Yrityskäyttöön tehdyt palomuurit kotikäytössä (Fortinet, Cisco, Check Point, Palo Alto jne)

[juuhokei]

Ajattelin perustaa tällaisen ketjun tuon open source / ilmaiset diy-palomuurit ketjun rinnalle. Harvemmalla näitä varmaan kotikäytössä on, mutta mielestäni ainakin Fortigatella ihan valideja vaihtoehtoja myös kotikäyttöön. Toki varmaan enemmän sellaisille joita kyseisten laitteiden konfigurointi ja toiminta kiinnostaa (labrakäyttö). Tässä alustuksella keskityn pelkästään Fortigateen, mutta olisi toki kiva kuunnella löytyykö käytännön vaihtoehtoja muilta valmistajilta.

Itse olen käyttänyt kotona Fortigaten FG-50E (uusin firmis 6.2.12, ei virallisesti Fortinetin tukema enää) ja 60E malleja (tuki uusimmilla 7.2.4), niitä on saatavana ainakin Ebaysta (yleensä Japanista) käytettynä n. 60-80€ ja 200-250€ hintaan. Nämä on yleensä valmistettu 2016-2017 ja palomuurin läpäisykykyä löytyy 3-3.5Gbps, SSL-VPN:llä 100-150Mbps ja muilla turvaominaisuuksilla 200-400Mbps. Virallisesti päivitysten lataaminen näihin vaatii Forticare-lisenssin, mutta päivitys onnistuu firmware-tiedostolla kyllä kunhan saa jostain firmware imagen. Firmwareja (pl. tällä hetkellä uusin 7.2.4) löytyy täältä: FortiGate 韌體下載 | 老森常譚

Suurin ongelma kotikäyttöä ajatellen näillä on ominaisuuksien lisenssointi, eli lähes kaikista päivittyvistä tietoturvaominaisuuksista (Fortiguard) pitää maksaa ja hinnat on kotikäyttöä ajatellen poskettomat. Mielestäni tämä ei kotikäytössä kuitenkaan ole suuri ongelma, sillä kotikäytössä näistä ei paljoa ole iloa. Harvemmalla taitaa pfsensessäkään olla Snort tai ClamAV käytössä, niissä on omat ongelmansa. Lisenssoitavat ominaisuudet jotka löysin:
- Application Control Signatures
- Internet Service Database Definitions
- IPS Definitions
- Botnet IPs & Domains
- Industrial DB
- Web filter ja Anti-Spam definitions

Toki isoa osaa näistäkin pystyy käyttämään, mutta sen hetkisillä tunnisteilla mitkä viimeksi on olleet saatavilla kun lisenssi on ollut voimassa. Lisäksi täytyy maksaa pilviominaisuuksista jos perus ominaisuudet ei riitä (mm. logit 7 päivää max). Muuten kaikki ominaisuudet ovat käytettävissä, myös esimerkiksi SSL-VPN. Ehkä suurin puute kotikäyttöä ajatellen on web filter, melko vastaava on pfsensen pfBlockerNG. Tämän pystyy tosin kiertämään esimerkiksi piholella, jos sen saa johonkin tyrkättyä. Muuten mielestäni varsin hyviä vaihtoehtoja myös kotiin, parhaiksi ominaisuuksi näkisin luotettavuuden ja muutenkin rauta ja softa on ylisuunniteltu, tehty kestämään vuosia käytössä ja jopa ilman bootteja.

 

[juuhokei]

voisi tehdä oman mutta mitä noita fortigateja työelämässä joskus käyttänyt niin vaativat kalliit lisenssit käytännössä kaikille lisäominaisuuksille. Taitaa ilman lisenssiä toimia vaan karvalakki palomuurina ilman mitään hienouksia mitä esim. pfsense tarjoaa.

Vastataanpa tänne puolelle. Tosiaan aloitukseen hieman kirjoittelinkin tätä sivuavaa juttua, mutta en kovin montaa keksinyt näitä pfsensen hienouksia mitä Fortigatesta ei löytyisi ja joita usein tarvitsisi. En tiedä tarkoititko näillä juurikin IDS/IPS ja pfBlockerNG.

 

[Algron28]

Firmwareja (pl. tällä hetkellä uusin 7.2.4) löytyy täältä: FortiGate 韌體下載 | 老森常譚

Mulla henk kohtaisesti aina epäilyttää nämä muusta kuin virallisesta lähteestä ladatut firmwaret, ainakin jos kysessä on jotain tietoturvaan edes etäisesti liittyvää. Eikä linkkitekstin aasialaiset merkit yhtään paranna luottamusta.

 

[juuhokei]

Mulla henk kohtaisesti aina epäilyttää nämä muusta kuin virallisesta lähteestä ladatut firmwaret, ainakin jos kysessä on jotain tietoturvaan edes etäisesti liittyvää. Eikä linkkitekstin aasialaiset merkit yhtään paranna luottamusta.

Tätä mietin myös, mutta tuon firmiksen puukotus ei taida kovin helposti onnistua. Ja varsinkin kun näitä on näin moneen malliin tuolta saatavana, aikamoinen homma puukotella satojen firmiksien paketteja. Olisi toki kiva jos Fortinet tarjoaisi ne omilta sivuiltaan. Ilmeisesti mahdollista saada myös jos tuntee jonkun jolla pääsy Forticare/Fortiguardin palveluun, sieltä saa muutkin kuin itselle rekisteröidyn mallin firmikset.

Edit: Lisätään nyt vielä tähän, että yksi ongelma näissä käytetyissä Fortigateissa on FortiCare Support rekisteröinti, se sidotaan sarjanumerolla siihen tiliin, joka laittteen ensimmäisen kerran rekisteröi. Näin ollen ei voi enää aktivoida Forticare-lisenssiä omalla tililläsi (hinta n. 100-150€), jolla saisi 6-12kk päivitykset virallisesti. Ilmeisesti sen laitteen poistaminen aikaisemman omistajan tililtä onnistuu, jos hän vastaa hyväksytysti poistopyyntöön minkä asiakaspalvelu tekee. Sitä en tiedä onko tuohon kukaan vastaamassa.

