Ügyfelek, akik a mi tűzfalmegoldásainkat választották

A PfSense tűzfalmegoldásokkal kapcsolatos cikk kiegészítéseként szerepeljen itt ez a rövid esettanulmány gyűjtemény, a benne szereplő cégek megnevezése nélkül, a kialakított infrastruktúrák főbb jellemzőivel.

PfSense

Egy igazi nagyvállalati infrastruktúra

Kezdjük mindjárt a legnagyobb művünkkel. 2017. végén kaptunk megbízást egy vidéki cégtől, hogy megoldást találjunk a szerver rendszerük gondjaira. Egy hatalmas projekt részeként egy komoly nagykapacitású Dell szervert vásároltak, ami a vidéki internet sávszélességek miatt egy budai szerver parkba került elhelyezésre. Itt alakítottuk ki a központi szerver rendszert, tartományvezérlőt és fájl szervert, SAP adatbázis szervert és egy terminal server kiszolgálót (RDS-t), aminek eléréséhez elengedhetetlen volt egy nagy megbízhatóságú és magas biztonsági szintet nyújtó tűzfal megoldás. A választás ezúttal is a PfSense-re esett, a pesti központban szorítottunk neki helyet a nagy Dell szerveren virtuális gép formájában, ami Hyper-V alapokon fut immáron közel másfél éve, megbízhatóan. A központi telephelyre aztán IPSec alapú site-to-site VPN megoldással összekapcsoltuk a hálózatokat, így elérhetővé vált a címtár, az SAP és néhány tűzfalas trükknek, illetve DNS beállításnak köszönhetően a terminal server szolgáltatásait is kizárólag az IPSec kapcsolaton keresztül érik el. A rendszerbe becsatlakozó bolt hálózat mind a 4 telephelyére beszerzésre került egy Dell Optiplex desktop gép, új i3-as processzorral (a hardveres kriptográfiai képességei miatt), 4GB memóriával és az elérhető legkisebb, 500GB-os merevlemezzel. A központban gigabites sávszélesség áll rendelkezésre, a telephelyeken jellemzően 20-50MBit közötti kapcsolatok, így a központi tűzfal és a telephelyeken lévők is megbírkóznak a legmagasabb AES típusú titkosítás mellett is a feladatokkal. Mivel egy telephely kivételével (ahol a másodlagos domain controller lakik) nem áll rendelkezésre a címtár, ezért az üzletek telephelyein különféle DNS trükköket (feltételes továbbítás, host és domain override, stb.) kellett alkalmazni, hogy mindenhol működőképes legyen a tartományi bejelentkezés.

Telephelyek közti VPN megoldás

A második legnagyobb

Nemrégiben kaptunk felkérést szintén egy nagyobb vidéki cégünktől, ahol a rekord 640 napos uptime-mal rendelkező tűzfalunk üzemelt eddig, hogy építsünk nekik valami hasonlót, mint a másik ügyfélnél, mert több telephelyes céggé alakulnak. A megoldásuk nagyon hasonló a másik vidéki cégéhez, egy pesti szerver parkban elhelyezett gépen virtualizálva található meg a központi PfSense rendszer, ahova a többi telephely tűzfalai csatlakoznak be IPSec megoldással, a központban lévő szerverek pedig szintén egy virtuális Hyper-V LAN-on találhatóak, ahol csak a PfSense tűzfalon keresztül lehet őket elérni. Emellett náluk még jelen van kétféle OpenVPN konfiguráció is, illetve a másik cikkben már részletezett geográfiai szűréseket is alkalmazzuk.

Tűzfal URL szűréssel

Egyik ügyfelünknél a már megszokott geográfiai szűrés mellett szerették volna a felhasználók gépein a netezést is szigorítani, letiltani például a közösségi oldalakat és egyéb nem kívánatos szolgáltatásokat. Mivel már korábban is fix IP-vel rendelkeztek a hálózaton a gépek, ezért a squid+squidguard csomagok használata mellett döntöttünk, amivel egy transzparens proxy megoldást alkottunk. Ezen beállításra került egy VIP és egy nem VIP csoport, amikbe belepakoltuk a fix IP címeket és ez alapján legyártottuk az ügyfél kérésére az URL szűrési szabályokat.

