» »

Firewalla

Firewalla

Smukec ::

Razmišljam o nakupu zmogljivega routerja (VPN server,...) cca 200eur in zasledim tole za 100eur:

https://firewalla.com/

Pozna/ima kdo?

zee ::

Zgleda zanimivo, vendar bi mene skrbela podpora an dolgi rok.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

SeMiNeSanja ::

Igrača... it messes with your network.

"Prave" požarne pregrade delujejo po principu, da imaš na ene mrežnem vmesniku "zunanji svet", na drugemu pa "varovano interno omrežje".

Ta igračka pa ima zgolj EN mrežni vmesnik!

Poleg tega v default varianti težko manipulira omrežje preko PnP.
V drugi "DHCP" varianti pa na isto omrežje doda še eno svoje omrežje. Dve IP območji na isti "žici", vendar dvomim, da s pravimi VLAN-i, verjetno kar 'po domače'. To pa bi potem tudi pomenilo, da lahko 'po domače' vso zgodbo lepo zaobideš.

Ker vse skupaj ne podpira IPv6, moraš tega potem izklopiti.

No, ker je vsa stvar na mrežo 'pripeta' z enim kablom, isti promet pa mora po temu kablu najprej do tega 'filtra', potem pa še nazaj po istem kablu do uporabnika, se s tem avtomatično prepolovi maksimalna teoretična fizična prepustnost (praktična pa še bolj?).

Vse ostalo pa je pri tej napravi zavito v meglo. Prodajajo mačka v žaklju.

Mogoče je za manj zahtevnega domačega uporabnika še nekako "bolje kot nič"...ampak tudi to samo dokler ti zaradi PnP protokolov ne začne delati kakšnih sitnosti, ko nekaj nebi bilo kompatibilno...

Brez poštenega testa (možnosti vračila) se jaz nebi spravil v nakup take igračke.

Za resno poslovno rabo pa lahko samo odsvetujem tako rešitev.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

bluefish ::

Bolj resne alternative pa so?

MrStein ::

SeMiNeSanja je izjavil:

No, ker je vsa stvar na mrežo 'pripeta' z enim kablom, isti promet pa mora po temu kablu najprej do tega 'filtra', potem pa še nazaj po istem kablu do uporabnika, se s tem avtomatično prepolovi maksimalna teoretična fizična prepustnost (praktična pa še bolj?).

Po ethernet gre lahko promet istočasno v eno in drugo smer.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

hojnikb ::

tole zgleda kot orange pi zero z fancy ohisjem.
enak rezultat lahko dosezes za 1/10 cene.
#teamred
MediaBox: AMD 1600 AF, 8GB DDR4 3000MT, 256GB SSD, 1060 6GB, B450M-DS3H, W10

W6fxBzMDqg ::

@hojnikb Stem da ni plug in play in imaš kar nekaj časa da vse nastaviš v debianu na Pi-ju. Alternativa je nov itx rac ali pa nek star rabljen undewoltan i3 z pci-e, 2 ali 4 portno lan kartico z Fw distribucijo.
Ali pa kakšen FW board recimo PF sense jih ima ali pa mikrotik ruterji itd.

SeMiNeSanja ::

Pri 'home' je vedno nek črv v zadevi. Vse je na koncu nekje bolj 'TopShop' - veliko vpitja, kaj da zadeva vse zna in zmore, v resnici pa niti senca tistega, kar bi res želel imeti.

Vse, kar je nekje 'integrirano' v home napravah je zavito v meglo, pišejo o neki hudi inšpekciji, v resnici pa 2/3 prometa samo pogledajo, če gre na porn ali neko drugo stran. Že to je vprašljivo, koliko obsežno in posodobljeno bazo malware spletišč ti proizvodi v ozadju vzdržujejo.
Glede na analize 'znanih' proizvodov, še ti pogosto več obljubljajo, kot dejansko nudijo.

Je že tako, da se kot 'varnost' zlahka prodaja mačka v žaklju, ker še marsikateri 'ekspert' ne zna razločevati med različnimi rešitvami, kaj šele nek navaden domači uporabnik!

Kot domači uporabnik najbolj učinkovito prideš skozi, če si omisliš neko od komercialnih variant, ki se ponuja v 'home' licenciranju. Npr. Sophos ali Untangle. Žal pa tudi pri teh variantah zamolčijo, koliko so stvari dejansko 'oskubljene' v primerjavi z polno komercialno licenco. Nekako bi moral biti precej naiven, če misliš, da zastonj dobiš isto, kot nekdo, ki plača polno komercialno licenco. Malo bolj konkreten je Untangle, ki ti nudi free opcijo in pove, da je vse malo 'oskubljeno', potem pa ti za 50$/leto ponuja Home Pro licenco, ki naj bi bila kvazi 'skoraj popolna' - a vraga na koncu piše, da ne vključuje 'Virus Blocker', temveč le 'Virus Blocker Light'...bravo....

Je pa tu potem spet drug problem - taka rešitev potrebuje dodaten računalnik, ki ga moraš poganjati dan in noč, potem pa potrebuješ še nekoga, ki to sploh zna postaviti na noge. Seveda teta Jožica pri svojih 70-ih, tega ne bo vešča.... Pa tudi marsikateri mlajši ne.