 

[Algron28]

Nykypäivänä taitaa olla että sen raudan hinta on monesti aivan toisarvoinen seikka ja se oikea raha liikkuu siellä lisensseissä. Toki ymmärrän että jatkuva softan päivitys ja ylläpito vaatii tuloja jostain mutta näin harrastelijana monesti turhauttaa se että jostain jos laitteen saisikin, niin sillä ei välttämättä tee mitään kun lisenssi ei ole voimassa.

 

[Khauron]

FortiGateja tullut töissä konffattua ja trouble-shootattua jonkun verran.
Käytännössä se menee niin, että ensin tulee numerosarja, esim. 60E, joka merkkaa laitteen tehon. Kirjain perässä, esim 60E, tarkoittaa generaatiota.
F-sarjalaiset on next-gen -muureja, ja kyllä nuo E-sarjalaiset aika syöpää on tätä nykyä. Firmikset laahaa perässä, ja moni malli on jäänyt jo kauas taakse. Esimerkkinä nyt vaikka 30E, joka on (oli) entry-level -malli ja tarkoitettu kotiin ja pieniin toimistoihin. Uusin FW on 6.2.x.

Huippua noissa on, että ovat raudaltaan ja softaltaan Fortin käsialaa. Sisäinen kytkentä- ja reititysnopeus on huippuluokkaa. Softa on kanssa todella hyvä, mutta parempi sitten olla (maksullinen) tukisopimus Fortille, että saa päivitykset ja tuen.
Softassa on vieläkin typeryyksiä, kuten esimerkiksi se että ei voi GUI:sta konffata läheskään kaikkea. Parhaimpana esimerkkinä (S)NTP. GUI sanoo heti, että konffata komentoriviltä. Toinen esimerkki on se, ettet voi heittää konffia eri laitteesta eri laitteeseen, huonoimmillaan samasta laitteesta samaan laitteeseen. Kolmas esimerkki on, että jos ruksaat GUI:sta pääsyn https-porttiin WAN-puolelta, sitä ei näe GUI:n säännöissä. Ainoastaan CLI:ssä. Esimerkkejä on lisää, mutta aina noitakin ihmettelee. Ai niin, jos haluat käyttää DDNS:ää, niin uusimmissa firmiksissä ja sidottu Fortin nimipalvelimiin. Jenkeissä ja Kanadassa. Toki CLI:n kautta onnistuu, mutta monelle se on kynnyskysymys.
Ja se (lisä)ominaisuuksien maksullisuus... Fortin oma web-filter, joka nyt on susipaska verrattuna ilmaisvoimin ylläpidettyihin. Ja ei pysty puukottamaan.
Fortin oma FortiClient VPN (SSL-VPN) on kanssa ollut reikäinen, ja sitä ollaan patchatty koko ajan. IPSEC vuosi tuossa vuosi takaisin niin pahasti, että kredentiaalit olivat vapaata riistaa.

Jos saisin duunissa vapaasta valita, niin valitsisin joka kerta pfSensen FortiGaten yli.

 

[juuhokei]

Softassa on vieläkin typeryyksiä, kuten esimerkiksi se että ei voi GUI:sta konffata läheskään kaikkea. Parhaimpana esimerkkinä (S)NTP. GUI sanoo heti, että konffata komentoriviltä. Toinen esimerkki on se, ettet voi heittää konffia eri laitteesta eri laitteeseen, huonoimmillaan samasta laitteesta samaan laitteeseen. Kolmas esimerkki on, että jos ruksaat GUI:sta pääsyn https-porttiin WAN-puolelta, sitä ei näe GUI:n säännöissä. Ainoastaan CLI:ssä. Esimerkkejä on lisää, mutta aina noitakin ihmettelee. Ai niin, jos haluat käyttää DDNS:ää, niin uusimmissa firmiksissä ja sidottu Fortin nimipalvelimiin. Jenkeissä ja Kanadassa. Toki CLI:n kautta onnistuu, mutta monelle se on kynnyskysymys.

Tähän törmäsin myös pariin kertaan tuolla vanhemmalla 6.2.12 firmiksellä, melko rasittavaa. Yksi taisi olla ihan vaan SSL-VPN:n disablointi ja toinen wan-linkin monitorointi dual wan failoveria varten. SD-WANin kautta pystyi tekemään jos se oli käytössä mutta jos ei niin CLI:stä.

 

[Khauron]

Ja ai niin, älä koskaan osta käytettyä laitetta. Jos olet aivan varma, että saat sen rekisteröityä nimiisi, niin sitten, mutta jostain eBaystä tai Japanista ostettuja laitteita; ei ikinä. Jos muuri on sarjanumeroltaan laitettu Fortilla "decomissioned", niin se laite on näkemiin. Jos laite on ilmoitettu Fortille varastetuksi, se on näkemiin.
Melko uudessa FW:ssä 7.2.02 --> 72.20 oli muuten nätti bugi mukana: jos olit sallinut WAN puolelta HTTPS-pääsyn, laitteelle pystyi heittämään komentoja WAN-puolelta ja pääsyn koko sisäverkkoon. "Most critical" oli Fortilla luokitus, mutta onnea niille firmoille kenellä ei ole (maksullista) hallintapalvelinta tai pääsyä joka laitteeseen.

 

[minapamina]

Itse leipätyönä konffaan Fortia, himassa 61F ja jotai LAN-laitteita perässä. Protip, malleissa 1-loppuvissa on isompi sisäinen tallennustila, eli voi logittaa ihan reilusti normaalissa käytössä. 0-vehkeet sitten pienellä muistilla (esim. juuri 60f vs. 61f). Hyviä vehkeitä, jos ajaa tuotannossa 7.2.x softaa niin kannattanee ehkä katsoa peiliin, sille on syy miksi 6.4.11 on vielä se juttu, ja Fortinet vasta hetki sitten alkanut suosittelemaan 7.0.x päivitystä. Ylläoleviin, konffan siirto laitteesta toiseen onnistuu komentorivillä hyvinkin kivasti, ainoa mikä saattaa tuoda haastetta on hyvin eritasoiset softaversiot. Jos jostain 4 majorista tuot konffaa 6 majoriin, todennäköisesti asiat on muuttuneet. Tällä viikolla juuri yliheitin vanhasta 300d:stä 100f:ään, ja lähes koko konffa meni 1:1 sisään ilman ongelmia. Seiskassa myös lisää ominaisuuksia tuotu cli'stä gui'iin, syynä tuolle on ollut se, että gui ja cli devaus eri tiimien toimesta, jolloin tuota "eroa" on syntynyt. Pikkuhiljaa tuo rako on kyllä kuroutunut, joskaan ei vielä täydellinen.

