Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Layer 7 Firewall - Palo Alto oder SonicWall

Frage Sicherheit Firewall

Mitglied: Der-Phil

Der-Phil (Level 2) - Jetzt verbinden

25.02.2014 um 09:04 Uhr, 3553 Aufrufe, 18 Kommentare, 1 Danke

Hallo!

Ich suche eine neue Firewall für ca. 200 User an einer 155 Mbit/s Internetleitung + Backupleitung.

Wichtig ist mir:
- Gateway-AV
- IPS
- Layer 7 Filter
- SSL Scan (hauptsächlich AV)


Aktuell kristallisiert sich bei mir Sonicwall und Palo Alto heraus.


Habt ihr Erfahrungen mit den Geräten?

Bei Palo Alto werden die Geräte mit steigender Performance schnell extrem teuer. Sonicwall ist da unproblematischer. Dafür scheint mir bei Palo Alto das Konzept "Filtern nach Applikation, nicht nach Port" einfach deutlich konsequenter umgesetzt.


Ich bin für alle Tipps dankbar.

Gruß
Phil

Mitglied: Dobby
25.02.2014 um 09:14 Uhr
Hallo,

es gibt eben immer auch ein paar Trittbrettfahrer die
einfach auf den NG Firewall Zug aufspringen wollen
und aufgrund dieser "Trittbrettfahrer" lassen sich dann
wiederum einige andere Hersteller natürlich auch Ihre
NG Firewall richtig gut bezahlen.

Bei Palo Alto werden die Geräte mit steigender
Performance schnell extrem teuer.
Die halten aber auch was sie auf Ihre Verpackung drauf
schreiben und wenn man sich die Konkurrenz einmal
näher betrachtet ist der Preis dann auch wiederum nicht
so hoch, denn wer eine "Application based" NG Firewall
sucht möchte auch nicht mit einer guten UTM abgespeist
werden!

Sonicwall ist da unproblematischer.
You get what you pay for!

Dafür scheint mir bei Palo Alto das Konzept "Filtern
nach Applikation, nicht nach Port" einfach deutlich
konsequenter umgesetzt.
Sagen wir es doch einmal anders herum, bei einer
so genannten "Application based NG Firewall" erwartet
man das als Kunde auch, oder?

Bei Palo Alto kann man aber auch nicht unbedingt
sagen das man sie kauft, einschaltet und dann damit
sofort klar kommt, da gehört schon ein wenig Einarbeitung
mit dazu, aber wer diese nicht scheut wird dann eben auch
wieder belohnt. Zumindest so wie ich das sehe.

Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
25.02.2014 um 09:32 Uhr
Hallo Dobby!

Vielen Dank für Deine Einschätzung!

Hast Du mit den aktuellen Sonicwalls einmal gearbeitet? Ich finde auch dort das "Application based filtering" sehr gut umgesetzt nur eben irgendwie zweistufig. Von schlecht bin ich da weit weg.

Bei Palo-Alto ist das Problem, dass die PA-500 zwar bezahlbar ist, aber leistungsmäßig schon grenzwertig. Die größeren Serien kosten dann richtig Geld.

...oder würdest Du auf ein ganz anderes Produkt gehen?

Grüße
Phil
Bitte warten ..
Mitglied: Dobby
25.02.2014 um 09:49 Uhr
Hallo nochmal,

ich selber habe noch nicht mit Sonicwall gearbeitet,
aber das werde ich auch nicht, denn die meisten meiner
Bekannten die das bereits hinter sich haben, lassen
an denen kein gutes Wort und von daher scheiden diese
Firewalls von vorne herein für mich aus.

.....größeren Serien kosten dann richtig Geld.
Das mag zwar sein aber die orientieren sich eben
auch eher an den Firmen die richtig Geld verdienen
und zum Anderen verdienen die Programmierer dort
auch ein gutes Geld und ich meine nicht das dort
Asiaten sitzen die 80 € im Monat verdienen.

...oder würdest Du auf ein ganz anderes Produkt gehen?
Ein einziges wird da wohl weniger etwas bringen,
wenn überhaupt dann muss bzw. sollte man dort
dann schon ein paar andere Sachen mit ins Spiel
bringen.

- Eine UTM mit Antimalware, Antivierus, Antispam & Kontentfilter
- Einen Squid HTTP- Proxy
- Snort (Server & Snesoren) für IDS/IPS
- DPI Appliance hinter der UTM Appliance auf einem eigenen Server

So und wenn man sich dass nun noch einmal genau
anschaut und durchrechnet ist die Palo Alto schon gar
nicht mehr so teuer, allerdings sind natürlich auch hier
wie bei der UTM noch Folgekosten mit einzuplanen.

