Sziasztok.
Új helyen szeretnék kialakítani egy otthoni hálózatot. Az egyszerű ASUS routernél többre vágyom, szeretnék némi UTM-et is. Jópár órát már rááldoztam arra, hogy felmérjem, mik azok az eszközök, amelyek megfelelnének nekem, de mivel a napi munkám során ebben a szegmensben lévő eszközökkel nem találkozom, így gondoltam itt kérek segítséget. Egyébként sysadmin-ként dolgozom, több mint két évtizede, de leginkább vállalati eszközökkel (Cisco, Juniper, Fortinet).
Ami az elképzelésem:
- VLAN alapon szegmentált hálózat: gyerek, felnőtt, vendég, IoT/okosotthon, DMZ,
- a VLAN-ok között is legyen lehetőség forgalom szűrésre, a wifi tudjon wireless isolation-t legalább a vendég wifi ssid-n,
- UTM szűrések VLAN-onkénti konfigurálása,
- SSL VPN, kliensek "minden" oprendszerre (Windows, Linux, Android, Apple),
- nagyjából legyen "önjáró": mivel napi 8 órában IT eszközöket konfigurálok, így a szabadidőmet nem azzal szeretném tölteni, hogy állandóan nyomkodom. Frissítse magát automatikusan, figyelje a forgalmat, és küldjön mail-t ha baj van.
Amire eddig jutottam:
1. A címben említett UDM. Van benne némi UTM, 4 LAN port és tisztességes wifi.
2. Synology RT2600AC (a fentinél némileg olcsóbb), vagy RT6600AX (némileg drágább). Szintén van benne valamilyen UTM (de a leírások alapján kevesebb, mint az UDM-ben), LAN switch és wifi.
3. Dual-LAN-os x86 CPU-s eszköz (Zotac vagy ODroid H3), majd erre Endian, Untangle vagy Sophos UTM. Mellé egy ASUS router Merlin firmware-rel, mint switch és AP.
4. MikroTik (hAP ac vagy ax). Állítólag ez inkább egy "otthoni router plusz", azaz nem sok mindent tud a sima tűzfal funkcióján felül, de azt legalábbis stabilan tudja. Mellé egy proxy-t, amelyen további szűrések vannak.
5. Dual-LAN-os x86 CPU-s eszköz, OPNsense-zel. Állítólag ebben is van némi UTM, ha nem is integrálva, de egyszerűen telepíthetően. Mellé ASUS router. Akár itt is játszhat a plusz proxy.
Egy társasházi lakásba lesz, a lakás közepe pont az előszobában van, és úgy számolok, egy wifi AP pont le tudja az egészet fedni, ezért jó az egybe integrált eszköz is. Digi-s optikai otthoni nettel kezdem, később tervezem átváltani céges netre, ha a NAS is átkerül a DMZ-be (feltöltési sávszélesség, fix IP cím). Okos otthonból a nem-felhőset tervezem kiépíteni, ugyanis hobbim az elektronika és mikrokontrollerek, és saját eszközökkel szeretném bővíteni.
A listát olyan sorrendben írtam, ahogyan az üzemeltetésre fordított időt tippeltem (a legkevesebbtől a legtöbbig) a kapott biztonsági funkciók "mennyiségével" súlyozva. Egyikkel szemben sincs preferenciám, működjön stabilan, és ne legyen vele gond évekig. De bármilyen más megoldásra is nyitott vagyok, ami megfelel az elképzeléseimnek. Ha esetleg van valakinek ilyen home UTM tapasztalata, akkor azt is szívesen olvasom.
Előre is köszönöm a segítséget.
Hozzászólások
Nekem elég hasonló felállás van MikroTikkel és a fenti követelményeket mindet teljesíti, kivéve az UTM szűrést mert ott nem tudom hogy mire gondolsz :) én tanúsítvány alapú ipsec + WireGuard VPN-nel használom, automatán tudja frissíteni magát (először a központi eszköz, utána a 4 Access Point) és lehet rajta konténereket futtatni, nekem pihole megy konténerből. Ha kifejted az UTM részt akkor arról is nyilatkozok.