Eniten itseä Fortissa ärsyttää juuri bugit, joita tuntuu olevan muita valmistajia enemmän, mikä toki näkyy tuotteen hinnassa. Toisaalta ominaisuudet on tosi hyviä, ja hakkaa Palo Altot monella saralla, vaikka niillä hintalappua huomattavasti enemmän.

Ciscoa tulee enemmän tehtyä kytkimien kautta, niiden muureihin en koske

 

[juuhokei]

Protip, malleissa 1-loppuvissa on isompi sisäinen tallennustila, eli voi logittaa ihan reilusti normaalissa käytössä. 0-vehkeet sitten pienellä muistilla (esim. juuri 60f vs. 61f).

Ilmeisesti kuitenkin FortiView vaatii Fortianalyzerin jos haluaa dataa pitemmältä ajalta kuin "nyt" eli siihen tuo lisätila ei auta?

 

[escalibur]

Mulla henk kohtaisesti aina epäilyttää nämä muusta kuin virallisesta lähteestä ladatut firmwaret, ainakin jos kysessä on jotain tietoturvaan edes etäisesti liittyvää. Eikä linkkitekstin aasialaiset merkit yhtään paranna luottamusta.

Tämä. Etenkin jos huomioidaan millaisissa otsikkoissa koko valmistaja on ollut.

Lisää Fortinetin touhuja The chronicles of Fortinet's CVE-2020–9294

Fortinet pyytää 0day haavoittuvuuden raportoijaa allekirjoittamaan NDA-sopparin, samaan aikaan kun kyseinen haavoittuvuus on myynnissä venäläisellä hakkerifoorumilla.

Jos joku on tekemisisissä Fortinetin VPN:n kanssa, kannattaa harkita laitteiden päivittämistä ja salasanan vaihtoa:

Hackers leak passwords for 500,000 Fortinet VPN accounts

A threat actor has leaked a list of almost 500,000 Fortinet VPN login names and passwords that were allegedly scraped from exploitable devices last summer.

www.bleepingcomputer.com

Malicious Actor Discloses FortiGate SSL-VPN Credentials

Fortinet is aware that a malicious actor has disclosed SSL-VPN credentials to access FortiGate SSL-VPN devices. This incident is related to an old vulnerability resolved in May 2019. We continue to…

www.fortinet.com

Fortinet FortiSIEM 5.2.5 / 5.2.6 Hardcoded Key ≈ Packet Storm

Information Security Services, News, Files, Tools, Exploits, Advisories and Whitepapers

packetstormsecurity.com

Jossain firmiksissä Fortigate oli hienosti laittanut sekä public, että private avaimet paikallisesti samaan firmikseen.

FortiSIEM default SSH key for the "tunneluser" account is the same across all appliances

Viime marraskuussa: Hardcoded cryptographic key in the FortiGuard services communication protocol

Vuonna 2018: Weak encryption cipher and hardcoded cryptographic keys in Fortinet products

Vuonna 2016: Et tu, Fortinet? Hard-coded password raises new backdoor eavesdropping fears

Luulisi että enterprise-tasoisiin palomuuri- ja tietoturvalaitteistoon keskittyvällä valmistajalla olisi edes perus asiat kunnossa.

Eiköhän tämäkin merkki aja asiansa, mutta itse luottaisin enemmän muihin vaihtoehtoihin.

 

[minapamina]

Ilmeisesti kuitenkin FortiView vaatii Fortianalyzerin jos haluaa dataa pitemmältä ajalta kuin "nyt" eli siihen tuo lisätila ei auta?

Niin, siis laite kerää logia pidempään, eli muurilta voit hakea esim. blokattuja yhteyksiä vaikka 6kk takaa, jos vaan kovalevytila sen sallii. Toki se ei ole sama asia kuin FortiAnalyzer. Mutta ei kaikki ympäristöt välttämättä sitä Analyzeriä tarvitse.

Tämä. Etenkin jos huomioidaan millaisissa otsikkoissa koko valmistaja on ollut.

Eiköhän tämäkin merkki aja asiansa, mutta itse luottaisin enemmän muihin vaihtoehtoihin.

Kaikilla isoilla vendoreilla on haavoittuvuuksia, Fortilla bugeja on enemmän kuin PaloAltolla (näppituntuma, joskin softaa julkaistaan vähän pienemmällä testauksella), mutta pelkkä CVEiden absoluuttinen määrä ei kerro softasta kaikkea, vaan vain löydetyt haavoittuvuudet. Fortilla portfolio myös paljon suurempi kuin kilpailijoilla. B-luokan merkeillä näitä haavoittuvuuksia ei välttämättä edes samalla tavalla tutkita, jolloin haavoittuvuudet jää piiloon. Käytännössä 2023 on vain 2 kuranttia muurivalmistajaa, Fortinet ja PaloAlto. Kumpi sopii mihinkin tilanteeseen paremmin riippuu tarpeesta ja lompakosta. Loput merkeistä ovat sen verran takana, että itse en edes niitä harkitsisi tuotantoympäristöissä. Nakkikiskat ja parturit sitten asia erikseen.

 

[escalibur]

Kaikilla isoilla vendoreilla on haavoittuvuuksia, Fortilla bugeja on enemmän kuin PaloAltolla (näppituntuma, joskin softaa julkaistaan vähän pienemmällä testauksella), mutta pelkkä CVEiden absoluuttinen määrä ei kerro softasta kaikkea, vaan vain löydetyt haavoittuvuudet. Fortilla portfolio myös paljon suurempi kuin kilpailijoilla. B-luokan merkeillä näitä haavoittuvuuksia ei välttämättä edes samalla tavalla tutkita, jolloin haavoittuvuudet jää piiloon. Käytännössä 2023 on vain 2 kuranttia muurivalmistajaa, Fortinet ja PaloAlto. Kumpi sopii mihinkin tilanteeseen paremmin riippuu tarpeesta ja lompakosta. Loput merkeistä ovat sen verran takana, että itse en edes niitä harkitsisi tuotantoympäristöissä. Nakkikiskat ja parturit sitten asia erikseen.