Dejansko bi za take uporabnike bilo najbolje, če bi ISP-ji ponujali neko malo boljše filtriranje, ki bi ga tudi predkonfigurirali za uporabnike, naprej pa bi si ga lahko vsak sam prilagajal.

Dejansko obstajajo tovrstne naročniške storitve, vendar jih ne nudi vsak ISP, pa tudi potem je treba biti realen v pričakovanjih in vedeti, kaj taka storitev dejansko 'gleda'. Ne da misliš, da imaš neko vrhunsko zaščito (kot je marketing obljubljal), v resnici pa se samo gleda SNI-je (imena spletišč na katera se podajaš) in to primerja z bazo 'škodljivih in neprimernih' naslovov.

Kadar želiš realno ocenjevati neke 'varnostne' rešitve, je dobro, da poznaš vsaj eno napredno profesionalno rešitev - da veš, kaj je možno in tako potem lahko ocenjuješ, koliko % vsega tega ti neka home rešitev dejansko tudi omogoča.
Brez tega znanja, ti napišejo, da ima zadeva notri 'antivirus' - dejansko pa 2/3 prometa sploh ne pregleduje. Kaj je potem še važno, kakšen antivirus ima vgrajen, če takointako pregleduje samo 1/3 prenešenega?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

hojnikb ::

za 100e razlike, ce hoces tako igracko, si pa ze vzames en popoldne in skonfiguriras stvar. ti h2/h3 chipseti imajo dost spodobn support v armbianu, tako da je samo stvar nastavitve po zelji.....

za zero plus/r1 celo obstaja openwrt image, ce hoces met striktno network oriented zadevo.
#teamred
MediaBox: AMD 1600 AF, 8GB DDR4 3000MT, 256GB SSD, 1060 6GB, B450M-DS3H, W10

mihagr ::

Pa saj to sploh ni router, to je res igrača!
Takole piše:
If your router is not on the list, it is very likely to be compatible with Firewalla. This list will be updated as we learn from our customers and detection algorithms.
For Meshed routers: Additional instructions are explained here.
DHCP Mode: If your router has the option to turn off the built-in DHCP server then DHCP mode will work for you. And for some routers DHCP cannot be turned off, a trick like this might work.
If you encounter problems such as 'slow throughput', please also make sure your router's firmware is up to date.
To connect Firewalla, your router (or a switch connected to the router) must have a free ethernet port.
If you run into devices keeps on changing IP address and you don't have a network extender, double-check your router's DHCP lease time. Make sure it is long.

SeMiNeSanja ::

mihagr je izjavil:

Pa saj to sploh ni router, to je res igrača!

Seveda ni router. To je 'ozko grlo izza routerja', ki omrežje s pomočjo "Univerzalnega Plug&Pray" postavi na glavo, na isto žico nabije 'očiščen' in 'neočiščen' promet in vrag vedi, kaj še zraven zakuha, če dela v avtomatskem načinu "For Dummies".

Top Shop... sliši se dobro, izgleda cool, dela pa...noja 'nekaj' že dela.....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

tony1 ::

bluefish je izjavil:

Bolj resne alternative pa so?


Fortinetov Fortigate.

SMNS bo pa naredil še reklamo za his favorite cup of poison.

Je še nekaj drugih, bodo pa vse dražje od 200 eur.

Poldi112 ::

Fortigate je precej skret. Entry level modeli (30) so nestabilni, naročnine drage, podpora arogantna, storitve nategunske. Že samo če ga ima prodajalec predolgo na lagerju ti trgajo naročnino za UTM storitve. Če se odločiš za 1 leto pavze glede naročnine ti pri naslednjem nakupu naročnine za 1 leto trgajo pol leta. Pa še za sam firmware hočejo naročnino.

Za 200 EUR pozabi na karkoli spodobnega. To je še rang, kjer kraljuje Mikrotik/PfSense.

Lahko si pogledaš Sophos UTM. Je zastonj. Mene ni ravno navdušil, ga pa tudi nisem reveč poblizu pogledal.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

rokp ::

Najboljsi je tisti, ki ga poznas in ga bos znal vzdrzevati.

tony1 ::

Glede vseh križev in težav z nestabilnostjo: hja, lahko si gor dal preveč prometa in zafilal RAM, vklopil vse mogoče UTM servise in zafilal RAM ali pa naložil bleeding-edge verzijo softvera? Vse to velja za čisto vse firewalle.

Za take stvari se za nasvet obrne na tistega, ki opremo pozna; kar spet nekaj stane. Za đabe nije više ni kod stare babe... Niti slučajno ne trdim, da je to najcenejša rešitev.

"Že samo če ga ima prodajalec predolgo na lagerju ti trgajo naročnino za UTM storitve."

Pa bi se to zmenil s prodajalcem?

Kolikor vem (ker ne živim več od njih), pa še vedno velja, da naročnina začne teči od prvega priklopa na net.

"Če se odločiš za 1 leto pavze glede naročnine ti pri naslednjem nakupu naročnine za 1 leto trgajo pol leta."

Ja, kaj pa misliš, da je milijardna korporacija dobrodelna ustanova? Nekaj podobnega delajo vsi "malo večji" vendorji. In tudi računajo za nove verzije softvera.

rokp je izjavil:

Najboljsi je tisti, ki ga poznas in ga bos znal vzdrzevati.


To je najboljši nasvet.

