Программный маршрутизатор Sophos XG Firewall для x86 платформы – обсуждение | [other] : 300Mb\s - 866Mb\s | 10x100Mb + 10x1Gb | нет



Реп: (746)
Программный маршрутизатор Sophos XG Firewall для x86 платформы – обсуждение


На форуме принято размещать изображения под спойлером


Описание
Программный маршрутатор и одновременно Next-Generation Firewall (NGFW) для установки на x86 платформы.

Межсетевые экраны нового поколения (Next-Generation Firewall, NGFW) — это интегрированные платформы, в которых классический межсетевой экран и маршрутизатор сочетаются с новейшими идеями для фильтрации трафика, такими как системы глубокого анализа трафика Deep Packet Inspection (DPI), аутентификация пользователя любым способом, система предотвращения вторжений Intrusion Prevention System (IPS), и др.


Версия Home Edition решения Sophos XG Firewall предоставляет полную защиту вашей домашней сети, включая все функции коммерческой версии: защита от вирусов, веб фильтрация по категориям и URL, контроль приложений, IPS, шейпинг трафика, VPN (IPSec, SSL, OpenVPN, HTML5 и др.), отчетность, мониторинг и многое другое. Например, с помощью XG Firewall можно провести аудит сети, выявить рисковых пользователей и блокировать трафик по приложениям. Автоматические обновления антивирусных баз.

Обзор основного функционала Sophos XG Firewall (часть 1 “Мониторинг и аналитика”)
https://habr.com/ru/company/fgts/blog/521402/

предыдущая статья
https://habr.com/ru/company/fgts/blog/460239/

Удаленная работа или обзор VPN в Sophos XG Firewall
https://habr.com/ru/company/fgts/blog/522432/



Поставляется в виде законченного ISO образа с собственной ОС на базе ядра Linux.
Текущая версия SFOS v18

Работа на Intel-совместимом оборудовании и в виртуализации (wmvare).
Не лицензируется по IP адресам.
Ограничение по сравнению с коммерческой версией — используются до 4 ядер CPU, и до 6ГБ RAM.
Функциональных ограничений бесплатной версии нет.

Описание на сайте производителя
https://www.sophos.com…r-Guide#Reviewer-Guide


Документация в виде PDF


Технические характеристики

Пропускная способность маршрутизатора, число портов зависит исключительно от процессора, количества сетевых интерфейсов, количества памяти.
Можно на простом "домашнем" железе собрать систему, которая обеспечит пропускную способность до 1Гбит/с .


Минимальное железо:

-x86 платформа на базе процессора AMD, Intel (от Atom, Celeron и выше)
-от 2 до 6 GB RAM
-HDD от 16 GB
-не менее двух сетевых интерфейсов (сетевых карт)





Статьи

https://habr.com/ru/company/fgts/blog/460131/

http://abitek.by/wp-co…-XG-Datasheet-ru-1.pdf

Dashboard интерфейса управления http://i.piccy.info/i9…12264/1367883/dash.jpg

Описание на сайте производителя [url="https://www.sophos.com…r-Guide#Reviewer-Guide"]
Форум на сайте производителя. https://community.soph…products/xg-firewall/f




Куратор темы: В теме нет куратора


Сообщение отредактировал densen2002 - 15.02.21, 16:04



Реп: (0)
Да я в курсе, что он уже больше не используется, но мне именно он и именно версия 2.1 нужна, новая версия у меня есть. проблема в том, что у меня стоит сервер с дистрибьютами и у некоторых пользователей стоит старая версия клиента, и при установке нового - он его не заменяет. и даже не может установить новую. поэтому мне нужна старая, чтобы сначала всем её снести и потом установить новую 2-мя кнопками.



Реп: (3)
потихонечку мучаю зверя. штука в целом интересна, но все портит блокировка по GEOIP для обновочек и как я понимаю работы WEB фильтра.

из недостатков что мозолит глаз:
1. нет такой сущности у него как сам фаервол. т.е. интерфейсы пожалуйста, а вот localhost нет. соответственно нельзя прослеживать куда он сам коннекты кидает, куда подключается и что за активность вообще на нем есть.
2. нельзя удалить все логи. может быть я не нашел такую функцию, но логи целиком до состояния новой инсталляции не удаляются. весь трафик который прошел через него - остается на нем зафиксированным. как сделать очистку, может кто знает?
3. колдую над правилом NAT пулять трафик от фаервола(как сущности. т.е. с localhost) в другой внешний ip адрес на нужный порт для трансляции дальше. никак не получается, хотя вроде элементарное правило должно быть. может кто подскажет скрином?
4. на моей микро инсталляции j3455 и 4 Gb RAM + SSD ужасно тормозит WEB интерфейс. все грузится с задержкой в 4-5 секунд, а графики за 10 секунд вылезают.
5. очень сложно ориентироваться по действующим в моменте подключениям. такое ощущение что он забывает рвать некоторые неактивные сессии трафика и показывает их.

