Αλλαγή Firewall (appliance)

[ChriZ]

Καλημέρα σε όλους...
Το τριβελίζω το μυαλό μου εδώ και καιρό για να το πείσω να δώσει εντολή στο βαριεστημένο μου κορμί να αλλάξω το firewall που χρησιμοποιώ..
Τα τελευταία 7-8 χρόνια, λοιπόν, χρησιμοποιώ το sophos UTM (πρώην Astaro) εγκατεστημένο σε ένα Barracuda F18 appliance. Τα specs του είναι:

Κώδικας:

Intel Atom C2358
8GB Ram
120GB msata SSD

Με αυτά τα specs δεν ειναι και πύραυλος, αλλά είναι αρκούντως γρήγορο. Μιλάω για την απόκριση στο web interface.

Εδώ και σχεδόν ένα χρόνο έχω και 2 Barracuda F12 appliances με τα παρακάτω specs:

Κώδικας:

Intel Celeron N3350
6GB Ram
80GB sata SSD

Θέλω λοιπόν να αλλάξω το Sophos UTM με κάτι άλλο. To κύριο πρόβλημά μου είναι ότι το home license του sophos υποστηρίζει μέχρι 50 IP και εδώ και κάμποσο καιρό είμαι στο όριο.
Οι επιλογές που έχω καταλήξει είναι 2:

1. Sophos XG: Δεν έχει τον περιορισμό στις ΙΡ όπως το UTM. O περιορισμός του αν θυμάμαι καλά είναι 4 πυρήνες CPU και 6GB ram για το home license. To F12 που έχω ούτως ή άλλως είναι διπύρηνο και δεν παίρνει πάνω από 6GB Ram που έχω ήδη. Στα θετικά είναι ότι παραμένω στην ίδια περίπου λογική (αν και δεν είναι ίδιο με το UTM που το έχω συνηθίσει μετά από τόσα χρόνια) και έχω και όλα τα καλούδια που έχω και τώρα με το UTM (π.χ. Web filtering, Application Control κλπ). Το είχα δοκιμάσει μάλιστα πριν κάτι μήνες στο F12, αλλά δεν μου άφησε θετική εντύπωση η απόκριση του web interface. Με βάση τα specs, ο celeron του F12 είναι ισχυρότερος από τον Atom του F18 στον οποίο τρέχω το UTM. Το web interface του XG όμως ήταν αισθητά πιο αργό. Δεν ξέρω όμως αν στις τελευταίες εκδόσεις του XG βελτιώθηκε η απόκριση του Web Gui.

2. PFSense: To έχω δοκιμάσει στο F12 και τρέχει απροβλημάτιστα. ΔΕΝ έχω εμπειρία με το pfsense, αλλά αν γενικώς γνωρίζεις τη γενικότερη λογική ενός firewall είναι εύκολο. Το μείον του είναι το κομματι web filtering /application control. Ξερω ότι έχει διάφορα πρόσθετα (π.χ. pfblockerNG, squidguard) αλλά απ' ότι διαπίστωσα έχουν μειωμένες δυνατότητες. Για παράδειγμα, αν θυμάμαι καλά, ένα πράγμα που με "χάλασε" στο pfblockerNG ήταν ότι δεν μπορείς να εξαιρέσεις από φίλτρα κάποια μηχανήματα (??). Σε κάθε περίπτωση μπορώ όμως να χρησιμοποιήσω και το pihole σε συνδυασμό με το pfsense. Δεν είναι το ίδιο όπως με ένα dedicated web/app filter, αλλά φαίνεται ότι κάνει αρκετά καλή δουλειά στο "μπλοκάρισμα" συν ότι είδα έχει και δυνατότητες να φτιάξεις profiles για διαφορετικές πολιτικές σε διαφορετικά μηχανήματα..