Zgodovina sprememb…

  • spremenil: tony1 ()

Smukec ::

Ampak za nekega povprečnega uporabnika, ki ima samo router od providerja in, ki nima časa, da bi nastudiral stvari in bi si postavil nek svoj sistem.

A ni to vseeno dobrodošla nadgradnja, ki deluje out of the box. Ima VPN, DHCP in še obilico drugih stvari...

A je bolje kupiti to firewallo za 100eur in ponucati obstoječ isp-jev router ali pa kupiti asus ali synology router za 200eur?

hojnikb ::

ce ze, potem kupis malo bolsi router, ki ma openwrt support. firewalla je igraca, ki si jo lahko sam nardis.
nebi bil presenecen, ce njihov software dela straight up na orange piju
#teamred
MediaBox: AMD 1600 AF, 8GB DDR4 3000MT, 256GB SSD, 1060 6GB, B450M-DS3H, W10

SeMiNeSanja ::

tony1 je izjavil:

bluefish je izjavil:

Bolj resne alternative pa so?


Fortinetov Fortigate.

SMNS bo pa naredil še reklamo za his favorite cup of poison.

Je še nekaj drugih, bodo pa vse dražje od 200 eur.

Fortigate ?!? Kaj zdaj neumnosti govoriš, če je govora o domačih omrežjih!

In zakaj podtikaš, da 'bom naredil reklamo....' - če sem že napisal svoje mnenje za 'domačo rabo'.

Če bi se šlo za poslovno rabo, pa pač imam svojo preferenco, katero nikoli nebi menjal za Fortinet, pa če mi plačaš! A kaj, ko ljudje kupujejo Fortinet kište, ne da bi sploh prej preverili, kaj je še na trgu, samo zato, ker so nekje slišali, da je 'baje dober'.
Potem še preberejo nekje, da je pri Gartnerju v Leader kvadrantu in so že 'kupljeni'. Še najmanj se potrudijo prebrat kaj je Gartner napisal (da uporabniki kritizirajo uporabniški vmesnik), sploh na ne razumejo, kaj Gartner pravzaprav sploh analizira/prikazuje - ob tem da še zapovrhu vsega gledajo napačno Gartnerjevo poročilo (mikro podjetje gleda Enterprise Firewall MQ?!?).

'Moj favorit' je vsaj specialist za SME, poleg tega eden redkih, ki so 3 leta zapored na NSS Labs testih prejeli 'priporočeno' oznako. se pravi na testu, ki dejansko meri tehnične sposodnosti rešitev, ne pa njihovo 'marketinško uspešnost', kar dejansko Gartner počne.

Pa poleg vsega, tisti največji faktor "kako se upravlja", ne analizira nihče. Moraš se kar lepo sam potruditi, nafehtat demo napravo in stvar sprobat v živo, ter primerjati z konkurenti. Če ne... se pač pustiš nategniti prodajnikom. Edino žalostno, da jim za to še plačaš!

-----

Pri 'mirovanju' vzdrževanja, je odbitek 1/2 leta neke vrste industrijski standard. Podobne 'kazni' ti bodo naložile tudi raznorazne Software hiše.

Ni mi pa jasno, kako lahko prične licenca teči od dneva, ko daš napravo na skladišče. Pri 'mojem favoritu' prične licenca teči od trenutka, ko stranka napravo registrira (brez registracije ima zelo omejeno funkcionalnost).
Skratka napravo imaš lahko na zalogi tudi po uradnem koncu prodaje s strani proizvajalca, pa bo še vedno polno aktivna, če jo aktiviraš in to za celotno obdobje, za katero ima vključeno naročnino.

Da bi moral POSEBEJ plačevati posodobitve Firmware-a? Pri 'mojem favoritu' se naročnine kupujejo v paketih. VSI paketi vključujejo tudi posodobitve firmware-a, tehnično podporo proizvajalca in podaljšano garancijo (zamenjavo naprave ob okvari).
Če pristaneš na manj...si sam kriv, ker nisi preveril, kaj je na trgu na voljo!

Drugače pa če si 'resen partner', lahko barantaš z tzv. MSSP opremo. Se pravi si 'ponudnik varnostnih storitev', kupiš poceni "HW only" napravo, povsem ločeno pa varnostne storitve v obliki predplačniške storitve. V bistvu si naložiš točke na svoj račun, nato pa lahko aktiviraš ali deaktiviraš storitve na posamezni napravi. Se pravi, da jo daš za 3 mesece v najem svoji stranki, nato pa vrneš v skladišče in deaktiviraš varnostne storitve. Čez dva meseca daš drugi stranki in spet aktiviraš storitve. Plačuješ pa samo za čas, ko je naprava dejansko bila aktivirana.

Ampak to je vse izključno za poslovno okolje. Za domačo rabo...noja, če smo realni...če imaš deanr za nevem kako hudo mašinerijo, vsak družinski član najnovejši Ajfon,.... potem pa hočeš da je router za 50€... hja...pa imej potem jajca.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

hojnikb ::

ajfona dobis na kredo, dober router tezko, razn ce gre na obroke preko kartice.
#teamred
MediaBox: AMD 1600 AF, 8GB DDR4 3000MT, 256GB SSD, 1060 6GB, B450M-DS3H, W10

SeMiNeSanja ::

hojnikb je izjavil:

ajfona dobis na kredo, dober router tezko, razn ce gre na obroke preko kartice.

