Router na ochranu domácí sítě

Balast na netu ti odfiltruje kazdy router se zabudovanym firewallem (tj. prakticky kazdy prodavany router). Leda bys chtel pokrocile funkce jako filtrovani provozu, deep packet inspection atd. atp., ale s tim si bezny domaci uzivatel stejne skoro nikdy nehraje.Na Mikrotiku toho nastavis asi nejvic, ale neumi OpenVPN pres UDP (coz pro tebe muze a nemusi byt problem).Ubiquiti se jednoduseji nastavuje, ale nastavis tam toho min nez na Mikrotiku. A cetl jsem, ze do poslednich verzi firmware pridali reportovani provozu do centralu Ubiquiti bez vedomi a upozorneni uzivatelu - ale detaily jsem nezkoumal.Cisco pro domaci pouziti neznam, nemuzu popsat.

DPI (Deep Packet Inspection) pomaly stráca na význame tak ako sa komunikácia na internete stáva viac a viac šifrovanou. To by to DPI muselo rozšifrovať komunikáciu a (prípadne) ju znova zašifrovať. To by mohol takto urobiť ktokoľvek na celej trase kadiaľ idú data a to by sa asi ľuďom používajúci internet banking asi moc nepáčilo.

Co se dohodnout na tom, že když o něčem nic nevíte, tak se k tomu nebudete vyjadřovat Toto (rozšifrování, inspekce, zašifrování) se běžně dělá. Většinou tedy v podnikovém prostředí. Já jsem to nasazoval na Fortigate (stále funguje, překvapivě i na šifrovanou komunikaci), zcela jistě to lze nasadit na Ciscu a CheckPointu a předpokládám, že i na x dalších vendorech.Pro jednoduchá pravidla typu deny Facebook komunikaci rozšifrovávat nemusíte. Pak to ale není DPI.A ano - zaměstnancům bych v takovém prostředí nedoporučoval používat soukromé internetové bankovnictví.

Mam Unifi Security Gateway 3P, nahradil jsem s ni Mikrotik RB2011. A ano uznavam umi toho mene, nebo alespon co je nastavitelne prez kontroler, prvotni nastaveni byl trosku boj nez jsem ji vnutil pozadovane nastaveni ale od te doby o ni nevim. Kazdopadne pokud nema/neplanujes dalsi Unifi zarizeni tak bude lepsi volbou MK nebo Ubiqiti EdgeRouter (v podstate identicky HW, jiny firmware). Ja jsem ji porizoval jelikoz i dalsi prvky v siti pouzivam z Unifi rady a byl jsm zvedavy na funkci kompletniho reseni (router, switch, AP)Kazdopadne me zaujal tvuj pristup k wifi v ramci domu... v podstate opacny extrem nez ktery tu je tu casteji videt (vse prez wifi).

Díky. Ještě plánuji rackový 24p switch, klidně to může být od Ubiquity, pokud se to bude navzájem nějak kamarádit. Spíš řeším, že pokud Ubiquity, tak co bude lepší? Security gateway nebo EdgeRouter?

Jinak, s wifi mám osobní problém, ale to je na jinou diskuzi

Switche maji mirne drazsi nez konkurence, ale jsou celkem bezproblemove (mozna PoE switche trosku vic topi). Kazdopadne switch muzes mit jakykoli od jakehokoli vyrobce (klidne i vice o ruznych vyrobcu, ja pouzivam doma HPE, Cisco a Dlink). Switche Ubiquity maji asi jedinou vyhodu a to integraci do Unifi Controlleru a tim padem hezke barevne prezentace a grafy Funkcne je to jinak ale uplne jedno.

diky

Pokud chces opravdu bezpecnou domaci sit resp. perimetr, tak bych zauvazoval nad necim takovymhle:http://www.fortigate.cz/fortigate/fortigate-60c/

Proboha proc? Mas nejakou osobni zkusenost, nebo jsi to prave vygooglil? Muzes napsat nejake vyhody oproti "normalnimu" routeru? Z pohledu domaciho uzivatele, prosim.