Θα εκτιμούσα την άποψή σας στην προσπάθεια μου να αποφασίσω σε ποιο από τα 2 να πάω, αν και "γέρνω" προς το XG. Ειδικά, επειδή γνωρίζω ότι υπάρχουν κάποια παιδιά εδώ μέσα που τρέχουν το sophos XG, θα ήθελα να μου πείτε σχετικά με την ταχύτητα απόκρισης και αν έχει βελτιωθεί καθόλου στις τελευταίες εκδόσεις. Και κατά πόσον ήταν ομαλή η "μετάβαση" από sophos UTM σε sophos XG σε περίπτωση που είχατε πριν UTM και κάνατε "αναβάθμιση" σε XG..
Θενκς!!

[K1m0n]

My 0,02€:

1. Θα καθόμουν στο astaro όσο ακόμα το υποστηρίζουν.
Αν είσαι κοντά στις 50 ip μια ιδέα θα ήταν (παρατύπως) να ομαδοποιήσεις κάποιους hosts στο lan σου με nat/masquerade.
Για το xg/cyberfoam δεν έχω ακούσει τα καλύτερα.

*Όταν* πάψουν να υποστηρίζουν το astaro, θα εξέταζα την ιδέα του xg, αν το έχουν στρώσει μέχρι τότε.
Και θα το έβαζα πάνω σε κανα yanling/quotm/etc με i5.

2. Εξαιρετικό το pfsense, αλλά σε ότι έχει να κάνει με content filtering / AV υπολείπεται των paid-for λύσεων.

3. Δες και το untangle, η home use άδεια δεν είναι απαγορευτική.

[ChriZ]

My 0,02€:

1. Θα καθόμουν στο astaro όσο ακόμα το υποστηρίζουν.
Αν είσαι κοντά στις 50 ip μια ιδέα θα ήταν (παρατύπως) να ομαδοποιήσεις κάποιους hosts στο lan σου με nat/masquerade.
Για το xg/cyberfoam δεν έχω ακούσει τα καλύτερα.

*Όταν* πάψουν να υποστηρίζουν το astaro, θα εξέταζα την ιδέα του xg, αν το έχουν στρώσει μέχρι τότε.
Και θα το έβαζα πάνω σε κανα yanling/quotm/etc με i5.

Καλησπέρα!
Έχω ήδη κάνει διάφορα και είμαι κοντά στο όριο... οι host κανονικά είναι αρκετά περισσότεροι..
Η ιδέα να έχω πίσω κάποιο NAT μερικά μηχανήματα είναι μεν βιώσιμη λύση, αλλά με κούρασε αυτό το θέμα.. Παλιά το 50 φάνταζε πολύ μεγάλο, τώρα πια όχι..
Έχω κρατηθεί αρκετά χρόνια και δεν έχω πάει σε XG, ακριβώς λόγω αυτού που λες.. Γι' αυτό ρώτησα και για γνώμη κάποιων που χρησιμοποιούν το XG.. Να δούμε έχει βελτιωθεί; Αυτά που βλέπω στο ίντερνετ αυτό λένε, αλλά αν δεν στο πει κάποιος στα σίγουρα..
Τα 2 Barracuda F12 που έχω μια χαρά είναι με το Celeron. Το Web Interface είναι πιο αργό από του UTM, όπως είπα αλλά αυτό φαίνεται πως είναι κουσούρι του webui του XG.. Η CPU δεν ζορίζεται ιδιαίτερα

2. Εξαιρετικό το pfsense, αλλά σε ότι έχει να κάνει με content filtering / AV υπολείπεται των paid-for λύσεων.

3. Δες και το untangle, η home use άδεια δεν είναι απαγορευτική.