из плюсов:
1. победил дешифровку трафика. все так же пришлось раскатать доверенные сертификаты и у всяких опер и фаерфоксов отключить их проверку из баз. в общем чуда не произошло, чтоб клиент принял сервер как родной и позволил ему дешифровать трафик. дешифровка кстати проходит очень гладко с параметром высокой совместимости. нет тормозов и блокировок.
2. зверь способен вычислить клиента за чужим MAC и присвоить ему по MAC нужный IP. сложно объяснить ситуацию, но как ни странно работает.


на этом пока все. если кто то сможет помочь с вопросами, описанными выше - буду признателен.



Реп: (10)
Добрый день! А может кто подсказать Home Edition пишут что только для домашнего использования и нельзя использовать в корпоративной сети.

Каковы критерии тогда, как фаерволл поймет что он в корпоративной сети? Или это все таки условности и можно использовать для корп упираясь только в производительность?



Реп: (602)
walikoizork @ 19.04.23, 13:15 *
Каковы критерии тогда, как фаерволл поймет что он в корпоративной сети?

по Вашему ИП.



Реп: (10)
Vladr @ 19.04.23, 13:01 *
по Вашему ИП.

А что не так с IP? Какую информацию получит софос по обычному IP, если у меня например нету никаких А записей, которые бы вели бы на некий домен и уже потом проверили бы через whois на кого он зарегистрирован.



Реп: (746)
walikoizork @ 19.04.23, 13:15 *
т что он в корпоративной сети?


возможно в него зашиты паттерны трафика, характерные для корпа.
но возможно ограничение только по ядрам и памяти.

я не сталкивался.
в домашней локалке работал без проблем



Реп: (10)
densen2002 @ 19.04.23, 14:07 *
возможно в него зашиты паттерны трафика, характерные для корпа.
но возможно ограничение только по ядрам и памяти.

Да, возможно. Потому и интересуюсь, может сталкивался ли кто то.

Самое смешное что в бесплатном фаерволле для дома есть интеграция с AD и спамзащита с антивирусом почты, почту я еще могу как то понять, но вот интеграция с AD :D

Ну и как тут не задуматься о халяве?



Реп: (746)
walikoizork @ 19.04.23, 15:29 *
но вот интеграция с AD


тонкий ход - заинтересовать сисадмина :)



Реп: (3)
Доброго часа.

Товарищи, в частности
@densen2002
@Morrowing

подскажите несколько вопросов, если есть понимание:

1. как из локальной сети подключиться допустим из под винды L2TP/IPSEC клиентом (допустим виндовым) к шлюзу? в настройках подключения дает интерфейс подключения только WAN :rolleyes: . может есть какой костыль перенаправления трафика? уже всю голову сломал экспериментами.
2. при правильном забугорном IP сигнатуры обновляются, однако если обновлять с применением "вышестоящего прокси", то в "диагностика - поиск категорий URL" не проверят (не дает информации) доменные имена. это так должно быть? или оно не зависит от маршрутов обновлялок и работает на прямую как то (через WAN, на котором адрес из пула заблокированных)? т.е. решается ли эта проблема пулянием трафика в забугорный тунель (и можно ли его частично туда направить только от самого XG)?
3. при создании псевдонима LAN (другой подсети в сегменте LAN), для нее DNS шлюза *.1 должен быть из подсети псевдонима или из подсети основного LAN? работает ли вообще DNS на интерфейсе псевдонима сети в LAN? (здесь предполагается что сам шлюз работает как DNS сервер через себя и через те DNS, которые в его настройках прописаны (например 8.8.8.8)

Сообщение отредактировал MeeKlee - 18.10.23, 17:30



Реп: (746)
MeeKlee @ 18.10.23, 17:29 *
1. как из локальной сети подключиться допустим из под винды L2TP/IPSEC клиентом (допустим виндовым) к шлюзу? в настройках подключения дает интерфейс подключения только WAN . может есть какой костыль перенаправления трафика? уже всю голову сломал экспериментами.



