Hardware firewall

Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 1131
Lid geworden op: 21 Nov 2004
Locatie: Hechtel-Eksel
Bedankt: 21 keer
Uitgedeelde bedankjes: 44 keer
Contact:

Hardware firewall

Berichtdoor svermassen » 23 Okt 2019, 23:57

Hoi,

Weet iemand een goede betaalbare hardware firewall voor thuis netwerk zou kunnen zijn?
Liefst met wandmontage.

Thanx !

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 24 Okt 2019, 00:03

MikroTik hardware: https://mikrotik.com/products
Wel redelijk steile leercurve in begin, maar eens je er mee weg bent wil je niets anders meer :-D

Deze kan ik aanraden, doe hier Gbit speeds over en kost niet veel:
https://mikrotik.com/product/RB750Gr3
https://www.dectdirect.nl/nl/mikrotik-hex-rb750gr3.html
Laatst gewijzigd door Tim.Bracquez op 24 Okt 2019, 01:38, 1 keer totaal gewijzigd.
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 1131
Lid geworden op: 21 Nov 2004
Locatie: Hechtel-Eksel
Bedankt: 21 keer
Uitgedeelde bedankjes: 44 keer
Contact:

Re: Hardware firewall

Berichtdoor svermassen » 24 Okt 2019, 00:08

Hehe, das gelijk de vrouw.
Steile leercurve, maar daar geraak ik niet meer vanaf :angel:
Thanx voor de tip.

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 24 Okt 2019, 00:24

Netgate pfSense SG-1100 met de Wall Mount kit

MikroTik is recent in een minder goed daglicht gekomen met VPNFilter. Is niet per se een reden om al dan niet te kopen, maar zoek het toch eens op.

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 24 Okt 2019, 00:41

CCatalyst schreef:MikroTik is recent in een minder goed daglicht gekomen met VPNFilter. Is niet per se een reden om al dan niet te kopen, maar zoek het toch eens op.

Recent 2018? Welke door MikroTik in 2017 gefixt was maar sommige vergeten te updaten? En ook een issue dat je niet kon hebben als je jouw firewall goed ingesteld hebt? (lees: geen publieke toegang op http/beheer port) https://forum.mikrotik.com/viewtopic.php?f=21&t=134776


Ook andere hardware had problemen:
Routers from Asus, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, Upvel, and ZTE, as well as QNAP network-attached storage (NAS) device.


Of bedoel je de winbox exploit? Had je ook geen last van bij een goede firewall config :-)

Vrees dat elk stukje software wel (eens) problemen heeft als je deze open zet voor het internet, dus een goede les is al het inkomend verkeer blokkeren thuis op je router/firewall tenzij je vanaf vertrouwde IP's/VPN's komt
Laatst gewijzigd door Tim.Bracquez op 24 Okt 2019, 01:31, 1 keer totaal gewijzigd.
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 24 Okt 2019, 01:05

Tim.Bracquez schreef:Vrees dat elk stukje software wel problemen heeft als je deze open zet voor het internet.


Cisco heeft het gerapporteerd maar had geen betrokken hardware. Linksys zit al sinds 2013 bij Belkin. MikroTik was bijzonder zwaar getroffen. De oorsprong van het bedrijf in een voormalig Oostblokland zorgde voor vragen, daar VPNFilter van de Russische overheid afkomstig is. Tenslotte gaat het hier toch niet zomaar over "problemen", wel over malware dat code bevat om te spioneren op (en mogelijks lamleggen van) Westerse industriële systemen zoals zeesluizen of elektriciteitscentrales.

Soit, uiteraard is het zo dat alle routers/firewalls geviseerd worden om onderdeel te worden van online cyberoorlogen, en elk toestel heeft vulnerabilities. Maar er is nog een verschil tussen een backdoor en malware dat spioneert of DDoS't op kritieke infrastructuur: maar een van de twee heeft het potentieel om een economie plat te leggen.

Nu goed, de topic moet hier niet verder over gaan. OP heeft voldoende informatie voor zijn due diligence.
Laatst gewijzigd door CCatalyst op 24 Okt 2019, 01:14, 1 keer totaal gewijzigd.

