Firewalla

[Neo-ST]

Da li je tko imao iskustva s ovim?

https://firewalla.com/products/firew...42638547026164

Lik me uvjerava da je to top za zaštitu, da ne treba uopće AV na klijentima spojenim na njega.

[The Exiled]

Iskreno, sumnjivo je da nema poštenih recenzija, već se prvenstveno nalazi materijal koji zalazi u propagandno-promidžbeni program na stranicama koje i inače "recenziraju" mnoštvo smart-nešto uređaja, a ako nazovete odmah, u paketu dobijete i ovaj set noževa. Koliko se da skužiti, upravljenje i konfiguracija je izvedeno (isključivo?) putem mobilne aplikacije i još k tome, Firewalla košta lijepih 150$ više od npr. Netgate 2100 modela koji pak nudi provjereni pfSense.

Citiraj:

Firewalla doesn't attempt to replace your Wi-Fi router or your existing security suite. Rather, it works alongside both.

The device is attached to a login account with Firewalla at all times, the vendor can potentially spy on you. Not that I say Firewalla would do that, but nobody knows.

If your network is loaded with smart home hardware phones and tablets, and computers, adding a Firewalla will give you a bird's-eye view of what's going on, and this essential monitoring function doesn't require network expertise.

[mann]

Kako je već rečeno postoje provjerena i milion puta iskusana rješenja kao pfsense. Di ćeš u ove nepoznate vode. Čak i da je top pitanje hoće li postojati sutra i dalje se razvijati.

Sent using Tapatalk

[Neo-ST]

Citiraj:

Autor mann

Kako je već rečeno postoje provjerena i milion puta iskusana rješenja kao pfsense. Di ćeš u ove nepoznate vode. Čak i da je top pitanje hoće li postojati sutra i dalje se razvijati.

Sent using Tapatalk

Zato pitam ovdje
Znači pfsense je bolji, samo šta nema ad blocking koliko vidim?
I imaju base i max verzije, nemam pojma u čemu je razlika. Također su out of stock.

[The Exiled]

pfSense ima svoj pfBlocker, a i općenito cijeli pfSense možeš posložiti kak god ti paše. Ne moraš čak ni kupiti Netgate uređaj, ako ne trebaš dediciranu službenu podršku, lako instaliraš pfSense na praktički bilo koji komad hardvera unatrag desetak godina. Također, možeš bez problema iskoristiti Raspberry Pi i jedan od hrpe već postojećih RPi firewall projekata i opet sve iskonfiguriraš po želji, a cijela stvar košta osjetno manje od ovih Firewalla uređaja.

[Neo-ST]

Citiraj:

Autor The Exiled

pfSense ima svoj pfBlocker, a i općenito cijeli pfSense možeš posložiti kak god ti paše. Ne moraš čak ni kupiti Netgate uređaj, ako ne trebaš dediciranu službenu podršku, lako instaliraš pfSense na praktički bilo koji komad hardvera unatrag desetak godina. Također, možeš bez problema iskoristiti Raspberry Pi i jedan od hrpe već postojećih RPi firewall projekata i opet sve iskonfiguriraš po želji, a cijela stvar košta osjetno manje od ovih Firewalla uređaja.

Top, hvala

[Visage]

Citiraj:

Autor Neo-ST

Da li je tko imao iskustva s ovim? https://firewalla.com/products/firew...42638547026164 Lik me uvjerava da je to top za zaštitu, da ne treba uopće AV na klijentima spojenim na njega.

Gledam listajuci informacije sa stranice. Cini se kao dosta ispoliran i s dosta opcija. Interesantno umjesto web sucelja, ide preko app-a. On doduse ima web, ali vise da komplimentira app-u, nego stvarno primarne kontrole, a i cini se da je u beti. Ha, sto reci? Moderan za ekipu iz berbe 2022.

Iz OSR-a, cini se da se vozi na Linuxu i Node.js koristi iptables, a komponente komuniciraju preko Redis pub/sub-a.