вообще локалка для Софоса - это собственные, родные, доверенные пользователи, и зачем для них нужен айписек ?
чтобы что?
в локалке чужих не бывает....все свои...
может вам рррое-сервер поднять для локалки?


Добавлено 18.10.2023, 18:18:

На 2,3 ответить не могу, я давно ушел обратно от Софоса на Микротик...

Сообщение отредактировал densen2002 - 18.10.23, 18:25



Реп: (3)
* densen2002,

конкретно sophos клиентом не пробовал, но сама суть тут в другом: КЛИЕНТ НАХОДИТСЯ В ЛОКАЛЬНОЙ СЕТИ. т.е. я хочу внутри локальной сети построить туннель до роутера.

тут если конкретизировать саму задачу, то мне надо разные ограничения по доступу к интернет для разных юзеров одного ПК сделать. если без заморочек и авторизаций через портал - решил что один пользователь тыкается в впн клиент и автоматом получает полный доступ. а пользователь который не знает что есть VPN (возможно его(VPN) и не будет под другой учеткой) ходит с ограниченными правами в интернет.



Реп: (746)
* MeeKlee,
у вас один айпи на всех юзеров, и это сильно осложняет инжиниринг трафика снаружи компа

айписек в локалке - это головная боль гарантированно.
для таких случаев придумали рррое протокол.


вообще в природе есть софты для пк именно для вашего кейса, которые учеткам режут права доступа.
есть даже встроенный в виндовс кид контроль:
https://remontka.pro/p…l-controls-windows-10/



Но есть аппаратные решения для вашего кейса.

например, роутер микротик умеет РРРоЕ сервером быть, выдавать айпи для работы в интернет, - и тогда разным юзерам на вашем ПК могут быть применены различные правила обработки трафика - и даже на уровне Л7 модели ОСИ.


Каждому юзеру ПК выдается свой логин, пароль, свой айпишник (индивидуально каждому) и уже на микротике трафик от этого айпи уже режется, заворачивается, кромсается индивидуально....

Как работает:
Юзер для доступа в интернет запускает РРРОЕ клиент (виндовс).
вводит логин ип пароль.
получает персональный статический айпи от роутера.


примеры конфигураций на микротике:

можно:
юзера1 запустить через ВПН наружу,
юзера2 запустить через прозрачный прокси и урезать скорость,
юзера3 запустить в обход блокировок,
юзеру4 выдать безопасный днс сервер с резкой контента "взрослого".

еще фишка микротика:
кид-контрол на микротике порежет трафик по расписанию (времени суток) даже если ребенок полезет с телефона по файфай.


совет:
если вы гик - берите микротик, это прекрасная лаба для дома.
там можно наворотить многое, почти все.
всегда есть доки с примерами.

Сообщение отредактировал densen2002 - 18.10.23, 23:06



Реп: (3)
* densen2002,

я юзал почти всех известных вендоров и в целом понимаю тему. данный вендор меня заинтересовал решением уровня enterprise, бесплатным для home, и наличием помимо всего функционала NGFW еще и DPI инспекцией.
да, проблема санкций наложила отпечаток. да, решение где то и в чем то не очень удобное, но пытаюсь разобраться и решить задачи. Если конечно эта история не взлетит, хотя очень хочется освоить продукт полноценно, но скорее всего уйду на OPNSense, т.к. его можно превратить в практически тоже самое и он бесплатен. НО микротик это как бы сказать немного не то, поэтому я его не использую. Да, он прекрасен в части исполнения любых хотелок маршрутизации и иных скриптовых приблуд (если есть куча времени с ним возится), но это не NGFW и на нем вендор не дает свои наработки TI в части безопасности. Здесь же, решение из коробки мне может сообщить, что у меня хост пытается коннектиться к С2, IP которого вендор заботливо внес в базу днем ранее.

PS. не все устройства (именно устройства) локальной сети одинаково доверенные. лучше разделять телефоны, ПК, IoT, и например видеокамеры снаружи. и тем более держать сервер/NAS в DMZ. поэтому логика SOPHOS в этом плане не ясна, т.к. в enterprise есть еще больше заморочек чем в soho. для этого можно делать VLAN или элементарно псевдоним, что бы сети с разными устройствами имели к друг другу доступ только по разрешению брандмауэра. это не панацея, но дополнительная безопасность которая называется сегментированием.