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 24 Okt 2019, 01:12

@CCatalyst, vrees dat je de reports fout hebt gelezen, het gaat over malware dat op de routers geïnstalleerd is via een hack/backdoor, niet geïnstalleerd door de maker! Dus voor alle duidelijkheid VPNfilter is inderdaad spionage software die er door backdoors op je routers kwamen, deze backdoors zijn niet toegankelijk geweest als je de router correct gefilterd had (input WAN poort) en was al bij MikroTik in 2017 gefixt voor report er was, maar niemand duwt op de update button :-)


Dit is de bron van symantec een andere bron gaf cisco ook op (mijn copy, my bad), correctere bron: Routers from Asus, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, Ubiquiti, Upvel, and ZTE, as well as QNAP network-attached storage (NAS) devices. https://www.symantec.com/blogs/threat-i ... ot-malware

Best belangrijk om de foute beschuldiging (naar de verschillende router fabrikanten) recht te zetten, dus wel belangrijk voor de OP dat die geen foute info krijgt
Laatst gewijzigd door Tim.Bracquez op 24 Okt 2019, 01:21, 1 keer totaal gewijzigd.
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 24 Okt 2019, 01:20

Tim.Bracquez schreef:@CCatalyst, vrees dat je de reports fout hebt gelezen, het gaat over malware dat op de routers geïnstalleerd is via een hack, niet geïnstalleerd door de maker.


Uiteraard heeft de maker dat daar niet uit vrije wil opgezet. Maar hebben ze onmisbare hulp verleend aan hun oosterburen, onder druk van het een of ander? Of werken er mensen met bepaalde Russische banden bij MikroTik dat aan de grens met Rusland ligt? Dat zullen we nooit weten.

Omwille van hun geografische positie is Cisco het meest kwetsbaar voor invloed van de Amerikaanse overheid, Huawei van de Chinese overheid en MikroTik voor Russische invloeden. Wat niet betekent dat dat ook het geval is. Maar bij Cisco en Huawei is het wel allebei prijs geweest.

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 24 Okt 2019, 01:23

CCatalyst schreef: Maar hebben ze onmisbare hulp verleend aan hun oosterburen, onder druk van het een of ander? Of werken er mensen met Russische banden bij MikroTik dat aan de grens met Rusland ligt? Dat zullen we nooit weten.

Ter info, ze hebben die bug al lang gefixt voor een een publieke report was, dus lijkt me nu net dit helemaal tegen te spreken.

BTW: Op MikroTik hardware draai je gewoon openwrt als nodig
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 24 Okt 2019, 01:35

Tim.Bracquez schreef:Ter info, ze hebben die bug al lang gefixt voor een een publieke report was, dus lijkt me nu net dit helemaal tegen te spreken.


Maar zij waren het niet die de eerste publieke report gemaakt hebben... Wel een bedrijf van een overheid dat spioneert op Rusland, waarvan achteraf nog uitgekomen is dat ze getipt werden door de inlichtingendiensten (Cisco Talos houdt zich normaal niet echt bezig met de producten van anderen). Pas als de Amerikaan het lekte kwam MikroTik naar buiten.

Je hebt gelijk dat ze de bug eerder in alle stilte gefixt hebben. Mogelijks door een interne audit, mogelijks door een tip van iemand, misschien zelfs omdat een van hun eigen toestellen in hun HQ besmet geraakt was. Maar waarom bleven ze zo lang stil terwijl zij wellicht ook wel wisten dat de bug actief misbruikt werd, terwijl disclosure van vulnerabilities enige tijd na de patch gangbaar is? Waarom had Cisco de primeur terwijl hun hardware niet eens betrokken was? Intern onderzoek naar wie die code erin geschreven heeft? Druk van buitenaf om te zwijgen? Of gewoon maar angst voor dalende verkoop?

Soit, je punt is geldig, er zijn geen bewijzen. Maar die gaan er ook gewoon nooit komen als er echt inmenging was bij MikroTik. In het Oostblok gaat het er anders aan toe dan hier. Je kent het spreekwoord "waar rook is, is vuur". Wel hier was er zodanig veel rook dat je geen hand meer voor je ogen zag.
Laatst gewijzigd door CCatalyst op 24 Okt 2019, 01:49, 1 keer totaal gewijzigd.

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 24 Okt 2019, 01:48

CCatalyst schreef:Maar zij waren het niet die de eerste publieke report gemaakt hebben...

Hebben ze wel gedaan in hun changelog toen...(zie mijn links, staat/stond gewoon publiekelijk gemeld). Blijkt dat dit misbruikt is geweest op routers die niet beveiligd waren of niet ge-update waren om toen er software op te zetten. Dit hebben ze toen ook gepublished dat die oude bug misbruikt is geweest en toen in 2017 ook gemeld is geweest dat die gefixt is. Denk niet dat ze hier meer konden doen en inmenging zéér ver te zoeken is.