Leasing?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

hojnikb ::

sam tko za info, firewallin firmware je zgrajen na armbianu in več kot očitno gre za nekakšen allwinner chipset. Moja domneva je, da ima tapoceni Orange Pi Zero board, tadrag pa Orange Pi Zero+.

Če ima kdo takšen board (pa verjetno bo tudi zlaufal na katerm drugem allwinner boardu) lahko proba in si prihrani 100$

popravek; ocitno gre za nano pi neo plosce.
#teamred
MediaBox: AMD 1600 AF, 8GB DDR4 3000MT, 256GB SSD, 1060 6GB, B450M-DS3H, W10

Zgodovina sprememb…

  • spremenil: hojnikb ()

SeMiNeSanja ::

hojnikb je izjavil:

sam tko za info, firewallin firmware je zgrajen na armbianu in več kot očitno gre za nekakšen allwinner chipset. Moja domneva je, da ima tapoceni Orange Pi Zero board, tadrag pa Orange Pi Zero+.

Če ima kdo takšen board (pa verjetno bo tudi zlaufal na katerm drugem allwinner boardu) lahko proba in si prihrani 100$

popravek; ocitno gre za nano pi neo plosce.

Vseeno za kaj gre: stvar ima samo en ethernet, poleg tega pa brez softw. in ustreznih spodobnih baz z kategorizacijami spletnih strani, IPS signaturani,.... nisi nič naredil.

Tudi pfSense je 'poceni' samo dokler ne vzameš supporta in plačljivih signatur.
Nekdo je zadnjič rekel, da mu tiste zastonjske 1 mesec stare signature delujejo odlično... Ne vem... pri AV bi rad v pol ure po pojavu novega virusa imel signaturo, pri IPS pa ni problem, če pride mesec dni kasneje, ko je določen tip napada že v upadanju?

Po moje je bolj štos v tem, da ljudje sploh ne vedo, da so tiste zastonjske IPS signature 30 dni v zaostanku za plačljivimi.Ampak ok...za domačo rabo 'osebna' licenca, je to $30/senzor ($400 za poslovno rabo!!!).

No, pestro potem postane pri 'uradnem' supportu pfSense-a, saj znaša 240€ PER INCIDENT. Polno EU vzdrževanje pa od 1.200€ ("S") do celih €3.450 ("L" paket). Pa še to je zgolj PON-PET og 9h-17h !!!

Dodaj zraven še Netgate (uradni vzdrževalec pfSense-a) hardware, pa si dražji od Fortineta, SonicWall-a, Sophosa in WatchGuarda.
Ampak ja... vsi samo vpijejo, da je OpenSource in zato ZASTONJ....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

jukoz ::

SeMiNeSanja je izjavil:


Ampak ja... vsi samo vpijejo, da je OpenSource in zato ZASTONJ....


Pri vseh temah o požarnih zidovih samo ti nekaj ves čas vpiješ.

Sicer pa, kaj ti pa garantira da te bo ne 30dni stara signstura obvarovala? Če je neznan napad je neznan in pika. Če so pa uporabniki tako neuki jim pa nobeno varnostno orodje ne pomaga.
Ravno sem bral da nek phishing napad uporablja foro, da v xlsx file vpiše da se moraš zlogirati da bo delal. In ti pokaže fake office365 login.

Koliko userjev bo naredilo to?
A tvoje signature že najdejo to?
Kaj pa če ima ta fake stran najprej captcho za izpolnit?

Aha, se mi je zdelo. Tudi 30 dni stara bo pol kar ok =)

SeMiNeSanja ::

jukoz je izjavil:

SeMiNeSanja je izjavil:


Ampak ja... vsi samo vpijejo, da je OpenSource in zato ZASTONJ....


Pri vseh temah o požarnih zidovih samo ti nekaj ves čas vpiješ.

Sicer pa, kaj ti pa garantira da te bo ne 30dni stara signstura obvarovala? Če je neznan napad je neznan in pika. Če so pa uporabniki tako neuki jim pa nobeno varnostno orodje ne pomaga.
Ravno sem bral da nek phishing napad uporablja foro, da v xlsx file vpiše da se moraš zlogirati da bo delal. In ti pokaže fake office365 login.

Koliko userjev bo naredilo to?
A tvoje signature že najdejo to?
Kaj pa če ima ta fake stran najprej captcho za izpolnit?

Aha, se mi je zdelo. Tudi 30 dni stara bo pol kar ok =)

Si prepričan, da je bil xlsx in ne xlsm? Prvi ne vsebujejo makrojev in bo bolj teško silil uporabnika v neko prijavo..?

Kot drugo: jaz xlsm priponk ne prepuščam do uporabnikov in to že nekaj let ne, odkar so se začele štale z xlsm in docm v kombinaciji z ransomware. Ti pa danes prvič slišiš za te fore?!?

Tretje: Ni naloga IPS-a 'loviti', če nek dokument zahteva vsebino z interneta. Princip 'prenosa' vsebine pri takšni avtentikaciji je popolnoma isti, kot pri kakršnemkoli legitimnem prenosu, tako da si z IPS in signaturami tu nimaš kaj pomagati.

