Security Professionals - ipfw add deny all from eindgebruikers to any

Zakelijk Security Appliance

20-11-2009, 08:45 door cpt_m_, 35 reacties
Beste Security Professionals,

Ik ben op zoek naar een UTM Security Appliance, heb van verschillende leveranciers al een offerte ontvangen.
Voorbeelden zijn:
- Juniper SRX gateway 100
- WatchGuard x550e
- FortiGate

Ben altijd geïnteresseerd in praktijk ervaringen.
Waarom zou u kiezen voor een bepaald product, graag zie ik antwoorden met motivatie.

Heb natuurlijk zelf ook niet stil gezeten en heb de volgende vereisten samengesteld:

- Beveiliging tegen ‘Zero Day Exploits’
- UTM netwerkbeveiliging tegen spyware, spam, virussen, wormen, tojaanse paarden, web-exploits en andere malware
- Inbraakdetectie en preventie dmv IDS/IPS
- Realtime logging
- Report mogelijkheid
- HTTPS en HTTP inspectie
- Configuratie door web-UI, CLI of beheersprogramma
- Ondersteuning voor VLAN’s
- URL filering
- Anti SPAM
- Policy based Routing
- High Availability (SLA, extra unit)
- Firewall (operated at the application level of the seven-layer OSI model)

Watchguard maakt gebruik van de AVG engine voor Anti-virus en Endeavor Security voor IPS.
Elke fabrikant werkt met zijn eigen stukje software MAAR bepaald dit ook niet gelijk de kwaliteit van de UTM?

Iedereen alvast bedankt voor hun input en motivatie.
Reacties (35)
20-11-2009, 11:35 door Anoniem
op puntje een na zal nagenoeg iedere hardware appliance fabrikant dat wel bieden. 0-day protection is onzin dat kan niemand leveren iedereen wil het niemand zal het kunnen leveren.
kijk ook eens naar palo alto firewalls ik heb laatst een presentatie van hun bijgewoont en was wel onder de indruk van de andere aanpak dan andere firewalls enz
20-11-2009, 11:45 door Anoniem
de enige die mij als hacker ooit tegen heeft gehouden is : iss van ibm
20-11-2009, 11:49 door SirDice
Persoonlijk vind ik het Juniper spul erg goed. Verder sluit ik me aan bij Anoniem (11:35) vwb de bescherming tegen 0-day. Bedenk namelijk dat een 0-day iets is wat voorheen onbekend was. Er valt simpelweg niet tegen te beschermen, tenzij je allerhande heuristics aanzet wat alleen het risico van false positives groter maakt en nauwelijks meer bescherming biedt. Om diezelfde reden ben ik ook nooit zo gecharmeerd geweest van een IPS.
20-11-2009, 11:56 door cpt_m_
Door Anoniem: op puntje een na zal nagenoeg iedere hardware appliance fabrikant dat wel bieden. 0-day protection is onzin dat kan niemand leveren iedereen wil het niemand zal het kunnen leveren.
kijk ook eens naar palo alto firewalls ik heb laatst een presentatie van hun bijgewoont en was wel onder de indruk van de andere aanpak dan andere firewalls enz

Klopt, alleen de prijs voor een product van Palo Alto is te veel voor onze organisatie.
20-11-2009, 12:33 door dim
Is dit hele "UTM" gebeuren niet een beetje een "buzzword" sales verhaal? Waarom zou je alle security zaken in 1 machientje willen stoppen, en dan afhankelijk zijn van 1 fabrikant? Misschien is dit handig als je het aan upper management moet verkopen, en het buzzword-compliant moet zijn, maar ik geloof nooit dat je met één magisch kastje alle security problemen kunt oplossen... :)
21-11-2009, 23:37 door Anoniem__
Een UTM dohikee met (re-)actieve beveiliging tegen (psuedo) 0-day exploits (Virtual Patching), kan denk ik wel bijdragen aan de algehele beveiliging van de omgeving. Denk bijvoorbeeld aan de recente Vulnerabilities in the EOT parsing engine in MS Windows en Office en aan bijvoorbeeld SQL injection attacks in applicaties waar geen of moeizaam patches voor uitkomen.