Engem is érdekelt így rákerestem. Szerintem erre gondolt: https://www.techtarget.com/searchsecurity/definition/unified-threat-man…
Elég jó kis cikk, szerintem világosan leírja mi is az az utm. Már ha erre gondolt a szerző. Ha nem, akkor is érdemes elolvasni szerintem. 😀
Köszi, elolvastam. A koncepció hogy egy hálózati eszköz leváltson pl egy antivírust szerintem elhibázott. Vannak dolgok amiket meg lehet csinálni hálózaton és vannak amiket nem vagy legalábbis nem jól, és szerintem ez utóbbiak esetén csak egy hamis biztonságérzetet ad ez az UTM. Nem akarom eltéríteni itt a beszélgetést úgyhogy inkább azzal fejezem be, hogy a MikroTikből külső segédlet nélkül nem lehet UTM-et csinálni; amúgy van benne proxy, van benne netflow és a konténerek is segítenek de ez nincs összehangolva. Google említ valami FlashStart nevű cuccot amivel lehet UTM-et csinálni MikroTikkel, azt nem próbáltam.
Egyrészt teljes egészében leváltani nem célszerű. Már csak a single point of failure miatt is. Inkább azt mondanám, kiegészíti. Én ezt valahogyan úgy képzelem, mint ahogyan cégeknél is két, külön gyártótól való, tűzfalat szoktunk rakni a védelemre, az egyiket az internet és DMZ közé, a másikat a DMZ és intranet közé. Így ha találnak is valami módját, hogy átjussanak az elsőn, pl. valami sérülékenységet, a másodikon ez pont nem fog működni. Ez működik vírusvédelemre is, ha véletlenül át is jut a hálózati vírusvédelmen, a kliensoldali antivírus attól még ott van.
A lehető legritkább dolog, hogy a DMZ-be vagy bárhova a tűzfal sérülékenysége miatt jutnak be. Jól hangzik a két külön gyártótól származó tűzfal nagyobb védelmet ad elmélete, a gyakorlatban viszont nem nagyon hallottam arról, hogy egy hálózatba a tűzfal sérülékenységét kihasználva jutottak volna be.
A vírusvédelem más kérdés, ott segíthet a multivendor megoldás.
Értelek, nekem Cloudflare security DNS van + a pihole, de nincs malware szűrés; helyette awareness tréning van meg ha nagyobbak lesznek a gyerekek, akkor always-on VPN lesz whitelisted URL-ekkel :) minden naponta frissíti magát (ezt a MikroTiken egyszerű scriptelni), illetve nincs Windows otthon egyáltalán, Apple van meg Linuxok. Egyszer majd ráveszem magam és keresek egy jó antivirust macOS-re és akkor az is lesz.
Azon kuncogok, hogy a gyerekek internetezésével kapcsolatban olyanokat mondunk, hogy content filtering, meg awareness tréning :D
Ha az asszonynál működött, a gyerekeknél is fog :)
Igen, az Unified Threat Managementet értettem ez alatt.
tiplink omada es a hozza valo AP-k is meglepoen jok, erzesre unifi koppancs
Ránéztem erre az Omada-ra, de vagy én nézek be valamit, vagy ezek az eszközök csak menedzselt wifi-t tudnak.
Tudnak azok mást is. Nekem itthon radius hitelesités+dynamic vlan.
Korábban volt unifi ap-m, csak ő már end of life lett, igy amikor eljött az idő, hogy uj apkat veszek, már nagyon sokallottam az árát.
Igy próba szinten vettem egy eap-ot, és minden komolyabb meló nélkül simán tudta azt, amit az unifi.
Pontosan így jártam én is....
az omada csak a controller - vagy HW vagy futtatod SWbol vhol.
van hozza gateway, ha a routert is onnan akarod csesztetni, tudja a switchet csesztetni, stb.
Ha szoftveres, akkor lehet hogy van demo is?!? Ennek utánanézek. Kösz.
