17
Firewall "Kaufberatung"
Hallo,
ich suche für ein Projekt eine passende Firewall - wichtig wäre es mir, dass ich an der Firewall einen Port spiegeln und selber IDS-Regeln definieren kann. Außerdem sollte ich die Logs und Alarme an Splunk weiterleiten können.
Primär geht es mit um Analyse von Schadware und das Sammeln von Daten hierbei.
Würde da zB eine Cisco ASA5506 schon reichen?
Oder welches Modell sollte ich mir besorgen (gerne auch gebraucht - ist nur für mein Home-Lab)?
PS.: Standalone wäre top, hab keinen Rack-Schrank hier!
ich suche für ein Projekt eine passende Firewall - wichtig wäre es mir, dass ich an der Firewall einen Port spiegeln und selber IDS-Regeln definieren kann. Außerdem sollte ich die Logs und Alarme an Splunk weiterleiten können.
Primär geht es mit um Analyse von Schadware und das Sammeln von Daten hierbei.
Würde da zB eine Cisco ASA5506 schon reichen?
Oder welches Modell sollte ich mir besorgen (gerne auch gebraucht - ist nur für mein Home-Lab)?
PS.: Standalone wäre top, hab keinen Rack-Schrank hier!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 21174944278
Url: https://administrator.de/contentid/21174944278
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
17 Kommentare
Neuester Kommentar
Moin,
da gibt es viele Möglichkeiten...
Für Splunk brauch das Device IMHO ja nur die Möglichkeit, alles an einen ext. Syslog senden zu können...
da gibt es viele Möglichkeiten...
- 'ne ASA
- Mikrotik (steile Lernkurve)
- 'ne gebrauchte Sophos (z. B. SG125) https://www.kleinanzeigen.de/s-pc-zubehoer-software/sg125/k0c225 mit OPNSense o.ä. drauf
- gebrauchte Watchguard
- ...
Für Splunk brauch das Device IMHO ja nur die Möglichkeit, alles an einen ext. Syslog senden zu können...
1
Moin,
wer hat denn Ahnung um die FW auch zu managen? Denn ohne Betreuung helfen dir auch deine Logs im Splank nix.
Gruß
Spirit
wer hat denn Ahnung um die FW auch zu managen? Denn ohne Betreuung helfen dir auch deine Logs im Splank nix.
Gruß
Spirit
1
Für Splunk brauch das Device IMHO ja nur die Möglichkeit, alles an einen ext. Syslog senden zu können...
Genau - soweit ich weiß kann Splunk auch gleich den Syslog-Server spielen oder ich setze einen auf meiner Linux-Kiste auf auf der Splunk läuft.
Die Frage war nur ob ich schon mit einer ASA5506 glücklich werden könnte - hab zB ein paar für kleines Geld gefunden. Laut Datenblatt kann die sogar NGFW und NGIPS spielen. Die Frage ist nur ob das auch ohne Lizenz geht, etc.
Sorry - kenne Cisco bis dato nur vom Namen her und das ganze Lizenz-Modell ist auf den ersten Blick recht undurchsichtig. Zumal ich oft mich mal genau weiß was ich da gebraucht kaufen würde.
Kennst du die ASA5506 und was ist da in der "Grundversion" dabei bzw. was braucht eine eigene Lizenz?
wer hat denn Ahnung um die FW auch zu managen? Denn ohne Betreuung helfen dir auch deine Logs im Splank nix.
Das bekomme ich schon irgendwie hin - bin zwar eher Entwickler als Netzwerkadmin aber mit etwas Zeit und ein paar Büchern / Tutorials fuchse ich mich da schon ein.
Installiere dir lieber eine OPNSense oder PfSense wenn du damit noch keine Berührung hattest. Ansonsten ist die Lernkurve noch Steiler.
Da kannst du alles selbst zusammen klicken.
Für andere Firewalls braucht es eigentlich immer ne Subscribtion für IDS usw.
Im besten Fall können die ohne noch Firewalling per Regelwerk.
Gruß
Spirit
Da kannst du alles selbst zusammen klicken.
Für andere Firewalls braucht es eigentlich immer ne Subscribtion für IDS usw.
Im besten Fall können die ohne noch Firewalling per Regelwerk.
Gruß
Spirit
Ob ich mir jetzt einen Rechner kaufe für sowas oder die Subscription für die Firewall kommt wahrscheinlich auf auf das gleiche raus. Wäre ohnehin mal Zeit sich auch das ganze Enterprise Netswerk Gedöns mal anzusehen. Auch der Grund warum ich Splunk hier einsetze.
Wobei ich Splunk zumindest schon ein paar mal bei Forensik-Fällen genutzt habe
OPNSence oder PfSence kenne ich genau so wenig - müsste mich da auch erst einarbeiten. Das scheint zwar weniger Komplex als Cisco zu sein aber egal. Ich hab Zeit mich da einzuarbeiten - hab mir bei Neujahr frei genommen um ein paar neue Dinge zu lernen und die eine oder andere Zertifizierung zu machen.