Torej... koliko sploh razumeš, kako danes sodobne požarne pregrade delujejo, za kaj je katera varnostna storitev in kako morajo biti orkestrirane, da bodo preprečile tak xlsm? Občutek imam, da namesto da za mene pišeš, da ves čas nekaj vpijem, bi bilo bolje, če bi tudi kdaj kaj prebral, kar napišem. Morda se potem nebi spotikal ob to, če IPS lovi Excel-ove http request-e.

In kaj ima nek captcha na fake strani veze? Kao da bo bolj 'verodostojna' ali kaj? Z networkingom / požarno pregrado to nima čisto nobene veze.

"Pri vseh temah o požarnih zidovih samo ti nekaj ves čas vpiješ." je presneto bedna izjava. Kdo pa naj se 'pri vseh temah od požarnih zidov' oglaša, če ne nekdo, ki ima 20+ let izkušenj z njimi, ki različne rešitve pozna malenkost bolje od tega, da bi znal zgolj našteti znamko, ki razume ozadje delovanja,....... IN JE PRIPRAVLJEN TO ZNANJE DELITI S TISTIMI, KI JIH ZANIMA?

Tebe očitno ne zanima... ali pa si domišljaš, da že vse veš - a na koncu še vlogo IPS-a ne razumeš najbolje. Verjetno pa niti ne želiš brati mojega pametovanja....

Torej - naj se v vseh temah oglašajo samo tisti, ki o sami tematiki nimajo pojma? Bolje, da se oglašajo troli, kakor kdo, ki ima kaj znanja z določenega področja?

Ali te moti, da nekdo razbija mit o tem, da obstaja samo en proizvajalec požarnih pregrad, da je ponudba bistveno bolj pestra, da naj vraga ljudje že enkrat začno preverjati, kaj vse lahko za svoj denar dobijo, ne pa da jih 'dvorni dobavitelj' na suho nateguje in rine najdražjo možno opcijo v najbolj oskubljeni izvedbi?

Nisem programer in se ne oglašam v programerskih temah. Mogoče bi se še kdo drug lahko držal te modrosti, da ne pametuje preveč na področju, na katerem ni doma? Če znaš napisat "hello world" programček, še ne pomeni, da si programer. Če pa nekdo zna 'naštimat' Mikrotika, je pa že kar ekspert za varnostne rešitve? Žal marsikdo točno to misli....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

tony1 ::

Stavki s klicaji / ALL CAPS so v (n)etiketi definicija vpitja. In potem te folk malo neha brati.

In ja, Fortinet definitivno je recommended po NSSu, verjetno že desetletje zaporedoma. (Ne bom šel preveriti, ker jih ne prodajam.)

SeMiNeSanja ::

tony1 je izjavil:

Stavki s klicaji / ALL CAPS so v (n)etiketi definicija vpitja. In potem te folk malo neha brati.

In ja, Fortinet definitivno je recommended po NSSu, verjetno že desetletje zaporedoma. (Ne bom šel preveriti, ker jih ne prodajam.)

Če hočeš točno vedeti, so samo 3-je proizvajalci, ki so 3 ali več let zapored bili označeni kot 'Recommended': Fortinet, StoneSoft/ForcePoint in WatchGuard.

Je pa toliko več proizvajalcev, ki so v zadnjih treh letih vsaj enkrat dobili označbo "Caution": Barracuda, CheckPoint, Cisco, Juniper, PaloAlto, SonicWall in Sophos.

Kaj to pomeni? Ne prav veliko. Žal.

Tako kot ima vsak športnik kakšen slab dan, se tudi varnostnim rešitvam zgodi, da imajo kdaj kak 'slab dan'. Sicer je NSS Labs zadnja leta teste precej razširil na področja, ki niso tako odvisna od 'dnevne forme' (evasion testing,...), pa tudi testno obdobje je daljše.

Kljub temu je treba biti previden pri razlagi teh rezultatov, saj so močno odvisni od (dovoljene) konfiguracije na testu. Ta je lahko povsem drugačna, kot v realnem življenju. Stvar, ki se v laboratoriju krasno obnese, se lahko v realnem življenju odreže povsem drugače.

Poleg tega noben od teh testov ne daje vpogleda v samo 'konfigurabilnost' posameznih rešitev. Ravno ta pa ima največji vpliv na to, kako bo neka konfiguracija na koncu dejansko implementirana.

Tisti "Value" del pri NSS Labs pa je tudi zelo problematičen, saj vrednoti podane v $/zaščiteni Mbps.
Pri diskih je vsakomur jasno, da večji kot je, cenejši bo Gigabyte. Ista zgodba velja tudi pri požarnih pregradah: zmogljivejša kot je, cenejši bo Mbps prepustnosti. Stvar pa potem postane absurdna, če en proizvajalec privleče škatlo z ceno v 7 števkah, drug proizvajalec pa 50x cenejšo. Kot bi primerjal ceno/MB pri 100GB in 10T diskom...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

jukoz ::

SeMiNeSanja je izjavil:


Si prepričan, da je bil xlsx in ne xlsm? Prvi ne vsebujejo makrojev in bo bolj teško silil uporabnika v neko prijavo..?


https://www.bleepingcomputer.com/news/s...

Srečno pri preprečitvi teh bedarij za neuke uporabnike. Ker se bodo zlogirali in bo.