No, PfSense kojeg su ti forumasi ponudili, svakako je, za mnoge, vjerojatno najbolji izbor i nemam ista lose reci o istom. Osim, da mi je kulturni sok i da generacijski ne mogu prihvatiti (za namjenu) perverzne resurse koje trazi za masinu. Netko mladji ce reci, kakve gluposti pricam, kad se dual i quad procesori i ostatak konfiguracije slaze za sitnis. Sve stoji, ali kad meni i danas najdrazi m0n0wall ostaje standard resursa. Posebno kad se i danas na tisuce i tisuce masina sirom svijeta vrti na istom, te ga nisu nikakve rupe ili nedace zadesile. Dapace, radi bez greske.

Pa ako si znatizeljan probati FW koji se suvereno vozi i na najsporijem x86, na memoriji koju je datumski neugodno spomenuti, a citav OS ti stane na karticu manju od 64 mg, onda imas dva forka m0n0-a : SmallWall i T1n1wall.

I nek te ne strase datumi, jer tu se godine sporije pomicu.


...

[Roberto]

Malo ću dići temu budući da već neko vrijeme testiram doma Firewalla Gold Plus uređaj, pa evo par dojmova za sad:


Hardver:
4gb RAM, Intel quad core, 32gb ssd, 4x 2,5gb routable ethernet
dakle unutra je vrlo moćan hardver i uređaj bez ikakvih problema handlea sve što baciš na njega, i što god sam do sad testirao, nikakvih usporenja ni na uređaju ni na mreži nisam doživio. Uređaj je skup, 599$, isporučuje se iz USA, tak oda računat treba i na porez :/ No postoje i jeftinije varijante uređaja:
https://firewalla.com/collections/firewalla-products


Uređaj je prije svega firewall + IDS/IPS. Na tržišti definitivno postoje jefitnije i dobre opcije za to, u vidu Suricate, pfSense i drugih, međutim, Firewalla uz te osnovne funkcije nudi i pregšt drugih opcija koje nadmašuju i neka komercijalna IDS/IPS rješenja a da pri tome nema mjesečnih ili godišnjih pretplata, što kupiš jednom, to voziš.


Za iskoristit apsolutno sve što uređaj nudi, treba ga stavit u router mode, da handle apsolutno sve u mreži. Tu varijantu još nisam istestirao, za sad mi je u bridge modeu koji iskorištava ajmo reć 90% opcija uređaja i dovoljan je za recimo nadzor i i filtriranje svog internet prometa. Ovdje ću ujedno odmah istaknuti meni osobno najveću manu uređaja - nema WIFI AP, tak oda za punu zaštitu, potrebno je mrežu složiti na način da se Firewallu stavi u router mode, nakon njega stavit neki Wifi AP ala ubiquity ili tp link omada/deco. Ima Firewalla i svoj Wifi 7 AP u ponudi.


Firewall/IPS zove se Active Protect i signature based je, znači postoji neka cloud lista "reputacije" na temelju koje uređaj procjenjuje pojedini promet na mreži i alarmira ukoliko nađe nešto sumnjivo. Također ima i rule based filtriranje, gdje korisnik može zabraniti ili foltrirati promet za razini IP adresa, portova, domena ili uređaja na lokalnoj mreži.


Za svaki sumnjivi promet dolazi notifikacija na app na mobu (da, i dalje je app primaran način kontrole uređaja, iako se može dijelom opcija upravljati i kroz browser). Također, zgodna opcija je i mogućnost da se svaki novi uređaj koji se pojavi u mreži stavi pod monitoring ili odmah u karantenu. Moguće je recimo i skroz zabraniti izlaz na internet pojedinim uređajima na mreži ili recimo zabraniti video playback (zgodne opcije za one koji imaju klince ). Tu je i ad blocker, skeniranje ranjivosti na mreži i po portovima koje možeš namjestiti da periodički skeniraju.


Odlična opcija je je i segmentacija mreže, bilo kroz VLAN ili fizičke portove na uređaju, gdje možeš uređaje grupirati i izdvojiti IoT, multimediju, računala, ili jednosatvno staviti higher risk uređaje u posebnu grupu. Za svaku grupu uređaja ima mogućnost stvaranja mnogih posebnih pravila gdje možeš recimo zabraniti za svaku grupu posebno promet po nekom portu, ip adresi, ili pak zabraniti uređajima iz jedne grupe da komuniciraju s uređajima iz druge grupe, ili pak promet prema određenoj vrsti siteova..., uistinu pregršt opcija.