Ναι ρε γμτ.. και μένα αυτό με χαλαει με το pfsense.. ok υπάρχει και η λύση ξεχωριστού pihole, αλλά σε καμία περίπτωση δεν είναι το ίδιο με αυτά που κάνει το Sophos.
Έχω και από αλλού προτάσεις για το Untangle, αλλά δεν το σκέφτομαι ιδιαίτερα για να πω την αλήθεια..
Όπως ανέφερα θέλω ή XG που θα είναι ευκολότερο να μεταφέρω όλα αυτά που έχω τώρα στο UTM, ή αν είναι να πάω στη λύση του pfsense + pihole που δεν τα ξέρω αλλά θα βρω την άκρη..
Να πάω σε επί πληρωμή λύση και να ψάχνομαι κιόλας δεν το θέλω..

[netblues]

Για ποιο λογο να πας σε pihole? Τα free dns feeds του pihole ειναι παρόμοια αν οχι ιδια με του pfblockerng του pf.
Αν ασχοληθείτε λιγο υπαρχουν λιστες περιορισμενης χρησης με registration που κανουν τη δουλειά.

Και οσο παμε οι διαφημίσεις χρησιμοποιουν δικα τους dns.

Οι paid λύσεις ειναι τελειες αν εισαι εταιρεία, πληρωνει αλλος, γενικοτερα δεν θέλει/ ξέρει κανεις να ασχοληθεί.
Ξεκινας με pihole και καταληγεις σε cluster με ids/ips, dmz, wifi guest zone, iot zone, παιδικη ζωνη, vpn, nas και βαλε και ενα waf να γουστάρουμε...
Βαζεις και μια αγγελία ζητειται εθελοντης sysadmin για οικιακη απασχόληση, και εισαι κομπλε.

[ChriZ]

Για ποιο λογο να πας σε pihole? Τα free dns feeds του pihole ειναι παρόμοια αν οχι ιδια με του pfblockerng του pf.
Αν ασχοληθείτε λιγο υπαρχουν λιστες περιορισμενης χρησης με registration που κανουν τη δουλειά.

Και οσο παμε οι διαφημίσεις χρησιμοποιουν δικα τους dns.

Οι paid λύσεις ειναι τελειες αν εισαι εταιρεία, πληρωνει αλλος, γενικοτερα δεν θέλει/ ξέρει κανεις να ασχοληθεί.
Ξεκινας με pihole και καταληγεις σε cluster με ids/ips, dmz, wifi guest zone, iot zone, παιδικη ζωνη, vpn, nas και βαλε και ενα waf να γουστάρουμε...
Βαζεις και μια αγγελία ζητειται εθελοντης sysadmin για οικιακη απασχόληση, και εισαι κομπλε.

Το πρόβλημα είναι ότι με το pfblocker για να εξαιρέσεις συγκεκριμένα μηχανάκια δεν είναι εύκολο/εύκολα διαχειρίσιμο.
Θα χρειαστεί να καταφύγεις σε εξαίρεση ολόκληρου VLAN, να συνδέονται ασύρματες συσκευές που δεν θες να μπλοκάρεις εκεί και για τις ενσύρματες καλά κρασά (κόβε vlan στα switch, σύνδεσε αυτό εκεί το άλλο αλλού και πάει λέγοντας.)
Δεν είναι για σπίτι αυτά, θα χρειαστώ εθελοντή όπως είπες.. Και τώρα έχω vlans (main,guest & IOT), αλλά έχω tagged τα uplink μεταξύ των switch, τις πόρτες για τον esxi και τις πόρτες που πατάνε τα AP και τέλος.. Ήδη το έχω ξεφτιλίσει, μην το τερματίσουμε ...
Υπάρχει νομίζω και επιλογή να πειράξεις τα config files του unbound και να βάλεις συγκεκριμένους clients, με ότι μπορεί να συνεπάγεται αυτό όμως σε περίπτωση update...

Η λύση του pfsense + pihole είναι σαν επιλογή μόνο για "απλούστευση" της υποδομής, όσο παράδοξο και αν είναι αυτό
Έχω το firewall, βάζω και το pihole να κόβει ότι κόβει και τέλος...

