Επιλογές hardware για Firewall/UTM

[BlueChris]

Όλα ενεργά είναι αυτά και στα 2 που έχω.. Βέβαια μόνο το γεγονός ότι είναι ενεργά και τρώνε λίγο CPU παίζει ρόλο, γιατί με NAT loopback δεν φιλτράρουν το συγκεκριμένο traffic. Oπότε απλά ενδεικτικές είναι οι τιμές, ναι

Εγώ να δεις που σπιτι έκανα χαρά μεγάλη όταν έβαλα ένα nuc Celeron να έχει επάνω esxi και του έβαλα το untangle. Όλα φαινόντουσαν ωραία σε speedtest κλπ αλλά μόλις άρχισε να στέλνει το μαγαζί το backup μέσω vpn , δεν πέρναγε τα 50mbit.
Το άλλαξα με ένα i5 και συνήλθε.

[ChriZ]

Εγώ να δεις που σπιτι έκανα χαρά μεγάλη όταν έβαλα ένα nuc Celeron να έχει επάνω esxi και του έβαλα το untangle. Όλα φαινόντουσαν ωραία σε speedtest κλπ αλλά μόλις άρχισε να στέλνει το μαγαζί το backup μέσω vpn , δεν πέρναγε τα 50mbit.
Το άλλαξα με ένα i5 και συνήλθε.

Ε ναι, βέβαια, ειδικά αν ο επεξεργαστής δεν υποστηρίζει AES-NI το encrypted traffic τον γονατίζει. Βέβαια η δική σου περίπτωση είναι ιδιάζουσα... Δεν νομίζω να έχουν πολλοί source με upload μεγαλύτερο από 20-30Mbit και να στέλνουν backup μέσω VPN tunnel. Για απλή χρήση VPN από κάποιον που θέλει απλά να μπει με ασφάλεια στο σπίτι του χωρίς να ανοίγει 200 πόρτες και παράθυρα στο ρούτερ του, λογικά οποιοδήποτε μηχανάκι αρκετό είναι..

[BlueChris]

Ε ναι, βέβαια, ειδικά αν ο επεξεργαστής δεν υποστηρίζει AES-NI το encrypted traffic τον γονατίζει. Βέβαια η δική σου περίπτωση είναι ιδιάζουσα... Δεν νομίζω να έχουν πολλοί source με upload μεγαλύτερο από 20-30Mbit και να στέλνουν backup μέσω VPN tunnel. Για απλή χρήση VPN από κάποιον που θέλει απλά να μπει με ασφάλεια στο σπίτι του χωρίς να ανοίγει 200 πόρτες και παράθυρα στο ρούτερ του, λογικά οποιοδήποτε μηχανάκι αρκετό είναι..

Όχι για το σπίτι μιλάω που λαμβάνω με 100mbit και το Celeron είχε aes-ni αλλά τελικά δεν φτάνει.

Ναι για κανονική χρήση είναι μια χαρά και το κακόμοιρο αντέχει πάνω του το freepbx, pihole, vcenter και ήθελα και untangle τρομαρα μου

[megahead13]

Για όσους παίζουν με pfSense και τους ενδιαφέρει, το AdGuard μπορεί να εγκατασταθεί σε FreeBSD κι επομένως και pfSense. Οδηγίες εδώ:

https://broadbandforum.co/t/205884/

Το ξέρω ότι με pfBlockerNG (ή pihole) μπορεί να επιτευχθεί αντίστοιχο αποτέλεσμα, αναφέρω όμως και αυτή την εναλλακτική. Το έστησα εχθές και με έχει βολέψει πάρα πολύ. Καλύτερα από pfBlockerNG που όταν το είχα στήσει μου δημιουργούσε κάποιες φορές προβλήματα. Επίσης ρύθμισα και DNS-over-HTTPS και είμαι κομπλέ τώρα. Είχα μόνο ένα πρόβλημα με το systemd-resolved () στο προσωπικό λαπτόπι που τρέχει KDE Neon (Ubuntu based διανομή από τους KDE devs), αλλά το έλυσα ρυθμίζοντας resolvconf. Όλα φαίνεται να παίζουν τζιτζί!

[EnDLess]

Έχει κανείς δοκιμάσει το Netgate 1100???

L3 Forwarding

IPERF3 Traffic: 880 Mbps
IMIX Traffic: 480 Mbps

Firewall

(10k ACLs)

IPERF3 Traffic: 656 Mbps
IMIX Traffic: 190 Mbps

IPsec VPN

(AES-CBC-128 + SHA1)

IPERF3 Traffic: 74.2 Mbps
IMIX Traffic: 46 Mbps

[megahead13]

Upgrade χθές από pfSense CE 2.5.2 σε 2.6.0 χωρίς κανένα πρόβλημα. Επίσης με τη νέα έκδοση home/lab χρήστες μπορούν να πάνε σε pfSense Plus χωρίς κόστος. Φυσικά υποστήριξη μόνο από την κοινότητα.