Mm. sekoilu SSH-avaimien ja NDA:n kanssa eivät liity haavoittuvuuksiin mitenkään. Kaikilla on haavoituvuuksia, mutta kaikilla ei ole samaa määrää haavoittuvuuksia. Jokainen punnitkoot asioita omilla kriteereilla.

On heillä muitakin ”ärsytyksiä”, jos näillä asioilla on jonkinlaista painoarvoa. r/msp - Fortinet reaching out directly to clients

Käytännössä 2023 on vain 2 kuranttia muurivalmistajaa, Fortinet ja PaloAlto. Kumpi sopii mihinkin tilanteeseen paremmin riippuu tarpeesta ja lompakosta. Loput merkeistä ovat sen verran takana, että itse en edes niitä harkitsisi tuotantoympäristöissä.

Cisco, Juniper, WatchGuard, Check Point, Netgate, SonicWall, Sophos…käyttäjät ovat kanssasi eri mieltä.

Palomuureissa se vähemmän suosittu brändi voi myös olla etu, koska hyvin suurella todennäköisyydellä sitä koetellaankin vähemmän mm. verkkorikollisten toimesta.

 

[zomeone]

Käytännössä 2023 on vain 2 kuranttia muurivalmistajaa, Fortinet ja PaloAlto. Kumpi sopii mihinkin tilanteeseen paremmin riippuu tarpeesta ja lompakosta. Loput merkeistä ovat sen verran takana, että itse en edes niitä harkitsisi tuotantoympäristöissä. Nakkikiskat ja parturit sitten asia erikseen.

Ainakin, kun puhutaan suurista ja keskisuurista yrityksistä, niin olen kanssasi samaa mieltä.

Cisco, Juniper, WatchGuard, Check Point, Netgate, SonicWall, Sophos…käyttäjät ovat kanssasi eri mieltä.

Työn puolesta itsellä kokemusta suurien ja keskisuurien yritystem kanssa toimimisesta. Cisco, Juniper ja Checkpoint tulee vastaan Palo Alton ja Fortin lisäksi.

Checkpointin vuosien takaiset taistelut softaongelmien kanssa on saaneet monet vaihtamaan leiriä. Olisikohan enää jäljellä ne, jotka alennuskamppiksilla vendori saaneet pysymään "uskollisina".

Ciscoa en ole pitänyt merkittävänä tietoturvavendorina varsinkaan muurimarkkinassa. Aina toki voi markkinoida itseään suurena tietoturvavendorina, joillekin se menee läpi muunneltuna totuutena.

Juniperia, Ciscoa ja Checkpointia kaikkia yhdistää kehityksen pysähtyminen siinä kohtaa, kun NGFW alkoi lyömään läpi.

Muutaman myllerryksen läpi käynyt Forcepoint tuohon vielä ehkä neljänneksi mukaan. Käyttöliittymä ainakin muutamia vuosia sitten oli vähän niin ja näin, eikä yrityksen omistajavaihdot tehneet hirveän hyvää.

e. Käyttäjät voivat olla erimieltä ylläpitäjien kanssa. Eivät joudu taistelemaan laitteiden kanssa.

Palomuureissa se vähemmän suosittu brändi voi myös olla etu, koska hyvin suurella todennäköisyydellä sitä koetellaankin vähemmän mm. verkkorikollisten toimesta.

Tämä on vaarallinen kommentti, toivottavasti kukaan ei ota tätä tosissaan.

Fakta on, ettei 100% turvallista tuotetta pysty tekemään. Haavoittuvuuksien ja muiden hyväksikäyttömenetelmien paikkaamisen uskottavuus ja nopeus on avainasemassa. Monet kriittisimmät haavoittuvuudet eivät kuitenkaan ole valmistajariippuvaisia, vaan kohdistuvat laajasti käytettyihin komponentteihin / ohjelmistokirjastoihin. Näiltä isoilta pelureilta ainakin löytyy resurssit testaamaan ja tekemään tarvittavia korjaavia toimenpiteitä.

Aiheeseen liittyen, kotoa löytyy Palo Alto PA-460 kaikilla lisureilla (vendoriohjelman kautta saatu).
ko. vendorin kanssa tulee eniten tehtyäkin töitä ja jonkun mielestä voi värittää myös laseja minkä läpi näitä asioita katsoo. Kuitenkin vendori neutraalina näitä asioita pitää asiakkaille tehdä.

 

[escalibur]

Tämä on vaarallinen kommentti, toivottavasti kukaan ei ota tätä tosissaan.

Älä ymmärrä pointtiani väärin. Vähemmän suosittu ei automaattisesti tarkoita tietoturvallisempaa tuotetta. Pointtini oli että isojen ohjelmistoja koetellaan ihan eri tavalla kuin pienempien vendoreiden. Yksi merkittävä seikka on mm. aina yhtä vuotava riesa, eli VPN. Pienetkin vendorit nojaavat yhteisiin softakirjastoihin yms. paketteihin, joten laajat haavoittuvuudet voivat koskettaa myös heitä. Pienillä vendoreilla isompi fiasko voi pahimmassa tapauksessa tarkoittaa koko bisneksen loppumista, siinä missä isoja ei ihan tuosta noin vaihdeta kilpaileviin tuotteisiin. Niin tai näin, asia riippuu myös siitä mistä näkökulmasta näitä asioita haluaa punnita.

Fakta on, ettei 100% turvallista tuotetta pysty tekemään. Haavoittuvuuksien ja muiden hyväksikäyttömenetelmien paikkaamisen uskottavuus ja nopeus on avainasemassa. Monet kriittisimmät haavoittuvuudet eivät kuitenkaan ole valmistajariippuvaisia, vaan kohdistuvat laajasti käytettyihin komponentteihin / ohjelmistokirjastoihin. Näiltä isoilta pelureilta ainakin löytyy resurssit testaamaan ja tekemään tarvittavia korjaavia toimenpiteitä.

