Hardware Firewalls - Erfahrungsaustausch

[dj-hotline]

Hi, aktuell läuft noch eine Panasonic Anlage über einen lancom. Daher kann ich dazu noch nicht viel sagen. In unserem Design ist ein getrenntes Netz auf einer eigenen Physik. Schnittstelle geplant. Die dann Über die OPNsense über den Zentralen Uplink auf einer eigenen IP läuft (wir haben nach Außen ein /29 Netz per Glasfaser). Die VOIP Anlage (yeastar) kommt ende des Jahres. Von Problemen werde ich dann berichten gehe aber nicht davon aus. Auf pfsense und Co haben wir schon mehrere Starface und CO laufen das machte auch keine Probleme.

Wenn haben alle VPN-Anbindungen per OpenVPN laufen völlig Problemlos.

LG

 

[Fard Dwalling]

Hatten heute eine Vorstellung einer großen Palo Alto... uiuiui.
Hat jemand Erfahrung mit Trend Micro TippingPoint Gateways? Blick das nicht ganz, ob das Firewalls oder reine IPS sind...

 

[Blubmann1337]

Ohne ein TM Gateway zu haben...Liest sich wie ein reines IPS.

 

[TheManneken]

Ich werfe mal Clavister in den Raum. Was, kennt ihr nicht?

Clavister kommt aus Schweden und produziert auch dort. Sie werben ausdrücklich mit ihrer "no backdoor policy" und fokussieren sich auch explizit auf das Thema Firewall und Network Security. Nach Snowden's NSA-Whisteblowing ging's für richtig aufwärts. Natürlich gibt's zahlreiche unterschiedliche Hardwaremodelle als auch Virtualisierungslösungen, Management über WebUI oder Console ist sehr intuitiv und bei Bedarf sehr tiefgehend. Außerdem gibt es mit InCenter und InControl auch Softwarelösungen für zentralisiertes Management und Analyse, die App OneConnect für VPN sowohl für mobile Geräte als auch Windows lässt sich mit diversen MFA-Authentifizierungsmethoden koppeln.

Los geht's bei einer kleinen E10 oder E80 für Homeoffice sowie kleine bis mittlere Unternehmen, über die W20, W30 und W40 für mittlere bis große Unternehmen bis hin zur W50 Pro mit bis zu 55 Gbps Firewall Durchsatz oder 8 Gbps VPN Durchsatz für Rechenzentren. Leider gibt's keine kostenlose Home Use Lizenz wie bei Sophos... das wäre das Sahnehäubchen!

Vertrieb ist jedoch gar nicht mein Thema. Die Hardware geht bei ein paar Hundert € los und das Lizenzmodell unterscheidet nach "nur Hardware" oder mit Security Subscriptions. In Deutschland fungiert hauptsächlich Sysob als Distributor für die Produkte, wobei man mit Partnerstatus auch gleich mit dem Hersteller persönlich in Kontakt tritt.

 

[Towatai]

Sind seit heute dabei unsere beiden ASAs durch zwei Watchguard M670 zu ersetzen. Ich bin gespannt was die Kollegen sich da ausgesucht haben 🙃

 

[andy_m4]

Sie werben ausdrücklich mit ihrer "no backdoor policy"

Haben die dann auch ihre Software zur Begutachtung im Quelltext veröffentlicht?
Das würde zwar nicht heißen, das der sauber ist und das in den Produkten dann auch tatsächlich dieser veröffentlichte Quelltext verwendet wird und das die Hardwarechips nicht manipuliert sind usw.
Aber das wäre zunächst einmal die absolute Baseline wenn man über vertrauenswürdige Firewall-Appliances spricht. Wenn das schon nicht da ist, brauchen wir eigentlich gar nicht weiter drüber reden.

Insofern verbuche ich allein solche Aussagen einfach mal nur unter Marketing.