Das macht man aber denke ich schon an dem ab was
man denn nun wirklich benötigt und/oder die Geschäftsleitung
sehen möchte, da hat man dann eben auch nicht mehr so viele
Auswahlmöglichkeiten meines Erachtens nach, wenn Du mit
der Sonicwall glücklich wirst und sie Dir reicht würde ich Dir das
auch nicht ausreden wollen, nur wenn es schlicht und einfach
um die Leistung und die Sicherheit geht, kommt man im NG
Firewallbereich fast nicht um eine Palo Alto herum, und das
auch schon seit Jahren und nicht erst seit gestern, ohne
das man dort großartig etwas negatives in den Schlagzeilen
zu lesen bekommen hat.

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
25.02.2014, aktualisiert um 09:58 Uhr
Moin Phil,
guter Rat: Lass die Finger von Sonicwall. Ich habe unsere Erfahrungen bereits öfters ausführlich hier geschrieben, was da seit einiger Zeit schief läuft.
Solange du keinen Support brauchst ist die Welt in Ordnung. Aber wehe du machst ein Ticket auf: Da rollt der Ball, aber lange. Hängt auch sicherlich mit der Komplexität ab aber das war zum Teil vom 2nd Level unterirdische Leistung. Stellungnahmen sind ein Fremdwort und eine Entschuldigung kam nie.

Bleibendes Beispiel: 2nd Level sucht einen Routingfehler auf einem HA-Cluster. Hat sich per Fernzugang auf die Sonicwall direkt aufgeschalten und gesucht. Das wussten wir auch. eine halbe Stunde melden sich die ersten Benutzer, dass ihre Anwendungen nicht mehr funktionieren. VPN kontrolliert, geschwenkt auf Backupfirewall mit seperaten Backupleitung und und und... am Ende fand das Firewall-Team eine geänderte Route auf dem Cluster vor. Betroffen waren am dem Standort ca. 400 Leute.

Was war passiert: Der Techniker (2nd Level!) hat ohne Info und Rücksprache mit uns einfach eine Route angepasst, weil er der Meinung war, die ist falsch.

Ganz klarer Favorit: Barracuda NG Firewall. Wir werfen dieses Jahr die letzten Sonicwall-Cluster aus unserem Netzwerk. Die haben gerade sehr pfiffige Ansätze was Viren/Malware Protection angeht oder auch VPN Site-2-Site Failover ohne Sessionverlust, etc...

Nachtrag:
http://www.administrator.de/forum/firma-mit-ca-100-pcs-welche-firewall- ...
http://www.administrator.de/forum/erfahrungen-mit-sonicwall-205264.html ...


Grüße,
Dani
Bitte warten ..
Mitglied: Der-Phil
25.02.2014 um 10:34 Uhr
Hallo!

Das klingt gar nicht gut. Irgendwie hat mir das Sonicwall-Konzept gefallen und die NSA-3600 wäre auch das, was ich gesucht habe (SFP-Slots, passende Performance, etc.). Bei PaloAlto habe ich mit der PA-500 einfach wenig Performancepuffer und kein SFP-Slots - also in meinem Fall dann Medienkonverter...

Schade...

Ich schaue mal noch Barracuda an...

Grüße
Phil
Bitte warten ..
Mitglied: Dobby
25.02.2014 um 10:41 Uhr
Ließ Dir den bitte Namen doch noch mal genau durch!

NSA-3600
Na klingelt es jetzt! Da ist es nicht schade drum.


Gruß
Dobby
Bitte warten ..
Mitglied: Der-Phil
25.02.2014 um 11:37 Uhr
Hallo!

...dachte schon, nur ich störe mich am Namen
Andererseits zeugt das von Kompetenz. DIE wissen, was Angriffe sind.

Gruß
Phil
Bitte warten ..
Mitglied: Dani
09.04.2014 um 11:54 Uhr
Hallo Phil,
wie ist der Stand der Dinge?


Grüße,
Dani
Bitte warten ..
Mitglied: Der-Phil
09.04.2014, aktualisiert um 17:31 Uhr
Hallo Dani!

Ich hatte beide im Test (PA und Sonicwall).
Die Sonicwall hat mich absolut nicht begeister, die Palo Alto schon.