Vidéki önkormányzat törvényi megfeleléssel

Egy vidéki hivatalban a korábban kiadott törvényi előírásoknak megfelelően kellett kialakítani a hálózat biztonságát. Természetesen a PfSense rendszer tudásában minden szigorú feltételnek meg tudott felelni, még ha nem kevés munkaidőt is igényelt egy ilyen bonyolult rendszer kialakítása. Köszönhetően a számos VLAN-nak, a nagyon szigorú tűzfalszabályoknak, a Radius-alapú WIFI hálózat követelményeinek, a pluszban beszerelt 4db hálózati kártyán futó összesen kb. 8 hálózati szegmensnek.

Komoly OpenVPN szerver hardveres tűzfal mellett

Szintén egy vidéki ügyfelünknél került beüzemelésre egy komoly titkosítással bíró OpenVPN szerver, ahol a PfSense Hyper-V virtuális gépként fut, rajta összesen 5db VPN konfigurációval. Ezek közül 2 a régi mobileszközök komptibilitásának biztosítására lazább titkosítással, helyi adatbázisból történő hitelesítéssel működik. A másik 3 esetében LDAP alapú hitelesítést alkalmaztunk, ahol az Active Directory címtárban lévő különböző biztonsági csoportok tagsága alapján dönti el a rendszer egy-egy felhasználóról, hogy engedélyezi-e számára a hálózathoz való hozzáférést. A csatlakozást követően mind az 5 OpenVPN elérés esetében külön hálózati szegmenseket hoztunk létre, amelyekből a forgalom korlátozásra került, aszerint hogy melyik hálózatból érkezik a kliens csak a neki szükséges szervereket és portokat éri el.

Boldog ügyfél

A legtöbb ügyfelünk tehát sima csomagszűrő tűzfalként, vagy OpenVPN szerverként használja ezt a megoldást, ugyanakkor a fentiekből is látszik, hogy komoly, nagyvállalati megoldásokat is lehet belőle építeni némi szaktudás birtokában. Gyakran felesleges pénzkidobás megvenni a méregdrága nagyvállalati megoldásokat, mert a szükséges vagy a használandó szolgáltatások ugyanolyan minőségben elérhetőek ingyenes, Unix alapú tűzfalrendszereken is. Forduljon hozzánk bizalommal hogyha olcsó, de megbízható és biztonságos megoldásra vágyik vagy csak szeretné cégének megtalálni a legoptimálisabb megoldást.

Profi vállalati tűzfal fillérekért a FlashCom-tól

PfSense

Jelenlegi cikkemet annak apropóján írom, hogy nemrégiben egy ügyfelünknél hatalmas szerveres fejlesztési munkákat végeztünk el, ennek részeként pedig a 2017. májusában beüzemelt tűzfalukat időszerű volt már frissítenünk. Ritkaság ilyet látni, hogy egy rendszer ilyen stabil legyen, a 640 napja egy vidéki ügyfélnél hagyott linuxos (FreeBSD alapú) tűzfalrendszerünk, ami nagyon sok ügyfélnél bizonyított és bizonyít jelen pillanatban is egyetlen újraindítás nélkül élt meg közel 2 évet! Számos konfigurációs feladat merült fel rajta az elmúlt 2 évben, de ezeket mindet átvészelte újraindítás nélkül, ami hatalmas teljesítmény a 21. század hardver és szoftver hibákkal tarkított mindennapjaiban.

PfSense tűzfal uptime

Természetesen hiába a linuxos alaprendszer híres megbízhatósága, ehhez a teljesítményhez megbízható hardver megoldás is kellett. Jelen esetben egy belépőszintű, gyakorlatilag a desktop gépek kategóriájához sorolható Dell PowerEdge T20-as szerver adta a “vasat” a rendszer alá, amely korábban szerverként már néhány évet üzemelt náluk, így legalább akkora dícséret illeti ezért, amekkora a rajta futó tűzfalrendszert.