Report na melding
Cisco informed us on May 22nd of 2018, that a malicious tool was found on several manufacturer devices, including three devices made by MikroTik. We are highly certain that this malware was installed on these devices through a vulnerability in MikroTik RouterOS software, which was already patched by MikroTik in March 2017*. Simply upgrading RouterOS software deletes the malware, any other 3rd party files and closes the vulnerability. Let us know if you need more details. Upgrading RouterOS is done by a few clicks and takes only a minute.


Changelog van 2017
Current release chain:
What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;

And also Bugfix release chain:
What's new in 6.37.5 (2017-Mar-09 11:54):
!) www - fixed http server vulnerability;


Denk niet dat je te snel spoken moet zien, uiteraard is het altijd wel slim om te controleren wat er door je netwerk gaat, ook van smart devices. En ook alles op de INPUT toe te gooien op welke firewall ook
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 24 Okt 2019, 02:09

Tim.Bracquez schreef:
CCatalyst schreef:Maar zij waren het niet die de eerste publieke report gemaakt hebben...

Hebben ze wel gedaan in hun changelog toen...(zie mijn links, staat/stond gewoon publiekelijk gemeld).


Hier is de eerste publieke report van Mikrotik:

Code: Selecteer alles

!) www - fixed http server vulnerability;

... en daarna was het stil. Er werd met geen woord meer over gerept, tot 14 maanden later in de avonduren dit verscheen op de website van Talos: https://blog.talosintelligence.com/2018 ... ilter.html

De volgende ochtend heeft Mikrotik - die niet anders meer kon - voor het eerst openlijk toegegeven dat het een serieuze vulnerability was die meer uitleg vereiste: https://forum.mikrotik.com/viewtopic.php?t=134776

Het zal altijd een kwestie zijn van dit of dat te geloven. Maar ik geloof NIET, voor geen yota, dat MikroTik niet wist wat Cisco wist voor ze ermee naar buiten kwamen. Er waren in die periode klachten over hun toestellen die (zonder dat de eigenaar het wist) te wijten waren aan infecties met VPNFilter. Mikrotik gaf het advies om die toestellen te rebooten. Het werkte, maar de toestellen raakten later weer geinfecteerd. MikroTik heeft met zekerheid toestellen in RMA gekregen waarop de infectie in de diagnose te zien was. MikroTik wist goed genoeg dat de malware zich steeds meer verspreidde via hun hardware en dat er meer ruchtbaarheid nodig was dan hun changelog. Waarom ze er niet mee naar buiten kwamen zullen we nooit weten.
Laatst gewijzigd door CCatalyst op 24 Okt 2019, 02:20, 1 keer totaal gewijzigd.

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 24 Okt 2019, 02:20

@CCatalyst: Dit is hoe er maandelijks meerdere problemen opgelost worden en ge-report worden, enkel CVE's die publiekelijk staan melden ze verder en dan nog meestal gewoon melding in changelog met referentie er naar. Deze bugfix had geen CVE. Moest je ze kennen en gebruiken zou je dit weten. Denk dat we voor jouw complot theorieën best een apart topic maken :)

Ivm met die RMA kan ik je zeggen dat dit niet klopt wat je zegt.

Lijkt me dat svermassen genoeg informatie heeft over jouw denken en hier rekening mee zal houden :-)

En gelijk een mooie opstap voor velen om hun routers/firewalls een update te geven en te checken dat er niets open staat voor de WAN poort
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 24 Okt 2019, 02:27

Tim.Bracquez schreef:@CCatalyst: Dit is hoe er maandelijks meerdere problemen opgelost worden en ge-report worden, enkel CVE's die publiekelijk staan melden ze verder en dan nog meestal gewoon melding in changelog met referentie er naar. Deze bugfix had geen CVE.


Inderdaad.

Tim.Bracquez schreef:Moest je ze kennen en gebruiken zou je dit weten.


Ik ben zelfs geabonneerd op de mailinglijsten.

Tim.Bracquez schreef:Denk dat we voor jouw complot theorieën best een apart topic maken :)


Jammer dat het moet eindigen met een persoonlijke aanval :cry: Ik denk dat we best kritisch mogen zijn op de security-praktijken van vendors van hardware zonder de suggestie te krijgen dat je niet goed in je hoofd bent, toch?

