[Techinfo] Tűzfal építés - most lenne kis pénz
Czirok Ferenc
czirokf at gmail.com
2021. Sze. 20., H, 14:21:21 CEST
Szia,
Azt az infót konkrétan nem kaptuk meg, hogy milyen tűzfal funkciókat
szeretnének aktívan használni, így innen nem tudom megítélni, hogy
elégséges-e a mikrotik vagy se.
A mikrotik:
Bőséggel elégséges ha routing-ról beszélünk, bár ott is meg kell nézni a
specifikációban, hogy mit ad meg a gyártó az egyes csomagméretek esetén.
(aztán annak a 80%át venni, mint valós teljesítmény, mivel iperf-fel
mérnek)
Amíg csak ip:port párokról beszélünk és úgy szűrünk, addig elégséges lehet,
DE amint szeretnénk
- egy SSL-t kibontani/újracsomagolni
- vírust szűrni a forgalmon
- IDS/IPS-t üzemben tartani
- loadbalancert-t üzemeltetni
elhullik, már pedig ezek szerintem fontosak.
IP:PORT szűrések:
ha több mint 4 interface-en akarsz egy jól "megzónázott" rendszeren (5-6
subnet-nél több) tűzfal szabályokat írni, rettenetesen átláthatatlan lesz,
hiába veszel fel chain-eket -bár az tagadhatatlanul sokat segít.
Egyszerűen nem erre találták ki, nyilván lehet address list-eket használni,
DE azokat nem tudod konzisztensen a rendszerben mindenhol felhasználni, ha
cserélned kell egy IP-t egy komplexebb rendszeren a szemed ki fog folyni.
Tény, hogy néhány szabályt felvenni (50 alatt) rendben van teljesen, én is
szeretem, DE egy komplex hálózat csomagszűrését nem bíznám rá, nem arra
való.
FastTrack:
Nagyon megtévesztő, mert jelentősen csökken a filtering késleltetése és nő
az áteresztő képesség, aztán örülünk, hogy milyen gyors, cserében viszont
elbukjuk a netfilter-alrendszer képességinek egy jó részét, mert nem járja
be a csomag a kernelben a neki szánt utat, hanem "rövidít"
Aztán amikor debug-olni kell az ember dörzsöli a szemét, hogy hol a csomag.
WiFi+capsman:
nagyon jó szeretem, de jelenleg nincs olyan eszköze a mikrotik-nek ami pl
mu-mimo képes lenne, annélkül pedig szerintem most telepíteni egy rendszer
már botorság lenne és itt éppen ez történik ha jól gondolom.
Nem támogat a capsman roaming-ot (ha gyenge a jel és lerúgom a klienst az
nem roaming) pl.: minimum 802.11r amit meg kellene valósítani.
Sajnos nagyon kicsi a rádiós teljesítménye egy CAP AC ap-nak, most jelent
meg egy új verziója CAP XL AC vagy mi a túró, arra nagyon kíváncsi leszek
mit tud majd. Mu-mimo itt sem támogatott mert a 6.x-es routeros nem
támogatja a 7.x talán változást hoz.
VPN képességek:
openvpn-t nem tudsz csak TCP-n üzemeltetni és a titkosítást a CPU-val végzi
hiába lenne benne olyan chip ami a crypto-t hivatott gyorsítani.
IPSEC esetén is meg kell nézni a specifikációt, hogy milyen cipher
suite-okat támogat, mert az sem mindegy, mert csak azok esetén érhető el a
hw-es gyorsítás.
Szóval routing-ra nagyon nagyon jó megoldás, mindent is tud, de
határvédelemre, nagy rendszer esetén nem használnám, illetve frissen
telepítendő wifi-re se vetném be amíg az újabb működési módozatokat nem
implementálják a frissebb hardware-ek és swoftware-ek esetén.
Üdv,
Feri
On Mon, Sep 20, 2021 at 1:24 PM Sándor Fehér <sandor.feher84 at gmail.com>
wrote:
> Szia!
>
> Routernek + tűzfalnak BŐVEN jó iskolai környezetbe és profi a MIKROTIK
> ár-érték arányban. (legjobb döntés szerintem)
> Az örök licence miatt, meg nem kell eldobni pár év után és gyakran jönnek
> frissítések is rá, amit persze automatán is fel tud telepíteni.
