se bolj ali manj po skrajnih alternativah - najdražjih ali najcenejših. Prve zato, da lahko fino zaslužijo na marži, druge pa zato, da imajo tudi 'nekaj' za tiste, ki niso pripravljeni odvezat mošnjička. Bolj malo kdo pa se resnično ukvarja s tem, kaj jim bo orodje dejansko omogočalo.

Ker pri varnosti ni nečesa v smislu 'nastavi in pozabi', bi se moral vsak prodajalec zavedati, da je varnost storitveno področje, ne pa prodaja škatel. Te storitve se prično pri definiranju varnostne politike, gredo pa vse do izobraževanja uporabnikov, da so ozaveščeni o potencialnih grožnjah in napakah, ki jih lahko naredijo. Tista škatla je pri vsem tem zgolj orodje, s katerim zagotavljaš izvajanje in nadzor nad zastavljeno varnostno politiko. Bolj ko je tista škatla fleksibilna, bolje boš lahko zagotavljal izvajanje tudi kakšne malo bolj zahtevne varnostne politike. Ob škatli, ki je slabo orodje sicer še vedno lahko na papir zapišeš 'ne smeš tega in onega' - vendar nimaš možnosti, da preprečiš morebitne kršitve - morda jih niti ne moreš zaznati. V slednjem primeru pa se hitro zgodi, da tisti predpis postane mrtva črka na papirju.

Ljudje stremijo vse bolj k rešitvam, ki jim pravim 'generične'. Kjer se dejansko skušajo približati tistemu 'nastavi in pozabi' - industrija pa jim celo sledi. Imaš rešitve, kjer določene filtre zgolj obkljukaš in si že vse naredil. Krasno, če nimaš pojma o security-ju. Lepo vse vklopiš in greš mirno spat. Toda kaj potem, ko je treba določiti kakšne izjeme, posebnosti,.... Takrat pa potem hitro slišiš kakšen 'to se pa ne da'. Ampak nič ne de, zato pa imajo fancy uporabniški vmesnik s tono nekih grafov in kazalcev, ki migajo sem pa tja. Super - ampak kakšna pa je realna korist od tega migetanja? Tiste resnično 'boleče' zadeve se nahajajo v logih, ti so pa včasih praktično neuporabni. Sem ravno zadnjič gledal en webinar nekega znanega proizvajalca - kjer so nam živ log kazali v Putty-ju. Katastrofa - v GUI imajo miljon grafov, za tisto najbolj bistveno moraš pa v CLI?

imagodei ::

Vidim, da tukaj nekateri hudo dobro poznate zadeve. Že samo v tej temi je bilo prelitega precej črnila, ampak kar v resnici manjka je še en tak pregled, malce širša slika, zakaj, kako... Čeprav nekateri prihajamo iz networkinga, dejansko ne poznamo (nujno) security področja dovolj dobro, da bi lahko resno debatirali o tem.

Skratka, kakšen članek (ali vsaj obširen forumski zapis), ki bi obravnaval UTM/NGFW firewalle, ter "zakaje" in "kakoje" v zvezi s tem, bi bil nadvse dobrodošel.

Recimo, konkretno, zakaj se SMB-ji lahko zadovoljijo z nekim navadnim firewallom, "resne" firme pa rabijo NGFW-je? Razumem finančni vidik; ampak, če je internet res postal takšno "bojišče", potem je večina SMB-jev, ki ne uporablja NGFW-jev in dogajanja ne spremlja redno, že povsem na razpolago internetnim predatorjem. Morda res niso tako zanimive tarče kot podjetja s 100M letnega prometa, ampak če vdreš v 100 podjetij z 1M prometa... ? Je problem samo zavedanje IT oddelkov in CEO-jev, ki niso pripravljeni plačati za resno rešitev? Ali pa v zvezi z NGFW-ji na trgu vlada določen hype?
- Hoc est qui sumus -

SeMiNeSanja ::

Vsega po malem.

Dolga leta je veljalo, da smo takointako mali, da nas itak ne bo nihče našel na širnem internetu. Ta hype se ponekod drži še danes.

Drugi hype pravi, da te firewall takointako ne bo zaščitil pred ničemer, zato raje investiraj v backup&recovery.

'Ta velike' sistemske hiše (SNT, SRC, Nil, Astek,...) se z nižjecenovnimi rešitvami sploh nočejo ukvarjati. Posledično se ustvari hype, da so 'resne' rešitve nujno tudi drage.

Če kdo bere Gartnerja in njihove magične kvadrante, je lahko samo še bolj zmeden, češ da je samo PaloAlto edini pravi NGFW.

Veliko premalo se razgleduje po konkurenčni ponudbi. Ko se Janezek nauči voziti Rogovo kolo, imaš občutek, kot da si ne upa zlesti na nobeno kolo drugega proizvajalca. Ker nikoli ni vozil drugega kolesa, se bo pač drl, da je Rogovo kolo najboljše na svetu.

Hudo problematično pa je tudi splošno poznavanje in razumevanje cybersec področja. Še bolj problematično je v vodstvih podjetij, kjer še niso doumeli, da je s tem povezana tudi odgovornost vodilnih v podjetju, da jih lahko tudi kakšna konkretna kazen doleti, če nimajo stvari pošlihtane.

Problematično je, da nimamo nekih konkretnih smernic. Čez lužo imajo npr. NIST, ki so mu naložili, da izdela konkretne smernice, ki sicer niso obvezujoče za vse, so pa dobra orientacija, da si lahko pogledaš, kaj bi moral imeti.