Natuurlijk heeft elke vendor z'n problemen, en MikroTik heeft dat nooit bewust erin geschreven, maar als er al inlichtingendiensten aan te pas komen (zie het Cisco rapport) en een concurrent de advisory voor jou schrijft, dan moet je toch inzien dat er hier iets meer gaande is dan normaal het geval is, en minstens dat MikroTik het niet in de hand had.

Maar je hebt gelijk, uiteraard beslist svermassen zelf.

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 24 Okt 2019, 02:40

@CCatalyst: Ik zeg helemaal niet "dat je niet in je hoofd bent"
Complot theorie slaat gewoon op waarvan jij MikroTik beschuldigd (quote: "MikroTik voor Russische invloeden"), vind dit allemaal ook interessant en volg dit, mag in ander topic, altijd leuke leesvoer.


BTW: MikroTik published zelf geen CVE's maar fixt ze gewoon, dus logisch dat ze geen CVE aanmaken als de reporter dit niet aangemaakt heeft en/of dit gewoon een fix was nadat een dev dit gezien heeft.
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3751
Lid geworden op: 10 Mar 2010
Bedankt: 375 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 52 keer

Re: Hardware firewall

Berichtdoor Splitter » 24 Okt 2019, 08:18

ik heb hier thuis een eigen build met opnsense op, maar je kan ook out of the box devices kopen: https://www.applianceshop.eu/security-a ... l-ghz.html

vrij eenvoudig, vrij mooie gui, en doet zijn werk erg goed.
bovendien kan je de firewall ook eenvoudig uitbreiden met o.a openvpn
ooit zal hier iets nuttigs staan

splinterbyte
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 16 Jun 2006
Locatie: Zuiderkempen
Bedankt: 28 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 79 keer

Re: Hardware firewall

Berichtdoor splinterbyte » 24 Okt 2019, 18:47

@splitter

Maximum Port to Port Throughput ~450Mbps
...
€299.00


er zijn voor die prijs wel betere te vinden, die wel gigabit aankunnen, bv. https://teklager.se/en/pfsense-hardware/

EDIT: corrected link
Laatst gewijzigd door splinterbyte op 24 Okt 2019, 23:06, 1 keer totaal gewijzigd.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3751
Lid geworden op: 10 Mar 2010
Bedankt: 375 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 52 keer

Re: Hardware firewall

Berichtdoor Splitter » 24 Okt 2019, 19:06

die link van je is een erg irritante om vergelijkingen te doen (er staat nergens op die pagina, noch op de amazon links wat de throughput is)
toegegeven dat mijn link ook niet "de beste firewall ever" is wat hardware betreft, maar je moet ergens ook afwegen dat:

1) je intern netwerk er niet (perse) over hoeft, daarvoor heb je switches
2) je naar internet toe nog quasi nergens gigabit hebt, laat staan dat je het vaak en/of sustained gaat gebruiken
3) het ding 24/7 draait, dus stroom ook een factor is (of je moet zonnepanelen hebben met reserve - of een firewall nu veel of weinig verbruikt, 24/7/365 telt dat zowiezo op.
4) prijs/beschikbaarheid/eenvoud ook een factor is.

dat gezegd zijnde is de (enige) mogelijk interessante optie uit de lijst de Mi4300YL met zijn i5.
maar ik heb mijn firewall bewust draaien op een N3160, en de hele build heeft me ongeveer 200 euro gekost (hele systeem).
ik heb een 100mbit lijntje, haal mijn snelheid, en doe probleemloos al het nodige (dhcp, dns, vpn, filtering, ...)
je kan eveneens een APU systeem nemen, maar dat is gekloot voor (her)installatie.
ooit zal hier iets nuttigs staan

yaris
Plus Member
Plus Member
Berichten: 224
Lid geworden op: 14 Mei 2004
Bedankt: 8 keer
Uitgedeelde bedankjes: 2 keer

Re: Hardware firewall

Berichtdoor yaris » 24 Okt 2019, 19:50

Ik heb ook een mikrotik met 10 poorten en wifi.
Gebruikt het dus ook als switch, heel handig.
Retestabiel, enorm veel mogelijkheden zoals span poort waarvoor ik hem initieel gekocht heb.
Echter wel steile leercurve.