SeMiNeSanja je izjavil:


Kot drugo: jaz xlsm priponk ne prepuščam do uporabnikov in to že nekaj let ne, odkar so se začele štale z xlsm in docm v kombinaciji z ransomware. Ti pa danes prvič slišiš za te fore?!?


Ne, nisem prvič slišal za xlsm. In kot sva že par let nazaj ugotovila, nekateri ljudje uporabljajo makro datoteke in jih pošiljajo naprej. In kot sva že ugotovila, tvoja filozofija je, da se zapre omrežje za vse kar ti specifično ne dovoliš. In ker se ne moreš prilagajati vsem zahtevam uporabnikov, prideš to shadow ITja, uporabe wetransfer in podobnih zadev.

Končni rezultat je, da imaš zaprto omrežje, ki ne varuje zelo malo, ter okužene kliente na omrežju.
Moja filozofija je:
1.) v izobrazbi uporabnikov da se ne obnašajo neumno. Ker če jim ti blokiraš vse v službi, jim doma nihče nič ne blokira. In na koncu na USBju ali preko *Drive prinesejo svoje skrekane filme in musko v službo, skupaj z virozo.
2.) da tretiraš vse kliente na omrežju kot okužene in temu primerno skonfiguriraš delovanje.


SeMiNeSanja je izjavil:


Tretje: Ni naloga IPS-a 'loviti', če nek dokument zahteva vsebino z interneta. Princip 'prenosa' vsebine pri takšni avtentikaciji je popolnoma isti, kot pri kakršnemkoli legitimnem prenosu, tako da si z IPS in signaturami tu nimaš kaj pomagati. ...

In kaj ima nek captcha na fake strani veze? Kao da bo bolj 'verodostojna' ali kaj? Z networkingom / požarno pregrado to nima čisto nobene veze.



https://www.bleepingcomputer.com/news/s...

Captcha prepreči da bi tvoj super-duper deep pocket inspection firewall preveril ali se uporabnik prijavlja na leigitimno spletno stran od Office365 ali ne. Ker če spremlja promet in je pameten, ugotovi da je neka fake stran vpisana v registre fake strani. Če je za captcho, jo registri ne registrirajo in je firewall ne more označiti kot fake.
Preprosto, a ne.

Tako da moja trditev ostaja:

jukoz je izjavil:

Aha, se mi je zdelo. Tudi 30 dni stara bo pol kar ok =)



Spet, izobrazit je potreba uporabnika, saj bo on vpisoval svoje podatke.

SeMiNeSanja je izjavil:


"Pri vseh temah o požarnih zidovih samo ti nekaj ves čas vpiješ." je presneto bedna izjava. Kdo pa naj se 'pri vseh temah od požarnih zidov' oglaša, če ne nekdo, ki ima 20+ let izkušenj z njimi, ki različne rešitve pozna malenkost bolje od tega, da bi znal zgolj našteti znamko, ki razume ozadje delovanja,....... IN JE PRIPRAVLJEN TO ZNANJE DELITI S TISTIMI, KI JIH ZANIMA?



OK Boomer @ Wikipedia

Drugače si pa po letih lih ene 5 let starejši od mene. Po obnašanju pa 40 =)

SeMiNeSanja je izjavil:


Ali te moti, da nekdo razbija mit o tem, da obstaja samo en proizvajalec požarnih pregrad, da je ponudba bistveno bolj pestra, da naj vraga ljudje že enkrat začno preverjati, kaj vse lahko za svoj denar dobijo, ne pa da jih 'dvorni dobavitelj' na suho nateguje in rine najdražjo možno opcijo v najbolj oskubljeni izvedbi?


Ne, to me ful veseli in sem vesel da se oglašaš v teh temah. Me pa moti da pljuvaš čez odprto kodne rešitve: pljuvaš pa zato, ker jih ne poznaš oz ne želiš preučiti. Sej te razumem, tudi jaz nimam časa za čist vsako stvar in nikakor ne vem vsega. Se pa tega zavedam in ne pišem bedarij.

SeMiNeSanja je izjavil:


Če pa nekdo zna 'naštimat' Mikrotika, je pa že kar ekspert za varnostne rešitve? Žal marsikdo točno to misli....


Mikrotik zna bit kar tricky in razumem da dobiš občutek vsemogočnosti, če ti uspe urediti kaj bolj zahtevnega =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

@Jukoz - si natančno prebral, kar sem napisal glede pfSense?

Ni bilo 'pljuvanje' - bilo je opozorilo, da naj se nanje ne gleda tako presneto 'romantično', ker imajo kar precej hud pricetag, če se jih lotiš implementirati 'zares' in ne po amatersko 'za hobby'.

So cool za domačo rabo in učenje. Ko se gre pa za RESNO rabo, pa zadeva hitro postane dražja od neke komercialne rešitve, če greš stvari sestavljati skupaj, da prideš na enako vrednost celokupne 'rešitve'.

Vse ostalo je pa zgolj romantika... ki ap v poslovnem okolju nima kaj dosti za iskati kot kriterij, kako/s čem boš varoval svoje uporabnike.

Glede 'Capcha' maškerade ali kajvem, kako bi to zadevo imenoval: požarne pregrade niso SEG-i, pa še za te ne vem, kateri deluje po tem principu, da gre 'lastnoročno' pogledati url-je v mailu, ker na tak način še vedno ne more odkriti, ali ti nekdo želi natveziti slona, ali pa ima poštene namere.