Greatz, MyShell
22-11-2009, 00:12 door Anoniem
Op ons netwerk werd eerst Symantec gebruikt. Nu zijn we overgestapt op Fortigate. Zeer goed, snel, lav-detectie gebeurt in de hardware zelf en volgens onze netwerkbeheerder (Imtech België) niet onderuit te krijgen. We gebruiken een redundante configuratie.

De loging gebeurt op een aparte appliance, namelijk fortianalyzer.

Belgacom zou ook fortigate gebuiken. Forigate zou de enige zijn die op de firwall zelf inkomende bestanden scant.
23-11-2009, 08:40 door cpt_m_
0-day protection is onzin dat kan niemand leveren iedereen wil het niemand zal het kunnen leveren.

Ik wil het best van je aannemen MAAR overtuig mee eens waarom 0-day protection onzin is ???
23-11-2009, 08:42 door cpt_m_
Forigate zou de enige zijn die op de firwall zelf inkomende bestanden scant.
Bedankt voor je reactie.
Een security gateway die scant op bestanden is een feature die niet alleen Fortigate bezit, deze functionaliteit zit in andere security appliances ook, voorbeelden zijn Juniper en Watchguard.
23-11-2009, 08:46 door cpt_m_
Door dim: Waarom zou je alle security zaken in 1 machientje willen stoppen, en dan afhankelijk zijn van 1 fabrikant?
Bedankt voor je reactie.
Dus de conclusie van je verhaal is het verdelen van de security oplossingen over meerdere appliances??
23-11-2009, 08:53 door cpt_m_
Door Anoniem : Een UTM dohikee met (re-)actieve beveiliging tegen (psuedo) 0-day exploits (Virtual Patching), kan denk ik wel bijdragen aan de algehele beveiliging van de omgeving. Denk bijvoorbeeld aan de recente Vulnerabilities in the EOT parsing engine in MS Windows en Office en aan bijvoorbeeld SQL injection attacks in applicaties waar geen of moeizaam patches voor uitkomen.

Greatz, MyShell

Bedankt voor je reactie.
Dit dacht ik namelijk ook maar ik lees uit de antwoorden dat de meningen over IPS verdeelt zijn.
Daarom hoor ik graag reacties over het feit waarom IPS eigenlijk een overbodige luxe is!!
23-11-2009, 09:58 door Anoniem
het risico van IPS zijn de false positives; het blokkeren van verkeer wat eigenlijk gewoon toegelaten zou mogen worden
23-11-2009, 10:50 door cpt_m_
Door Anoniem: het risico van IPS zijn de false positives; het blokkeren van verkeer wat eigenlijk gewoon toegelaten zou mogen worden

Oké duidelijk verhaal, maar liever teveel blokkeren dan te weinig of is deze conclusie te simpel?
23-11-2009, 11:57 door Anoniem
Door cpt(m):
Forigate zou de enige zijn die op de firwall zelf inkomende bestanden scant.
Bedankt voor je reactie.
Een security gateway die scant op bestanden is een feature die niet alleen Fortigate bezit, deze functionaliteit zit in andere security appliances ook, voorbeelden zijn Juniper en Watchguard.
Voor Zover ik heb begrepen, hebben Juniper en Watchguard contact met eens server van die club nodig waar het bestand
naar toe gaat om gescand te worden, waarna het bestand na die scan al dan niet wordt doorgelaten. Dit zou natuurlijk sinds
kort gewijzigd kunnen zijn.

Heb ook begrepen dat Symantec zich opnieuw op deze markt begeeft.
23-11-2009, 12:40 door Rolf van Gent
Kijk eens naar Netasq. Dat is inmiddels de grootste Europese UTM vendor met een superieure IPS. Bijna volledige zero-day protection...
23-11-2009, 15:01 door cpt_m_
Door Rolf van Gent: Kijk eens naar Netasq. Dat is inmiddels de grootste Europese UTM vendor met een superieure IPS. Bijna volledige zero-day protection...