Benbits
Pro Member
Pro Member
Berichten: 283
Lid geworden op: 05 Feb 2009
Bedankt: 19 keer
Uitgedeelde bedankjes: 7 keer

Re: Hardware firewall

Berichtdoor Benbits » 24 Okt 2019, 21:54

hier grote fan van untangle NGF
https://www.untangle.com/
Afbeelding Afbeelding

splinterbyte
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 16 Jun 2006
Locatie: Zuiderkempen
Bedankt: 28 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 79 keer

Re: Hardware firewall

Berichtdoor splinterbyte » 24 Okt 2019, 23:14

Splitter schreef:die link van je...

sorry verkeerde link, moest deze zijn, heb ook aangepast boven:
https://teklager.se/en/pfsense-hardware/

je ziet wel dat pfsense veeleisender is dan anderen.

Met telenet kan je tegenwoordig (bijna) gigabit snelheden halen.
Natuurlijk heeft niet iedereen dat...

Voor je 100mbps kan jij je pfsense mss wel op een raspberry pi oid draaien... EDIT: nee dat gaat niet want da's ARM...
Laatst gewijzigd door splinterbyte op 25 Okt 2019, 09:01, 1 keer totaal gewijzigd.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3751
Lid geworden op: 10 Mar 2010
Bedankt: 375 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 52 keer

Re: Hardware firewall

Berichtdoor Splitter » 24 Okt 2019, 23:38

splinterbyte schreef:Voor je 100mbps kan jij je pfsense mss wel op een raspberry pi oid draaien...


mwoah, een pi zou het niet trekken hoor (en die heeft geen aes-ni ook niet)
met mijn bordje zit ik aan ongeveer 30% continu cpu load tijdens normale omstandigheden (en momenteel zonder suricata wegens dat er een bug in lijkt te zitten die memory en cpu vreet - hoewel ook zelfs dan het bordje gewoon verder blijft gaan)

moet wel zeggen dat mijn netwerk intern op dit moment ook geen gigabit trekt (max out rond de 500mbps), maar daar kan de bottleneck van op veel zaken zitten (paar trage schijven, geen goede intel nics, ... maar als ik de switch de routing zou laten doen is dat opgelost zonder een duurdere en minder zuinige firewall)

nu dit helpt de starter van het onderwerp natuurlijk niet verder, maar het toont wel aan dat een goede firewall van veel zaken afhangt,
en dat moet meegenomen worden in de beslissing:

- wat moet het ding aankunnen van verkeer met welke max snelheden
- hoe moeilijk mag de leercurve zijn
- wat is het budget
- welke mogelijkheden moet de firewall hebben
- ...
ooit zal hier iets nuttigs staan

Gebruikersavatar
Tim.Bracquez
Elite Poster
Elite Poster
Berichten: 3017
Lid geworden op: 05 Dec 2010
Twitter: fusabe
Locatie: ::1
Bedankt: 409 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 140 keer
Contact:

Re: Hardware firewall

Berichtdoor Tim.Bracquez » 25 Okt 2019, 01:07

299.00 euro etc is allemaal toch duur als home firewall? Daarvoor haal je 2 keer een 10Gig firewall van MikroTik in huis met fiber, gelijk redundant :beerchug:
https://www.ip-sa.com.pl/mikrotik/RB4011iGSRM
https://mikrotik.com/product/rb4011igs_rm
Die heeft intern een switch chip voor offloading, dus tussen je poorten (zonder rules) haal je wire speed en naar je internet (afhankelijk van rules) is dit tussen de 2 en de 8Gbit

Die MikroTik HEX uit eerste post kost een 56 euro incl shipment en haalt Gbit speeds met filter rules met een 5-7 Watt power usage.

Is steile leercurve maar het o-zo-waard voor goedkoop stabiele hardware in huis te halen.
Tim Bracquez, tim@fusa.be, https://www.fusa.be
Dedicated Servers & Promoties - https://fusa.be/nl/hosting/offer
MikroTik Routerboards - https://fusa.be/shop

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 25 Okt 2019, 03:14

splinterbyte schreef:je ziet wel dat pfsense veeleisender is dan anderen.


AES-NI is vaak nog het probleem, maar die technologie heeft ook grote voordelen voor een firewall natuurlijk, zeker voor VPN waar de performance enorm veel wint.

MikroTik learning curve zal ook in het niets verbleken vs pfSense op APU2D4. Als je enkel het pfSense aspect wil leren is de Netgate link van hierboven een mooie optie, dat steunt ook het pfSense project.