Wobei ich Splunk zumindest schon ein paar mal bei Forensik-Fällen genutzt habe
OPNSence oder PfSence kenne ich genau so wenig - müsste mich da auch erst einarbeiten. Das scheint zwar weniger Komplex als Cisco zu sein aber egal. Ich hab Zeit mich da einzuarbeiten - hab mir bei Neujahr frei genommen um ein paar neue Dinge zu lernen und die eine oder andere Zertifizierung zu machen.
Wenn du dir überlegst ne FW mit Subscription zu holen, dann nimm keine Sophos SG125. Die sind abgekündigt.
https://utm-shop.de/information/news-co/abkuendigung-der-sophos-sg-utm-s ...
Viele planen daher aktuell einen FW-Wechsel, da die XGs in vielen Fällen nicht so gut funktionieren wie die bisherigen Sophos UTMs bzw. SG Geräte.
https://utm-shop.de/information/news-co/abkuendigung-der-sophos-sg-utm-s ...
Viele planen daher aktuell einen FW-Wechsel, da die XGs in vielen Fällen nicht so gut funktionieren wie die bisherigen Sophos UTMs bzw. SG Geräte.
Ich dachte an eine ASA - bekäme da eine für kleines Geld und würde dann mal schauen ob ich die IPS Subscription kaufe. Die FW mit Regeln soll ohne Subscription laufen und Logging auch.
Cisco ist halt recht weit verbreitet und ich werde sicher irgendwann mal in so ein Ding hinein laufen. Wäre dann nicht schlecht zumindest ein paar Basics drauf zu haben. Zumindest war das meine Theorie.
Cisco ist halt recht weit verbreitet und ich werde sicher irgendwann mal in so ein Ding hinein laufen. Wäre dann nicht schlecht zumindest ein paar Basics drauf zu haben. Zumindest war das meine Theorie.
Ich denke, das auch bei Cisco irgend wann der Subscribtion Support ausläuft.
Dann sind die Büchsen eher Briefbeschwerer.
Solltest du vor dem Kauf klären.
Dann sind die Büchsen eher Briefbeschwerer.
Solltest du vor dem Kauf klären.
Die ASA Lizensierung ist nicht zeitabhängig wie bei Meraki. Eine Feature Lizenz erwirbt man immer für die Plattform.
Mit der Default Basic Platform Lizenz kann man schon 70% der Funktionen (Features) abbilden. Splunk Logging gehört natürlich zu solchen simplen Basics dazu!
Wenn noch eine SEC Lizenz dabei ist umso besser.
https://www.ciscopress.com/articles/article.asp?p=2209314
Mit der Default Basic Platform Lizenz kann man schon 70% der Funktionen (Features) abbilden. Splunk Logging gehört natürlich zu solchen simplen Basics dazu!
Wenn noch eine SEC Lizenz dabei ist umso besser.
https://www.ciscopress.com/articles/article.asp?p=2209314
OK - wenn ich mit die ASA5506 mit Sec Plus kaufe habe ich also das IDS und die Firewall. Passt - ich hab ein paar für 100-120 EUR gefunden bei uns in einem Kleinanzeigenportal. Eine davon soll Sec Plus haben.
Sec Plus ist das volle Programm. Lass dir im Zweifel ein show license all schicken vom Verkäufer. 
Noch eine Frage - was für Kabel kann ich für die Console verwenden? Das eine was ich gesehen habe geht von RJ45 auf auf einen uralten seriellen Port. Die Firewall hat aber noch einen USB-Port der mit Console gelabelt. Kann ich da einfach ein USB-Kabel nehmen oder muss das ein spezielles sein?
Der RJ45 Port wird einfach eine RS232 Schnittstelle sein. Also brauchst ein COM Kabel für.
Das andere wird einen RS232 Adapter direkt integriert haben.
Das andere wird einen RS232 Adapter direkt integriert haben.
was für Kabel kann ich für die Console verwenden?
Guckst du hier:https://www.amazon.de/kompatibles-Konsolenkabel-Windows-Switch-Router/dp ...
Du kannst aber auch das klassische RJ-45 auf DB-9 (das ist die Buchse die du laienhaft und vermutlich aus Unkenntnis als "uralt" bezeichnest obwohl sie aktuell ist! 🧐) Kabel verwenden mit einem Standard USB-Seriell Adapter.
Tip:
Achte auf einen FTDI, CH340, CP210x Chipsatz weil es mit den Prolific Chipsätzen wegen Fälschung usw. und falschen Treibern oft Probleme gibt.
Alle 3 o.a. Chipsätze werden auch von Apple und Linux problemlos automatisch erkannt.
Läuft eine Palo Alto PA-200 auch ohne Subscription? Dachte mit wenn ich schon rumspiele kann ich mir eventuell noch die eine oder andere Marke mal ansehen...
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