Hát én még nem láttam demo omada-t, de van windows és linux telepitője, pikk-pakk lehet telepiteni.
Egyébként unifi koppintás olyannyira, hogy szinte teljesen megegyezik a unifi classic- nézetével.
Vagy megnézed egy docker konténerben...
Az UTM ügy eleve kizár egy csomó mindent, ami otthoni vagy soho eszköz. Az UDM jó lehet, de arra számíts, hogy ha szkenneli a hálózati forgalmat, akkor izzani fog benne a professzor. Ahogy írták, a végponti védelem amúgy sem úszható meg, mert annyira 0day meg szuperkeresés nem lesz (lásd https, vagy otthon is nekiállsz majd certeket generálni, osztani?, persze azon felül, ha a cél IP vagy hosztnév feketelistán van). Léteznek DNS alapú, mondjuk úgy segédletek, amik nézetek szerint kb. kiegészíthetik a végpontvédelmet. Lásd Cloudflare family, és tudod per VLAN osztani DHCP-vel a névszervereket.
Az UTM, IDS és blacklist és oldjuk meg a hálózaton ott fog elbukni, hogy egyre inkább célzott phising/scam emailt kap valaki (tehát közbeékelődnek az levelezőpartnernél, és konkrétan tőle küldik, se SPF se semmi nem fogja meg igazán), vagy a csillió wordpress oldalt csak konkrét fél órája törték meg, és kapja meg az illető az emaillel kombinált malware linket. Egy jó "internet security", aminek van online (direkt nem felhőset írok) realtime keresőopciója, az sokkal jobb választás szerintem, bár ha tényleg erősen célzott, akkor csak pislogás lesz. Az első ilyesmivel, legalábbis látókörömben, pár éve találkoztam, a az utolsóról konkrétan ma. Az általános itsec helyzet csapnivaló, és a tamádások erőssége/összetettsége nagyon komolyan megnőtt az elmúlt 1,5-2 évben.
Ha csak egy kiegészítés az elvárás, akkor jó ötlet, de egyedüli megoldásként nem tekintenék rá.
Igen, ahogyan fentebb is írtam, kiegészítés. Egy jól összerakott UTM több mechanizmussal dolgozik. Kezdi a legkisebb erőforrás-igényessel, pl. IP és URL blacklist-tel. Mert ha már ezen fennakad, akkor "olcsón" blokkoltunk egy potenciálisan veszélyes kapcsolatot. Ha itt nem akad fenn, akkor mehet tovább, az erőforrás-igényesebb ellenőrzésekhez.
Egyébként a cert-es dolog sem annyira bonyolult. Kell egy CA, azt berakod a root-ba a klienseken egyszer. Kell egy subCA cert, az megy a proxy-ra, és onnantól már a proxy teszi is a dolgát. Sőt, ha már amúgy is van CA-d, akkor kaphatnak a kliensek certeket, és akkor a VPN is biztonságosabb. Több melód lesz azzal, hogy kivételekre vedd fel azokat az oldalakat, amelyek a megtört kapcsolaton nem működnek. Természetesen eszem ágában sincs ilyet csinálni otthon :)
Ha van egy tartományvezérelt Windows hálózat akkor körbeküldöd, vagy van két desktopod oké. Amint hazajön a munkahelyi gép, már bukott a dolog, a haver sem tudni böngészni, szóval lesznek bajok. A mobileszköz garmadáról nem beszélve.
Ha IP, URL blacklist, akkor az mikrotik DNS-be belehekkelhető amúgy, illetve ott van a DNS alapú sztori.
Tényleg nem kötözködésként mondom, de: ha a haver jön át, akkor neki a guest-ben a helye. Ami a céges gépet illeti, ha nem tudsz rá rootCA certet telepíteni, akkor nem való a védett hálózatba, mert "ki tudja mi van rajta". Igen, tudom, ez nem "életszagú", meg valószínűbb, hogy a céges környezet és biztonság egy nagyságrenddel jobb, mint az otthoni, de ez egy csomó "ha". Az pedig, hogy minden eszköz, amely hozzáférést kap a védett hálózathoz, megfelel egy listányi feltételnek, objektív, egységes, sablonos. Minden pontot ki tudsz pipálni (nem eol oprendszer, aktív antivir, nincs telepítve game cracker, stb.), és akkor ez egyáltalán nem attól függ, hogy milyen lábbal keltél fel. Mondjuk rajtam azért az segít, hogy utálok laptopot használni, cégben is desktop van, és azt nem cipelem haza. Van otthon gép, ha kell valamit elintéznem, beVPNezek.