Ano, osobni zkusenost mam, i kdyz nejdrive byla na enterprise urovni s timto produktem, kdy v ramci PoC jsem mel moznost mit tohle SoHo/domaci zarizeni na test pro sebe a prave proto pisu, ze pokud to s bezpecnosti svych dat clovek mysli opravdu vazne, je tohle o nekolik kroku pred beznymi routery resp. jejich urovni poskytovane bezpecnosti. Ano pro beznyho cloveka, je tohle nehoraznej overkill, ale pokud vim co mam doma za data/zarizeni a jak moc by me mohla "bolet" jejich ztrata, potazmo nefunkcnost, tak tohle je pro me typ zarizeni, ktery budu shanet a tim nemyslim konkretne jen Fortinet, ale obecne typ produktu, kdy spousta enterprise funkci a sluzeb z vyssich rad, je dostupna i pro tyhle zarizeni napr. sandbox na podezrely soubory, HTTPS inspekce, live-push updaty... Mozna jsem trochu paranoidni a i pro tazatele je tohle overkill, ale to je mozna profesionalni deformace neb IT bezpecnost me zivi uz vice nez 15 let, takze moje uroven paranoiy je trosku vetsi nez u ostatnich Z jeho dotazu mam proste pocit, ze bezpecnost je pro nej prvorada.

Me bezpecnost taky zivi pres 15 let :) A paranoidni jsem dost Jenom nevim, jak v dobe totalniho vitezstvi HTTPS nad nesifrovanym provozem tyhle produkty zajistuji svoje funkce. Tedy bez toho, abys to pocitacu a mobilu v domacnosti rucne nacpal nove korenove certifikaty z toho Fortinetu. Nerypu, jen se ptam.

Dotaz vic nez trefnej. Netusim jak moc se tohle posunulo od doby, kdy jsem si s tim hral, coz je tak 06/2018, ale v te dobe se ty certfikaty musely importovat do tech jednotlivych zarizeni. Ano, bylo to usnadneny pres takovej self service portal, kde se ten certifikat dal snadno stahnout a importovat, ale i tak clovek musel "obejit" nebo spolehat na uzivatele zarizeni,ze to zvladnou sami, tam kde chtel HTTPS provoz kontrolovat. Pak byla jeste moznost, ze se clovek smiril s tim, ze na koncovym zarizeni, pokud si tam nenainstaloval ten certifikat, tak sice i tak ten FW kontroloval HTTPS provoz, ale napr. prohlizec hlasil "cervenej zamecek" resp. neovereny certifikat, coz pri klepnuti na detaily clovek videl, ze tam je ten Fortineti, takze vedel, ze to je jen "kosmetika", ale obyc.uzivatel, kterymu je vtloukano "u adresy musi byt zeleny zamecek, jinak bububu", tak tohle pro ne nebyl idealni stav.

No a keby si nemal na sieti Fortinet a prehliadač by mal na šifrovaných weboch červený rámeček, tak by si ako odborník povedal, že je to len "kozmetika" všakže?

Mnou popsana situace byla v ramci PoC, ktere se testovalo jen v omezene skupine technicky zdatnejsich lidi, nikoliv na beznych uzivatelich. V takto popsanym stavu bych to nikdy do produkce nedovolil implementovat, takze tahle "kosmetika" by se k uzivatelum nedostala a Ti by tak mohli dal spolehat na zeleny zamecek a cokoliv jineho by nam samozrejme, jakozto uspesni absolventi online kurzu IT bezpecnosti a znali vsech internich smernic, ihned hlasili.

Ja len, že Fortinet si môže nasadiť ktorýkoľvek ISP na každom hop-e. Ešte tak spraviť ten červený rámeček a hekneme si každého bez toho aby o tom vedel. Bolo by to výrazne lacnejšie ako tie čierne karabičky u mnohých ISP ktoré tam nainštalovali bezpečnostné zložky štátu a samozrejme by to bolo pre každého, kto by si to zaplatil.

Nastesti je "spravit ten cerveny ramecek" temer neresitelna uloha :)

Jde o dobré firewaly (alespoň podle webu), ale docela drahé. Volil bych spíše Zyxel USG 20 (nebo vyšší model - podle náročnosti). S těmi Zyxel mám výborné zkušenosti jak z práce, tak z domácího použití.

Fortigate mě nenapadl, ale taky by to byla možnost.Trochu dražší a možná až moc dobré pro malou síť v RD

Akorát, že se to nikde v maloobchodě neprodává.

Doporučil bych Zyxel ZYWAL (USG) a konkrétní typ vybrat podle náročnosti použití. Měl by stačit i nejnižší model - všchny mají "gigové porty". Nastavování je intuitivní - nic podstatného nechybí. Pokud je potřeba zabezpečené připojení do vnitřní sítě z internetu - jde o dobrou volbu.Zyxel USG20-VPN my měl vyhovět.

Vypadá dobře, možná by stačil i základní ZyXEL VPN2S.Díky za tip.

Vypadá, že by též stačil. Jen jsem ho neměl "v ruce" Měl jsem (a mám ve správě) jen USG20, USG20W, USG100 a USG110 - vše bez nejmenších problémů.