Požarne pregrade se večinoma sploh ne ubadajo z URL-ji v mailu, temveč analizirajo URL-je, ko dejansko dostopaš do določene spletne strani.
Takrat pa gredo skozi vrsto baz in kriterijev, s katerimi se ocenjuje, če je ciljna stran znana prodajalna slonov ali čisto normalna legitimna stran.

Ampak tudi tu požarna pregrada ne bo mogla delati panike, da ti hočejo natveziti slona, če to ni že nekdo drug prej na nek način zaznal in se je stran posledično znašla v neki od specializiranih baz.
Blokira se tudi sicer sumljive domene (npr. ravnokar registrirane, ali parkirane, ipd.) ampak kakorkoli obrneš, tudi najbolj premetena umetna inteligenca ne more prekositi zdravega človeškega razuma pri odkrivanju poskusov ribarjenja.

Malware je druga pesem. Tega lahko z raznoraznimi orodji kar precej zanesljivo zaznaš. Človeško hudobijo pa moraš 'zavohat'.

Drugače pa kar se 'tistega' primera iz članka tiče - kje si ti videl, da naj bi mail imel kakšno xls priponko? Piše o mailih BREZ priponk!
V mailu je zgolj 'Button' z linkom, ki ga moraš stisniti, da boš prenesel voicemail ali Google Doc z nekega Cloud accounta.

Kljub vsemu, je treba reči še to, da se tovrstni phishing maili ne razpišiljajo eden po eden, temveč se gre za kampanje. Če imaš kolikor toliko spodobno antispam orodje, bo tovrstna sporočila umaknilo na stranski tir že pri preverjanju, če se gre za spam.

Dejansko je ravno v tem čar sodobnih požarnih pregrad, da imaš kopico enih varnostnih storitev, ki se medsebojno dopolnjujejo. Če ena sfali določeno grožnjo, imaš še vedno vsaj eno, če ne še več drugih preverjanj, ki lahko grožnjo uspešno zaustavijo.

A nesporno dejstvo je, da moraš uporabnike izobraževati, saj vsa silna tehnologija služi zgolj temu, da poskusiš zajeziti uporabnikove napake. PREPREČI jih pa lahko le uporabnik sam, tako da 2x pomisli, kaj dela. Vse ostalo pa je gasilstvo. A žal brez gasilstva ne gre. In seveda upaš, da bodo tvoji gasilci tako uspešni, da bodo požar zaznali že v fazi, ko se šele kadi, ne pa šele potem, ko je bajta že pogorela.

Tu pa je potem velika razlika kaj ti določene rešitve omogočajo - pa tudi kaj si kot admin sposoben skonfigurirat.
Če se že v štartu lotiš zadeve po sistemu 'pa ne morem uporabnikom prepovedat tega pa onega...', potem si bitko že izgubil, predenj si jo sploh pričel.
In vraga... kdo danes sploh še pošilja Makro enabled Office dokumente naokoli? Takim je uhle za potrgat!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

Mimogrede, jukoz, so ti že vdrli v tisti RDP honeypot? Bi že bil čas.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

AnotherMe ::

Se pravi, da če prav razumem, je trenutno za domače igranje in malo boljšo zaščito od firewalla na routerju Sophos UTM najboljša izbira? Dal bi pa na eno nuc varjanto z dvema mrežnima...

SeMiNeSanja ::

AnotherMe je izjavil:

Se pravi, da če prav razumem, je trenutno za domače igranje in malo boljšo zaščito od firewalla na routerju Sophos UTM najboljša izbira? Dal bi pa na eno nuc varjanto z dvema mrežnima...

Vsak ima nekoliko drugačno izkušnjo. Zadnjič tu gor eden ni ravno pretirano pohvalil Sophos-ovo varianto. Misli, da je imel težave z performansami, ki so bile daleč pod pričakovanji.

Alternativa za pogledat je Untangle.... malo te zmede na prvi pogled, ampak se potem da znajti notri.

Zadnji 'popularni' izhod pa je potem klasika od pfSense ali OpnSense.
So še druge odprtokodne variante, ampak so bistveno manj popularne.

Vem da je probavanje zoprno in lahko tudi frustrirajoče...se pa kaj naučiš...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Zgodovina sprememb…

Smukec ::

AnotherMe je izjavil:

Se pravi, da če prav razumem, je trenutno za domače igranje in malo boljšo zaščito od firewalla na routerju Sophos UTM najboljša izbira? Dal bi pa na eno nuc varjanto z dvema mrežnima...


Kakšen NUC pa imaš? Daš link? Oziroma link do solidnega HW za to stvar?

AnotherMe ::

Smukec je izjavil:

AnotherMe je izjavil:

Se pravi, da če prav razumem, je trenutno za domače igranje in malo boljšo zaščito od firewalla na routerju Sophos UTM najboljša izbira? Dal bi pa na eno nuc varjanto z dvema mrežnima...


Kakšen NUC pa imaš? Daš link? Oziroma link do solidnega HW za to stvar?


Uh, nevem točno modela... nek zotac...

Drugače pa nekaj takega: https://www.amazon.de/Pfsense-Mi19W-S2-...

Smukec ::

Kaj pa tole (fingbox) kot dodatek routerju?