Zur Sonicwall:
- Tolle Hardware
- Schnelles Webinterface
- SEHR preiswert

- Extrem umständliche Regelwerkspflege
- Netzwerkobjekte in Drop-Down-Menüs -> kaum zu handeln bei vielen Objekten
- Decryption geht ziemlich unintelligent zur Sache und ist schwer einzuschränken (Whitelist oder Blacklist, kein richtiges Regelwerk)

Zur PaloAlto:
- Übersichtliches Regelwerk
- Kann beim Webfilter zusätzlich zu block/allow auch continue (Warnseite mit Möglichkeit weiterzumachen) und override (continue + Passwort)
- Decryption sehr fein einstellbar
- Guter Service

- Katastrophale Geschwindigkeit der Web-GUI bei der PA-500 (ab der PA-3020 sehr gute Geschwindigkeit)
- unübersichtliche IPSEC-Konfiguration
- hoher Preis
- sehr hoher Preis
- wirklich sehr, sehr hoher Preis


Jetzt habe ich 2 Stück PA-3020 als HA-Verbund.

Grüße
Phil
Bitte warten ..
Mitglied: mobuydev
30.07.2015 um 17:51 Uhr
Hallo,
zwar schon etwas alt der Thread aber eventuell liest es noch jemand.
Ich arbeite seit ca. 15 Jahren mit Checkpoint, Juniper, Netscreen u.a.
Von PaloAlto würde ich aus zwei Gründen dringend abraten. Der Preis steht in keinem Verhältnis zur realen Leistung.
Die Oberflächen und CLI's von Checkpoint und Cisco (nicht pix) sind hier deutlich weiter. Auch die Leistung $/MB ist
da besser.
Sonicwall kostet hier ziemlich genau die Hälfte für die gleiche Leistung.

Die Barrakudas sind auch recht nette Firewalls wobei ich da zur Administration wenig sagen kann, habe die nur 1 Woche mal zum Test gehabt.

Hier ist aber die Leistung deutlich geringer als bei den Sonicwalls welche eine sehr nette MultiCore Architektur haben.
Das VxWorks (Windriver) OS auf dem diese basieren ist ein RealTime OS defakto industry leading (millionen von embedded Plattformen)
Sonicwall ist sehr einfach einzurichten und wenn man weniger als 200 Objekte/Regeln hat auch sehr übersichtlich.
Das Failover ist super simple und funktioniert tatsächlich sowohl bei der Hardware als auch bei den Leitungen.

Bei größeren Netzwerken (ab 100Vlans, 500 Objekte, 250 Regeln) würde ich nur zu Cisco oder Checkpoint greifen.

Zudem haben die PaloAlto System dauernd OS Probleme. Nett zum Beispiel das fast immer bei einem Failover die Statfull Connetcion Tabellen Daten nicht komplett übernommen haben.
Zudem sind im neuen Enterprise Report (NSS Labs)die PaloAlto Systeme mit einem Caution versehen!
Die kleinen PaloAltos (unter $5000) sind eine Performance Katastrophe.

IPS Wertung: Cisco Firepower; 99,2%
IPS Wertung Checkpoint 13500 96,4%
IPS Wertung SOnicwall 97,9%
IPS Wertung Barracuda 89,7&
IPS Wertung PaloAlto 60,1% /RPC Fragmentation FAIL, IP Frag+TCP Seg Fail und weiters.

Im Moment bei PaloALto Fingerweg!.

Ich würde sagen bis 200 User (10 Standorte, 5 official Server) Sonicwall oder Barracuda ansonsten nur Checkpoint oder Cisco.

Grüße
Bitte warten ..
Mitglied: Der-Phil
31.07.2015 um 13:52 Uhr
Hallo!

Tut mir Leid, aber aus meinen Erfahrungen kann ich das nicht bestätigen.

Sonicwall hatte ich im Test und war völlig frustriert. Sobald ein Dienst nicht mehr auf dem Standardport läuft, funktionieren diverse Dinge nicht mehr (Encryption, App-Erkennung, etc).

Die PaloAlto-Geräte sind unverschämt teuer, haben Schwächen, etc. aber ich habe noch nie beim Failover Teile der Connection Table verloren. OS-Probleme hatte ich auch noch nicht. Schwäche ist in meinen Augen das komplexe Routing. Das können andere besser in meinen Augen - gerade in Verbindung mit VPN und mehreren ISPs.
Im Gegensatz zu den anderen Geräten, die ich bislang getestet habe, funktioniert hier aber die App-Erkennung, was das Regelwerk bei mir _deutlich_ verschlankt hat.

Gruß
Phil
Bitte warten ..
Mitglied: Dobby
31.07.2015, aktualisiert um 19:07 Uhr
Tut mir Leid, aber aus meinen Erfahrungen kann ich das nicht bestätigen.
Die Daten sind ja auch völlig frisch und bei dem Ärger den man mit anderen
Anbietern hat, kann auch der Klassenprimus mal schwächeln.

Sonicwall hatte ich im Test und war völlig frustriert. Sobald ein Dienst nicht mehr auf dem
Standardport läuft, funktionieren diverse Dinge nicht mehr (Encryption, App-Erkennung, etc).
@Dani hat auch schon mehrmals glaube ich dazu etwas gepostet.