Co Turris Omnia?

To je takovej nalestenej prd , jak se rika. Jako hracka asi dobry...

Nestraš !!!!

Uvažoval jsem, ale zákaznické zkušenosti nejsou moc pozitivní.

Chápu.

Projekt Turris je SLUŽBA, která pomáhá uživatelům s ochranou domácí sítě pomocí speciálního routeru. Kromě funkcí běžného domácího routeru umí analyzovat provoz mezi Internetem a domácí sítí a identifikovat podezřelé datové toky. Při detekci upozorní centrálu Turris na možný útok. Centrála systému umožňuje porovnat data z mnoha připojených routerů Turris a vyhodnotit nebezpečnost detekovaného provozu. V případě, že je odhalen útok, jsou vytvořeny aktualizace, které jsou distribuovány do celé sítě Turris. Prodávány routery Turris Omnia a Turris Mox.https://www.turris.cz/cs/https://www.alza.cz/turris-omnia-2gb-d4480217...

Sluzba je to dobra, jen skoda nestastne reseneho HW (za vtipny peniz jeste k tomu..).

edgerouter je do firmy a hlavne ked potrebujes Vlany, inak to nema vyznam kupovat. Na domace pouzitie sa mi osvedcil viac RT1900ac, len uz asi nieje v predaji, je len drahsi model 2600ac. Robi krasne statistiky vyuzitia siete, vie ich poslat emailom, vie 4g zalohu a kopec roznych veci... wifi vypnes, zapnes ked budes chciet.

RT1900ac jsem kupoval a konfiguroval pro kámoše. Ale už se neprodává 2600ac je na mé potřeby dost drahý, tam stojí prachy možnost wifi mesh, což nechci.

jj, nechapem preco to synology prestali predavat, bol to vyborny router.. skoda ze som ho nekupil pokial som mal moznost... Ubi edgerouter x mam doma (v sufliku) lebo som potreboval otestovat a kupit pre klienta "velky" ER8 a jeho moznosti doma naozaj nevyuzijem. Klient na tom ma 18 VLAN, administrativna budova na prenajom priestorov... funguje paradne.

No nevím, podle dotazu bych to pochopil tak, že hledá zařízení, které se nebude muset nějak zvlášť nastavovat a to co tady doporučujete jsou zařízení, která se musí nastavit. Respektive ve výchozí konfiguraci to bude úplně to stejné jako každej jinej domácí router.

Nastavení není problém, už jsem pár věcí konfiguroval, na škole jsem absolvoval celé CCNA, takže nějaké předpoklady tam jsou .Ale do něčeho se mi upřímně moc nechce - jako je Turris Omnia s OpenWRT.

no, nechci te podcenovat, ale zrovna u toho fortinetu by ses asi trochu zapotil. je to trochu jinej styl, nez obycejny routery. navic se pomerne dost veci musi nastavovat pres telnet - napr. jeste donedavna slo nastavit u "vedlejsich" zon ve webovem rozhrani jen jedno dns, druhe se muselo zadavat telnetem, stejne jako vypis pridelenych adres, release klientu atd. ale jinak je to super masina, hlavne prave ty jejich ruzne inspekcni sluzby atp. - ale taky si za to nechaji zaplatit, my platime jen za predplatne cca 180t/rocne...

Fortinet jsem už jeden konfiguroval včetně nastavení VPN zvenku a fungovalo to. Ale pravda, že jen ty základní věci ve webovén rozhraní - router/firewall/vpn + připojení přes mobilní internet přes SIM co v něm byla.

Fortigate je fajn, základ naklikáš do web rozhraní, na složitější věci použiješ SSH, na webu je dost návodů. Velké předělávky konfigurace se dají nachystat v textovém editoru a aplikovat načtením nové cfg z USB při bootu. Podívej se, jestli pro plnou funkčnost toho co chceš není potřeba platit poplatky za rozšířené funkce a aktualizace, např. data pro antivir, antispam, kategorizaci webů a podobně. Platili jsem to ročně spolu s maintenance poplatky a nebylo to zrovna málo

Předefinujte prosím svůj dotaz, zatím to opravdu směruje k vyspělejším řešením typu Fortigate, TippingPoint apod. To jsou krabičky, které umí, co poptáváte (na rozdíl např. od Mikrotiku apod.), ale až uvidíte, kolik to stojí, tak se Vám to moc líbit nebude.

OK Upřesňuji dotaz: stačilo by pro mé účely Ubiquiti UniFi Security Gateway za 2500Kč nebo raději něco lepšího/dražšího?