Zal ik zeker doen, bedankt voor je reactie.
23-11-2009, 15:07 door Anoniem
Zero-day protectie is grote onzin. Kunst is om onder de motorkap met de beste oplossingen te werken. Wij hebben daarom destijds voor Securepoint UTM gekozen en met name om de snelheid en het gemakkelijk qua remote beheer, filteren, scannen en de implementatie. Als laatste kwamen wij erachter dat er wel een erg grote lockin zat in het 2e jaar vaak qua abonnementsprijzen.
23-11-2009, 15:31 door Anoniem
Dan bedoel je neem ik aan de prijzen van Juniper, Watchguard en Fortigate in het tweede jaar?
23-11-2009, 15:36 door Rolf van Gent
100% Zero-day protectie is nagenoeg onmogelijk, maar het is verre van grote onzin!!!

Een IPS is een absolute vereiste om je netwerk van buitenaf te beschermen! Een simpele (stateful) firewall is zo lek als n mandje. Maar zoals bij elk product zijn er goede en minder goede IPS-en afhankelijk van hoe slim de producent de architectuur heeft opgezet en hoe goed de producent de "zaken bijhoudt". Vandaar dat een "abonnement" wel noodzakelijk is. Je moet ook je Anti Virus up to date houden en je IPS dus ook. Bij vele UTM leveranciers de "adder onder het gras" als je extra functionaliteit wil (voor mee gebruikers etc) óf als je je abonnement moet verlengen (zoals bij Anoniem). Het is dus zonder meer aan te bevelen om de totale kosten over 3 of 5 jaar te bekijken voordat je beslist wie het meeste/beste biedt voor het minste geld. Je gaat het apparaat tenslotte ook wss een jaar of 3 tot 5 inzetten en afschrijven. Het is "verre van slim" om een UTM te kopen en dan na 1 jaar al te zeggen: "we kunnen/willen het onderhoud/abonnement" niet meer betalen, want dan schrijf je het apparaat eigenlijk al in één jaar af. Een echte desinvestering zou ik zeggen.

De Netasq IPS (sowieso vulnerabilty-based ipv threat based, wat al behoorlijk scheelt in het benaderen van Zero-day) heeft een goede reputatie en heeft vanwege haar intelligentie de afgelopen tijd al haar gebruikers vanaf dag één (zero-day, dus ;-) beschermd van attacks zoals D(D)oS, SQL injection. sockstress etc.

Bij bestudering van kwaliteit van IPS, alle andere functies van de UTM (AV, AS, URL-filtering, PKI-CoA, VPN) de snelheid, de gratis management software etc., blijkt dat NETASQ een hele aantrekkelijke package biedt.

Even voor alle duidelijkheid: ik ben een NETASQ medewerker ;-)
23-11-2009, 16:00 door Anoniem
Uitleg 'Zeroday' protection:

http://www.reputationauthority.org/

http://www.watchguard.com/products/zeroday.asp
23-11-2009, 16:31 door cpt_m_
Door Anoniem: Uitleg 'Zeroday' protection:

http://www.reputationauthority.org/

http://www.watchguard.com/products/zeroday.asp

Bedankt voor de info maar begrijp de definitie.
23-11-2009, 20:04 door Anoniem
Gewoon kiezen voor een Bluecoat Proxy SG (die ook in HTTPS verkeer kan scannan) en daarnaast de malware in het webverkeer laten scannen door de Bluecoat AV . Daarnaast virussen in het webverkeer door een Mcafee appliance. SSL VPN van Juniper + een Juniper Firewall met Deepinspection module en je bent klaar :)
24-11-2009, 08:32 door cpt_m_
Door Anoniem: Gewoon kiezen voor een Bluecoat Proxy SG (die ook in HTTPS verkeer kan scannan) en daarnaast de malware in het webverkeer laten scannen door de Bluecoat AV . Daarnaast virussen in het webverkeer door een Mcafee appliance. SSL VPN van Juniper + een Juniper Firewall met Deepinspection module en je bent klaar :)

En gewoon een heel duur prijskaartje :) Lijkt me een Enterprise oplossing!
Ervaring met deze opzet?
24-11-2009, 09:46 door Rolf van Gent
Door Anoniem: Gewoon kiezen voor een Bluecoat Proxy SG (die ook in HTTPS verkeer kan scannan) en daarnaast de malware in het webverkeer laten scannen door de Bluecoat AV . Daarnaast virussen in het webverkeer door een Mcafee appliance. SSL VPN van Juniper + een Juniper Firewall met Deepinspection module en je bent klaar :)