Paikkauksien nopeus ja uskottavuus on nimenomaan se mihin kannattaa kiinnittää huomiota. Haavoittuvuuksia kun on aina löytynyt ja luultavasti tulee aina löytymäänkin. Isot pelurit ovat useasti osoittaneet että osataanhan sitä perseillä sielläkin. Mm. yllä mainitut esimerkit sekä

Cisco Botches Fix for RV320, RV325 Routers, Just Blocks 'curl' User Agent

Cisco's RV320 and RV325 router models for small offices and small businesses remain vulnerable to two high-severity flaws two months after the vendor announced the availability of patches. The fixes failed their purpose and attackers can still chain the bugs to take control of the devices.

www.bleepingcomputer.com

Researchers Solve Juniper Backdoor Mystery; Signs Point to NSA

Security researchers believe they have finally solved the mystery around how a sophisticated backdoor embedded in Juniper firewalls works.

www.wired.com

Pointtini ei ole etteivätkö mainitut valmistajat olisi harkitsemisen arvoisia, vaan että mokia ja hömöjä ratkaisuja tapahtuu isoimmillakin brändeillä. Isoilla pelureilla on toki isompi paine saada korjauksen ulos, jos ja kun maailman konesalit huutaa haavoittuvuuksista.

Yritystuotteiden valinnoissa tuote- ja valmistajavalintoja saatetaan tehdä senkin perusteella kuka on kenenkin hyvä kaveri, tai mikä on halvin vaihtoehto. Kuten eräs tietoturva-alan ammattilainen kiteytti ”Military grade security, meaning lowest bidder wins.”.

 

[minapamina]

Mulle on sinäänsä se ja sama, mitä kukakin ostaa, kun talona tehdään ~joka vendoria. Mutta sille on syy, miks kukaan ei halua tehdä, myydä, konffata tai ylläpitää Ciscoa/Checkaria, ne ei vaan ole ominaisuuksiltaan kahden kovan tasolla. Ok, jos niitä on tehnyt pitkään niin siinähän niiden konffaus menee, mutta ei niitä haluta myydä/ostaa. Sama homma jonkun F5:n kanssa, yleensä niitä menee renewaleina niiden käyttäjille, uusia asiakkaita lähes 0. Asiakas ei myöskään hyödy siitä, että myydään paskaa perävalotakuulla, vaan ihan oikeasti sen kaman, tekniikan ja toteutuksen pitää olla kuranttia, että he kokevat kaiken hinnan arvoiseksi. Forti on ollut viime vuosina tajuttoman kovassa nosteessa suht. edukkaan hinnan ja hyvin kilpailukykyisen tarjoaman takia, enkä usko että varsianisesti tulee hetkeen pysähtymään. Ja niitä menee myös 1-2 toimiston pikkufirmoihin, jotka on tajunneet että tietoturva on oikeasti ihan tärkeä juttu. Eihän myyjä noista ihan liikaa kostu, mutta ostajan näkökulmasta suht. edukkaalla kuukausimaksulla saa jo tosi hyvää muurausta jollain 40F:llä, jos tarvetta ei ole gigan läpäsykyvylle.

Viimeisenä, yrityspuolella erittäin iso tekijä on saatava tuki tuotteisiin käytännössä palveluntarjoajalta, ja luonnollisesti palveluntarjoajien saama tuki vendoreilta. Ei palveluntarjoajien ole mitään ideaa myydä tavaraa, jota ei voi tukea, tai jotka aiheuttavat tulevaisuudessa isosti harmaita hiuksia.

 

[juuhokei]

Keksinpä keinon millä hakea mikä tahansa firmware-versio mihin tahansa Fortigate purkkiin virallisilta palvelimilta. Hieman vaatii askartelua mutta alle tunnin nakki kaikkiaan. Lyhyesti:

- Lataa ja asenna Fortimanager VM 15d trial esim. Proxmoxiin, konfiguroi interface (lisää myös http pääsy) ja static route
- Aktivoi trial ilmaisilla Forticloud tunnuksilla
- Kirjaudu sisään ja mene Fortiguard -> Firmware Images -> Models: All, Täältä voi ladata fortiguardiin minkä tahansa appliancen firmwaren paikalliseksi.
- Firmwarea ei voi kuitenkaan ladata Fortimanagerista ulos, joten siihen on kirjauduttava linux shellillä ja shellistä hakemistosta /var/fwm/image/ firmware upattava esim FTP:llä tai SFTP:llä vaikka toiselle koneelle missä (S)FTP-palvelin.

Jos kiinnostaa niin voin antaa tarkempia ohjeita.

 

[Obi-Lan]

Juniper SRX sarjassa firmispäivitykset on honor tyyppisiä eli jos saat firmiksen käsiin, sen voi asentaa muuriin kuin muurin ilman lisenssiä tai online tilejä. NGFW kama taitaa olla aika pitkälti pilvi subscription tyyppistä. Toisaalta perusmallilla voi sitten treenata BGP, MPLS jne reititykset mitä tuleekaan mieleen.

EDIT. SRX 100, 240, 600, ja 550 ovat SER jätettä. SRX300 on täyspassiivisena laitteena sopiva kotilabrailuunkin, SRX320, 340, 345 ja 380 ovat sitten jo selkeästi meteliä pitäviä.

 

[juuhokei]

Ja ai niin, älä koskaan osta käytettyä laitetta. Jos olet aivan varma, että saat sen rekisteröityä nimiisi, niin sitten, mutta jostain eBaystä tai Japanista ostettuja laitteita; ei ikinä. Jos muuri on sarjanumeroltaan laitettu Fortilla "decomissioned", niin se laite on näkemiin. Jos laite on ilmoitettu Fortille varastetuksi, se on näkemiin.

Ihan mielenkiinnosta, miksi decomissioned on huono asia? Näitähän ne taitaa lähes kaikki olla. Joo, ei saa lisättyä uutta tukisopimusta kun näkyy rekisteröitynä edelliselle omistajalle mutta tästä ei liene kotikäytössä mitään haittaa jos ei aio 600€/vuosi threat management lisenssejä uusia. Pilvilinkitykset pitäisin toki pois päältä ettei vahingossakaan lähetä mitään tietoja aikaisemman omistajan tilille. Ja tietysti yrityskäyttöön ei mitään käytettyjä osteta.

