pd.edv
11.09.2023
view1551
view17
0
Goto Top

Firewall "Kaufberatung"

FrageNetzwerke
Hallo,

ich suche für ein Projekt eine passende Firewall - wichtig wäre es mir, dass ich an der Firewall einen Port spiegeln und selber IDS-Regeln definieren kann. Außerdem sollte ich die Logs und Alarme an Splunk weiterleiten können.

Primär geht es mit um Analyse von Schadware und das Sammeln von Daten hierbei.

Würde da zB eine Cisco ASA5506 schon reichen?

Oder welches Modell sollte ich mir besorgen (gerne auch gebraucht - ist nur für mein Home-Lab)?

PS.: Standalone wäre top, hab keinen Rack-Schrank hier!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 21174944278

Url: https://administrator.de/contentid/21174944278

Ausgedruckt am: 06.10.2024 um 06:10 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
em-pie
em-pie 11.09.2023 um 12:57:46 Uhr
Goto Top
Moin,

da gibt es viele Möglichkeiten...


Für Splunk brauch das Device IMHO ja nur die Möglichkeit, alles an einen ext. Syslog senden zu können...
heart1
Spirit-of-Eli
Spirit-of-Eli 11.09.2023 um 13:19:33 Uhr
Goto Top
Moin,

wer hat denn Ahnung um die FW auch zu managen? Denn ohne Betreuung helfen dir auch deine Logs im Splank nix.

Gruß
Spirit
heart1
pd.edv
pd.edv 11.09.2023 aktualisiert um 13:23:36 Uhr
Goto Top
Für Splunk brauch das Device IMHO ja nur die Möglichkeit, alles an einen ext. Syslog senden zu können...

Genau - soweit ich weiß kann Splunk auch gleich den Syslog-Server spielen oder ich setze einen auf meiner Linux-Kiste auf auf der Splunk läuft.

Die Frage war nur ob ich schon mit einer ASA5506 glücklich werden könnte - hab zB ein paar für kleines Geld gefunden. Laut Datenblatt kann die sogar NGFW und NGIPS spielen. Die Frage ist nur ob das auch ohne Lizenz geht, etc.

Sorry - kenne Cisco bis dato nur vom Namen her und das ganze Lizenz-Modell ist auf den ersten Blick recht undurchsichtig. Zumal ich oft mich mal genau weiß was ich da gebraucht kaufen würde.

Kennst du die ASA5506 und was ist da in der "Grundversion" dabei bzw. was braucht eine eigene Lizenz?
pd.edv
pd.edv 11.09.2023 um 13:25:20 Uhr
Goto Top
wer hat denn Ahnung um die FW auch zu managen? Denn ohne Betreuung helfen dir auch deine Logs im Splank nix.

Das bekomme ich schon irgendwie hin - bin zwar eher Entwickler als Netzwerkadmin aber mit etwas Zeit und ein paar Büchern / Tutorials fuchse ich mich da schon ein.
Spirit-of-Eli
Spirit-of-Eli 11.09.2023 um 13:53:41 Uhr
Goto Top
Installiere dir lieber eine OPNSense oder PfSense wenn du damit noch keine Berührung hattest. Ansonsten ist die Lernkurve noch Steiler.
Da kannst du alles selbst zusammen klicken.

Für andere Firewalls braucht es eigentlich immer ne Subscribtion für IDS usw.
Im besten Fall können die ohne noch Firewalling per Regelwerk.

Gruß
Spirit
pd.edv
pd.edv 11.09.2023 um 14:26:28 Uhr
Goto Top
Ob ich mir jetzt einen Rechner kaufe für sowas oder die Subscription für die Firewall kommt wahrscheinlich auf auf das gleiche raus. Wäre ohnehin mal Zeit sich auch das ganze Enterprise Netswerk Gedöns mal anzusehen. Auch der Grund warum ich Splunk hier einsetze.

Wobei ich Splunk zumindest schon ein paar mal bei Forensik-Fällen genutzt habe face-smile

OPNSence oder PfSence kenne ich genau so wenig - müsste mich da auch erst einarbeiten. Das scheint zwar weniger Komplex als Cisco zu sein aber egal. Ich hab Zeit mich da einzuarbeiten - hab mir bei Neujahr frei genommen um ein paar neue Dinge zu lernen und die eine oder andere Zertifizierung zu machen.
user3086
user3086 11.09.2023 aktualisiert um 15:41:15 Uhr
Goto Top
Wenn du dir überlegst ne FW mit Subscription zu holen, dann nimm keine Sophos SG125. Die sind abgekündigt.
https://utm-shop.de/information/news-co/abkuendigung-der-sophos-sg-utm-s ...

Viele planen daher aktuell einen FW-Wechsel, da die XGs in vielen Fällen nicht so gut funktionieren wie die bisherigen Sophos UTMs bzw. SG Geräte.
pd.edv
pd.edv 11.09.2023 um 15:49:03 Uhr
Goto Top
Ich dachte an eine ASA - bekäme da eine für kleines Geld und würde dann mal schauen ob ich die IPS Subscription kaufe. Die FW mit Regeln soll ohne Subscription laufen und Logging auch.