Zo, zo, dat lijkt mijn idd behoorlijk kostbaar...Beveiliging is zeker een kwestie van investeren, waarbij hoe meer je investeert je de kans hebt dat je een beter beveiligingsniveau behaalt. UTMs zijn vooral in MKB (en in de huidige crisis in toenemende mate in grotere bedrijven) interessant omdat veel functionaliteit voor relatief weinig geboden wordt. Natuurlijk moet je elke stuk functionaliteit op een UTM technisch evalueren in verhouding met de prijs die de vendor ervoor vraagt. Veel UTM leveranciers vragen extra investeringen om bepaalde (in mijn ogen basis-) functionaliteit op hun UTM te leveren

De door jou beschreven oplossing Anoniem is ongetwijfeld een hele fraaie, maar behalve kostbaar in de aanschaf (en repeterende abonnements/maintenance/licentie kosten) juist ook zeer kostbaar in het onderhoud ervan. Drie verschillende vendors, dus drie verschillende user-interfaces, drie keer configureren, drie keer wijzigen bij verandering in de gebruikers/infrastructuur etc etc, En ook drie keer "vertraging" op het netwerk verkeer. En "Groen" is het al helemaal niet met 3 of 4 verschillende appliances, om maar niet van de dure ruimte in het rack zelf te spreken.... Je ziet het, ik ben een ware UTM fanaat... ;-)

Nog even terug naar IPS (Zero-day). Dit is een technologie die door IT-security-buitenstaanders zeer moeilijke technisch te evalueren is. Gelukkig doen onafhankelijke organisaties dat voor je. De Common Criteria organisatie heeft Netasq als allereerste een EAL4+ certificaat gegeven voor hun IPS. En dit op basis van de v3.1 criteria en dit zijn flink aangescherpte critera. Veel van de amerikaanse con-collega's in de UTM markt hebben misschien ook wel een EAL certificaat, maar je moet goed opletten wanneer (op basis van welke versie van de criteria) die behaald is. Vaak is dat jaren geleden.....
24-11-2009, 10:22 door cpt_m_
@ Rolf van Gent: certificaat
Zijn er nog meer certificaten behaald door NETASQ?
24-11-2009, 13:50 door Anoniem
Begrijp goed dat je een werknemer bent en je boterham moet verdienen aan UTM maar IPS is net zo veilig als Anti-virus. De certificeringen lopen heel vaak achter ten opzichte van de huidige werkelijke risico's en dreigingen. Gaat meer om de onderliggende techniek en geloof zelf daarbij meer in de open source of oplossingen die daarop gebaseerd zijn, zodat je echt weet wat je koopt en niet een of ander marketing verhaal. Grootste gedeelte van de genoemde oplossingen valt dan af.
24-11-2009, 18:00 door Rolf van Gent
Cpt(m): Behalve EAL4+ heeft Netasq ook als enige de RESTREINT UE certificaat ontvangen van de Europese Raad voor onze (eigen ontwikkelde) encryptie/VPN technologie (die gratis bij onze UTM zit ;-). En dan hebben we de nodige certificaten die niet zo zeer met security te maken hebben, cq op het gebied van bepaalde metalen die je niet meer mag gebruiken, recycling e.d.

Anoniem: ik weet dat er nogal wat overlappingen zijn, maar ik vind niet dat je een AV met een IPS mag vergelijken. Wij zijn het met elkaar blijkbaar wel eens dat certificeringen altijd wel achter de praktijk aan zullen hollen, maar des te belangrijker is het om te checken dat de vendor die je overweegt op zn minst een redelijk recent certificaat heeft. Dit geeft dan in elk geval wel aan dat ze als vendor niet stil zitten. En dan komt eigenlijk ook weer de mate van intelligentie om de hoek kijken van de zogenaamde "Zero-day" oplossing kijken van de vendor. Onze IPS heeft meerdere malen aangetoond vooruit te lopen op nieuwe dreigingen/aanvalstechnieken (D(d)oS, SQL injection, Sockstress, Conflicker, etc.)