Laitoinpa huvikseni äsken pyynnön poistaa aikaisemman omistajan linkitys tuosta omasta 60E:stä, katsotaan miten käy.

 

[juuhokei]

Tulipa vaihdettua sitten Fortigate 60E -> uuteen 61F jossa 5 vuoden UTP bundle kun Ebaysta edullisesti (ainakin OVH hintaan ~4000€ nähden) löytyi Eipä näillä UTP-ominaisuuksilla juuri mitään tee kotikäytössä mutta täytyy nyt näitä labrailla, ainakin SSL deep inspectionia ja DNS-suodatusta. Myös "premium"-tuen toimivuus (tai toimimattomuus) olisi kiva päästä jossain yhteydessä toteamaan.

Hienosti tuo 60E on puoli vuotta kotikäytössä toiminut ja puutteita / moitteita en ole keksinyt kuin QoS josta ei bufferbloatiin ole mitään hyötyä kun käyttää pakettien tiputusta kaistan rajoittamiseen. Tuo 60E löytyy muuten myyntiosiosta jos jotakuta sattuu kiinnostamaan. Sen kanssa voisi ehkä testailla vielä IPseciä muurien välillä.

 

[Khauron]

SSL (deep) inspection ei toimi hyvin, koska speksien mukaisesti TLS 1.3 -sitet tunnistavat man-in-the-middle -härväyksen. Esim. Nordean yrityspuolen verkkopankki ei toimi, jos tuo on päällä. Lisäksi FortiGaten PKI -julkaisu on suoraan sanottuna paska.
Tämä nyt ei ole suoraan pelkästään FortiGaten ongelma, ja en oikein ymmärrä miksi valmistajat haluavat väen vängällä tarjota SSL-härväystä, vaikka varmasti on tiedossa että se rikkoo speksiä.

 

[juuhokei]

SSL (deep) inspection ei toimi hyvin, koska speksien mukaisesti TLS 1.3 -sitet tunnistavat man-in-the-middle -härväyksen. Esim. Nordean yrityspuolen verkkopankki ei toimi, jos tuo on päällä. Lisäksi FortiGaten PKI -julkaisu on suoraan sanottuna paska.
Tämä nyt ei ole suoraan pelkästään FortiGaten ongelma, ja en oikein ymmärrä miksi valmistajat haluavat väen vängällä tarjota SSL-härväystä, vaikka varmasti on tiedossa että se rikkoo speksiä.

Näin olen ymmärtänyt että ei tuota hirveästi missään käytetä sen ongelmista johtuen. Kaipa sitä sitten halutaan kuitenkin tarjota kun ei muuta keinoa oikein taida olla nähdä salatun liikenteen sisään ja sitähän suurin osa liikenteestä on.

 

[Khauron]

Jos halutaan nähdä salatun liikenteen sisään, niin sitä varten on endpoint protection -tuotteet. Paitsi niissäkin on ongelmia, mm. WithSecuren uusimmissa kotipalomuuri- / AV-tuotteissa pankkimoodi oikeasti sammuttaa SSL-proxyn välistä.
Jos hostaa jotain palvelua, vaikka nyt siteä missä on SQL-backend, niin siinä kohtaa voi miettiä viekö sertifikaatin muurille ja saa siitä sitten salaamatonta liikennettä sisälle päin. Mutta aissaatana sertifikaattien uusinnat, DNS:t, NATit ja PATit, sekä julkiset IP:t tekevät elämästä hankalaa.
En edes aloita IPv6:sta, itse henkilökohtaisesti odotan IPv8:ia, koska tuo kutonen on kuollut hevonen.

 

[minapamina]

Kyllä tuota SSL-purkua käytetään, hyvin yritysriippuvaista. Pankkisektorin tai pankit voi tiputtaa purkusäännöistä, ja tällöin ongelmat katoavat. TLS1.3 voi myös koittaa tiputtaa matalammaksi, jonka voi sitten purkaa. Jerkkuahan tuo purku laitteelta vaatii.

 

[MOS6510]

Näiden "kaupallisten" muurien osalta kannattaa muistaa, että on olemassa myös välimalli: Sophos XG:stä saa ilmaisen "Home"-version, jonka voi asentaa virtuaalikoneeseen tai rautaan ilman spesiaalirautaa.

Itse olen ajanut Sophos XG Homea nyt 5 vuotta Fitlet 2-raudassa. Toimii loistavasti ja ei vaadi muuta kuin muutaman ohjelmistopäivityksen vuodessa. Tuo ohjelmistopäivityskin on käytännössä käyttöliittymässä yhden nappulan klikkaus.

 

[minapamina]

Sophosta en ole itse kokeillut, mutta varmasti hyvinkin validi vaihtoehto himaan. Loppuviimein aika samat logiikat ja toiminnallisuudet vehkeissä, vaikka toki ei ihan kärkipään kanssa kisaisikaan.

 

[juuhokei]

Kyllä tuota SSL-purkua käytetään, hyvin yritysriippuvaista. Pankkisektorin tai pankit voi tiputtaa purkusäännöistä, ja tällöin ongelmat katoavat. TLS1.3 voi myös koittaa tiputtaa matalammaksi, jonka voi sitten purkaa. Jerkkuahan tuo purku laitteelta vaatii.

Vähän tullut tuota testailtua ja puhelimella (iPhone) tuntuu olevan suurimmat ongelmat sen kanssa, ilmeisesti puhelimeen tuotu sertifikaatti toimii vain safarin / operan kanssa ja sovelluksille pitää tehdä poikkeuksia. Heti löytyi ainakin Whatsapp, OP mobiili, Philips hue ja Nedis smartlife jotka ei toimineet ilman poikkeusta. Nämä ei myöskään näkyneet UTM lokilla vaan piti paketinkaappauksella katsoa jokainen mihin yhteyttä yritetään.

Tietokoneella selaimella tuntui nopealla testillä kaikki toimivan ok.

 

[juuhokei]

Tulipa testattua Fortinetin supportia ku en saanut DNS Filteriä toimimaan, mikään filtteröity kategoria tai käsin asetettu domain ei ohjautunut blocki-sivulle vaan palautti alkuperäisen ip:n. Nopeasti tuli kyllä vastaus ja tuesta joku etänä yritti korjata mutta eipä saanut ainakaan vielä toimimaan. Katsotaan miten käy.