Die PaloAlto-Geräte sind unverschämt teuer, haben Schwächen, etc.
aber ich habe noch nie beim Failover Teile der Connection Table verloren.
Ein einziger Xillinx Virtex kostet bis zu ~3.000 €, verbaut doch mal drei davon
einer anderen Firewall und glaubst Du die bietet dann noch jemand für rund
tausend Euronen an? Dafür laufen dann aber auch mal 2.000 Firewall Regeln
und 20.000 IDS/IPS Regeln durch und man merkt es nicht einmal.

Oder die sündhaft teuren Cavium CPUs, die gibt es eben
nicht für umme auf dem Grabbeltisch! Aber dafür stimmt denn der VPN Durchsatz
und das auch im dreistelligen MBit/s oder sogar im GBit/s Bereich.

Im Gegensatz zu den anderen Geräten, die ich bislang getestet habe, funktioniert
hier aber die App-Erkennung, was das Regelwerk bei mir _deutlich_ verschlankt hat.
Die waren mit einer der ersten NG Firewall Anbieter die es gab und haben sich bis Dato
auch gut gegen die Konkurenz verteidigen können und sind nicht einfach verschwunden.

Einfach mal das nächste Jahr abwarten und dann sehen wir weiter.

Gruß
Dobby
Bitte warten ..
Mitglied: mobuydev
01.08.2015, aktualisiert um 19:51 Uhr
Hallo,
na da kommt doch noch im Thread eine nette Diskussion auf.

Ich möchte darauf erst einmal aus der Theorie und dann mit zwei Beispielen aus der Praxis (10G Firewalling und alle dort im Test gehabt zur Entscheidung) antworten.

Hi Phil, ja du hast sehr Recht das wenn man APP Firewall Regeln mit Erkennung für exotischer Fingerprints haben möchte und das in Menge wird’s anstregend und mit Sonicwall sehr unkomfortabel.
Allerdings bin ich auch überhaupt kein Freund von Application Fingerprints als alleinigen Schutz . Als second line of defense sehr cool aber niemals alleine. Das war und ist das Haupteinfallstor der Evasions bei PaloAlto.
Also immer alle Regeln wie gehabt und zusätzlich APP-Id Regeln.

Erstmal zu den kleinen Büchsen.
a) Dafür ist die Oberfläche und das SonicOS super simple bis hin zum Policy Routing ,
b) Regelwerk, Natting, Routing bis policy routing, sowie Multi ISP und dann entsprechenden VPN’s. ist eher auch für sogenannte Anfänger (die nicht Wireshark, TCPdump, Etherpeek und ähnliches täglich verwenden) sehr schnell eingerichtet und läuft.
c) App-Erkennung und Firewalling mit diesen Regeln geht eigentlich so richtig erst ab Sonic OS 6 (also dieses Jahr) und ist mal echt nicht toll einzustellen.
d) Crypto auf non Standard Ports ist zwar etwas friemelig aber läuft dann aber doch.

Allerdings würde ich auch für kleinere Netze wenn er Preis keine Rolle spielt immer zu PaloAlto greifen. Kostet dann aber das drei bis fünfache.

Das mit den Sonicwalls macht ein Kollege von mir und ich habe nicht täglich mit den kleinen Boxen zu tun.


Dobby das du Humor hast finde ich schon mal gut. „Klassenprimus“.

Das ist kein „Ärger“ sondern diese Evasions können der TOT eines ganzen Netzwerkes sein zudem sie keinerlei Eintrag in den Logs der Firewall hinterlassen.

Die Xillinx Virtex sind schicke FPGAS und kostet sogar bis 30K Dollar each. (je nach Modell)
Die sind aber eher für die Modulation innerhalb des Switchings (z.B. 8B/10B
Kodierung/Dekodierung bei LWL) erfunden und haben im Regelfall wenig mit der Firewall auf Layer 7 am Hut.
Diese Cavium CPUs sind nun wirklich nicht neues und tatsächlich auch in allen Sonicwall Boxen für $1000 verbaut.


Das kleinere Netzwerk bei dem ich letze Woche für einen Kollegen QOS für VOIP und ein paar Policy Routen optimiert habe war mit so einer kleinen zwei mal $1500 TZ600 Sonicwall Boxen redundant als active/passive schon recht beeindruckend.
Haupt ISP ist Colt Glasfaser 200Mbit und ein mal 100Mbit Kabel sowie 50Mbit DSL (alle ISP online aktive/aktive/aktive. Bei ca 300Mbit VPN (5 Office site to site und 15 User online) sowie der AV und IPS Kram keine 30-40% Last auf den Prozessoren.
Hier ist die Preis Leistung echt beeindruckend.