Verder lijk jij op twee gedachten te hinken, enerzijds schets je een oplossing met Bluecoat, Macafee & Juniper (ik ken hen ieder niet zo heel goed, maar volgens mij zijn zij niet opensource gebaseerd) anderzijds predik je opensource of daarop gebaseerde oplossingen.... Eerder sprak je over Fortinet, en ik meen dat hun IPS gebaseerd is/was op Snort, idd opensource, maar wel een kwalitatief mindere IPS. Op zich wel weer grappig dat de Europese Raad weigert om certificaties (zoals de aan ons verstrekte RESTREINT UE/EU RESTRICTED) af te geven voor VPN producten als deze gebaseerd zijn op opensource....Ik vind het meer een kwestie van vertrouwen hebben in je vendor dan dat je wil weten wat je koopt als je voor opensource gebaseerde oplossingen kiest...
24-11-2009, 21:04 door SirDice
Door cpt(m):
0-day protection is onzin dat kan niemand leveren iedereen wil het niemand zal het kunnen leveren.

Ik wil het best van je aannemen MAAR overtuig mee eens waarom 0-day protection onzin is ???
Laat ik eens een poging wagen. Een 0-day exploit betekent een bug die men kan misbruiken waar men voorheen niet wist dat er een bug was. Natuurlijk gebruiken een hoop exploits ongeveer dezelfde truukjes om een gevonden bug uit te buiten maar een goeie 0-day is echt iets nieuws, een nieuw truukje. Hoe wil je die detecteren?

Stel je wilt volledige bescherming dan zul je moeten filteren op alles wat je accepteert. Iets wat daarvan afwijkt zou kunnen duiden op een aanval. Probleem daarmee is dat je volledige controle moet hebben om dit te kunnen vergelijken met voor ingestelde voorwaarden. Indien de service (website bijv.) verandert veranderen ook de voorwaarden. Je bent dus continue aan het bijstellen wat enorm veel werk op kan leveren.

Een andere mogelijkheid is om uit te gaan van de "slimheid" van die software om mogelijke aanvallen te detecteren. Probleem daarbij is dan weer dat het gaat om mogelijke aanvallen, dit zou best eens normaal verkeer kunnen zijn (false positive). Je zit dan gewoon reguliere gebruikers in de weg. Het gevolg is dus dat je die software ook weer niet te slim instelt wat weer kan betekenen dat je dingen mist (false negative).

Het is vaak gewoon goedkoper om dat dus niet te doen en een eventuele aanval op de koop toe te nemen. Je baas is minder geld kwijt aan ijzer (apparatuur) en man-uren (wat indirect ook geld kost). Bovendien is het gewoon simpeler om de boel in lagen te verdelen zodat je met relatief eenvoudige handelingen en middelen toch een goede veiligheid kan garanderen. Een eventuele aanval kan dan geen tot weinig schade aanrichten wat in ieder geval snel te herstellen is.

Iemand gaf me eens een mooi voorbeeld:

Je maakt voor 2 miljoen een website waar men 5 miljoen mee kan verdienen. Da's 3 miljoen winst. Om die website heel goed te beveiligen moet men echter nog eens 2 miljoen uitgeven. Dan is er nog maar 1 miljoen winst. Indien men die beveiliging achterwege laat en het gaat misschien een keertje mis kopen ze dat af met een miljoen. Mocht dat gebeuren hebben ze toch nog 2 miljoen. De kans dat het mis gaat is echter klein, ergo grote kans op die 3 miljoen winst.

Kosten -> baten. Als al die extra beveiliging meer kost om vervolgens ook nog eens meer werk te hebben (onderhoud, klanten die geblokkeerd worden etc) ben je dus niet slim bezig. Althans, volgens een manager en/of de baas. En uiteindelijk betaalt hij/zij jouw salaris.

Kortom ik hou het meestal bij een goede firewall (zonder al die laag 7 filter onzin), een fatsoenlijke IDS zodat je in ieder geval ziet wat er gebeurd, zorgvuldig gehardende servers en audits op code die daar op draait. Knappe jongen (of meid) die dan het dan nog voor elkaar krijgt. Om werknemers te beschermen heeft niemand lokale admin rechten, surft iedereen via een proxy, mail via een mailserver, geen enkele machine (behalve de Internet services natuurlijk) heeft een directe verbinding naar buiten. Proxy en mail gaan natuurlijk wel door een content scanner en uiteraard zorg je ook voor een goed patch beleid voor servers en werkstations. Maar ja, dan ben je niet klaar met 1 doosje. Je bent wel goed beveiligd ;)

(kleine kanttekening, ik heb alleen bij bedrijven gewerkt met meer dan 5000 werknemers)
25-11-2009, 10:03 door cpt_m_
@ SirDice:
Bedankt voor je reactie, mijn dank voor het uitgebreide en duidelijk verhaal.
Graag wil ik natuurlijk wel reageren op je antwoord.