Edit: Tänään otti uudestaan etäyhteyden, kyllähän sieltä syy löytyi sitten, oma virhe kun en tiennyt että DNS-suodatukset määritetään DNS Server-asetuksista silloin jos käytetään sisäistä DNS-palvelinta muurilla eikä ohjata suoraan ulos nimipalveluun. Onhan tuo ihan hauska että "kotireitittimelle" tulee 1-2 päivän sisään etänä joku katsomaan jos on ongelma tai että laite vaihtuu suoraan uuteen jos tulee rautavika. Toki silti 800 eurolla mitä tuosta maksoin saisi kotiin jotain paljon järkevämpää.

 

[juuhokei]

Tietoturva-aukoistaan surullisen kuuluisa Fortigaten SSL-VPN taitaa joutua pian kuopatuksi kun uusimman 7.4.1 myötä ilmestynyt seuraava varoitus SSL VPN Settings -siville

 

[minapamina]

Ihan terveellistähän tuo on suositella ZTNAta tms pelkän ssl-vpn:n sijasta. Ja tuossahan sanotaan että tunnelmodea suositellaan webmoden sijasta, mikä sekin ihan fine. Ts. varmasti taustalla voi olla jotain reikiä tms, mutta nuo molemmat suositukset ihan hyviä muutenkin, vaikka legacykilkkeitä ylläpidettäisiinkin.

 

[Enhancer]

Jos unohdetaan lisensseillä ostettava tuki ja siitä saatava lisäarvo Fortinetiin, miten nuo perusmallit vertautuvat esimerkiksi hyvällä raudalla pyörivään OPNsense -purkkiin?

 

[minapamina]

Jos unohdetaan lisensseillä ostettava tuki ja siitä saatava lisäarvo Fortinetiin, miten nuo perusmallit vertautuvat esimerkiksi hyvällä raudalla pyörivään OPNsense -purkkiin?

Miltä osalta? Ominaisuudet? helppous? Läpäisykyky (NAT, muuraus?)? Joku muu?

Perus filtterithän fortissa on ilman lisureitakin, tietyt ominaisuudet lakkaavat toimimasta jos niitä ei ole. Tämä tarkoittaa joko sitä, ett kirjaimellisesti ei toimi, tai sitten lopettaa vaan päivittymisen.

 

[Enhancer]

Miltä osalta? Ominaisuudet? helppous? Läpäisykyky (NAT, muuraus?)? Joku muu?

Perus filtterithän fortissa on ilman lisureitakin, tietyt ominaisuudet lakkaavat toimimasta jos niitä ei ole. Tämä tarkoittaa joko sitä, ett kirjaimellisesti ei toimi, tai sitten lopettaa vaan päivittymisen.

Vaikkapa kaikilta noilta osin?

Ominaisuuksissa oletan xxSensen olevan avoimuuden takia edellä. Helppous on suhteellista, dokumenttia varmaan jälleen xxSenseen on tarjolla paremmin?

Läpäisykyky varmaan pääasiassa raudasta kiinni, Fortilla paremmin optimoitua ja xxSenseen saa voimaa rahalla.

Jos saman rahan laittaa Fortiin tai vaikka Netgaten purkkiin, kummassa parempi vastine rahalle?

 

[minapamina]

Vaikkapa kaikilta noilta osin?

Ominaisuuksissa oletan xxSensen olevan avoimuuden takia edellä. Helppous on suhteellista, dokumenttia varmaan jälleen xxSenseen on tarjolla paremmin?

Läpäisykyky varmaan pääasiassa raudasta kiinni, Fortilla paremmin optimoitua ja xxSenseen saa voimaa rahalla.

Jos saman rahan laittaa Fortiin tai vaikka Netgaten purkkiin, kummassa parempi vastine rahalle?

Jos haluat parasta, tai oikeasti modernia tietoturvaa, ainoat 2 validia vendoria on Fortinet ja Palo Alto. Jos joku sanoo muuta, hän on väärässä ja/tai ei tiedä mistä puhuu. Tämä toki näkyy hintalapussa, ja himakäytössä en todennäköisesti koskaan maksaisi näiden vendorien hintalappua. Ennen nykyistä Fortin muuria mulla oli käytössä PFsense, ja se ajoi asiansa erittäin kivasti. Voin suositella.

Käytännössä siis maksat noissa paremmissa muureista 2:sta asiasta: tuesta ja "reaaliaikaisesta"tietoturvasta. Eli siis siitä, että jos sulla on ongelma, saat siihen apua, etkä ole oman Googlailun varassa. Ja toisekseen jos joku uusi haitake huomataan yhtään missään päin maailmaa, sen tunnisteet jne päivittyy kaikille muillekkin muureille aika vikkelästi. Läpäisykyky noissa on yleensä "heikko" verrattuna perusmuureihin tai ilmaiskäyttiksiin, koska monesti testit ajetaan kaikenmaailman featureilla. Toiseksi tuotteet segmentoidaan niin, että käyttöön x suunnitellaan muuri y, ja jotta siitä saadaan järkevästi myytävä paketti, voi läpäisykyky olla näennäisen rajoitettu. Himassa gigan netti aika vakiokauraa, mutta iso osa yrityksistä ei oikeasti tarvitse gigan kaistaa normikäytössä. Sensijaan jos kuluttaja ostaa gigan netin, ja pelit latautuu heikon muurin takia puolikkaalla kaistalla, niin heti ollaan barrikaadeilla.

Tämä sepustus nyt ei taas suoraan vastannut kysymykseen, mutta jos pitäisi itse hankkia muuri omaan himakäyttöön, ottaisin PFsensen tms. tuotteen. Jos kiinnostaa oikeasti tutustua vendoriin/opiskella, joku Fortin ebaymuuri ei ole ollenkaan huonompi vaihtoehto. Fortilla on kanssa Training Institute: Library saatavilla kivasti matskua opiskeluun, jos haluaa oikeasti päästä ekosysteemiin kiinni. Jos taas olet ostamassa firmalle rautaa, kannattaa harkita silti jotain 40F:ää lisureilla ihan jo tuen takia. Jakaa kustannukset vaikka 3lle vuodelle, ja pääsee oikeasti kokeilemaan ja tekemään kunnon vehkeellä, niin ei se hintalappu niin valtava ole.