Pri nas ti vsi rečejo 'moraš poskrbeti za varnost' - ni pa nikogar, ki bi definiral nek obvezujoči minimalni standard. IP RS je sicer že podelil nekaj kazni zaradi neustrezne varnostne politike, ampak tudi oni nimajo neke res jasne definicije minimalnih standardov, po katerih bi se lahko vsakdo, tudi SP zgledoval..

darkolord ::

Področje IT securitija je precej široko.

Tole, o čemer se govori v tej temi, je samo en mali košček v tej celotni sestavljanki.

Daleč bolj pomembna kot vse te razne škatlice je varnostna politika, ki jo podjetje sprejme in se je drži. To predvsem vključuje, da se naredi ocena tveganja (risk assessment) za vsako posamezno področje in na podlagi tega sprejme varnostno politiko.

Precej dobro idejo o tem, kaj to vse obsega, dobiš, če pogledaš standard ISO 27001 (in ostale pripadajoče). Tam vidiš, da je mrežna varnost le eno od mnogih področij, ki se tičejo informacijske varnosti. Varuje se namreč informacije, ne informacijskih sistemov.

Tukaj niti približno ni enotnega recepta za vse - banka, čistilni servis, tovarna plastičnih zamaškov in online casino imajo kljub enaki velikosti čisto drugačno varnostno politiko.

SeMiNeSanja 'prodaja' UTM rešitve (nič osebnega), zato v vseh njegovih postih take in drugačne požarne pregrade delujejo kot ključen del za upravljanje z varnostno politiko; je pa treba gledati precej, precej širšo in bolj celovito sliko.

SeMiNeSanja ::

Definitivno govorim predvsem o network security - imaš pa še kup drugih področij, sploh ko greš v notranjost omrežja.

Po drugi strani pa dober perimeter security lahko pomaga nadzirati izvajanje zadane varnostne politike - vsaj tistega dela, ki kakorkoli komunicira preko tiste škatlice.
Seveda pa ne more pomagat, če imaš uporabnike s šibkimi gesli in močnimi nalepljenimi na ekran, če dodeljuješ admin accounte uporabnikom na vsak PC, če ekrani ostajajo odklenjeni ko uporabnika ni v bližini, itd itd. To je menda vsakomur jasno?

aleksander10 ::

Darklord je izpostavil eno zadevo, ki povečini manjka, če pa že je, se ga ne posodoblja. To je security document, kjer zajameš vse vrste security-ja v podjetju. To mora pridi it top down in vsi ga morajo podpisati (vsi zaposleni) in ga seveda tudi uveljavljati. Šele to je prav podlaga za vse stavri, ki jih počneš na nivioju fizičnega, network, cyber, document, etc securitija in seveda imeti tudi definirane sankcije.

Ko enkat to imaš potem, si naredil velik korak v pravo smer. S tem ti je približno jasno kaj bi želel. Kako se to naredi, pa na vsakem področju najdeš strokovnjake, ki ti bodo to implementirali.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Če imaš vsaj nekaj pojma o področju varnosti Security policy ni nek baw baw.
Sicer imaš tudi kakšne primere na spletu, s katerimi si lahko pomagaš:
- Uni MB (od 2013 brez spremembe?!)
- Javna Uprava (od 2010 brez spremembe?!)
itd.... Google vam jih kar nekaj najde...

Osebno mi je še najbolj všeč pristop, ki ga demonstrira SANS institut s svojimi vzorčnimi dokumenti, saj ni tako splošen, kot zgornji primerki, kateri puščajo uporabnikom in upravljavcem obilo 'umetniške svobode'.

V glavnem pa se gre za to, da se črno na belem določi kaj se sme, kaj pa ne. Če si zadevo zastavil preveč na splošno, se boš prej ali slej znašel v situaciji, da boš moral dodati bolj specifična določila, saj se sicer ne boš mogel sklicevati nanje. Če imaš preveč specifično zastavljeno, pa bodo potrebni popravki zaradi organizacijskih sprememb, uvedbe novih tehnologij,....

Kjub temu pa je na koncu vedno treba imeti v mislih, da zgolj zapis na papir in izobešenje na oglasno desko ne zagotavlja, da se bo kdorkoli držal njenih določil. Potrebno jo je nadzirati, kjer je možno, pa tudi vzpostaviti ustrezne tehnične omejitve. V skrajnem primeru, pa tudi kaznovati kakšnega hujšega namernega kršitelja, ostale nenamerne pa dodatno podučevat.

Invictus ::

aleksander10 je izjavil:

Darklord je izpostavil eno zadevo, ki povečini manjka, če pa že je, se ga ne posodoblja. To je security document, kjer zajameš vse vrste security-ja v podjetju. .

Ta dokument nima direktne veze s kvaliteto FW rešitve.

Itak, da skoraj nobeno slovensko podjetje nima varnostne strategije... Oz. zelo malo...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

darkolord ::

Seveda ima direktno vezo.

Kakovost FW rešitve se izkazuje v tem, v kolikšnem deležu izpolnjuje zahteve (ena od definicij kakovosti: degree to which a set of inherent characteristics fulfils requirements.). Slednje so pa podane z varnostno politiko in ostalimi relevantnimi akti organizacije.

Po domače pomeni, da teh rešitev ne moreš ločiti na boljše in slabše, dokler ne poznaš potreb in zahtev uporabnikov.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Firewalla

Oddelek: Omrežja in internet
427274 (2465) somebody16
»

Backdoor-i v Cisco (in drugih) napravah (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15331266 (26112) jukoz
»

Zamenjava za Cisco 1600 router

Oddelek: Omrežja in internet
336066 (5333) deadbeef
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6729964 (25508) AC_DC
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10722726 (19703) NeMeTko

Več podobnih tem