[Techinfo] Tűzfal építés - most lenne kis pénz

Czirok Ferenc czirokf at gmail.com
2021. Sze. 19., V, 22:02:15 CEST 

Szia,

Ha valami komolyabb gyártó megoldása mellett teszed le a voksodat
mindenképpen beszéljétek át a licenszelési konstrukciókat.
Általában nem life time-ra szólnak az egyes service-ek fee-jei hanem 1-3-5
évre. Nagyon kínos tud lenni ha  egy olyan service-re építesz aminek később
nem tudjátok megvenni a licensz követését.
Azzal kalkulálj, hogy 5 év alatt "újra" meg fogod venni az eszközt, szóval
úgy budget-elj.

Zyxel:
Elég csúnya sérülékenységei voltak az utóbbi időben, igazi vascső dájas
húzások, úgy tudom, hogy az update az élő licenszhez kötött, így ha lejár a
támogatásod ott állhatsz kritikus sebezhetőségekkel amit ki is fognak
használni.

Unifi:
A secure gateway helyett inkább az UDM pro-t válaszd, az egy sokkal újabb
terméke a Ubi-nak, messze erősebb a HW van alatta és a támogatása is tovább
fog élni.
Képességeit tekintve kb azonos.
Sajnos eléggé bug-os a kezelőfelület és nagyon sok sérülékenységet hordoz
magában, tény, hogy folyamatosan javítják, de a javításokkal párhuzamosan
újabb és újabb hibákat emelne be.

Egyéb megoldások:
Érdemes lenne utána kérdezni, hogy iskolák számára van-e valami használható
konstrukciója a Palo Alto, Check Point, Fortigate trio-nak, esetleg Juniper.
Ezeknek a cuccoknak mind nagyon jó a dokumentációja, terjedelmes, sok
mindenre kitér, nem lesz vele gondod.

Megéri-e:
Egyértelműen emeli a biztonsági szinte,t ez nem kérdés. A kérdés az, hogy
hosszú távon 5-7 évig tudjátok-e folyamatosan fizetni a különböző
licenszeket.

Egyéni véleményem:
Valószínűleg egy komolyabb tűzfal árából ki tudsz hozni 3-4 közepes
teljesítményű gépet:
-2 gépet egy valami opensource tűzfalra használnék fel failover
cluster-ben, ha egyik lerohad az évek során ott a másik...
-1-2 gépet pedig naplózásra, alerting-re, monitoring-ra (nyilván ha van
eszköz akkor nem..)

a tűzfalakra erőforrás függvényében:
  - network-öt jól megszeparálni, strict szabályokkal L3-ban
  - IDS/IP
  - kimenő http kapcsolatnál SSL inspection + vírus szűrés
  - Ha van bejövő http, akkor az http reverse proxy-val terminálni + valami
WAF modul
  - logoltatni távolra a fenti szolgáltatásokat

Naplózó:
  - feltenni egy ingyenes napló elemző ami képes threat analízis végezni,
aztán alertelgessen.

Ha kérdésed van szívesen segítek, kb ismerem őket (Zyxel, Unifi, Palo,
Check Point, Forti) (némelyiket jobban némelyik kevésbé), illetve
opensource megoldásokban is segítek szívesen ha végül arra esik a
választásod.

Üdv,
Feri




On Fri, Sep 17, 2021 at 12:23 PM Glorius Webmester <dgzweb at gmail.com> wrote:

> Üdv a Listának!
>
> Alapítványi iskola - most van kis pénz a biztonságra.
>
> Kis hálózat, tanárok (22) gépterem (22) max 200 user, Ubi Wifi AP-k, saját
> szerver (belső Sulixever és webes MaYoR napló), Sulinetes 50/5 és saját
> 100/100 internet kapcsolat.
>
> Szétválasztanánk a diákokat (gépterem és külön WiFi SSID), a vendégeket
> (külön WiFi SSID) és a Tanárok-Iroda szegmenst (külön WiFi SSID) plusz
> védenénk az egészet kintről is.
>
> Amin gondolkodunk:
>
> https://www.zyxel.com/hu/hu/products_services/USG-FLEX-Firewall-USG-FLEX-500/
>
> Javasolták, mint nagyon profi megoldást.
>
> illetve
> https://www.ui.com/unifi-routing/unifi-security-gateway-pro-4/
> Ez amiatt, h illeszkedne a meglévő WiFI AP-khez is esetleg.
>
> Mivel eddig csak ingyenes - szoftveres - megoldásokat ismerek, kérdések
> vannak:
>
> - mennyire éri meg komolyabb összegeket kifizetni iskolai szinten?
> - nem ismerem ezek kezelését, mennyire elérhetők a leírások, CookBook-ok?
> - Találok-e olyan közösséget, aki segíthet, ha elakadok...
>
> Előre is köszönöm az együttgondolkodást/tanácsot/ötletet...
>
> --
> Dicső Géza
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.edu.hu
> Fel- és leiratkozás: https://listserv.niif.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Szertár: http://www.szag.hu/weboldal/techinfo/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/techinfo/attachments/20210919/d3bccd4f/attachment.htm>

További információk a(z) Techinfo levelezőlistáról