Cisco ist halt recht weit verbreitet und ich werde sicher irgendwann mal in so ein Ding hinein laufen. Wäre dann nicht schlecht zumindest ein paar Basics drauf zu haben. Zumindest war das meine Theorie.
Spirit-of-Eli
Spirit-of-Eli 11.09.2023 aktualisiert um 16:06:49 Uhr
Goto Top
Ich denke, das auch bei Cisco irgend wann der Subscribtion Support ausläuft.
Dann sind die Büchsen eher Briefbeschwerer.

Solltest du vor dem Kauf klären.
aqui
aqui 11.09.2023, aktualisiert am 12.09.2023 um 13:51:30 Uhr
Goto Top
Die ASA Lizensierung ist nicht zeitabhängig wie bei Meraki. Eine Feature Lizenz erwirbt man immer für die Plattform.
Mit der Default Basic Platform Lizenz kann man schon 70% der Funktionen (Features) abbilden. Splunk Logging gehört natürlich zu solchen simplen Basics dazu!
Wenn noch eine SEC Lizenz dabei ist umso besser.
https://www.ciscopress.com/articles/article.asp?p=2209314
pd.edv
pd.edv 12.09.2023 um 13:17:35 Uhr
Goto Top
OK - wenn ich mit die ASA5506 mit Sec Plus kaufe habe ich also das IDS und die Firewall. Passt - ich hab ein paar für 100-120 EUR gefunden bei uns in einem Kleinanzeigenportal. Eine davon soll Sec Plus haben.
aqui
aqui 12.09.2023 um 13:50:21 Uhr
Goto Top
Sec Plus ist das volle Programm. Lass dir im Zweifel ein show license all schicken vom Verkäufer. face-wink
pd.edv
pd.edv 12.09.2023 um 15:22:01 Uhr
Goto Top
Noch eine Frage - was für Kabel kann ich für die Console verwenden? Das eine was ich gesehen habe geht von RJ45 auf auf einen uralten seriellen Port. Die Firewall hat aber noch einen USB-Port der mit Console gelabelt. Kann ich da einfach ein USB-Kabel nehmen oder muss das ein spezielles sein?
Spirit-of-Eli
Spirit-of-Eli 12.09.2023 um 15:48:37 Uhr
Goto Top
Der RJ45 Port wird einfach eine RS232 Schnittstelle sein. Also brauchst ein COM Kabel für.

Das andere wird einen RS232 Adapter direkt integriert haben.
aqui
aqui 12.09.2023 um 18:56:34 Uhr
Goto Top
was für Kabel kann ich für die Console verwenden?
Guckst du hier:
https://www.amazon.de/kompatibles-Konsolenkabel-Windows-Switch-Router/dp ...

Du kannst aber auch das klassische RJ-45 auf DB-9 (das ist die Buchse die du laienhaft und vermutlich aus Unkenntnis als "uralt" bezeichnest obwohl sie aktuell ist! 🧐) Kabel verwenden mit einem Standard USB-Seriell Adapter.
Tip:
Achte auf einen FTDI, CH340, CP210x Chipsatz weil es mit den Prolific Chipsätzen wegen Fälschung usw. und falschen Treibern oft Probleme gibt.
Alle 3 o.a. Chipsätze werden auch von Apple und Linux problemlos automatisch erkannt.
pd.edv
pd.edv 20.09.2023 um 18:39:52 Uhr
Goto Top
Läuft eine Palo Alto PA-200 auch ohne Subscription? Dachte mit wenn ich schon rumspiele kann ich mir eventuell noch die eine oder andere Marke mal ansehen...
aqui
aqui 24.10.2023 um 16:18:29 Uhr
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
FrageNetzwerke
Mehr von pd.edvpd.edvFlask und Waitress App überwachen (Centos 7)pd.edvpd.edvLinux und Bind9 einrichtenpd.edv - 12 Kommentarepd.edvSPAM-Mails und Phishing-Seiten gesuchtpd.edv - 3 Kommentarepd.edvWelche Datenrettungs-Mythen kennt ihr?pd.edv - 20 Kommentare
Heiß diskutiert
haudegen93VMware ESXi 8 neue Server langsamer als alter Serverhaudegen93 - 57 Kommentarem.sterServer neu aufsetzen - die RAID-Qual der Wahl?m.ster - 40 KommentareMegaadwwhNextcloud intern nicht erreichbar, was ist zu tun?Megaadwwh - 28 KommentareHarald99Bintec IPv6Harald99 - 24 KommentareTannahServerseitiges Profil wird nicht gespeichertTannah - 20 KommentareBosnigelAMD RechnerBosnigel - 20 KommentareJojo1979Exchange2019.edb auslesenJojo1979 - 18 KommentaresupertuxFritzBox! 7490 Internet über LAN1supertux - 18 KommentareBN2023Daten aus mehreren Excelspalten in Textdatei übernehmenBN2023 - 16 KommentarecordialADMT - Migration Benutzer + Gruppencordial - 15 KommentareHarlemWann zentralen Switch auswechseln?Harlem - 15 KommentareEvolutioE-Mail vom Telekomsicherheitsteam bzgl. Auffälligkeiten am NetzanschlussEvolutio - 14 Kommentare