Das spannendere Netz welches wir Ende des Monats installieren ist das neue Rechenzentrum in Warschau von FirstData für alle Kreditkarten Operationen ist East Europe.

Hier wird sowohl 10G zwischen den beiden Rechenzentren als auch 10G ins Netz als HA Cluster aktive/aktive/aktive geschaltet.

Dazu hatten wir diese Firewalls im Test. PAN, Checkpoint, Cisco, Juniper, und Sonicwall.
Vorab, die Sonicwall 10000K haben wir erst gar nicht allen Tests unterzogen. Ich weiss wirklich nicht was die mit dem SonicOS in dieser Gewichtsklasse wollen. Übrigens stecken da drin 96 Cavium Kerne.
Vielleicht ist so ein Gerät (Preis eben) geignet wenn ich einen einzelnen Servercluster mit ein paar wenigen Protokollen auf 10G im Datacenter absichern will.

PAN ist nicht nur wegen der Performance sondern auch wegen der AngriffsVektoren leider rausgeflogen.

Zwischen Cisco und Checkpoint wars es dann eine ‚Geschmacksentscheidung‘ und nun werden da vier Checkpoint 13800 installiert, wobei das IDS bei den Cisco Sourcefire allen um eine Technologiestufe voraus ist. (Absolute Transparaenz bei Malware Alerts. Man sieht genau warum und was im Paket los ist.)
Da würde ich gerne auch mal eine FireEye in die Finger bekommen. Dazu hatte ich leider noch keine Gelegenheit.

Wir hacken auch im Auftrag (immer nur den Auftrageber und haben da mit PAN’s schon nette Sachen erlebt.
Als Layer 7 Application Fingerprint Firewall um granuliert große Client Netze zusätzlich abzusichern super aber nie im Datacenter alleine.
Gründe warum dort Checkpoint installiert wird.
a) Performance
Anbei noch ein Real World Test der 70.000 Euro Klasse.
Checkpoint und PAN beide gleich konfiguriert .
PAN: 980MB/S
Checkpoint 3000 MB/S
https://www.youtube.com/watch?v=ke261SNrCLw
Da kommen halt die vielen kleinen MIPS Kerne der PAN an Ihre Grenzen trotz netten Befehlssatz für IP.

Bei der SSL Performance sieht das ganze noch erheblich drastischer aus, hier ist allerdings die Cisco Sourcefire heftig. Locker 5-10 mal schneller bei 2048Bit SSL als alle anderen sowohl bei den TPS als auch bei Mbps (allerdings hat die auch eine dedicated SSL Appliance).
Sogar die Sonicwall war hier deutlich schneller als die PAN.

Hier muss man dringend darauf achten ob man TLS oder SSL traffic hat. Da gibt’s dann heftige Unterschiede zwischen den Herstellern


b) Application Identification (Appid)
Hier ein älteres Video. Wenn ich zuviel über die aktuellen Evasions schreibe bekommen wir vielleicht keine Teststellungen mehr von PAN, aber nur so viel, seit dem 4er OS ist es nicht unbedingt besser geworden.
http://www.you2repeat.com/watch/?v=VTl3gkMOGWA

Appid gibt es schon sehr lange als Technologie in Firewalls aber war damals kein „user controlled feature“.

PAN’s sehe ich eher in Enterprise Centric Umgebungen aber nicht für Datacenter.
Ich bin trotzdem ein recht großer PAN Fan für die Layer 7 inspection, mir persönlich gefällt allerdings die CP functionality einiges besser bei vielen Anwendungsfällen (Management, IDS etc.).

Das große Problem bei APP-ID ist leider immer noch das Cache Poisening.

Bei App-ID wird eine Menge Preprocessing getrieben (Fragementation und Segmentation ,Angriffe haben da immer ein relativ einfaches Spiel).
Der Traffic muss fast immer Bi-directional sein bevor der Fingerprint Ihn einordnen kann (TCP 3 Way Handshake).
Reine APP-Id inspection schaut in nichts hinein jenseits der Application ID.

Die reinen APP-ID Firewall müssten immer den ganzen laufenden Traffic ansehen (wird meistens nicht gemacht, sondern nur ein paar 1000 Bytes ( Stichwort: Start the application connection with something and switch it over later in the stream).

„Unknown Traffic“ an eine APP-ID Firewall senden macht immer großen Spass. (unknown TCP). Dann wird der Traffic meist in den Asic/MPU runtergeschickt und nicht mehr inspected. Auch bei der Benutzung von TOR wird es lustig.

Nach den neuen Patches für Pan OS 6.x erlangt die FW wenigstens knapp das Sonicwallrating bei dem NSS Test. Aber sowas ist für kritische Datacenter ein nogo. Checkpoint erreichte übrigens nach den Patches ein 100% Rating.