Dell T20 szerver

Nagyon sok ilyen tűzfal gépünk fut kint jelenleg is ügyfeleknél, ezekhez nagyon sok esetben vagy egy ügyfél által korábban kiselejtezett, de még megbízható gépet használtunk, vagy egy megbízható brand desktop gépet (Dell vagy HP) rendeltünk számukra két (vagy több) hálózati kártyával. Erre kerül rá aztán a sokak számára ismerősen hangzó PfSense alaprendszer, amihez társul 25 év szakmai tapasztalata és a végeredmény egy 20-25 ezer forintból felépülő vállalati tűzfalmegoldás, ami tudásában még nagyobb vállalatoknak is megfelelő választás lehet. Néhány kompromisszummal még a nagy IT biztonsági multik által kínált céleszközök szintjét is el lehet vele érni. Azért csak kompromisszumokkal, mert azért mégis csak egy ingyenes tűzfalrendszer, aminek nyilván vannak gyengéi is, mint például a kliens oldali vírusvédelem hiánya vagy a spam-ek elleni védelemhez, illetve a profi URL szűrésekhez használható tudásbázis, amit a nagy gyártók kemény díjakért kínálnak nekünk készen. Még ez is elérhető itt, de nem annyira profin, nem annyira naprakészen és nem annyira konyhakészen. Emellett egyes gyártók (mint pl. Fortinet vagy Sonicwall) nem Unix alapú rendszerekkel dolgoznak, illetve nem Intel alapú hardvermegoldásokkal, ami szintén szűkíti a támadási lehetőségek körét. Itt jelen esetben a FreeBSD-hez vagyunk kötve, ami abban az esetben lehet érdekes, hogyha az alap operációs rendszer miatt válik valami törhetővé. Ne feledjük azért, hogy a nagy brand gyártók legtöbb terméke (pl. Cisco) is Unix alapokon nyugszik. Így ezek a termékek ugyanúgy tartalmazzák az esetleges Unix sérülékenységeket. A hátrányok ezzel nagyjából el is fogytak, nézzük azt mit tud adni nekünk.

Egyrészt lehetőségünk van vastag VPN (erősen titkosított) megoldások használatára, akár komoly titkosítású OpenVPN szerverről, akár telephelyek közti IPSec-ről legyen szó, de nem kell lemondanunk a különböző malware-ek elleni védelemről sem, mert a feketelista alapú szűrések mellett lehetőségünk van geográfiai alapú IP szűrésre is, de letöltehetőek különböző proxy modulok, vírusvédelem, URL szűrés, vagy éppen behatolás érzékelő rendszerek is. Szinte csak a képzelet szab határt, na meg persze a hardver, az alap modulok használatához ugyanis egy ősrégi PC is elég akár, de ha komoly titkosítással bíró VPN rendszert akarunk üzemeltetni, akkor a sávszélesség, illetve a redundancia igény függvényében akár egész komoly hardverre is szükségünk lehet. Ahogyan a bevezetőből is látszik, ha rászánunk egy kis extra keretet, akkor egy brand szerver segítségével bármelyik nagy gyártó tűzfal megoldásával vetekedő rendszerünk lehet, annak az árnak a töredékéből.

A megfelelő hardver kiválaszása, a szoftver megfelelő telepítése és konfigurálása természetesen nem egyszerű feladat, de kellő tapasztalattal és szakértelemmel bárki számára elérhető megoldás lehet. A korábbi, IT biztonsággal foglalkozó cikkeinkben (Gondolatok az IT biztonságról – Social engineering, Gondolatok az IT biztonságról 2. – egy majdnem bekövetkezett katasztrófa története) mindben szóba került már ez a megoldási alternatíva. Sok cég életében akkor jött el egy ilyen rendszer bevezetésének ötlete, amikor már egy katasztrófán vagy nehéz helyzeten átestek. Érdemes ezt megelőzni és ajánlatot kérni a kialakításra, mert rengeteg bajtól tud minket megóvni.

Milyen egyéb hozzáadott értékeket nyújtunk mi?