In other news, έκανα μια δοκιμή στο Barracuda F12 χτες εγκαθιστώντας του την τελευταία έκδοση του Sophos XG..
Ελπίζω να δει κάποιος που χρησιμοποιεί XG το θέμα εδώ για να μου επιβεβαιώσει κιόλας, αλλά παλιότερα που είχα δοκιμάσει την έκδοση 17.5 (νομίζω), θυμάμαι σερνόταν το webui, ενώ τώρα το είδα αξιοπρεπέστατο.
H ταχύτητά του δεν είναι σε επίπεδο UTM, και σίγουρα όχι σε επίπεδο pfsense, αλλά δεν ήταν σε καμία περίπτωση απαράδεκτο.
Παλιότερα που είχα κάνει δοκιμή απαράδεκτα αργό μου είχε φανεί, γι' αυτό την είχα "παγώσει" τη σκέψη για μετάβαση από UTM σε XG..

[netblues]

Εχει και ευκολοτερες λυσεις, χωρις να κοβεις vlans.
Εαν το κανεις με dhcp mappings και συγκεκριμενα mac addreses τοτε μπορεις να τους δινεις συγκεκριμενο range το οποιο να εχει αλλο dns. πχ google.
Μια αλλη λυση στα excluded ειναι static ip. (και dns) ποσα exclusion θες πχια?

Το pihole απλα κοβει dns. Δεν μου κανει. Το pfbloclerng βαζει και rules στο outbound και κοβει και τις ip. Hardcode. ΕΠισης ολα μα ολα τα dns requests γινονται redirect. Αςτους να πιστευουν οτι μιλανε στh googλη.
doh κλπ κομμενα. Η καραμελα βαλτε
Δεν μου εχει προκυψει να θελω κατι τοσο χυμα.
Το οτι οι browsers (και σε κινητα) ειναι με ελαχιστες διαφημισεις και χωρις αντωνηδες παραμενει priceless.

[ChriZ]

Ναι, υπάρχει και αυτό που λες σα λύση, όντως..
Βέβαια εκεί έχεις το πρόβλημα ότι δεν μπορείς να κλειδώσεις κάποιους client σε συγκεκριμένο range, οπότε αναγκαστικά θα πρέπει να κάνεις reservation για αυτούς που θες να κόβονται ώστε να μπαίνουν στο censored range..
Αλλά ναι, θα μπορούσα να το κάνω κι έτσι. Γενικά πάντως σαν λογική -για μένα - είναι πιο εύκολο με vlan, τουλάχιστον για τα ασύρματα.
Τι είσαι εσύ; ο μπαμπας/μαμά του τάδε; μπες σε αυτό που δεν κόβει τίποτα. Τα πιτσιρίκια μπείτε στο τάδε δίκτυο (που έχει blocks π.χ. για κάποια ads/porn/etc)
Βέβαια, αυτή η λογική μου ήταν αρκετά χρήσιμη προ covid που κάναμε και καμιά γιορτή και μαζευόταν και λίγος κόσμος, τώρα κοντεύουμε να ξεχάσουμε πως είναι αυτό....
Και επειδή τα παιδιά είναι μεγαλύτερα τώρα (και αναγκαστικά θα χαλαρώσουν λίγο τα λουριά σιγά-σιγά), γι' αυτό είπα μπας και παω στην απλή λύση pihole και ας μη τα κόβει όλα..

Με βλέπω πάντως να καταλήγω με το XG στο τέλος... όλα σε ένα νοικοκυρεμένα ..
Για να είμαι ειλικρινής, βέβαια, ήμουν θετικά προκατειλλημένος εξαρχής με το XG...

[netblues]

Αναποδα θα το κανεις..
Εχεις πχ ενα range /24 στο wifi. By default δινει ip's μεχρι .127. Τα συγκεκριμενα mac addesses παιρνουν απο αλλο pool, απο 128 και πανω.
Με μια μασκα /25 εχεις καθαρισει στο ιδιο interface.
Τωρα αν καποιος ξερει να βαλει με το χερι ip πανω απο .127, χαλαλι του, προηχθει σε home network admin.