Zwei Tips noch.:
Unbedingt Mismatched overlapping TCP segment” protection im Zone Protection profile einschalten bei den PAN’s, ansonsten ist das eigentlich keine Firewall mehr. Auch den Application Cache Abschalten (CLI: set application cache no).
Nun die Performance mit diesen Einstellungen haben wir erst gar nicht mehr getestet.

So nun muss ich aber los.

Grüße

Noch eine kleine Anmerkung zum HA. Bei einem Kunden haben wir NAT für die IPSEC Tunnel mit floating IP. Beim Failovertest werden diese NAT Regeln nie auf den Traffic angewandt. Laut PAN Support bekannt.
Bitte warten ..
Mitglied: Der-Phil
05.08.2015 um 16:41 Uhr
Hallo!

Das sind wirklich interessante Punkte. Mir fehlt da ein so weit gehender Marktüberblick, deswegen finde ich solch detaillierte Posts immer wirklich spannend.

Sonicwall ist einfach nicht meins und ich befürchte, das bleibt so. Viel zu viele Punkte sind nur "global" zu konfigurieren, wie auch die Decryption. Das ist mir zu statisch und zu unflexibel.

PAN ist sicherlich nicht der Weisheit letzter Schluss, aber bisher das "kleinste Übel", was ich in den Händen hatte. Trotzdem traurig, dass die kleinen Funkwerk-Router doch noch routingtechnisch vor den PAN-Geräten sind.

Phil
Bitte warten ..
Mitglied: Dobby
05.08.2015, aktualisiert um 18:57 Uhr
Dobby das du Humor hast finde ich schon mal gut. „Klassenprimus“.
Na klar alle sind besser als Palo Alto Networks, nur wie schaffen die es
dann zum vierten Mal in Folge! das sie in Gartners Magic Quadranten
für "Enterprise Network Firewalls" im Feld der "Leader" gelandet sind.

Ja wo sind denn nun Deine ganzen tollen Firewalls?
Und das auch ganz ohne dusselige YouTube Filmchen!

Gruß
Dobby
Bitte warten ..
Mitglied: mobuydev
16.08.2015 um 02:28 Uhr
Hallo Phil,
danke für deinen konstruktiven Kommentar.
Ja diese Sonics sind echt nix für flexible größere Netze, aber für unter 4K Dollar ein Netz mit echten 300-500mbit HA abzusichern ist echt was. Man darf nur keine spezielleren Anforderungen haben. Wenn das Budget frei ist und ich wählen kann dann immer PaloAlto als single Lösung. Wenn ich noch mehr Budget habe und echte Datacenter Security benötige Checkpoint oder Cisco at the front. Danach APP Inspection mit Palo Alto.
Wenn ich wählen muss und mich für eines entscheiden.
Low Cost (unter 20K) Sonicwall, (alles unter 3000 Serie von Palo Alto braucht schon ectrem Geduld).
Über 20K und security reason , Checkpoint oder Cisco.
Über 20K und single Admin Palo Alto.
Über er 50K und mehr Checkpoint, Cisco und dann PaloAlto danach.

Hallo Dobby,

ich denke das kann man aus deinen Kommentaren entnehmen das du ein intelligenter Mensch bist.
Ich kann nichts dafür das du bei PaloAlto arbeitest oder du diese APP Walls in deiner Firma eingekauft hast.
Sie sind technologisch schon spitze nur nicht only als FW Gateway. Seit Pan OS 5.x gibts es diese Evasion Fails,
und nun was soll ich außer im Post oben groß dazu sagen.

Dazu habe ich versucht Beispiele aus dem realen High Secure Umfeld zu bringen.

Ja und es sind nicht meine " ganzen tollen Firewalls" und auch nicht Deine, nebenbei auch nur real live Tests bei den YouTube Filmen.
Ich kann Dir auch gerne Tabellen senden.
Aber nun gut du bist anscheinend beleidigt dabei müsste eigentlich deine Intelligenz dich 'ermahnen'
Du merkst ich gehe auf solche Posts entsprechend unkonstruktiv ein. Du kannst mich gerne zu einen PaloAlto live Hack (nach Tagessatz. oder Pauschal (wenn Datenveränderung und Eindringen erfolgreich ist gibt’s es die Rechnung sonst nicht) einladen.

Du weißt schon welche Parameter Gartner an die Quadranten (übrigens ohne Skala) anlegt?. Mal nen ganzen Report gelesen ?
Revenue, Gross Margin etc.

Wir in der Branche witzeln damit:

I CAN

FIX IT

Vendor: You should buy our product. We’re the best.
Customer: Why are you the best? Are you the fastest or the lowest cost? Why should I buy your product?
Vendor: We’re the best because Gartner says so.