 

[Enhancer]

Kiitos tästä.
Kyllä minulla töiden puolesta on pääsy kaikkien näiden isompien pelureiden kumppaniohjelmien kautta sopivastikin raudan syrjään kiinni. Fortigate äkkiseltään kiinnosti eniten jo lähtöön, ei vaan aika ole riittänyt itsenäisesti syvään päätyyn.

Vaikka kaikenlaista on tullut rassattua ajan saatossa on varsinainen muuripuoli jäänyt vähemmälle ja tullut mentyä tyhmemmillä ratkaisuilla. Tarkoitus on siis tehdä asiat oikein ja oppia siinä samalla.

 

[minapamina]

Jos on "vapaa valinta", en ottaisi ilmaista muuria. Vendorien kautta saat kuitenkin NFR lisenssit puoli-ilmaisesti työnantajan kustannuksella. Jos otat Fortia, ota x1 malli (eli esim 61F), niissä on tallennustilaa itsessään, niin saat logitettua asioita kunnolla. 61F on oikein kiva himamuuri, kaikilla featureilla (ei ssl-purkua) jaksaa muutamia satoja megoja, optimoimalla sääntöjä kuitenkin saa käytännössä kaikkeen relevanttiin gigan. Esim. jättää skannailematta Steamiin suuntautuvaa liikenenttä.

 

[juuhokei]

Jonkun aikaa oli kotikäytössä testissä Check Pointin pienin Quantum Spark 1530 laite yhdistettynä virtuaalikoneessa pyörivään Check Point Security management serveriin (melko vastaava mitä esim. Fortinetin Fortimanager). Varsin toimiva combo kyseisen merkin hallinnan opetteluun ja halutessaan tuota purkkia pystyy käyttämään ihan standalone ilman hallintaserveriäkin, joskin esim. NAT ja firewall policyt ovat huomattavasti monipuolisempia hallintapalvelimen + Smartconsolen kautta, ja lokeja voi tallentaa rajattomasti. Hallintapalvelin toimii kokeilulisenssillä kuukauden, mutta appliance sikäli hyvä verrattuna esim. Fortinetin laitteisiin, että sille tulee päivitykset koko sen elinkaaren ajan ilman tilauksia ja mm. GeoIP database päivittyy normaalisti. Software Bladeja (esim. IPS, Malware, Application control) ei tosin pysty käyttämään sitten ollenkaan ilman tilauksia, Fortinetillä näitä pystyy käyttämään mutta vanhentuneilla tunnisteilla.

Löytyy tuolta Myydään -puolelta jos jotakuta sattuu laite kiinnostamaan.

 

[Khauron]

Yrityskäyttöön tarkoitettu FortiGate 30E uusimmalla firmiksellä 6.2.16 testissä.
Purkkihan on aivan pikkupurkki ja tarkoitettu kotitoimistoille sekä remote-työntekijöille. Passiivinen tuuletus ja koko on pieni. Bonusta siitä, että liitännät ovat 1 WAN + 4 kpl LAN. LAN:t saa kaikki määriteltyä omaksi verkokseen ja niitä saa myös pistettyä "kytkimeksi" samaan verkkoon. Setupin haku löytyy joko cloud-palvelusta tai sitten paikallisesti. VPN-tuesta miinusta, koska FortiGate mätänee helvetissä oman toteutuksensa kanssa ja eivät tuo esim. OpenVPN:ää tai WireGuardia. Jos haluaa jotain hienoa, niin sitten täytyy avata lompakkoa.

Vehje kiinni 2.5 GB Intelin Ethernetissä ja toisessa päässä Intelin verkkokortilla varustettu Win10-läppäri:
Server listening on 7575
-----------------------------------------------------------
Accepted connection from 172.30.10.105, port 49962
[ 5] local 172.30.10.99 port 7575 connected to 172.30.10.105 port 49963
[ ID] Interval Transfer Bandwidth
[ 5] 0.00-1.00 sec 86.7 MBytes 727 Mbits/sec
[ 5] 1.00-2.00 sec 87.5 MBytes 734 Mbits/sec
[ 5] 2.00-3.00 sec 86.4 MBytes 724 Mbits/sec
[ 5] 3.00-4.00 sec 85.5 MBytes 717 Mbits/sec
[ 5] 4.00-5.00 sec 86.6 MBytes 727 Mbits/sec
[ 5] 5.00-6.00 sec 84.9 MBytes 712 Mbits/sec
[ 5] 6.00-7.00 sec 85.3 MBytes 716 Mbits/sec
[ 5] 7.00-8.00 sec 85.2 MBytes 715 Mbits/sec
[ 5] 8.00-9.00 sec 85.8 MBytes 720 Mbits/sec
[ 5] 9.00-10.00 sec 85.7 MBytes 719 Mbits/sec
[ 5] 10.00-10.04 sec 3.83 MBytes 736 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 5] 0.00-10.04 sec 0.00 Bytes 0.00 bits/sec sender
[ 5] 0.00-10.04 sec 863 MBytes 721 Mbits/sec receiver

Edit: Yllättävän hyvin jaksaa pikkupurkki. Joku 500 / 500 -yhteys menisi vielä nätisti, mutta en kyllä jaksa testata mitään salattuja yhteyksiä. Tämä purkki on menossa (ehkä) hoitamaan IoT-liikennettä eikä todellakaan mihinkään reunalle.

 

[minapamina]

30E on aika pikku purkki, suunniteltu juuri pikku toimistoon jonkun 100M liittymän päähän. JA GUI hidas ku mikä. Osittain johtuu siitä että laitteella ikää jo aika reilusti, ja aikanaan generattion pienin. Tietty normihommat hoitaa kivasti, 6.2 softa aika kivikautista. Mitään ihmeempiä tietoturvafeatureita ei kanssa parane laittaa päälle, loppuu äkkiä teho. En jaksa taulukoista luntata, mutta en yllättyisi jos olisi jo EOL.

 

[Randomacts]

Mulla on muurina käytettynä hankittu usg60w (ilman lisenssejä). Taitaa nippa nappa kuulua tähän ketjuun, aikanaan johonkin pikkutoimistoon tms. tarkoitettu.