Zanimiv review:

in
https://the-gadgeteer.com/2017/12/19/fi...

Apple ::

Jst ga uporabljam ze 2 leti... lustna zadeva...

Periodicno dela speedtest, dobivas mesecni report, dela checkiranje odprtih portov, checkira naprave, obvesca te, komje kksna naprava online/offline, blokiras otrokom dostop do neta, omejis casovno dostop oz blokado... skenira wifi naprave (vidis, katere naprave so naokoli)...
LP, Apple

Smukec ::

Delovanje fingboxa, a to je ok? :)


This is a very informative video, thank you for taking the time to review our product. This is Violet from Fing and I just wanted to let you know that Domotz is the parent company of Fing. Domotz acquired Fing in May 2016, though the teams operate individually. Fing is not a white-labeled Domotz, both software's have very different features and target different audiences. Fingbox is designed for home networks and Domotz PRO is for professionals which provide tech support to other networks.

I'd just like to add in a few comments on the technology used in Fingbox.

The ARP poisoning technique was not invented with Fingbox, and there are plenty of plenty of free/open source tools allowing anyone to perform and execute MITM (Man in the Middle) attacks.

Many devices can take full control of your network as soon as they are plugged in for the purpose of parental control or as a security gateway by automatically re-routing all traffic through the device. Fingbox in opposition to many competitor devices does not try to take full ownership of your network and uses ARP-poisoning only selectively and temporarily. It's used for the internet pause and during bandwidth analysis while devices are intentionally selected to run a bandwidth analysis over a short period of time.

There are also dozens of pre-packaged hardware's and how to's on the internet that anybody with bad intentions can use to perform ARP Spoofing, Man in the Middle attacks, or the likes.

By having Fingbox on a network, our appliance can detect ARP attacks and alert a user immediately if they are happening, thus providing extra peace of mind and security.

Fingbox is still the only hardware available at its price point which notifies the user of such threats if they occur. The reason we invented Fingbox is to promote our clients' awareness and understanding of their networks - the safety and cybersecurity of our clients is our primary concern! Please note that we have even released an additional Internet Security feature since your last review which shows a user any open port on their router from the public internet which may increase the vulnerability of their network to cyber risks.

AnotherMe ::

SeMiNeSanja je izjavil:


Alternativa za pogledat je Untangle.... malo te zmede na prvi pogled, ampak se potem da znajti notri.

Zadnji 'popularni' izhod pa je potem klasika od pfSense ali OpnSense.
So še druge odprtokodne variante, ampak so bistveno manj popularne.

Vem da je probavanje zoprno in lahko tudi frustrirajoče...se pa kaj naučiš...


V virtualki sem probal probal vse tri in mi nekak OPNSense še najbolj diši - ampak ga ne znam dat na mašino :(

Ne glede na to kaj snamem z neta, mi ne uspe naredit ključka, da bi z njim potem lahko inštaliral na mažinco.
Probal sem unetbootin, etcher, rufus - noben ne spravi skup bootable usbja :(

Sem stupid, ali sem samo kako malenkost spregledal??

SeMiNeSanja ::

Pa si ključek sprobal še na keri drugi mašini?
Lahko da si ga naredil čisto o.k., ampak se sistem nekaj upira....
Si preveril BIOS, da imaš omogočen boot z USB naprave?

Če imaš na voljo boot menu ob zagonu (se mi zdi, da F10 na nekaterih računalnikih) in tam izbereš USB, se tudi nič ne zgodi?
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

MrStein ::

downloadaš vga verzijo, daš na ključ*

Si delal po navodilih? https://opnsense.org/users/get-started/


* prej seveda odzipaš
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

AnotherMe ::

SeMiNeSanja je izjavil:

Pa si ključek sprobal še na keri drugi mašini?
Lahko da si ga naredil čisto o.k., ampak se sistem nekaj upira....
Si preveril BIOS, da imaš omogočen boot z USB naprave?

Če imaš na voljo boot menu ob zagonu (se mi zdi, da F10 na nekaterih računalnikih) in tam izbereš USB, se tudi nič ne zgodi?


To sem pa res pozabil probat še kje drugje, čeprav Ubuntu sem brez težav naložil na to mašinco (kasneje z istega ključka).

MrStein je izjavil:

downloadaš vga verzijo, daš na ključ*

Si delal po navodilih? https://opnsense.org/users/get-started/


* prej seveda odzipaš


Jup, mašina je "recomended" (i5, 8gb ram, 120ssd), dol sem potegnil najprej vga verzijo, odzipal, "zapekel" z rufusom...

Bom danes zvečer probal še na kaki drugi mašini nardit...

Hvala!

Zgodovina sprememb…

MrStein ::

če še ne gre, zapeci z dd
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

SeMiNeSanja ::

MrStein je izjavil:

če še ne gre, zapeci z dd

To je pa že hardcore!
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Moja domaca mreza

Oddelek: Omrežja in internet
462495 (343) mahoni
»

PFsense vs Sonic Wall (strani: 1 2 )

Oddelek: Informacijska varnost
836561 (3212) Blisk
»

pfsense (strani: 1 2 )

Oddelek: Kaj kupiti
736247 (1953) SeMiNeSanja
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6714795 (10339) AC_DC
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10713590 (10567) NeMeTko

Več podobnih tem