Liebe Grüße und einen hoffentlich anregenden Diskurs.
Bitte warten ..
Mitglied: Dobby
16.08.2015 um 17:21 Uhr
denke das kann man aus deinen Kommentaren entnehmen das du ein intelligenter Mensch bist.
Nein bei nichten sonst hätte ich hier nicht ein einziges Mal geantwortet!

Ich kann nichts dafür das du bei PaloAlto arbeitest
Wenn dem so wäre würde ich ganz anders argumentiert haben oder gerade deswegen
rein gar nichts dazu erzählt.

oder du diese APP Walls in deiner Firma eingekauft hast.
Hat Dir einer einen Vorwurf gemacht? Hat das jemand behauptet?
und was wir in der Firma einsetzen ist doch gar nicht Gegenstand der hiesigen
Diskussion und auch sonst nicht von Belang.

Sie sind technologisch schon spitze nur nicht only als FW Gateway.
Es sind eben NG-Firewalls und nicht mehr aber eben auch nicht weniger und die fangen
in der Regel dort an wo das Pensum der normalen Firewalls erschöpft ist und wo UTMs
nicht mehr reichen und/oder weiter kommen.

Seit Pan OS 5.x gibts es diese Evasion Fails, und nun was soll ich außer im Post oben
groß dazu sagen.
Der Legende Deines Avatars nach hast Du bis Dato nur in diesem Beitrag etwas gesagt, oder?
Ich soll Dir doch wohl jetzt nicht schreiben was Du sagen sollst, nach dem Du schon Position
bezogen hast, oder?

Dazu habe ich versucht Beispiele aus dem realen High Secure Umfeld zu bringen.
????

Du brauchst Dich hier mir gegenüber nicht zu rechtfertigen, so wie andere übrigens auch nicht,
nur wenn jemand eine Frage in einem Forum stellt und ich antworte kannst Du damit zufrieden
sein oder eben auch nicht, nur was das ganze PA Bashing hier soll verstehe ich nicht.

Niemand hat sie, niemand kauft sie und niemand will sie, nur die Firma PA verkauft eben jedes
Jahr immer mehr von ihren Geräten, der Aktienkurs steigt und man wird immer wieder in Gartner
seinem MQ in ein und der selben Ecke namentlich genannt! Komisch oder?

Ja und es sind nicht meine " ganzen tollen Firewalls" und auch nicht Deine, nebenbei
auch nur real live Tests bei den YouTube Filmen.
Wenn man auf Youtube Filme sieht die einem ein Produkt oder seine Eigenschaften näher
bringen oder sogar beschreiben und man kann das auch nachvollziehen, ist das in völlig
in Ordnung. Nur wenn man das ganze dort nicht nachvollziehen kann, dann ist der ganze
Film ein Witz!

Ich kann Dir auch gerne Tabellen senden.
Du bist hier seit 30.07.2015 Mitglied ich kenne Dich nicht und Du möchtest mir etwas schicken
nach einer kontrovers verlaufenden Diskussion? Hmmm, na ich weiß ja nicht so recht, aber ich
hoffe Du nimmst mir dass nicht übel das ich davon lieber Abstand nehmen möchte.

Aber nun gut du bist anscheinend beleidigt dabei müsste eigentlich deine Intelligenz dich 'ermahnen'
Naja das kann sicherlich auch schon einmal vorkommen, nur das Du mir nun sagst was ich zu tun habe
oder lassen soll und Dich dann hinter irgend etwas versteckst ist mir auch eigentlich etwas zu suspekt.
Denn wenn ich hier nicht mehr auf irgend welche Fragen antworten soll, kann mir das auch ruhig ein
Admin oder Frank selber sagen und nicht jemanden der sich hier während der Schulferien angemeldet
hat.

Du merkst ich gehe auf solche Posts entsprechend unkonstruktiv ein. Du kannst mich gerne zu einen
PaloAlto live Hack (nach Tagessatz. oder Pauschal (wenn Datenveränderung und Eindringen erfolgreich
ist gibt’s es die Rechnung sonst nicht) einladen.
Ich denke das ich genau so etwas nicht machen sollte denn es gelten hier in Deutschland seit kurzem
sogar noch mehr verschärfte und veränderte Gesetze. Wenn Du so gut bist warum gehst Du nicht zu
Palo Alto und verdienst dort Dein Geld.

Du weißt schon welche Parameter Gartner an die Quadranten (übrigens ohne Skala) anlegt?.
Mal nen ganzen Report gelesen ?
Revenue, Gross Margin etc.
Nein und warum auch?