Απλα η διαχειριση με mac addresses δεν ειναι και το πιο ευελικτο πραγμα.

[euri]

Απλα η διαχειριση με mac addresses δεν ειναι και το πιο ευελικτο πραγμα.

Ειδικά αν έχεις μπλιμπλίκια που αλλάζουν τη MAC σε μια τυχαία, όπως πχ κάτι τηλέφωνα, κάτι τάμπλετς, ή/και πιτσιρίκια που ξέρουν απ' αυτά

[ChriZ]

A έχει και τέτοια επιλογή στο pfsense, να φτιάξεις pool με διαφορετικό subnet στο ίδιο interface;
Νόμιζα δεν είχε επιλογή για relay
thanks..!

- - - Updated - - -

Ειδικά αν έχεις μπλιμπλίκια που αλλάζουν τη MAC σε μια τυχαία, όπως πχ κάτι τηλέφωνα, κάτι τάμπλετς, ή/και πιτσιρίκια που ξέρουν απ' αυτά

Χαχα... θυμήθηκες το πρόβλημα που είχα με το unifi που το έκανε ο γιός μου το κόλπο με τη random mac ή ήταν τυχαίο το παράδειγμα;..

- - - Updated - - -

Με κάτι τέτοια στο σπίτι είμαστε συνεχώς κυνήγι ποντικού με τη γάτα... ενδιαφέρουσες καταστάσεις με τα λαμόγια που έχω μπλέξει...

[euri]

Χαχα... θυμήθηκες το πρόβλημα που είχα με το unifi που το έκανε ο γιός μου το κόλπο με τη random mac ή ήταν τυχαίο το παράδειγμα;..

Μόνο η MAC είναι τυχαία

[ChriZ]

Μόνο η MAC είναι τυχαία

[netblues]

Αφηνεις τα τυχαια mac να παιρνουν απο το κομμενο range. Και βαζεις τις δικες σου στο "σωστο" pool.
Και αστους να αλλαζουν mac.

Και επιλογη για relay εχει, και sub dhcp pool στο ιδιο subnet με exclude και include rules.

[ChriZ]

Αφηνεις τα τυχαια mac να παιρνουν απο το κομμενο range. Και βαζεις τις δικες σου στο "σωστο" pool.
Και αστους να αλλαζουν mac.

Xεχε.. σωστό κι αυτό..

Και επιλογη για relay εχει, και sub dhcp pool στο ιδιο subnet με exclude και include rules.

Τελευταία φορά που το είχα κοιτάξει λίγο σοβαρά το pfsense ήταν τουλάχιστον πριν μια 7ετία.. Τότε που είχα πάρει την απόφαση να βάλω firewall (και είχα τελικά καταλήξει στο UTM. Checkpoint θα προτιμούσα αλλά μου έβγαινε ψιλοτσιμπημένη η τιμή... ).
Τώρα πρόσφατα που το ξαναείδα, πιο πολύ επικεντρώθηκα στην απόκριση του webui και στις επιλογές για filtering.. Αξίζει να του ρίξω μια καλύτερη ματιά μάλλον... Αν και το είπα πριν..

Για να είμαι ειλικρινής, βέβαια, ήμουν θετικά προκατειλλημένος εξαρχής με το XG...

[fadasma]

Αν πας σε pfsense ή opnsense, πρόσεξε να πάρεις κάρτα δικτύου με τσιπάκι της intel επειδή αυτά έχουν freeBSD και δεν έχουν καλούς drivers για τσιπάκια realtek.
Όχι οτι δεν παίξει με realtek, αλλά με intel θα είναι πιο σταθερό και θα έχει καλύτερες επιδόσεις.