Ubiquiti Unifi

[BlueChris]

Είδα το βίντεο του τύπου, δεν έχει IDS/IPS.. οκ όσοι πήραν το άλλο το μικρό καλά έκαναν.. απλά αυτό στα 145€ είναι και AP και έχει και το network controller μέσα του..

Ρε συ Unifi έλεος.. βγάλε ένα λίγο μεγαλύτερο σε μέγεθος με

1. Network Controller
2. 2 x Wan interfaces
3. Full Gigabit IDS/IPS , full protection δηλαδή

Τι ζητάμε???

[ThReSh]

Ρε συ Unifi έλεος.. βγάλε ένα λίγο μεγαλύτερο σε μέγεθος με

1. Network Controller
2. 2 x Wan interfaces
3. Full Gigabit IDS/IPS , full protection δηλαδή

Τι ζητάμε???

Του χρόνου μάλλον.

[fadasma]

Το IDS/IPS χρειάζεται αν δεν έχεις ανοικτές πόρτες; Στο pfsense που το είχα βάλει δεν έγραφε τίποτα στα logs γιατί όλες οι πόρτες είναι κλειστές εκτός του wireguard.

[ThReSh]

οκ δεν ξέρουμε τι speed φτάνει ε?

Πήρε το μάτι μου να λένε ότι τερματίζει την 1Gbps port με DPI enabled.

[Φιλόσοφος_Στ@ρχίδας]

Introducing UniFi Express
https://www.youtube.com/watch?v=v1FCTh8vNwk

ΟΚ, θα στείλω πίσω το Lite και θα πάρω αυτό

[Mr Arkadin]

ΟΚ, θα στείλω πίσω το Lite και θα πάρω αυτό

Για σένα το έβγαλαν...

- - - Updated - - -

Πήρε το μάτι μου να λένε ότι τερματίζει την 1Gbps port με DPI enabled.

To λέει ο Chris στο 5:50

https://www.youtube.com/watch?v=VbIamWqXjAk

[Φιλόσοφος_Στ@ρχίδας]

Το IDS/IPS χρειάζεται αν δεν έχεις ανοικτές πόρτες; Στο pfsense που το είχα βάλει δεν έγραφε τίποτα στα logs γιατί όλες οι πόρτες είναι κλειστές εκτός του wireguard.

Ενα IDS που τρέχει σε gateway είναι μόνο Network IDS (όχι Host IDS) άρα βλέπει μόνο τι περνάει σε επίπεδο δικτύου.
Αν τα έχεις ολα κλειστά, τότε δεν θα έχει κάτι να εντοπίσει σε εισερχόμενη ροή αλλά μπορεί να πιάσει κάτι σε εξερχόμενη, π.χ. traffic από το pc σου προς κάποιον C2 server.
Αν πάλι έχεις μόνο wireguard, μπορεί να εντοπίσει κάποια επίθεση προς το wireguard .

[BlueChris]

Το IDS/IPS χρειάζεται αν δεν έχεις ανοικτές πόρτες; Στο pfsense που το είχα βάλει δεν έγραφε τίποτα στα logs γιατί όλες οι πόρτες είναι κλειστές εκτός του wireguard.

Χρειάζεται γιατί ελέγχεις και το από μέσα προς τα έξω. Αν φάει trojan ή κάτι ένα μηχάνημα εσωτερικό και φλοονταρει τ9ν πλεκτή πλανήτη, θα το δεις.

Πήρε το μάτι μου να λένε ότι τερματίζει την 1Gbps port με DPI enabled.

ΟΚ, θα στείλω πίσω το Lite και θα πάρω αυτό

Όχι μην, καλύτερο το δικό σου για μένα. Πάρτο για AP, το σκέφτομαι εγώ.

Ενα IDS που τρέχει σε gateway είναι μόνο Network IDS (όχι Host IDS) άρα βλέπει μόνο τι περνάει σε επίπεδο δικτύου.
Αν τα έχεις ολα κλειστά, τότε δεν θα έχει κάτι να εντοπίσει σε εισερχόμενη ροή αλλά μπορεί να πιάσει κάτι σε εξερχόμενη, π.χ. traffic από το pc σου προς κάποιον C2 server.
Αν πάλι έχεις μόνο wireguard, μπορεί να εντοπίσει κάποια επίθεση προς το wireguard .

Σωστός.