De ezt csak a vita kedvéért írtam, ilyen szintű szűrésre otthonra igényem sincs.
Kaptam ma guest hozzáférést egy UDM Pro-hoz, hogy nézegessem. Hát nekem ez nagyon tetszik. Vállalati funkciók leegyszerűsítve, zanzásítva egy felületen. Pl. wifi-nél kiválaszthatod, hogy az adott SSID mely AP-ra menjen ki. Van isolation, VLAN, meg pár másik érdekesség. Van GeoIP, honeypot (?!?), traffic shaping, felismer forgalmakat, pl. voip, URL kategóriákat. Egy kicsit fura, hogy a "választék" egy kicsit szegényesnek tűnik, de nagyjából racionálisan van elosztva.
Na ilyet tud-e valami más is, jobban ennyiért, vagy ugyan így kevesebbért?
Nekem egyedül az UDM (vagy bármelyik hasonló Unifi gateway) 'hiányzik' az otthoni hálózatból. Azért az idézőjel, mert az alapján, amit eddig olvastam róla, nem is tervezem a beszerzését, pont az általad említett szegényes választék miatt. Ugyanis ha nincs benne gyárilag, ami neked kell, akkor esélyed sincs belepakolni, zárt a rendszer, gyakorlatilag csak a unifi szerverről/controllerről tudod állítani, és amit az nem tartalmaz, az nincs benne. Nekem bőven megfelel gatewaynek az edgerouter, inkább lemondok a központi egységes konfigurációról, viszont rugalmasabb. Sajnos az edgemax már nem igazán támogatott az Ubiquiti részéről, egy-két patch még jön hozzá, de lassan majd más eszközben kell gondolkodnom, várhatóan majd Mikrotik lesz.
Az általad említett funkciók egy része (melyik SSID melyik eszközhöz, melyik VLAN-on) nem az UDM tudása, hanem a Unifi controlleré, és ez tényleg jól működik, viszont ehhez nem kell megvenni az UDM Pro-t (vagy bármelyik rokonát), a controllert bárhová felrakhatod, akár egy raspberryre vagy egy docker-képes NAS-ra, vagy egyéb eszközre.
Ennek fényében az UDM szerintem túlárazott holmi.
És ezeket pont így tudja egy Omada is.
(kicsit fentebb/lentebb olvastam, hogy az csak managelt wifi-t tud. azt mondjuk nem nagyon értettem lényegét tekintve nem nagyon látok különbséget az Omada és a Unify között)
UDM (Unify Dream Machine) maga egy kontroller, pontosabban egy minden egyben cucc (kontroller/tüzfal/voip/kamera/beléptetö/...) és kozolnak hívják nem kontrollernek, nem kell neki se kontroller se egy cloud-key (amin a kontroller fut).
A Dream Routerben / Machineban van Wi-Fi antenna is, viszont nem rack formátumú, cserébe a Routerbe nem megy bele HDD csak microSD, a Machine-ba meg semmi.
A Router Wi-Fi 6-os, a Machine Wi-Fi 5-ös.
A Dream Machinie Pro meg az SE rack formátumú, rakható bele HDD.
Nyilván. Nekem viszont elég a controller, a kamera, iletve a voip nem érdekel (kamerám nincs, voip megoldott egy asteriskkel, beléptető nem kell), és a tűzfal része tud ugyan érdekes pluszokat (ami a topicnyitóban is volt), viszont számomra nem elég rugalmas. Ha úgy nézzük, a DM által nyújtott funkciók nekem szükséges részét oldottam meg másként (másik gépen controller + egy asterisk + egy edgerouter).
tplink gateway + omada controller (vagy sw)
Hali,
Tud már rendes/stateful “tűzfal” lenni? Anno amikor próbáltam, akkor nem volt ilyen lehetőség az ACL-eknél.