 

[brotkastn]

Um mal noch einen "exoten" zu nennen:

Ich hatte beruflich mal viel mit den Firewalls von genua zu tun. Die haben auch für besonders Paranoide eine Modellreihe, da generiert man auf dem einen Teil der Hardware einen Boot-Stick mit festem Regelsatz, setzt den dann Read-Only, und bootet dann den zweiten Teil der Hardware vom ReadOnly Stick.

Auch so ein Hersteller der sehr auf Sicherheit setzt - aber manches anders nennt als man es gewohnt war. Die Firewalls waren damals weitaus weniger "beliebt" bei den Admins als die paralell eingesetze Sophos UTM. Das betraf allerdings nur die Adminstration, sonst war v.a der Support 1a

 

[andy_m4]

Ich hatte beruflich mal viel mit den Firewalls von genua zu tun.

Ich war mal auf deren Webseite https://www.genua.de/
Was man da so an Infos findet ist ähm ... ziemlich übersichtlich. Sowohl vom Umfang als auch von der Tiefe.

Einen Bugtracker u.ä. sucht man auf der Seite auch vergeblich. Nu ist es ja in solchen Fällen nicht so, das in den Produkten keine Fehler vorkommen. Und das ist an sich auch nicht weiter schlimm weil das halt nun mal passieren kann. Wichtig ist halt, das man eine gewisse Fehlerkultur hat und mit den Fehlern auch offen und transparent umgeht.
Wenn das nicht da ist, ist das eher ein schlechtes Zeichen und wirkt nicht gerade vertrauenswürdig.

Die haben auch für besonders Paranoide eine Modellreihe

Wie gesagt: Die Baseline ist, das die Software Open-Sourced ist. Und da bin ich noch gar nicht bei paranoid oder gar besonders paranoid.

 

[brotkastn]

Wie gesagt: Die Baseline ist, das die Software Open-Sourced ist. Und da bin ich noch gar nicht bei paranoid oder gar besonders paranoid.

Richtig. Die Firewall wurde damals auch nicht von mir gekauft

Dennoch ein Ansatz mit dem sie offensichtlich beim Bund glänzen. Für irgendwelche Zertifikate langt es.

Ich fahre derzeit auch einen reinen Opensource Ansatz und betreibe deswegen ein opnsense auf eigener Hardware.

Nachdem es die aber auch fertig zu kaufen gibt, von diversen Herstellern, müsste das ja auch als "Hardware Firewall" zählen, oder?

 

[andy_m4]

Ich will denen ja auch nicht generell absprechen das sie brauchbare Appliances bauen und die durchaus auch sicher sind.
Nur die Außendarstellung ist halt ähm ... unbefriedigend. Die Infos auf der Homepage scheint sich mehr an Entscheider zu richten als an Techniker. Ich seh' ja ein das es Marketing-Geblubber heutzutage braucht, wenn man was verkaufen will. Aber wenns halt fast nur daraus besteht ist auch Asche und hinterlässt keinen wirklich guten Eindruck.
Ich wundere mich, das diese simple Wahrheit "Vertrauen braucht Transparenz" sich immer noch nicht überall rumgesprochen hat.

Nachdem es die aber auch fertig zu kaufen gibt, von diversen Herstellern, müsste das ja auch als "Hardware Firewall" zählen, oder?

Ich weiß sowieso nicht, ob diese Unterscheidung überhaupt Sinn macht. Auf jedem dieser Geräte läuft letztlich irgendeine Software (i.d.R. mit irgendeinem Linux oder BSD).

 

[danse]

Eine unsortierte Liste an Dingen, die mich an einer Firewall, in Hinblick auf die tägliche Nutzung, interessieren.

- bei mehr als zwei Firewalls eine gemeinsame Management Plane. Nichts ist schlimmer als entscheiden zu müssen auf welche Firewall eine Regel angelegt werden soll.

- Wenn eine GUI, dann will ich alles per GUI machen.

- Alle können die Grundlagen (gut), aber es gibt sicherhlich Gebiete, wo der ein oder andere Hersteller besser performt.