[megahead13]

Παίζει κανείς με Opnsense (και Sensei/Zenarmor και CrowdSec/Suricata);

[fadasma]

Παιδιά αν στηρίζεστε αρκετά στο VPN και θέλετε ένα μηχάνημα δυνατό σε αυτό τον τομέα, μην περιορίζεστε στο AES-NI.
Βρείτε έναν επεξεργαστή που να υποστηρίσει QAT (Quick Assist). Αυτό κάνει τη διαφορά στο VPN.

Επίσης για pfsense κοιτάξτε η κάρτα δικτύου να είναι Intel.

[riddle3]

Παιδιά αν στηρίζεστε αρκετά στο VPN και θέλετε ένα μηχάνημα δυνατό σε αυτό τον τομέα, μην περιορίζεστε στο AES-NI.
Βρείτε έναν επεξεργαστή που να υποστηρίσει QAT (Quick Assist). Αυτό κάνει τη διαφορά στο VPN.

Επίσης για pfsense κοιτάξτε η κάρτα δικτύου να είναι Intel.

*Αναλόγως τα ciphers που υποστηρίζει η έκδοση QAT του επεξεργαστή και τι χρησιμοποιούμε εμείς για το VPN.

[BlueChris]

Παιδιά αν στηρίζεστε αρκετά στο VPN και θέλετε ένα μηχάνημα δυνατό σε αυτό τον τομέα, μην περιορίζεστε στο AES-NI.
Βρείτε έναν επεξεργαστή που να υποστηρίσει QAT (Quick Assist). Αυτό κάνει τη διαφορά στο VPN.

Επίσης για pfsense κοιτάξτε η κάρτα δικτύου να είναι Intel.

Αυτό και στα δύο...

[megahead13]

Σωστό αυτό για τις κάρτες δικτύου να είναι Intel (ή Broadcom, Mellanox, Chelsio και γενικότερα server grade NICs και όχι σάπιες Realtek).

Κανένας με Opnsense;;

Παίζει κανείς με Opnsense (και Sensei/Zenarmor και CrowdSec/Suricata);

[fadasma]

Παίζει κανείς με Opnsense (και Sensei/Zenarmor και CrowdSec/Suricata);

Έχω δοκιμάσει τέτοιες εφαρμογές στο pfsense αλλά είναι τυφλές, δε βλέπουν τίποτα επειδή τα πάντα πλέον είναι https και κρυπτογραφημένα άρα δε μπορεί να δει κανείς τι έχουν μέσα οι σελίδες.
Είναι εντελώς άχρηστες πλέον.

[BlueChris]

Έχω δοκιμάσει τέτοιες εφαρμογές στο pfsense αλλά είναι τυφλές, δε βλέπουν τίποτα επειδή τα πάντα πλέον είναι https και κρυπτογραφημένα άρα δε μπορεί να δει κανείς τι έχουν μέσα οι σελίδες.
Είναι εντελώς άχρηστες πλέον.

Εμένα λειτουργεί αλλά έχω εκτός τα τραπεζικά γιατί τρελαίνονται
https://wiki.untangle.com/index.php/SSL_Inspector

[AlexT544]

Γεια σας
Επειδη δεν εχω ξαναασχοληθει με security gateway Κλπ.
Θα ηθελα ενα firewall εως 450ευρω που να αντεχει ταχυτητες 1gbps
Οπως UDM PRO

[K1m0n]

Θα ηθελα ενα firewall εως 450ευρω

Φτιάχνεις/αγοράζεις ένα μηχανάκι x86 με τα 450€ (ή στήνεις ένα vm),
και βάζεις πάνω:
pfsense/opnsense/wrt + plugins (για την utm λειτουργικότητα), free αλλά θα παιδευτείς,
ή untangle (+ home license = $),
ή sophos (free for home).
Τα 2 τελευταία είναι οι πιο ρεαλιστικές επιλογές για utm για το σπίτι.

που να αντεχει ταχυτητες 1gbps

Αυτό^ απο μόνο του δεν λέει τπτ.
1 gbps routing/nating wan->lan είναι *πολύ* διαφορετικό πράγμα (ευκολάκι...)
από 1gbps routing/nating + 1gbps vpn + 1 gbps qos + 1gbps ssl inspection + 1gbps idp + 1 gbps AV/whatever (που μόνο ευκολάκι δεν είναι...).

Στην 1ή περίπτωση βολεύεται και με soho hardware ή με μικρά arm-based sbc,
για την 2ή περίπτωση θες server-class hardware.

Οπότε, για σένα, να αντέχει μέχρι 1gbps τι ακριβώς σημαίνει?

Οπως UDM PRO

Στο context του συγκεκριμένου thread το udm pro
δεν είναι καν firewall/utm.
Είναι γρήγορο (routing/nat), δεν είναι παραμετροποίησιμο,
οι όποιες δυνατότητες firewalling είναι αυτές των υποκείμενων netfilter/iptables,
που είναι βασικά οι ίδιες ενός soho router.
Είναι ίσως καλό για αυτό που είναι, αλλά λείπουν *πολλά* πράγματα για να θεωρηθεί utm.