Köszi
Lehet féreérthető voltam. Amire valójában gondoltam, az a következő: egy enterprise tartalomszűrőben pl. be tudom állítani, hogy a onedrive-val menjen a letöltés és feltöltés, dropbox-ra csak a feltöltés, google drive-ra csak a letöltés, a mittomén kínai qq file-ra meg semmi. Egy cég esetében ilyen szintű beállítási lehetőségre szükség van (vagy inkább kéne legyen), otthonra meg nem.
Gyerek hálózatba tudjam tiltani en bloc, nekem ennyi elég is. Ha neki kell valami fájl, amit gipszjakab feltöltött, akkor két lehetősége lesz, vagy átküldi a linket, én leellenőrzöm, és ha nem veszélyes, megkapja a nextcloud fiókjába, vagy eleve küld egy nextcloud feltöltő linket akitől fájlt vár.
Az igényeidhez az UDM 2 (3) helyen lesz némileg korlátos:
1., VLAN-ok között tűzfalazni ugyan lehet vele, de némileg nyögvenyelősen, nem olyan kifinomultan és átláthatóan, mint pl. egy MikroTik-en
2., VPN-ből kizárólag L2TP+IPsec PSK-t tud, amit pl. az Android 13 már kapásból nem :/
(+1., Ahogy már említették, ha UTM-et, meg minden más említett funkciót keményen ki szeretnél használni, akkor a sima UDM valóban izzadni fog, erre inkább egy UDM-Pro SE-t + külön AP-t mondanék)
Ha magamnak csinálnám, akkor inkább MikroTik router + Unifi WiFi irányba mennék (mint ahogy ez is van otthon), ebben a kombinációban viszont pont az UTM bukó :/ (Viszont kb. minden másban egyértelműen veri az UDM-et)
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
A kettes szíven ütött. Nem is tervezik az ssl vpn-t integrálni kliens vpn-re? Én nem találtam erről infót.
Sajnos az udm pro önmagábam is vagy 30%-kal drágább, mint a sima, plusz wifi ap, plusz valami helyet kellene találnom neki a lakásban. Viszont ha a sima udm-en nem használom a vpn-t, hanem rakok mellé egy SBC-t (pl. RPi), és erre OpenVPN-t vagy WatchGuard-ot, akkor ez így gondolom működhet?
Szerintem az általánosságban lassan 5-10 éve igaz, hogy small business környezetben a MikroTik router, a TP-Link switch és az UniFi WiFi hálózat a legjobb ár érték arányú eszköz, és ezek ebben a kombinációban egészen jól működnek is. Talán csak a TP-Link Omada versenyez az UniFi megoldásokkal valamelyest.
Egy eszközben viszont egyik sem igazán jó. Az UniFi esetében a testreszabhatóságot bukod, a MikroTiknél a WiFi lesz hasfájásos, a TP-Link router-switch-wifi kombó eszközök pedig magánvéleményem szerint a gyártás pillanatában már veszélyes hulladéknak minősülnek.
Ha a teljes listádat szigorúan egyetlen eszközzel szeretnéd kipipálnk akkor én csak a hAP 3-at ismerem, de a konfigurálása annak bizony nagyob időigényes lesz - bár a stabilitása (a WiFi kivételével) rendben lesz utána. Az updateket viszont automatikusan nem teszi fel, és ezt nem is javaslom megscriptelni, mert a meglepetésszerű update tud nagy hasfájást okozni.
Megjegyzem, az UniFi WiFi eszközeit sem javaslom jó szívvel 3 db alatt, tehát az egy szekrénybe felrakott 1db UniFi AP + CloudKey + MiktoTik nem lesz szignifikánsan jobb egy hAP 3-nál szerintem.