[fadasma]

Off Topic

μπορεί να εντοπίσει κάποια επίθεση προς το wireguard

Επίθεση προς το wireguard δεν υπάρχει επειδή το wireguard απαντάει μόνο σε πακέτα που έχουν το σωστό κλειδί και τα υπόλοιπα τα αγνοεί.
Είναι ο νούμερο 1 λόγος που το προτιμώ.

[BlueChris]

Off Topic

Επίθεση προς το wireguard δεν υπάρχει επειδή το wireguard απαντάει μόνο σε πακέτα που έχουν το σωστό κλειδί και τα υπόλοιπα τα αγνοεί.
Είναι ο νούμερο 1 λόγος που το προτιμώ.

Ενώ το openvpn,l2tp κλπ κάνουν κάτι άλλο?

[Mr Arkadin]

Πολύ σοβαρό learning curve αυτό το thread, κάθε δεύτερο post θέλω 10’ διάβασμα

[Oav051]

Κοιτάς να δεις που τελικά αυτό thread έχει πέρασει

[fadasma]

Off Topic

Ενώ το openvpn,l2tp κλπ κάνουν κάτι άλλο?

Σε όλα τα άλλα φαίνεται οτι η πόρτα είναι ανοικτή ενώ το wireguard είναι 100% stealth.
Επίσης αν δεν έχεις το σωστό κλειδί δεν δημιουργεί state στο firewall άρα δεν μπορούν να σου κάνουν DOS attack.

[BlueChris]

Off Topic

Σε όλα τα άλλα φαίνεται οτι η πόρτα είναι ανοικτή ενώ το wireguard είναι 100% stealth.
Επίσης αν δεν έχεις το σωστό κλειδί δεν δημιουργεί state στο firewall άρα δεν μπορούν να σου κάνουν DOS attack.

Thx δεν τα ήξερα αυτά.

- - - Updated - - -

Έρχονται και άλλα μηχανάκια

@ui-glenn
To be clear: UniFi Express is not a direct successor to the USG. For that, consider the UXG Lite - which is an independent gateway similar to the USG. There will be additional products in the UXG series available in the future to complement the currently available Lite and Pro models.

[Φιλόσοφος_Στ@ρχίδας]

Όχι μην, καλύτερο το δικό σου για μένα. Πάρτο για AP, το σκέφτομαι εγώ.

Προσωπικά δεν χρειάζομαι 2ο AP (90τμ διαμέρισμα έχουμε και χρησιμοποιώ PLCs για τα βασικά). Αν μπορέσω να διώξω και το UDR και να το αλλάξω με ένα switch τότε έχω πετύχει ότι χρειάζομαι και με μικρότερο form factor .

- - - Updated - - -

Off Topic

Επίθεση προς το wireguard δεν υπάρχει επειδή το wireguard απαντάει μόνο σε πακέτα που έχουν το σωστό κλειδί και τα υπόλοιπα τα αγνοεί.
Είναι ο νούμερο 1 λόγος που το προτιμώ.

Off Topic

Όπως και να'χει, vulnerabilities θα υπάρξουν στις υλοποιήσεις του Wireguard είτε στον server είτε στον client, βλέπε https://cve.mitre.org/cgi-bin/cvekey...word=wireguard. Και βλέπω και μια DoS στη λίστα.
Θα μου πεις ότι κάνεις τα updates στην ώρα τους, αλλά υπάρχουν και τα 0day. Θα μου πεις, θα ξέρει το IDS το 0day και δεν θα το ξέρει το Wireguard ; Ε, μπορεί και το IDS να το πιάσει από τύχη.
Απλά το λέω για να μην έχουμε εσφαλμένη αίσθηση απόλυτης ασφάλειας.

- - - Updated - - -

Off Topic

Σε όλα τα άλλα φαίνεται οτι η πόρτα είναι ανοικτή ενώ το wireguard είναι 100% stealth.
Επίσης αν δεν έχεις το σωστό κλειδί δεν δημιουργεί state στο firewall άρα δεν μπορούν να σου κάνουν DOS attack.

Off Topic

Να συμπληρώσω και κάτι εδώ γιατί μάλλον έδωσα λάθος πληροφορία πριν.
Αν μιλάμε για unencrypted traffic, τότε το IDS θα εντοπίσει κάτι και σε incoming πακέτο που είναι μέρος ενός session που ξεκίνησε από το LAN π.χ. http traffic.
Αν είναι encrypted, τότε φυσικά πάπαλα Εκτός αν τρέχεις κάποιο IDS τοπικά, όπου μπορεί να κάνει inspect σε uncencrypted πληροφορία. Το ρόλο αυτό τον αναλαμβάνουν συνήθως τα antimalware.