Gebruikersavatar
NuKeM
Content Editor
Content Editor
Berichten: 4299
Lid geworden op: 10 Nov 2002
Locatie: Vlaams Brabant
Bedankt: 69 keer
Uitgedeelde bedankjes: 27 keer
Contact:

Re: Hardware firewall

Berichtdoor NuKeM » 25 Okt 2019, 07:44

Komende van een Mikrotik router en gaande naar pfSense enkele jaren geleden vind ik de leercurve van pfSense minder stijl. Hun documentatie is goed (mikrotik wiki ondertussen eigenlijk ook) en dat helpt. Je kan er ook veel meer mee met pfSense (denk maar aan IPS en ad/tracker/... blocking etc.).
Dat gezegd zijnde staan hier wel nog 4 mikrotik switches in het netwerk en daar ben ik ook best tevreden van.
Routers is dus voor mij pfSense, switches ga ik voor mikrotik (op routerOS).

Als je echt geld wil uitsparen kan je een N3160 met AES-NI en 4 Intel nics voor een zacht prijsje vinden op alixpress (al moedig ik dit niet aan).

splinterbyte
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 16 Jun 2006
Locatie: Zuiderkempen
Bedankt: 28 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 79 keer

Re: Hardware firewall

Berichtdoor splinterbyte » 25 Okt 2019, 09:15

Tim.Bracquez schreef:... MikroTik ... (afhankelijk van rules) ....


Dat is het juist...
Ik heb deze in test lopen met bridging, vlans en wat fw/NAT rules:
https://mikrotik.com/product/RB3011UiAS ... estresults
gigabit gaat voor korte duur en dan zakt het terug naar 100-700mbps. Als ik hetzelfde doe op m'n pfsense zijn de snelheden stuk stabieler...
En die kan ook geen multiple WAN aan met DHCP in zelfde subnet(zelfde defgw - telenet) zoals pfsense kan (maar ja dat is geen 'normaal' gebruik)

Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 1131
Lid geworden op: 21 Nov 2004
Locatie: Hechtel-Eksel
Bedankt: 21 keer
Uitgedeelde bedankjes: 44 keer
Contact:

Re: Hardware firewall

Berichtdoor svermassen » 25 Okt 2019, 10:15

Mag ik misschien nog eens een domme vraag stellen?
Staat hier wel een beetje los van.

Bedrijven die een hardware firewall installeren met anti-virus en dergelijke op.
En dan op de Windows pc’s Windows Defender gebruiken.
Is zoiets eigenlijk nuttig/praktisch?

Gebruikersavatar
NuKeM
Content Editor
Content Editor
Berichten: 4299
Lid geworden op: 10 Nov 2002
Locatie: Vlaams Brabant
Bedankt: 69 keer
Uitgedeelde bedankjes: 27 keer
Contact:

Re: Hardware firewall

Berichtdoor NuKeM » 25 Okt 2019, 10:32

Met de opkomst van encryptie op alle vlakken (https, dns,...) van de communicatie, ook steeds meer en meer tussen endpoints, wordt het voor een hardware firewall in de toekomst zelf onmogelijk alles in te kijken en te controleren. Meer dan ooit heeft een anti-virus op de endpoint nut en is de filter op de router van lager belang lijkt me.

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 25 Okt 2019, 11:07

Firewall technologie evolueert ook. Tegenwoordig kunnen firewalls de signatuur van malware ook in geencrypteerd verkeer herkennen. Niet met root certs die geinstalleerd moeten worden, wel puur herkenning van een bepaalde signatuur in het geencrypteerd verkeer. Natuurlijk (nog) niet in MikroTik of pfSense, maar de technologie is in volle ontwikkeling.

Daarnaast ook technologie waarmee een baseline-profiel van een client opgesteld kan worden, en infecties met malware herkend kunnen worden dmv het vreemde verkeer dat niet met het profiel overeenkomt.

De introductie van DNS over HTTPS gaat idd wel veel van de huidige technologie (niet wat in de paragraaf hierboven staat) onbruikbaar maken.

Rol van beveiliging van de endpoint neemt idd niet af, maar beveiliging aan de edge blijft m.i. ook noodzakelijk (nooit op 1 paard wedden).
Laatst gewijzigd door CCatalyst op 25 Okt 2019, 11:09, 1 keer totaal gewijzigd.

GuntherDW
Elite Poster
Elite Poster
Berichten: 777
Lid geworden op: 11 Mei 2007
Locatie: zwijndrecht
Bedankt: 38 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 8 keer
Contact:

Re: Hardware firewall

Berichtdoor GuntherDW » 25 Okt 2019, 11:09

splinterbyte schreef:Dat is het juist...