Liebe Grüße und einen hoffentlich anregenden Diskurs.
In meinen Augen bist Du nur ein kleiner Schulferien Troll.

Gruß
Dobby
Bitte warten ..
Mitglied: mobuydev
17.08.2015, aktualisiert um 04:35 Uhr
Hallo Dobby,
ich versuche mal einige Kleinkindbemerkungen mit schmunzeln zu überlesen.

Der bissige Seitenhieb am Anfang war Ironie und du bist prompt darauf eingestiegen, sehr schön. Deiner Ausführung dazu kann ich leider nicht folgen.
Vorab kann ich dich beruhigen ich hab mein Informatik Studium schon zur Jahrtausendwende abgeschlossen.

Checkpoint und Freunde sind ewig schon keine NG Firewalls mehr, Checkpoint bietet APP Firewalling schon Jahre an. (Cisco, erst durch den Zukauf von Sourcefire)

Richtig ich habe nur zu diesem Beitrag was geschrieben, da ich zufällig auf diesen gestoßen bin und mich registriert habe um einige brauchbare Fakten (außerhalb von 'Grabbeltischen' als Argumentation) beizutragen, es muss aber nicht dabei bleiben.
Gerechtfertigt habe ich mich nirgendwo, allerdings verwundert mich der größte Teil deines Postings schon ein wenig. Ich schätze kontrovers Verlaufene Diskussionen sehr, weil diese einen wirklich weiterbringen, schade dass du das anders siehst.

Mit der YouTube Performance Film Kritik gebe ich dir durchaus Recht, da man dort keinen differenzierten Einblick in die Einstellungen der Testgeräte bekommt und damit ist das natürlich weniger aussagekräftig. Wir haben allerdings ähnliche Erfahrungen hier gemacht.

Deine Antwort auf: „Aber nun gut du bist anscheinend beleidigt dabei müsste eigentlich deine Intelligenz dich 'ermahnen'“ verstehe ich leider komplett nicht. Eventuell solltest du über die Bedeutung des Satzes noch einmal genau nachdenken.

So nun kurz noch zu Gartner, da diese Quadranten, sowie der Aktienkurs deine nahezu alleinige Argumentationskette bildet, dachte ich dass du wenigstens einen Report mal gelesen hast. Nun da scheint sich dann das „Wissen“ leider auf den gleichen Fundamenten wie das Wissen zu den Hacker Paragraphen zu befinden.

Ein paar Fakten zum Schluss.
er sogenannte Hackerparagraf: § 202 StGBD und weitere.

Das deutsche Strafrecht stellt unter gewissen Umständen sowohl den Besitz als auch den Einsatz von sogenannten Hackertools unter Strafe. Die Strafbarkeit hängt aber von der subjektiven Vorstellung des Handelnden ab.
Sowohl Penetrations- und andere Sicherheitstests können in Deutschland, Österreich und der Schweiz (sowie anderen Ländern) nur durchgeführt werden, wenn dies zwischen der zu testenden und der den Test durchführenden Organisation vereinbart wurde. Dies ist in der Tatsache begründet, dass einzelne Tests Straftaten sein können.

Das Bundesverfassungsgerichts hat folgendes verlautbart:
Denn ein Risiko strafrechtlicher Verfolgung sei bei einer verfassungskonformen Auslegung des Gesetzestextes für die genannten Tätigkeiten im Umgang mit derartigen Programmen nicht gegeben. Ferner hat das Gericht einige Fallbeispiele aus der Praxis erläutert. So wurde z.B. die Nutzung so genannter Dual-Use-Software sowie „Schadsoftware“ aus zweifelhaften Quellen im Internet, weitgehend als mögliche Strafbarkeit ausgeschlossen, wenn diese im Rahmen von Penetrationstests eingesetzt werden.

Dann noch was zu den Marktzahlen:
Security-Appliances weltweit vom 1. Quartal 2014 bis zum 1. Quartal 2015
Da Schwanken alle Hersteller über die ganze Zeit nur um ca. 1%
Cisco 17,5%, Checkpoint 13%, Palo Alto, 8%, Fortinet 7%, BlueCoat 5%, Andere 50%
Quelle : http://de.statista.com/statistik/daten/studie/434259/umfrage/marktantei ...

So nun entspann dich und Grüße
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Palo Alto PA-200 URL Filtering

Frage von Yannosch zum Thema Firewall ...

Firewall
Problem Webinterface Palo Alto PA-200

Frage von Yannosch zum Thema Firewall ...

Router & Routing
Verständisfrage Layer 3 Switch - Firewall - VLAN (4)

Frage von praxxzz zum Thema Router & Routing ...

Router & Routing
gelöst Layer 3 Switch Routing nach Firewall (5)

Frage von gansa28 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (19)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...