Nejsem bezny domaci uzivatel, takze bych si z tech 3 znacek nevybral a pokud bych proste musel, tak asi Mikrotik. Osobni zkusenost mam se vsema trema znackama. Na Ubiquity nedam dopustit co se tyka lokalnich WLAN a vicemene i last mile u WISPu, ale at uz EdgeRouter tak USG (ta lze aspon zapojit do ekosystemu Unify Controller) jsou strasne neohrabane s minimalni moznosti nastaveni (neco vic se da nastavovat pres JSON soubory pres SSH, ale to je pro bezneho uzivatele sproste slovo a fakt to neni nic co by se dalo nazvat super nebo pohodlne). Jsou slusne celkem fungujici, pokud clovek zustane proste u zakladniho nastaveni (1 LAN, 1 rozsah IP, 1 WAN IP, atd.). Cokoli slozitejsiho je peklo. Cisco je v tomhle trosku lepsi i horsi - nastavit lze mnohem vic vcetne rekneme veci beznejsich pro firemni site, ale opet to neni moc klikaci pohodlne. Mikrotik mi z nich vychazi nejlepe - umi nastavit temer cokoli, akorat webove rozhrani neni uplne intuitivni, ale je spolehlivy.Z pohledu domaciho uzivatele je nejake zabezpeceni bezpredmetne, jelikoz stejne zustane u nejakeho vychoziho jelikoz stejne nema tucha co jak nastavit.BFU (bezny domaci uzivatel) tedy nikdy nic nenastavuje, uz vubec ne nic jako firewall a jeho pravidla (kupodivu firewall nestaci jen zapnout/vypnout), takze pokud se na tohle ptas, tak nejsi bezny domaci uzivatel a tedy bys mohl uvazovat i o necem co lze nastavovat rekneme neomezene byt treba nepohodlne, tj. router s plnohodnotnym OS

například?

Myslím že prvně bys měl říct co konkrétně na tom firewallu chceš blokovat? Běžný firewall umí blokovat spojení na základě adresy, portu, protokolu, dájí se s ním odfiltrovat opakované pokusy o přihlášení na nějakou službu běžící za ním, povolit použití jen nějakého konkrétního DNS a podobné věci. Případně ještě dokáže nahlížet do nešifrovaných paketů, ale aby ti to k něčemu bylo, musíš vědět co v nich hledáš, ale krabička za 2 a pul tisíce stejně nebude mít dost výkonu, aby tohle zvládla při rozumné rychlosti. Firewall prostě není antivir.

Pokud "pravidelné aktualizace" znamená že na to někdo napíše nový SW, když se ukáže že ten stávající obsahuje chyby nebo bezpečnostní díry, tak je na výběr docela dost věcí a nemusí být ani drahé na provoz. Občas je podpora i zadarmo.Pokud ale aktualizacemi je myšleno aktualizování signatur, inspekčních pravidel, a dalších pokročilých funkcí, tak za to se obvykle platí a né úplně málo, jak tady už zaznělo. Navíc u zařízení značek jako je zmiňovaný Fortinet nebo Checkpoint se platí pravidelně i za licenci a bez ní je to hloupoučké zařízení, nebo v případě třeba cisco meraki, které tady ještě nezaznělo, to bez cloudového serveru nepojede vůbec. Pokud by po mě chtěl někdo něco fakt jednoduchého a měl v úmyslu platit za provozování, doporučil bych mu právě to Meraki. S autonomními zařízeními pro podobné nasazení mám zkušenost jen právě s Cisco, ale tam je teď trochu bouře ve sklenici vody, protože relativně nedávno novinka ASA5506 neměla dlouhého trvání a tak čekám co bude umět a jak se bude chovat nástupce firepower 1010, který jsem ale ještě neměl v ruce. A který stojí kolem dvacky, což už je na doma celkem dost. Jinak s kolegy provozujeme v domácnostech k plné spokojenosti krom jiných krámů, několik ASA 5505, které se dají sehnat dost lacino, ale pozor na licence, protože v základní licenci je to dost omezené zařízení.

Díky

Ešte nikto tu nespomenul SW firewall od Sophos, ktorý je pre domáce použitie zdarma, síce ku tomu potrebuješ nejaké "zbytočné" PC s dvomi sieťovkami, ideálne Intel, určite to má väčšiu spotrebu.Sophos UTM Home Edition ten je tuším obmedzený na 50 interných IP adriesSophos XG Firewall Home Edition ten je obmedzený veľkosťou RAM a počtom cores