Rég volt tapasztalatom a Mikrotik cuccaival, de az alapján jelenleg a régi Edgemax vonalat használhatóbbnak tartom. De alapvetően az első állításodat nagyjából el tudom fogadni.
Én EdgeMax vonalról mentem MikroTik-re. Az IPv6 tudása és az MT7621 chipset általi HWNat vonzott, de abszolút csalódás. Az EdgeRouter ER-X így most OpenWRT-vel pihen a szekrényben, a router pedig egy MikroTik hAP ac3.
Az Edge-n szívtam a tűzfallal is, az MT-n sikerült belőni úgy, hogy három hálózatom legyen. A normál LAN-t használják a megbízható eszközök. el van tűzfalazva külön külön (csak netezni tud) az IoT és a vendéghálózat, de az IoT-n látják egymást az eszközök, illetve a normál LAN-ból lehet kapcsolódni az IoT-re (fordítva nem). Az MT-n ezt sikerült összerakni elég hamar, az Edge-n nagyon sokat szívtam vele. Persze ez szerintem szubjektív is, én a zónákkal (vagy hogy nevezi minden interfészhez az in, out, forward láncokat) nem tudtam megbékülni.
De ami még meredek és sokan meglepődnek rajta, hogy én Wi-Fi-re is maradéktalanul elégedett vagyok a CAPsMan-nel, most az árak felszökkenése miatt a korábbi AP-ként használt hAP ac2 máshová kellett router-nek, de amíg az ac3 feletti szinten üzemelt, nagyon sima volt a roaming, nevetségesen könnyű a konfigurálás és valami elképesztő a stabilitás.
TheAdam
Érdekes, nekem semmi gondom nincs az EdgeMax tűzfalával. Gyakorlatilag egyszerű iptables szabályok, azt meg roppant régóta használok. Ráadásul szerencsére parancssorból meg is lehet nézni, hogy mit kattintgattam össze a GUI-n, így végképp semmi problémám nem volt vele.
Az IoT zóna nekem kicsit érdekesebb, mert a Daikin légkondicionáló és az app úgy működik, hogy a légkondi broadcastel egy UDP porton, és a telefon appja ezt keresi, mivel az IoT másik subnet, így alapból nem találja meg. Viszont EdgeMaxhoz van egy kiegészítés, ami megfelelően paraméterezve az egyik interface-en (itt az IoT VLAN interface-ről van szó) kapott broadcastet visszaismétli a másikon, így az app megtalálja, onnantól meg a kommunikáció átmegy unicastba, ez szépen működik is. A HomeAssistant meg eleve unicaston találja meg, így azzal nincs gond.
Miutan felkonfiguraltad a Daikint, atrakhatod masik halozatba mert onnantol kezdve siman az IP cim alapjan mukodik. A fenti trukkozest is ki lehet kerulni azzal, hogy a telefont berakod az IOT halozatba amig felkonfiguralod a klimat, utana meg visszarakod a masik halozatba (felteve hogy van forgalom az IOT fele a masik halozatbol).
Én úgy láttam, hogy nem találja meg a telefon. Korábban volt, hogy beállítottam, Daikin az IoT VLANon, a telefon a normálban, a broadcast proxyn át megtalálta. Aztán az Edgerouter upgrade-je után egész addig nem találta meg, amíg ismét fel nem raktam és be nem állítottam a broadcast proxyt. Egyelőre nekem ez a megoldás tökéletes. A HomeAssistantnak meg eleve IP-vel kellett megadni, ott nem kellett trükközni.
A frissítésnél én nem arra gondoltam, hogy a firmware/software frissítéseket végezze el automatikusan, hanem pl. an antivir, ids/ips, url blacklist, akármi frissítse magát. Tudom, ez logikus, csak amilyen eszközökkel én eddig dolgoztam, azon ez előfizetéshez volt kötve. Itt viszont sehol nem látok ilyet (kivéve a Sophos, Untangle, Endian UTM-eknél, de ezeket senki sem említette a beszélgetésben).
fyi https://eu.store.ui.com/products/dream-wall-ea
Jó, jó, de mikor lesz hozzá -50%-os kupon? 🤭