Zoals Rolf van Gent aangeeft is het wel degelijk mogelijk om een 0-day exploit te detecteren op basis van "slimme" software.
DIt bedrijf gaf aan dat de DNS Poisoning cache issue standaard werd geblokkeerd zonder hierbij een signature voor te hebben.
Dus de vraag kunnen we beter aan hun stellen?

Wat versta jij onder zorgvuldig gehardende servers?
Overige security oplossingen zoals managed proxy & e-mail, geen lokale admin, en geen directe verbindingen naar buiten zijn allemaal gerealiseerd.
25-11-2009, 10:38 door Syzygy
Als toevoeging (on opic) op de verhelderende woorden van Sir Dice het volgende:

Kosten Baten:

Wat valt er te halen bij jullie ?
Hoe interessant is het voor hackers (dit bepaald mede de vastberadenheid voor de hack) ?
Wat zijn de schade posten bij een intrusion ( schade aan geld, schade aan imago, denk aan advocaten kantoor ten opzicht van een loodgieters bedrijf) ?


Als toevoeging (beetje off topic) het volgende:

Meer investeren in Security (lees Veiligheid) dan dat het opbrengt kun je alleen doen als je "de Nederlandse Regering of Overheid" heet.

Die doen dit elke dag weer want WIJ betalen de kosten wel en op "1 januari" is het "spaarvarken" weer opnieuw rijkelijk gevuld.
25-11-2009, 11:05 door SirDice
Door cpt(m):
@ SirDice:
Bedankt voor je reactie, mijn dank voor het uitgebreide en duidelijk verhaal.
Graag wil ik natuurlijk wel reageren op je antwoord.

Zoals Rolf van Gent aangeeft is het wel degelijk mogelijk om een 0-day exploit te detecteren op basis van "slimme" software.
DIt bedrijf gaf aan dat de DNS Poisoning cache issue standaard werd geblokkeerd zonder hierbij een signature voor te hebben.
Dus de vraag kunnen we beter aan hun stellen?
DNS is een relatief simpel protocol. Je weet dus van te voren hoe een request en de reponse er uit ziet. Alles wat afwijkt is verdacht. Dat is relatief makkelijk te filteren. Bij een website wordt dit een ander verhaal. Zeker als deze site data accepteert van clients. Dan is de data die naar je server gestuurd wordt niet zo eenvoudig meer te filteren door een generiek apparaat. Dit filteren kun je dan het beste doen in de web applicatie zelf, deze weet immers wel wat er verwacht wordt en kan dus ook beter filteren (vandaar de noodzaak voor code audits). M.i. kun je beter daar geld in steken dan blind vertrouwen op een IPS.

Wat versta jij onder zorgvuldig gehardende servers?
Nodeloze services uit. ACLs correct ingesteld. LUA/POLA (Principle of least privilege) toepassen. Indien aanwezig gebruik maken van MAC. Zorgvuldige scheiding van functionaliteit en data. Waar mogelijk gebruik maken van jail/chroot. Logging en audits goed ingesteld (file/object access bijv). In het geval van IIS, default website disablen en een nieuwe site/webroot op D: aanmaken (voorkomt ../../ geintjes die in c:\windows\system32 uitkomen).
25-11-2009, 11:25 door cpt_m_
@ Syzygy:

Ik begrijp en besef me heel erg goed, dat de kosten moeten opwegen tegen het product.
25-11-2009, 11:31 door cpt_m_
@ 11.05 SirDice:
Duidelijk verhaal, bedankt.
06-12-2009, 00:14 door Anoniem
Nog eentje om op je lijstje te zetten. Alhoewel deze kwa kosten net als palo alto redelijk hoog zit. Maar onze ervaringen er mee zijn prima: Checkpoint UTM-1
22-10-2010, 16:09 door Anoniem
Ik zou als ik jou was eens kijken naar netasq en dan hoef je niet verder te kijken.

suc6, hans
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.