Természetesen a felvázolt szerepkörök, a nyújtandó szolgáltatások alapján segítünk kapacitást tervezni és kiválasztani a feladathoz a megfelelő hardvert. A hálózat kialakításnál ezt követően lehetőség szerint két hálózati kártyát (WAN és LAN) használunk, ahol a megfelelő hálózati eszköz ellátottság esetén VLAN-okkal növeljük tovább a biztonságot. A legtöbb tűzfalunkon kialakításra kerül megfelelő titkosítású OpenVPN elérés, illetve adott esetben site-to-site VPN megoldásként IPSec VPN megoldások. Egy külön tűzfalcsomag telepítésével megvalósítjuk a legtöbb helyen a malware szűrést feketelisták alapján, illetve a geográfiai szűrést az ügyféllel egyeztetve. Itt érdemes megállni pár szóra. Ennek a szűrőnek az a lényege, hogy akár országokra bontva tudjuk IP cím alapján korlátozni a bejövő kapcsolatokat. Vannak ún. illegális tevékenységektől erősen fertőzött országok a világban, ha ezek teljes kikapcsolására lehetőségünk van, akkor töredékére tudjuk csökkenteni egy sikeres támadás esélyét. Tehát például ha lekapcsolható teljes Dél-Amerika, Afrika, Oroszország és Ázsia nagy része, akkor ezzel önmagában harmadára szorítottuk vissza a lehetséges támadások számát. Innentől semmilyen hálózati kapcsolatot nem engedélyez a tűzfalunk a hálózatunk irányába. A szabályokat ügyfeleinkkel közösen szoktuk meghozni, mivel ebben az esetben a rendszer távoli elérése sem lesz lehetséges később ezekből az országokból, hacsak az oda utazó felhasználó ezt külön nem kéri az utazás előtt.

PfSense tűzfalrendszer virtuális gépen? Miért ne?

Ugyan sokan félnek ettől a fajta kialakítástól, de nem kell. Több ügyfelünknél évek óta futnak Microsoft Hyper-V alapú virtualizáció segítségével ilyen tűzfal gépek, amelyekre ugyanúgy igaz, hogy sosem kell őket újraindítani, csak ha nagy release frissítést végzünk rajta. Ez esetben viszont hardvert sem kell külön vásárolni a célra, mindössze szorítani neki helyet egy nagyobb “vason”.

PfSense

Tűzfalrendszereinket rengetegen használják a legkülönbözőbb feladatokra, a legösszetettebbtől az egyszerű csomagszűrésig. A legtöbb ilyen tűzfalunkról, a cégek megnevezése nélkül ebben az esettanulmányunkban olvashat részleteket.

Pár szóban a Kaspersky-botrányról

Néhány napja az a hír tartja lázban a magyar IT világot, hogy a Magyar kormány gyakorlatilag kitiltotta az orosz Kaspersky cég termékeit az állami piacról. A témában rengeteg cikk látott napvilágot számos hírportálon, amiben minden információ jelen van, így csak ezekre kívánunk jelenlegi cikkünkben pár mondatban reagálni.

Kaspersky

Első körben álljon itt az Indexhez tartozó portfolio.hu cikke a témában:
https://www.portfolio.hu/vallalatok/it/letiltja-a-magyar-kormany-az-allami-gepekrol-a-kemgyanus-orosz-virusirtot.5.294746.html

Bár nem mi vagyunk a megfelelő szerv annak eldöntésére, hogy a Kaspersky valóban tartalmaz-e kémkedésre alkalmas elemeket, állítólag a forráskódot hozzáférhetővé tették, így azt bárki hozzáértő elemezheti. Nyilván a magyar állami szervek ezt meg is fogják tenni a közeljövőben, amikor is ki fog derülni az igazság, így ami egyelőre csak figyelmeztetés és ajánlás szintjén történt meg (a Kaspersky termékek kerülését kérik az állami szektorban és jelentési kötelezettséget vezetnek be, ha valaki ezt használja), az akár konkrét tiltásként is megfogalmazódhat, hogyha bizonyítani is tudják az EU és az amerikaiak állításait. Addig viszont bölcsebb ha megadjuk a Kaspersky számára az ártatlanság vélelmének jogát, hiszen ami a linkelt cikkből nem derült ki, hogy bizonyíték egyelőre semmire sincsen.

Én csak azt tudom javasolni a Kaspersky témában érintetteknek, hogy figyeljék a független teszteket, mert a Kaspersky termékeitől jóval jobbak is elérhetőek a piacon, ráadásul jobb árakon is, így lényegében nem is kell állást foglalni, csak egy jobb termékre váltani. Pl. a GData védelmére, aki évek óta nem csak vezeti a teszteket, de ráadásul élen jár az átláthatóságban is, ezzel kapcsolatban érdemes megtekinteni ezt a cikket: https://virusirto.hu/g-data/szigoru-adatvedelem-es-megfeleles/

A Kaspersky témára egyébként reagált is a német gyártó magyar képviselete, tőlük az alábbi levél érkezett a tegnapi napon:

Kedves Viszonteladónk,
A tegnapi napon a Magyar Kormány úgy döntött, hogy kizárja a Kaspersky szoftverét, és felszólítja a költségvetési szervezeteket a Kaspersky lecserélésére.

