Brannmur...

Siden det er betydelig kompetanse på dette her i forumet er det fint å dra nytte av det. Jeg har lite kunnskaper om dette og har brukt ferdigsydde systemer av varierende kvalitet. Zywall - Sone Alarm - Floppy Firewall mm

Det har aldri gitt meg noen problemer, men jeg har da heller ikke dykket inn i logger og analyser for å avdekke eventuelle problemer i særlig grad. Dette er fordi jeg ikke har arbeidet i nettverk med veldig sensitiv informasjon på insiden.

ok... hva vet jeg.
Man åpner for spesifikke IP inn og ut og for de porter man vil og trenger.
Jo ferre åpninger jo ferre problemer. Tjenester som ikke har behov for det skal heller ikke slippes ut på nettet. Åpninger inn skal heller ikke inn om det ikke er spesifisert. Svar utenfra skal komme igjennom om det er nødvendig. Maskiner skal ikke tillates å kjøre på andre porter. Altså ikke kjøre tjenester over porter de ikke er beregnet for.


hmm..
Hva kan skje?
Når man kaller opp en IPadresse for å kjøre en kommunikasjon kan det jo hende at IP adressen det sendes fra ute ikke er autentisk, (kommer fra ønsket kilde) eller at den innholder uønskede data.
En gammeldags brannmur bare regulerte trafikken basert på IP og porter og tok lite hensyn til innhold. IP utenfra skal heller ikke få svar på oppkall innefra om det ikke er åpnet for dette.

ok.
Sniffer?
Jeg installerte en sniffer en gang som faktisk leste innholdet i pakkene på nettverket i det de ble sendt motatt. Er dette en løsning som er brukt i dag? Altså at det foregår en intelligent filtrering av innholdet i pakkene?

Er det dette som er dagens brannmurer? Eller sorterer dette mere under AV?

Kan dere som er inne i dette fremstille et problem til meg som er typisk og vanskelig, slik at jeg kan forstå utfordringene i dette med brannmurer?

Dagens brannmurer har fått noen nye effekter. I all hovedsak er det:

Deep Packet Inspection
(Motor som kan analysere datadelen i flere etterfølgende pakker slik at Virus, spyware og andre ulumskheter kan avsløres)
Content Filtering
(Sjekker på sentrale registre om websidene det surfes på har relevant innhold. Man kan sperre for nazi og pornosurfing etc..)
Client AV
(Sjekker om datamaskiner på nettverket har installert AV og riktig versjon av AV)
Gateway AV
(Bruker DPI til å se etter Virus og vil kutte trafikken og banne ip'en)
Gateway Anti-Spyware
(Bruker DPI til å se etter Spyware/Adware og bryte forbindelsen slik at man ikke får lastet ned f.eks. den exe-filen som inneholder spyware)
IPS
(Analyserer pakkemønstre for å se om det f.eks. kommer mistenkelig mange pakker eller til eller fra samme ip)Selv de billigste modellene av Sonicwall til et par tusen kroner har dette innebygget, så hvis en brannmur ikke har dette i dag kan du trygt si at den suger bigtime.

Selv de billigste modellene av Sonicwall til et par tusen kroner har dette innebygget, så hvis en brannmur ikke har dette i dag kan du trygt si at den suger bigtime.

Ok.

Hva skiller en brannmur til 2.000 fra en til flere hundre tusen?

Ytelse. Funksjonaliteten er stort sett lik. Men på de aller største er det som regel flere porter og vlan-muligheter slik at man kan ha veldig mange segment.

Slik at om man vil invister med "value for money" i hodet så kan man kjøpe en billig brannmur for hver segment og likevel ha samme sikkerhet?

De aller fleste trenger ikke flere enn 4 porter (LAN, WAN, DMZ og WLAN). Det er som regel antall brukere på baksiden eller samtidige innkommende VPN-oppkoblinger som vil generere behov for kraftigere brannmurer. De billigste vil bare håndtere maks 10 brukere på baksiden. Kommer man opp på 30-50 brukere trenger man en litt kraftigere sak til rundt 10-15.000. Da er det kombinasjonen av CPU og RAM som bestemmer ytelsen.

Hvordan måler man ytelsen til en brannmur?
Når vet man at brannmuren har blitt en flaskehals?

Hvordan måler man ytelsen til en brannmur?
Når vet man at brannmuren har blitt en flaskehals?
Man har noe CPU og thread-måling på brannmuren, men først om fremst merker man at man ikke klarer å oppnå nok båndbredde fordi Gateway Antivirus eller andre sikkerhetstjenester strir med å sjekke alle pakkene som skal inn og ut.

Har pleid å feilsøke etter mistanke om ytelsesproblemer ved at man skrur av alle UTM-tjenester og sjekker igjen for å se om nedlastingen går fortere.

Hver pakke på f.eks. en Sonicwall skal sjekkes mot en base på 3500 AV og Antispyware-signaturer. Det krever litt CPU og RAM.

:)

Takk for ypperlig oppdatering og informasjon.

meget god gjennomgang - har en zywall - ehh tror det er 5000 ett eller annet, som gamle jobben min kjøpte for en dyr penge den gangen. Mange mer kunnskapsrike kamerater som lurer på om jeg skal skifte den ut - hmm - kanskje med egen vinning i bakhodet?

Dyrere løsninger har jo også bedre muligheter for cluster funksjon og oppetid, og det er også forskjell på de forskjellige produktenes tolkning av deep inspection. Og for mange så betyr jo support hos leverandør endel, hvor raske de er til å komme med oppgardering mot nye sårbarheter etc.

Vi skal teste en Cisco ASA 5500 nå. Har du testet den Orca?

Proxy må vel være en løsning?
På innsiden av nettverket altså.

I gamle dager var disse populære. Men jeg har ikke sett de på en stund.

Vi skal teste en Cisco ASA 5500 nå. Har du testet den Orca?

ASA boksen er fin den. Mye stilig funksjonalitet, men ikke nødvendigvis noe bedre enn andre leverandøre.

ASA boksen er fin den. Mye stilig funksjonalitet, men ikke nødvendigvis noe bedre enn andre leverandøre.
Er VPN-klienten bra? Er litt opptatt av den, siden vi har noen potensielle road-warriors.