> Ezek is tudnak központi wifi management-et (capsman), így az unihoz is
> alternatív módszer lehet.
> A mikrotik fórumain és a neten rengeteg infó van róla és akik szeretjük a
> mikrotiket szívesen segítünk másoknak is.
>
> Amit szeretnél, azt bőven tudja az alábbi általad linkelt eszközöket
> bőven túllicitálva a funkciógazdaságot tekintve. (és olcsóbban)
>
> Konkrét eszköz például központi routernek a :
> rb 1100ahx4 (ez a hardcore teljesítmény egy suliba ilyen hálózatba bőven
> sok) >>>>>
> https://ipon.hu/shop/termek/mikrotik-rb1100ahx4/1632852?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPBHFfGdOtlDVc3djwPjcLzhlPx22Cb77RufISOy1ZKChAVZrSIBkGhoC8o0QAvD_BwE
>
> vagy
> hap ac3 a soho vonalon ami olcsóbb, de funkcióba ugyanazt tudja kisebb
> teljesítmény mellett., nálunk nagyobb hálózat mellett ez van kp routernek
> >>>>>>
> https://www.arukereso.hu/router-c3144/mikrotik/hap-ac3-rbd53ig-5hacd2hnd-p592921566/?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPLXrvvtluBDh8KbUSYeGx_sJdN9gTFblma44jYevHgQCX0DWjaF3JRoCBvoQAvD_BwE
>
> wifi ap-nek pedig nekem ez vált be nagyon:
>
> https://www.pcx.hu/mikrotik-rbcapgi-5acd2nd-cap-ac-dual-band-wireless-access-point-00332158?gclid=CjwKCAjw4qCKBhAVEiwAkTYsPPcDmH10wE69RnE6ZLyb2yE1FQB1cZSv0vcdSX21uHXH7NtKdZANpBoC47AQAvD_BwE
>
> poe-s felfűzhető páronként (kettesével), mennyezetre kell rakni, ha lehet
> sarkoktól távol. Szomszédos teremben még teljesen jó a jel 1 fal után.
> (stabil youtube stb.)
>
> Mikrotikben ha kérsz segítséget engem nyugodtan kereshetsz. Régóta űzöm
> vele az ipart és szinte mindegyik cert-em megvan tőlük..
>
>
>
>
>
> 2021. 09. 17. 12:23 keltezéssel, Glorius Webmester írta:
>
> Üdv a Listának!
>
> Alapítványi iskola - most van kis pénz a biztonságra.
>
> Kis hálózat, tanárok (22) gépterem (22) max 200 user, Ubi Wifi AP-k, saját
> szerver (belső Sulixever és webes MaYoR napló), Sulinetes 50/5 és saját
> 100/100 internet kapcsolat.
>
> Szétválasztanánk a diákokat (gépterem és külön WiFi SSID), a vendégeket
> (külön WiFi SSID) és a Tanárok-Iroda szegmenst (külön WiFi SSID) plusz
> védenénk az egészet kintről is.
>
> Amin gondolkodunk:
>
> https://www.zyxel.com/hu/hu/products_services/USG-FLEX-Firewall-USG-FLEX-500/
>
> Javasolták, mint nagyon profi megoldást.
>
> illetve
> https://www.ui.com/unifi-routing/unifi-security-gateway-pro-4/
> Ez amiatt, h illeszkedne a meglévő WiFI AP-khez is esetleg.
>
> Mivel eddig csak ingyenes - szoftveres - megoldásokat ismerek, kérdések
> vannak:
>
> - mennyire éri meg komolyabb összegeket kifizetni iskolai szinten?
> - nem ismerem ezek kezelését, mennyire elérhetők a leírások, CookBook-ok?
> - Találok-e olyan közösséget, aki segíthet, ha elakadok...
>
> Előre is köszönöm az együttgondolkodást/tanácsot/ötletet...
>
> --
> Dicső Géza
>
> _______________________________________________
> Techinfo mailing listTechinfo at lista.edu.hu
> Fel- és leiratkozás: https://listserv.niif.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Szertár: http://www.szag.hu/weboldal/techinfo/
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.edu.hu
> Fel- és leiratkozás: https://listserv.niif.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Szertár: http://www.szag.hu/weboldal/techinfo/
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <https://listserv.niif.hu/pipermail/techinfo/attachments/20210920/a9cc20d3/attachment.htm>
További információk a(z) Techinfo levelezőlistáról