A cikk elolvasható az IT Café oldalán: https://itcafe.hu/hir/kaspersky_magyarorszag.html

Ezt mi sajnáljuk. Ugyanakkor a vállalatokat nem szeretnénk vírusvédelem nélkül hagyni, így segíteni is megpróbálunk.

Ennek kapcsán, amelyik cég bármilyen üzleti vírusvédelmi licencét szeretné üzleti, központilag menedzselhető G DATA szoftverre cserélni, annak INGYENESEN biztosítjuk a meglévő licencidejére a védelmét, amennyiben ugyanannyi időre elköteleződik a G DATA mellett.
Tehát ha valakinek 1 év van hátra a másik vírusirtó licencéből, akkor 2 éves G DATA licencet állítunk ki a számára az 1 éves áron. Amennyiben valakinek 2 év van hátra a másik vírusirtó licencéből, akkor 4 éves licencet biztosítunk a számára…

Természetesen a Kaspersky forgalmazói jogosan vették védelmükbe a saját terméküket, ezzel kapcsolatban a 2F 2000 Kft. az alábbi levelet küldte a partnereknek:

A 2F 2000 Kft. álláspontja a Kaspersky-kormányhatározattal kapcsolatban

Kedves Partnerünk!

 A Kaspersky Labbal való sokéves együttműködésünk alapján fontosnak érzem, hogy a 2F 2000 Kft nevében is reagáljak a Magyarország Kormánya által 2018. 08. 13-án kiadott kormányhatározatra. Ezt a határozatot a magyar sajtó jelentős része és a blogoszféra is gyorsan felkapta, és “A Kasperskynek befellegzett”, “Magyarországon (is) vége a Kasperskynek”, illetve hasonló címekkel mutatta be, mint a Kaspersky Lab termékeit betiltó rendelkezést.

 A kormányhatározat ezzel szemben NEM tiltja be a Kaspersky Lab termékeit. A határozat első pontja szerint a Kormány egyetért az EU azon törekvésével, amely alapján szükséges a potenciálisan veszélyes eszközök kiszűrése és elhárítása. A szöveg nevesíti is a Kaspersky Lab termékeit. Azonban az utasítások, melyek ezt követik, nem írják elő a termékek eltávolítását: a minisztereket átvilágítás készítésére szólítják fel, illetve jelentési kötelezettséget ír elő ilyen termékek újonnan történő bevezetésekor.

 A Kaspersky termékekkel kapcsolatos legfőbb vád az, hogy a termék alkalmas lényegében bármelyik fájl elérésére, így az orosz titkosszolgálat információszerzésre használhatja fel.
 Ennek a kijelentésnek az első fele természetesen igaz, a kártevő-védelem pontosan ezt kell, hogy tegye: minden állományt, sőt, az állományokon kívül elhelyezkedő tárolóhelyeket is ellenőriznie kell. Ezt teszi a piac valamennyi hasonló terméke. A kérdés tehát nem az, hogy a technológia megvan-e bármilyen adat eléréséhez. Hanem az, hogy előfordulhat-e, hogy egy külső szerv, például egy titkosszolgálat, adatgyűjtéshez használja fel valamelyik gyártó rendelkezésre álló technológiáját. És épp ez a vonatkozás az, amivel kapcsolatban a Kaspersky Lab mindent megtesz, hogy világossá tegye: ilyen nem történhet. Emiatt teszi elemezhetővé a forráskódját és költözteti Svájcba adatközpontját, emiatt működik együtt minden, hasonló ügyeket kivizsgálni képes szervvel. Ilyen fokú transzparenciát, ilyen magas szintű bizalomteremtő lehetőséget semelyik másik gyártó nem kínál.

