Dedicated firewall zinvol? - Netwerken

vrijdag 25 augustus 2017 11:57

Acties:

Topicstarter

Heeft het nog zin om een dedicated firewall te installeren?

Op het moment draaien we een Check Point safe@office 1000N waar achter het netwerk zit. Ik vind dit nogal een vaag apparaat waar allerlei abonnementen bij kunnen voor aantal gebruikers, virusscans en anti-spam.

Bovendien is het tamelijk onmogelijk om hier nog een fatsoenlijke firmware voor te vinden in de draak van een website van checkpoint.

Achter de firewall zit een Ubiquiti USG (unifi security gateway) welke ook een firewall heeft ingebouwd. Nu zie ik wel wat verschillen in een eerste oogopslag. Die checkpoint heeft iets wat ze noemen "Smart Defense", hier zit bijvoorbeeld DDOS protectie in.

Mijn vraag: Voegt een aparate firewall nog wat toe? Of is iets als een USG prima, mits alle poorten gewoon netjes dicht staan natuurlijk.

Wat mij betreft mag de discussie breder getrokken worden dan mijn specifieke situatie. Ik ben benieuwd hoe jullie denken over het nut van een gespecialiseerde firewall appliance. (zou ook een PFSense-server kunnen zijn natuurlijk).

"Chaos kan niet uit de hand lopen"

vrijdag 25 augustus 2017 12:16

Acties:

unezra

Ceci n'est pas un sous-titre.

Hangt allemaal een beetje van de specifieke toepassing, bedrijfsgrootte, hoe het netwerk er uit ziet en hoe mensen werken af.

Werken mensen op kantoor dedicated in een remote VDI omgeving, heb je niet zo'n spannende firewall nodig en is een USG of iets dat veel simpeler is meer dan voldoende.

Het word anders als je naar grotere omgevingen gaat, zelf allerlei externe diensten gaat ontsluiten, etc. Dan kom je in overwegingen waarbij het nuttig kan zijn je firewall firewall te laten zijn, je router, router, je switch switch, etc.

Zonder het wat specifieker te maken, kun je daar vooral heel breed over discussiëren en is er niet echt te zeggen of het nut heeft of niet.

Ná Scaoll. - Don’t Panic.

vrijdag 25 augustus 2017 17:00

Acties:

storeman

Topicstarter

Mijn idee van een Firewall is: alle poorten zijn dicht, tenzij ik iets toesta en er een server achter zet. Ik vraag mij af wat een dedicated firewall aan veiligheid toevoegd/toe kan voegen.

Uit mijn research begrijp ik dat firewalls ook kijken naar de inhoud van pakketten. Met de toenemende encryptie lijkt mij dit een verloren zaak.

Ik heb het idee dat als:
- Poorten vanaf WAN geblokkeerd worden, behalve voor bepaalde diensten (servers)
- Alle servers (doorgestuurd vanaf port forwarding) up to date zijn
- Alle clients up to date zijn
- Alle clients van een virusscanner zijn voorzien
- De firmware van de router/(niet dedicated) firewall up to date is

Dat het zo'n beetje maximaal mogelijk beveiligd is zonder alle gebruikers lastig te vallen. Een stap veiliger zou natuurlijk zijn om poorten van binnenuit te blokkeren, of alleen bepaalde ip-adressen toe te staan, maar daar ga ik gewoon niet aan beginnen.

Om het specifiek te maken: ongeveer 25 pc's aan het netwerk, WiFi (gescheiden vlan voor gasten), 5 printers. Alle PC's op windows 10 pro, up to date. Ook staat er een simpel linux servertje, ook up to date. En een Syno nas, ook up to date.

Ik heb laatst met een partij gesproken die zij dat er een Firewall MOEST staan. Ik ben nogal eigenwijs, maar niet ongevoelig voor argumenten, ik ben niet overtuigd geraakt door zijn horror-voorbeeld (n=1 is geen argument wat mij betreft).

"Chaos kan niet uit de hand lopen"

vrijdag 25 augustus 2017 17:10

Acties:

TommieW

Numa numa.

Afhankelijk van de soort firewall, is het meer dan alleen een verhaal van TCP/UDP poortjes opengooien of blokkeren. Zo zijn er ook "Next Generation Firewalls". Het idee hiervan is dat er meer gekeken wordt in de pakketjes, zoals je zegt. Hiermee kunnen bijvoorbeeld ook specifieke domeinen geblokkeerd worden. Een andere interessante mogelijkheid is dat de firewall controleert op malware of andere verdachte activiteiten. Dit kan voorkomen dat een virus überhaupt het netwerk binnenkomt.

Wat ook interessant is: Een firewall die alleen kijkt naar poortjes in de headers heeft steeds minder zin. Een voorbeeldje: een netwerk waar ik in zit staat alleen poort 80 en 443 naar buiten toe. Echter wil ik graag verbinding maken met mijn SSH server. Als ik deze erver op poort 443 laat draaien zal ik gewoon verbinding hiermee kunnen maken. Een Next Generation Firewall zou in theorie het verschil in de pakketten kunnen zien en dus de verbinding blokkeren.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 17 Pro Max - Macbook Pro 16" M1 Pro

vrijdag 25 augustus 2017 17:18

Acties:

daxy

Een firewall kan veel meer dan poortjes blokkeren. Dat kan iedere Sitecom van 10 euro ook

Denk ook aan detectie van TCP-SYN attacks, detectie van D-DOS attacks, bulk ARP responds vertragen, actieve herkenning van virus-signatures, etc. Ook kunnen ze vaak gebruikt worden om VPN sessies op te zetten, end-point checks uitvoeren etc. Zoals gezegd, een Checkpoint, PaloAlto, Juniper SRX, etc is veel meer dan simpel poortjes blokkeren

Uit jouw verhaal maak ik op dat je in principe genoeg moet hebben aan simpel poortjes blokkeren. Just my 2cts

Do not argue with a fool. He will drag you down to his level and beat you with experience.

vrijdag 25 augustus 2017 17:47

Acties:

The Realone

daxy schreef op vrijdag 25 augustus 2017 @ 17:18:
Uit jouw verhaal maak ik op dat je in principe genoeg moet hebben aan simpel poortjes blokkeren. Just my 2cts

Je geeft zelf aan dat next-gen gateways veel meer zijn dan een stateful firewall. Dat is natuurlijk niet voor niks. Ook voor MKB's is enige vorm van IPS/threat prevention op de gateway erg nuttig.

Wel is de appliance van TS inmiddels op leeftijd. Het is ook erg interessant om te weten of er überhaupt nog support/maintenance betaald wordt om dat ding up-to-date te houden, anders is het een beetje schijnveiligheid.

@storeman Is het wellicht verstandig om dit gewoon bij jullie IT dienstverlener neer te leggen? Die zijn (normaal gesproken) gewoon op de hoogte van dit soort technieken en hun noodzaak.

vrijdag 25 augustus 2017 17:53

Acties:

Bigs

Er is inderdaad nogal wat verschil tussen een UTM/IPS firewall en de stateful firewall van de USG (die vanwege de implementatie in software trouwens een zeer matige doorvoer heeft en dus niet zondermeer voor elke situatie geschikt is). Verdiep je daar eerst eens in en maak op basis daarvan je beslissing. Overigens kan een moderne firewall ook gewoon SSH en SSL verkeer scannen (door middel van een eigen CA op je clients), maar de vraag is of je dat moet willen.

De functie van router/firewall/VPN gateway kan in een kleinzakelijke opstelling best in een apparaat, maar de USG is m.i. niet dat apparaat. Dan zou ik toch eerder naar iets als een Fortigate of een Juniper SRX kijken.

vrijdag 25 augustus 2017 18:26

Acties:

unezra

Ceci n'est pas un sous-titre.

@storeman Met 25 man en een NAS, zou ik zeker voor een kleine next-gen firewall gaan zoals een Fortigate of pfSense doos.

Fortigate is prima, veel value-for-money. Heb je voor relatief bescheiden bedragen. (Paar honderd EUR.) Wel zinvol om voor de initiële configuratie een specialist in te huren.

pfSense is leuk, open source, zelf nog niet heel veel mee gedaan maar het is veelbelovend. Toch, ook daar, huur een specialist in voor de initiële configuratie en doe vervolgens zelf het dagelijks beheer.

Ná Scaoll. - Don’t Panic.

vrijdag 25 augustus 2017 22:35

Acties:

storeman

Topicstarter

Kijk, met deze info kan ik verder. Ik ben me al verder aan het inlezen in de materie en begin er langzaamaan van overtuigd te raken dat het toch wel noodzaak is om hier eens goed naar te kijken.

Bedankt voor jullie input. Ik vond het lastig om hier aanknopingspunten voor te vinden, maar ik kan weer verder.

"Chaos kan niet uit de hand lopen"