Od drugih zgodnih opcija:
-DDNS
-lokalno hostani VPN server za spajanje na lokalnu mrežu kad nisi doma, podržani OpenVPN i Wireshark.
- DNS over HTTPS
-Unbound - lokalni DNS resolver
-NTP interception
- target liste (slično kao Pi Hole blockliste), postoji već desetak predefiniranih, a možeš kreirati i svoje




Što se same detekcija i rada tiče...
- instantno prijavljuje novi uređaj na mreži i odmah mu možeš dozvolit ili zabranit pristup
- pronašao je neka spajanja prema malware/phishing siteovima s pojedinih uređaja na mreži koja nisu bila detektirana sa strane firewall/AVa na PCu - u firewalla appu dobiš info na koju adresu i preko kojeg porta je išao promet, a kroz internet flow opciju možeš po timestampu potražit koji se to servis u to vrijeme spajao pa tako probat detektirat koja aplikacija ili servis na računalu/mobu radi tu konekciju. Ovo nije uvijek moguće pinpointati na neki app kroz Firewalla aplikaciju, ali s informacijama koje dobiš iz nje možeš na PCu kroz netstat komande doći do procesa koji to radi.


Tako sam recimo onda vidio da su neki od tih alarma za spajanje prema malware siteovima bile konekcije iz torrent klijenta, ili pak utvrdio da mnogi siteovi koje imam otvorene u nekativnim tabovima vrlo često pingaju doma


Iscurilo mi vrijeme za sad, ako nekog nešto zanima detaljnije, mogu nadopisat kad ulovim vremena.

[Neo-ST]

Pitanje je da li na kraju krajeva to vrijedi ovoliko?

[The Exiled]

Za te nofce se u lokalnim dućanima kupi poprilično ozbiljan uređaj iz npr. Ubiquiti ponude, pa svakak provjeri omjer uloženog i dobivenog.

[Roberto]

Citiraj:

Autor Neo-ST

Pitanje je da li na kraju krajeva to vrijedi ovoliko?

Za te novce... vjerojatno ne. No, ja sam ga dobio dosta jeftinije. Možda je tu opcija čekat BF popuste ako nekom treba. Doduše, ovisno o tome što trebaš, Firewalla ima i nekoliko jeftinijih modela.

Citiraj:

Autor The Exiled

Za te nofce se u lokalnim dućanima kupi poprilično ozbiljan uređaj iz npr. Ubiquiti ponude, pa svakak provjeri omjer uloženog i dobivenog.

Koji?
Dreammachine je dosta jeftiniji, čini mi se oko 350 eurića i više je nego solidan, ali je i slabiji od ove Firewalle, i što se 2,5gb portova tiče i što se throughputa za IDS tiče. Ali za većinu korisnika bi vjerojanto bio sasvim ok.
Imam dva Dreammachine postavljena i dosta su me nazajebavali.


Plus što kod Ubiquiti uređaja uglavnom trebaš learning curve da pohvataš sve, i sveukupno dosta vremena investirati da posložiš priču.


Fortinet ima isto jeftinijih uređaja, ali također hardverski slabijih plus što za IDS funkciju moraš pretplatu plaćat.

[The Exiled]

Primjera radi, nova Dream Machine, Dream Router 7 i Express 7 izdanja nude to kaj i Firewalla, zato sam i spomenul da za te nofce ima izbor iz njihove ponude.

Na poslu imamo sve posloženo na Ubiquiti/UniFi opremi i baš, jer nude plug'n'play su s vremenom postali sve popularniji i za obične kućne korisnike.

[Roberto]

To i je najveća prednost, ako već imaš Ubiquiti opremu, imaš laku i brzu integraciju s njihovim uređajima.


Što se performansi tiče, tu bih nakon ovih par mjeseci testiranja dao prednsot Firewalli, pri većem opterećenju mreže puno bolje handla stvari, Dream Machine Pro se u takvim situacijama zna dosta gušiti i usporavati..


Na kraju sve se svede na to što u stvari trebaš i hoćeš i koliko si to spreman platiti.

[The Exiled]

Da, iz tog enterprise svijeta su se polako probili i do kućnih korisnika koji nemaju cijeli spektar njihove opreme, već im treba jedan uređaj i to je to, zato sam spomenul nek si provjeri.