 A sajtó rendszeresen hivatkozik “korábbi esetekre”, melyekről “mindenki hallott”. Az igazság ezzel szemben azonban az, hogy egyetlen olyan eset sem történt, amikor ez előfordult volna. Az erre utaló cikkekkel kapcsolatban vagy az derült ki, hogy nem is történt illetéktelen adathozzáférés (mint például az elhíresült NSA-alkalmazott esetében), vagy pedig egyáltalán semmi konkrét információnak tekinthető részlettel sem szolgáltak, azaz valótlanságot állítottak, mindenfajta komoly megalapozottság nélkül.

 Ennek fényében meglepett bennünket a Magyar Kormány határozata. Ilyen jellegű bizalmatlanság eddig semmilyen más gyártó semmilyen termékével kapcsolatban sem merült még fel (pedig hadd utaljak az egyik legelterjedtebb asztali operációs rendszer kikapcsolhatatlan adatgyűjtésére, vagy a legnépszerűbb mobil operációs rendszer kéretlen helyadat-rögzítésére, hogy csak két nagyon ismert példát mutassak). Természetesen nagyon komolyan vesszük ezt a lépést. Tartok tőle, hogy lesznek olyan ügyfelek, akiknek a bizalma meginog a termékben, illetve a gyártóban – ez egy ilyen helyzetben elkerülhetetlen. Azonban úgy gondolom, hogy pánikra nincs ok. A termékek használata nem tiltott. A Kaspersky-termékek használatának elterjedtségének felmérését a minisztériumok elvégzik, az esedékes megújítások pedig még csak bejelentési kötelezettség alá sem esnek. Új rendszerek bevezetése sem tilos, igaz, bejelentési kötelezettséggel jár.

 Bízom abban, hogy érveinket – a Ti segítségetekkel – el tudjuk juttatni minden egyes ügyfelünkhöz. Bízom benne, hogy sokan megértik majd: ha ilyen típusú adatlopástól tartanak, akkor pont a Kaspersky Lab az a gyártó, amelyik a legmagasabb szintű bizonyosságot tudja adni azt illetően, hogy termékein keresztül ez nem fog megtörténni. Őszinte véleményem szerint nincs a piacon olyan gyártó és/vagy termék, amelyre áttéréskor csökkenne egy ilyen típusú incidens kockázata, sőt.

 Ezzel egyidőben igyekszünk elérni, hogy elinduljon a kommunikáció a magyar döntéshozók és a Kaspersky Lab között, amelytől azt várjuk, hogy a magyar fél is megnyugtató válaszokat kaphat felmerülő kérdéseivel kapcsolatban.

 Az Európai Unióban egyébként, noha időről időre lendületet kapnak a magyarhoz hasonló gyanúsítások, egy-két kirívó kivételtől eltekintve nem született olyan határozat, amely más gyártókénál kockázatosabbnak ítélte volna a Kaspersky megoldásait. Az Európa Parlament egyik állásfoglalása például itt található. •A Kaspersky Lab termékei továbbra is a legtöbb független minősítés és teszt alapján a legmagasabbra értékeltek
•A legtöbbször feltett, bizalommal kapcsolatos kérdés és válasz
•A Kaspersky Lab hivatalos reakciója a kormányhatározatra
Végül arra szeretnélek biztatni benneteket, hogy használjatok minket: amennyiben ügyfeleitek kifejezik bizalmatlanságukat, irányítsátok hozzánk őket, vagy továbbítsátok kétségeiket hozzánk, hogy meg tudjuk válaszolni azokat. Elkötelezettek vagyunk azt illetően, hogy az elmúlt húsz évben kiépített ügyfélkörötök lehető legnagyobb hányadát segítsünk megtartani, akár személyes közreműködéssel, akár érvekkel, információkkal.

 

A levél tartalmával amellett, hogy szélsőségesen elfogult a saját termékükkel kapcsolatban nagyrészt egyet kell értsünk, kivéve azt a tételt, hogy a Kaspersky lenne a legátláthatóbb és az egyetlen, mert azt mindenki tudja, hogy ebben a formában nem igaz. Ettől függetlenül nem gondljuk, hogy azonnal mindenkinek cserélnie kellene az egyik legjobb vírusvédelmi megoldását, habár létezik tőle jobb is.
Ha valaki mégis így dönt annak ajánljuk figyelmébe a teszteket régóta vezető német GData ajánlatát.