Inderdaad, dat is het juist. Zolang het van fastpath e.d. gebruik kan maken en het dus niet al te veel langs de CPU moet passeren maar zonder al te veel wijzigingen gewoon z'n ding kan doen, zijn ze snel genoeg.

Ikzelf kan bv met m'n RB750Gr3 m'n 100/35 sync saturaten met een speedtest zonder in de buurt van 10% CPU util te raken. Maar van zodra er wat meer gevraagd wordt en inderdaad door wat meer firewall rules heen moet welke dingen gaan liggen aanpassen ook nog eens gaat het wat lastiger.

Beetje logisch dan dat je i7 "stabieler" werkt dan een ARM dualcore chipje :P.

Bij een IPSEC tunnel bv, als ik alles tunnel en alsook m'n volledige sync benut is het wel ineens 30+% CPU usage.

Je kan er niet onderuit dat voor het geld dat je weldegelijk betaalt je veel meer krijgt dan bij andere "bekendere" brands welke van veel reclame genieten, zoals de ASUS RT's en TPlinkjes e.d..

Ik heb lange tijd veel huis tuin keuken routertjes gehad die bij het minste traffiek al vastliepen. Ook een paar jaar pfsense gedraaid, om nadien gewoon manueel OpenBSD te draaien en zelf een PF ruleset te beheren. Ik kreeg constant het gevoel dat PFSense iets te hard je handje wou vasthouden en niet echt aanpasbaar was zonder veel moeite.
Nu sinds ~2016-2017 die RB750Gr3 en moet zeggen dat ik best tevreden ben. Natuurlijk zijn er downsides waaronder het missen van MetaRouter maargoed.
Laatst gewijzigd door GuntherDW op 25 Okt 2019, 11:13, 2 keer totaal gewijzigd.

CCatalyst
Elite Poster
Elite Poster
Berichten: 2622
Lid geworden op: 20 Jun 2016
Bedankt: 219 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 12 keer

Re: Hardware firewall

Berichtdoor CCatalyst » 25 Okt 2019, 11:11

Offloading is vandaag de dag idd bijna een must als je VPN wil. Samen met moderne technologieen als IKEv2 (en zeker geen OpenVPN).

GuntherDW
Elite Poster
Elite Poster
Berichten: 777
Lid geworden op: 11 Mei 2007
Locatie: zwijndrecht
Bedankt: 38 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 8 keer
Contact:

Re: Hardware firewall

Berichtdoor GuntherDW » 25 Okt 2019, 11:19

Oef, OpenVPN. Dat moet je ook niet willen op Mikrotik eigenlijk... Aangezien het door licenties e.d. het hun eigen implementatie is, en die nogal oud is, is het heel lacking en supporten verschillende grotere VPN boeren het nieteens meer.
Voornamelijk dan door het missen van encryption schemes en wat ander dingen waaronder UDP tunnel. Ze ondersteunen enkel TCP tunnels, wat bij onstabiele links heel snel heel nefast kan zijn.

Maargoed, ik gebruik de ipsec tunnel voornamelijk op m'n android phone (Galaxy S6 van al wat jaartjes) en/of als ik op een LAN zit om zo m'n thuisnetwerk te kunnen monitorren/beheren, op m'n phone eigenlijk meer voor dingen als PiHole on the go maargoed.
Met OpenVPN op m'n S6 merkte ik dat m'n batterij leeggeslurpt werd alsof het niets was omdat ik van een 3rd party appje moest gebruik maken, waar dat bij IKEv2 (IPSEC) niet het geval was. Dan is de battery drain veel minder noticable.

splinterbyte
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 16 Jun 2006
Locatie: Zuiderkempen
Bedankt: 28 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 79 keer

Re: Hardware firewall

Berichtdoor splinterbyte » 25 Okt 2019, 16:51

GuntherDW schreef:...OpenVPN...

Dat klopt niet he :p

Ik doe al jaren openvpn op udp (pc)
En volgens mij kan je de encryptie ook kiezen.
Welke VPN boer support geen openvpn dan?

