Vervangen hardwarematige firewall (nu pfSense)

Om wat problemen binnen een netwerk op te lossen ben ik van plan om de regelmatig crashende standalone pfSense firewall (hardware problemen) binnen een MKB netwerk te vervangen.

Het netwerk bevat de volgende onderdelen :

1 DC / AD / DHCP en DNS server (Windows Server 2016 Standard)
1 pfSense firewall (laatste versie) in directe verbinding met modem via LAN1, LAN2 voor switch
10 werkstations (Win10 pro)
10 voip telefoons
Ubiquiti Unify AP (VM met ubuntu inc. controller software op DC)
400/100 mbit zakelijke internetlijn

Alle apparaten staan verbonden via een 24 poorts 1gbit managed switch (cisco) inclusief nog enkele randapparatuur (3 stuks).

de pfSense "bak" crasht gemiddeld 1 keer per week door hardwarematige problemen, moederbord blijkt instabiel en diverse onderdelen hiervan zijn ondertussen vervangen om te bekijken of dit "goedkoop" opgelost kan worden.(Hardware is +/- 6 jaar oud)
Het onderhoud van pfSense vergt echter teveel werk voor binnen dit netwerk/bedrijf en er dient een oplossing te komen die niet al teveel kosten maar vooral tijd met zich mee brengt.

Uiteraard is het een optie om de volledige hardware waar pfSense op draait te vervangen, de kosten hiervan zullen om en nabij de 200 euro zijn, dus niet al te duur, maar de vraag rees op om te zien of er minder "omvangrijkere" oplossingen zijn (m.a.w. kleiner apparaat, minder stroomverbruik, handzamer met reboots etc.).

Gezien het gegeven dat er al een Unifi apparaat in het netwerk zit wil ik als eerste opteren om een Ubiquiti USG tussen de WAN en de router te plaatsen, maar is dit dat wel voldoende. In principe zou de USG voldoende moeten zijn voor hetgeen er met het netwerk gebeurd. De vraag hierbij was echter hoe het zat met VPN's, op dit moment word er op het netwerk dmv anydesk op de lokale werkstations ingelogd om de werknemers vanuit huis te laten werken.
Dat is allemaal goed te doen, maar zou met een VPN minder resources kunnen gebruiken. Daarnaast hoeven de werkstations dan ook niet aan te blijven staan.
Heeft een USG wel de mogelijkheid om dit op een veilige manier te kunnen doen? via pfSense kan dit, maar zoals vermeld, zeer instabiele hardware op het moment dus dat risico wil ik op dit moment niet voor dit netwerk lopen.

De USG heeft een prijskaartje van +/- 120 euro, wat natuurlijk een lachertje is ten aanzien van de pfSense server.
Er zijn wat andere oplossingen, maar deze oplossingen vergen vaak wel extra licentiekosten, is dat dan wel de moeite waard?

De andere hardware die hier naar voren gekomen is, is als volgt :

Ubiquiti USG-PRO 4 (het grote broertje van bovenvermelde)
Zyxel Nebula NSG50 (tot 300mbit, 10 VPN tunnels, relatief simpel te onderhouden en te installeren)
Fortinet Fortigate 30E (iets prijziger dan de zyxel, wel betere doorvoersnelheid)

Wat is jullie kijk hier op, principieel kunnen we alles hier tussen plaatsen en ik wil van het onnodige beheer af van dit netwerk. Er moet dus een oplossing komen die na het instellen en inrichten nagenoeg gebruiksvriendelijk is en waarbij de gebruikers bij problemen zelf een reboot kunnen uitvoeren dmv stekker uit en in...

Zelf draai ik in mijn netwerk een Ubiquiti USG-PRO 4 waar ik zeer tevreden over ben, vergt wat instellingen mbt firewall regels, maar ik heb hier verder geen enkel onderhoud aan nadat ik deze op de juiste wijze ingesteld heb.

Bl@ckbird schreef op vrijdag 23 oktober 2020 @ 12:26:
[...]

• Wat is de impact als de internetlijn uit valt? ( Zoals de PIN storing nu bij AH.)
• Geen toegang tot klantdata, dus flinke impact
• Heb je backup via een 2e internet lijn of 4G?
• 2e internetlijn en daarnaast nog 4G (die laatste nog nooit hoeven gebruiken)
• Wat als je gegevens op straat komen te liggen door een phishing / ransomware aanval?
• Dat betreft een drama verhaal, maar voor welke onderneming niet?
• Heb je andere vestigingen die je wil koppelen?
• Nee.
• Zijn je devices secure? (Smartphones, laptops, in het netwerk maar ook als ze thuis / buiten het kantoor netwerk gebruikt worden.)
• Wifi verloopt via RADIUS server met 128bit encryptie en alleen voor geautoriseerde apparaten. Voor thuissystemen is er een TLS 1.2 met AES 128bit encryptie (standaard anydesk) en wederom alleen voor geautoriseerde apparaten (MAC-adres).

Een firewall is een security device. Wat is een secure netwerk jou / het bedrijf waard? Anders kan je net zo goed een zijkniptangetje nemen als firewall.

toon volledige bericht

Het antwoord op deze vragen is relatief simpel en heb ik achter je lijst gezet.

Wat betreft de harde eisen :

Het systeem dient veiligheid te bieden aan de gebruikers en de gevoelige data welke zich daar achter bevind. Dat is een harde eis.
De mogelijkheid tot tenminste 8 VPN lijnen is een iets minder harde eis.

pfSense is op dit moment volledig gesloten voor de buitenwereld, er zijn dus geen open poorten en de noodzaak hiertoe is er ook niet. Het gros aan software wat gebruikt word is cloudbased echter is er nog lokale data aanwezig waar toegang tot moet zijn en draait er nog interne bedrijfssoftware. Een VPN kan hier uitkomst aan bieden (om in ieder geval van anydesk af te zijn). Lokale data zal volgend jaar ook naar een op cloud gebaseerd systeem migreren.