PSS жаль конечно что нет форумов в ру сегменте по продукту. и скорее всего не будет. от чего преследует мысль все таки уйти в freware



Реп: (746)
MeeKlee @ 19.10.23, 01:43 *
ка SOPHOS в этом плане не ясна, т.к. в enterprise есть еще больше заморочек чем в soho


у них есть специальные софты для рабочих станций и в целом они гарантируют безопасную среду в локалке.
поэтому айписек для них сугубо внешняя фишка

да и не только у них

Добавлено 19.10.2023, 08:51:

MeeKlee @ 19.10.23, 01:43 *
жаль конечно что нет форумов в ру сегменте по продукту


у них большой коммунити на сайте

Сообщение отредактировал densen2002 - 19.10.23, 08:53



Реп: (746)
MeeKlee @ 19.10.23, 01:43 *
например видеокамеры снаружи.


ну камеры выделяют в отдельный ВЛАН обычно , без выхода в интернет

для этого не нужен ngfw

гостевую файфай сеть - аналогично, отдельный SSID/влан
файфай для детей - аналогично, отдельный SSID/влан и файрвол/шейпер/шедулер/днс
устройства умного дома - аналогично, отдельный SSID/влан

остаются только ТВ - их тоже можно запихать в SSID/влан для ТВ.

кстати на рукусе 7982 можно поднять 16 вайфай SSID и каждую сеточку запихать в отдельный ВЛАН, поднять транк на микротик и вуаля - полная изоляция клиентов.

цена вопроса - 20 долл на ибее

Сообщение отредактировал densen2002 - 19.10.23, 12:21



Реп: (3)
densen2002 @ 19.10.23, 09:19 *
поднять 16 вайфай SSID


куда столько? солить что ли? у меня на одном они друг друга не видят, и даже сама точка их внутри не видит, т.к. у точки своя адресация. она тупо транслирует их на роутер. сканером гонял - видит пока только GW этих подсетей, но это я разрешил. остальное нет.


densen2002 @ 19.10.23, 09:19 *
на ибее

:(

densen2002 @ 19.10.23, 09:19 *
для этого не нужен ngfw

как бы да и как бы нет. разве не хочется все рулить одним комбайном?



Реп: (746)
MeeKlee @ 20.10.23, 17:49 *
как бы да и как бы нет. разве не хочется все рулить одним комбайном?


можно, если каждый клиент будет иметь уникальный мак и айпи.
тогда масса вариантов


но так как у вас клиенты сидят на одном компе, то тогда только РРРоЕ сервер на роутере
даст возможность рулить клиентами раздельно

Сообщение отредактировал densen2002 - 20.10.23, 17:55



Реп: (3)
densen2002 @ 20.10.23, 17:52 *
но так как у вас клиенты сидят на одном компе


Это отдельная подзадача не влияющая на всю картину. решить ее можно и без роутера, но в данном случае хочется добиться от sophos поддержки этой опции.

PS/ потестил PPTP на Sophos. пока что ни один клиент из локалки к роутеру так и не смог подключиться. и даже те проги их для авторизации не хотят цепляться. пойду курить форумы.



Реп: (746)
MeeKlee @ 18.10.23, 17:29 *
как из локальной сети подключиться допустим из под винды L2TP/IPSEC клиентом (допустим виндовым) к шлюзу?



1 Изоляция трафика в локалке


если стоит задача изолировать трафик с каждого клиента от других - есть вариант с VLAN.
каждому клиенту - свой порт на свитче и отдельный влан до руотера.
Надо сеть строить на управляемых свитчах.



2. Изоляция и шифрование трафика в локалке


а) если стоит задача зашифровать трафик от каждого клиента в локалке до роутера - Wireguard
при этом каждый клиент поднимает wg-пир до роутера и его трафик никто прочесть не сможет
можно поднять пиры между клиентами тоже.


б) есть также прекрасный вариант зашифровать трафик как от клиента до клиента так и от клиента до роутера просто и элегантно, при этом настроить умную маршрутизацию

это SDN (Software Defined Network)

есть две реализации SDN :
Zerotier
Tailscale


в этом случае даже трафик между клиентами внутри новообразованной локалки весь зашифрован 256-битными ключами

при этом а) и б) можно построить на обычных свитчах и обычном вайфай.
VLAN не требуется.

Сообщение отредактировал densen2002 - 20.10.23, 21:23



Реп: (1)
Всем привет! и спасибо за данную ветку.
Есть вопрос который либо просмотрел, либо отсутствует в обсуждении.
Как вручную обновлять сигнатуры? без впн. точнее где их брать через впн и подгружать без впн?


Полная версия   Текстовая версия

Помощь   Правила

Сейчас: 29.03.24, 12:38