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3751
Lid geworden op: 10 Mar 2010
Bedankt: 375 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 52 keer

Re: Hardware firewall

Berichtdoor Splitter » 25 Okt 2019, 17:12

@splinterbyte: hij bedoelt dus de openvpn implementatie van mikrotik, die totaal verouderd en niet deftig compatibel is :)
(wat dus klopt: je dient voor een mikrotik openvpn verbinding tcp te gebruiken ipv udp, en er waren nog wel zo wat dingen waardoor die niet is zoals het hoort)
ooit zal hier iets nuttigs staan

tien
Premium Member
Premium Member
Berichten: 530
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 22 keer
Uitgedeelde bedankjes: 22 keer

Re: Hardware firewall

Berichtdoor tien » 25 Okt 2019, 18:01

svermassen schreef:Mag ik misschien nog eens een domme vraag stellen?
Staat hier wel een beetje los van.

Bedrijven die een hardware firewall installeren met anti-virus en dergelijke op.
En dan op de Windows pc’s Windows Defender gebruiken.
Is zoiets eigenlijk nuttig/praktisch?

Dom is die vraag niet. Extreem dikwijls dat je hoort dat er achter een firewall niks mis kan gaan. Firewall is geen garantie dat alles tegen gehouden wordt. Virusscanners (al dan niet gewoon defender) updaten wel snel maar lopen toch iets achter de feiten aan. Security is in lagen en als er eens iets ergens door komt is de impact misschien groter. Als alle pcs virusscanners hebben, moet je dan nog op san scannen? Je moet niks maar risico met virus op san is wel extreem dus beter van wel.
De meeste problemen zijn met beetje verstand gewoon totaal onschadelijk dus met enkel slimme mensen in dienst heb je dat allemaal niet nodig? Sex zonder condoom maar met een regenjas aan is ook niet zo veilig (en beetje bizar maar vreemd genoeg toepasselijker in dit geval). In de meeste gevallen is het wel voldoende (zelfs zonder regenjas) en geheelonthouding is met 1 uitzondering 2000 jaar geleden het beste (maar niet goed voor de productiviteit).

Ssh is ook veilig, waarom zou je dan toegang extra beveiligen? Met ssh1 zaten we nog met alle servers gewoon met hun gat open publiek toegankelijk. Waarom zou je dat ook beschermen? Fouten in ssh... Later (toegeven, was toen nog prijzig voor extra interfaces bij enkelen) is er een volledig afgescheiden management netwerk gekomen. Niet de manier dat je wil leren waarom dat nodig is. Begin carrière en er zaten echt wel collega's die effectief met security bezig waren. Ongeveer dezelfde periode (denk iets later) dan iloveyou, niet minder dan een irritante onhandige feature van een mailclient die hele netwerken onderuit krijgt. (en dat gaat vandaag ook nog door vele firewalls... smtp->mailserver = ok...). Was heel dom virus maar dat maakt het nog erger.
Je kan ver gaan, elke laag maakt het leven moeilijker, kost geld en onderhoud. Maak je het te moeilijk wordt het onwerkbaar (en gaan mensen uitwegen zoeken)
Er is ook nog altijd veel ftp/telnet verkeer, met wat geluk ook wel achter firewall en zelfs op afzonderlijk netwerk maar het is een risico en moet aangepakt worden. Zeker geen ideale situatie en eigenlijk in veel gevallen zo gemakkelijk aan te passen, sommige alternatieven zijn zelfs gewoon veel eenvoudiger.
Ziekenhuizen hebben firewalls en virusscanners (kan me niet inbeelden dat ze het niet zouden gehad hebben), toch zijn er getroffen door ransomware. In dit geval zo simpel als updates toepassen (ook dat is achter firewall niet nodig?)
Wil je risico dat je bedrijf weken kan sluiten nemen? Blijkbaar wel.

Lichaam kan je eigenlijk ook wel goed vergelijken. Onze firewall (huid) houdt ook veel tegen maar ook binnen is er continu bewaking en zijn er procedures om de schade te beperken (en iedereen met een of andere allergie weet hoe irritant en zelfs gevaarlijk dit kan zijn). Is ook niet enkel belangrijk voor mensen die zich nooit wassen of zelfs niet eens voor echt gevaar van buiten, er gaan gewoon continu dingen kapot...

Ben echt aan't zagen vandaag, (niet echt) sorry en blij dat het eruit is :lol: Probleem is dat wie echt zich zo verveelde om dit allemaal te lezen nu juist de persoon gaat zijn die het niet nodig heeft. (en de rest me toch zot verklaren, beiden ok with me). Die engelse dingen er tussen zijn echt irritant en ben niet eens een millenial.


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten