Názory k článku
Hardwarový firewall Turris Shield zabezpečí síť laikům i profesionálům

Komedie okolo Turrise se se opakuje.

Tak lajků kteří touží dát za krabičku navíc xxxx,- s DPH je, že se budou moc utlouct. O tom že jen pří zapojení před domácí router se uživatel na Internet nedostane , tedy pokud mu to připojit půjde fyzicky....

Ach jo to je zase PR, hádám že nějakém HUBU v diskuzích o tom půjde o ty nejvyšší posty teoretických debatních kruhů.

Na oznámení mi připadá nejlákavější cena, která je stejná jako u samotného modulu MOX A, byť jde o kombinaci modulu A a C (byť tedy v Turris Shieldu má modul A jen 512 MB RAM). Pro pokročilého uživatele, který shání drátový router s dobrou podporou OpenWRT a pravidelnými updaty to může být velmi vhodná volba.

Co se týče běžného spotřebitele, tak to zcela ignoruje fakt, že velká část jich není připojená Ethernetem a od poskytovatele služby dostává povinně krabičku s Wi-Fi, přičemž rezidentní ISP se předhánějí mimo jiné výkonností Wi-Fi v této krabičce. Takže vypínat Wi-Fi a pořizovat samostatné Wi-Fi AP jako třetí krabičku je pro běžného spotřebitele úplně mimo realitu. Nehledě na to, že každá z těch tří krabiček bude od výroby v režimu NAT routeru a kvůli špatně navrženému adresnímu plánu (zdravíme O2 a PODA), případně nedokonalosti zařízení (zdravíme exUPC Vodafone), se nepovede až na tuhle třetí krabičku dostat IPv6, takže domácí síť pojede IPv4 only.

Navíc celá představa bezpečné domácí sítě, do které je možné zapojit cokoli a jakási krabička na perimetru zajistí její bezpečnost je úplně špatná až nebezpečná. Bezpečnost patří na koncové body. Domácí síť je součást internetu a má k ní být tak přistupováno, tedy co je připojeno v domácí síti, je připojeno k internetu.

2. 9. 2020, 11:07 editováno autorem komentáře

Máte pravdu, ale znamená to jen, že
1. skupina zákazníků je omezená;
2. naopak teprve takováto krabička zapojená jako vstupní zařízení v některých sítích může zpřístupnit IPv6;
3. zařízení zvýší bezpečnost sítě (i když ji nemůže vyřešit zcela - třeba to jen hloupě napsali), obzvláště v případech, kdy se na ni se*e zcela (což je standardem).

Mně spíš přijde nepravděpodobné, že by BFU vynakládal nějaké peníze na bezpečnost sítě.

Dovolim si drobne polemizovat s poslednim odstavcem. Domnivam se ze je vhodne nektere hrozby likvidovat na perimetru a to z duvodu ze se s nekterym utokem koncova stanice spatne vyrovna, pripadne dojde k zahlceni LAN pred koncovym bodem. Tedy mam na mysli zejmena likvidace DOS utoku jako je ICMP attack, NTP attack, UDP flood a pod. Tyto utoky mohou napriklad slozit laciny switchik v LAN a pak je obrana v koncovem bode na pendrek.

To není polemika vždy vymyslíte případ kdy to bude mít pozitivní dopad.
https://cs.wikipedia.org/wiki/Russellova_%C4%8Dajov%C3%A1_konvice

jenže tady není řeč o tom že pravděpodobnost jě větší než 0 , ale ten případ se týká kolika procent % SOHO klientů? S tím, že pokud to je měně než xx% tak se to nevyplatí dělat.

....Vhledem k tomu, že na WAN bude pravděpodobně zamčený DOCSIS nebo VDSL zařízení můžete si ho píchnout až tam.....

Myslim ze " pokročilý uživatel, který shání drátový router s dobrou podporou OpenWRT" má i lepší volby a měl je ještě než MOX začal kickstarter. Cena je možná lákavá ve srovnání s jinými MOX sestavami ale už tak ne ve srovnání s jiným hardware.

Když už bych chtěl identickou platformu Marvell Armada 3700LP tak levnější je třeba http://espressobin.net/ rovnou z Amazonu s DPH a dopravou $110 https://www.amazon.com/ESPRESSObin-Single-Computer-Network-Switch/dp/B07KTMBCS1 ma to navic 1GB RAM (DDR4) a sata a usb 3.0 rovnou na desce a minipci slot uvnitr.

Starsi verze s DDR3 RAM (coz ma jeste i MOX) jsou i levnejsi.

"Turris Shield stačí totiž zapojit před běžný domácí Wi-Fi router, díky čemuž dojde k zabezpečení celé domácnosti či kanceláře" je evidentně úplný nesmysl, protože to stále nezabrání útokům zařízení v LAN na sebe navzájem, což jak ransomware ukazuje je často mnohme větší problém, než útoky zvenčí, které odfiltruje i pitomý firewall ve Windows.

Detailní specifikace je zase jedno velké tajemství, takže krom toho že jem nějaký Marvell (jako ve všech aktuáůlních turrisech) nevíme vůbec nic. Nevíme jestli to teda distrubuje nějaké HW akcelerované ACL nebo to všechno filtruje softwarově, nevíme jakou to má propustnost, jestlit o dokáže filtrovat 1 Gbps 64B pakety line-rate. Nevíme jestli to dělá deep packet inspection. Nevíme jestli to dokáže klasifikovat šifrovaný obsah po vozoru moderních enterprise zařízení. Nevíme co z těch funkcionalit už je (případně spíše teda není) naimplemntované v OS. Nevíme jestli je VPN HW akclerovaná a jakou propustnost můžeme očekávat.

Takže nevíme celkem nic, krom toho že to má jednu vypnutelnou LED.

umožní ještě lepší sběr dat, čímž pomůže k vyšší bezpečnosti

Inu, vše je, jak vidno, relativní.

Co je na tom firewallu "hardwaroveho"? Ze bezi na nakem zeleze? Ale to snad kazdej software. Ja bych spis rekl ze je to dedikovanej firewall...

Hardwarový zde znamená, že je to dodávané v podobě krabičky, zřejmě pro odlišení od produktů jako Windows Firewall, což je jen software, který si nainstalujete na svůj vlastní počítač.

Obdobně jako můžete mít třeba hardwarovou a softwarovou kalkulačku. Obě budou realizované jako software, ale ta první k tomu bude mít i svůj vlastní hardware.

Ty pojmy nejsou úplně striktně oddělené, ale někdo vnímá jako hardwarový firewall takový, který má speciálně vyvinuté čipy pro danou činnost. I dvě síťovky ve Windows bridge můžeme nazývat "switchem", a když to bude dedikovaná mašina, tak i hardwarovým switchem - ale na takovém označení bychom se asi široce neshodli.

až na to, že i ty HW FW řeší spousty věcí přes SW a nikoliv nějakým specializovaným obvodem. Je pak docela utrpení zjistit, co je akcelerované, abych ho vysokým provozem neudusil.

Krátce řečeno, HW FW se za mě považuje dedikovaný kus HW, který slouží jako FW, ať už si to interně řeší jak chce.

Je pak docela utrpení zjistit, co je akcelerované, abych ho vysokým provozem neudusil.

Amen.
Např. odroutovat UPC linku do tří směrů a použít VRF totálně zabije jakéhokoliv levnějšího Mikrotika, protože se vyřadí všechny FastTracky a FastPathy a všechno teče přes CPU. Nahodíte HTB a vše teče jen přes jedno jádro (pročež CPU load se stále ukazuje nízký, i když nestíhá)... O IPSec nebo jakémkoliv jiném šifrování v řádu desítek megabitů si může člověk jen nechat zdát. ...dočíst se to dá, ale je to práce pro detektiva a výsledek je nepotěšující.

2. 9. 2020, 15:08 editováno autorem komentáře

A kdyz si koupim podobnou "krabicku" postavenou na x86-architekture (treba apu od pc-engines), nainstaluju windows, vyhazim vse zbytecne, a budu vyuzivat jen firewall, pak to taky bude "hardwarovej firewall"? Nebo je "Windows Firewall" dle vas vzdycky softwarovej firewall (a treba pfSense softwarovej nebo hardwarovej)?

Nic ve zlym, ale tohle je podle mne ptakovina. Na rozlisovani jestli firewall (kterej je vzdycky softwarovej!) bezi na svem vyhrazenem hardware nebo ne, se mnohem lepe hodi vyraz "dedikovanej" (nebo nededikovanej) firewall. Taky se pouziva vyraz "firewall appliance" (to si netroufnu prelozit do cestiny). "Hardwarovej firewall" je vyraz kterej vubec nevystihuje skutecnost...

A kdyz si koupim podobnou "krabicku" postavenou na x86-architekture (treba apu od pc-engines), nainstaluju windows, vyhazim vse zbytecne, a budu vyuzivat jen firewall, pak to taky bude "hardwarovej firewall"?.

Ano. Zejména pak v případě, pokud takovýto produkt budete posléze někomu nabízet jako hotové řešení, které příjemce jen rozbalí a zapojí.

a treba pfSense softwarovej nebo hardwarovej

Pokud koupíte pfSense v krabici spolu s hardwarem, je to HW firewall. Pokud si pfSense stáhnete a k němu si někde seženete dedikovaný HW, zase je to HW firewall. Pokud si pfSense stáhnete a nainstalujete do virtuálního počítače,… pak to začíná být komplikované :)

Kdybych tu otázku rozšířil: jsou dnešní CPU od Intelu hardwarové nebo softwarové? V každém z nich je mikrokód, tedy software, který ovlivňuje jeho vlastnosti a bez kterého nefungují. Znamená to tedy, že jsou to softwarové CPU?

A když si koupím třeba televizi, třeba s OS Android TV, je to softwarová nebo hardwarová televize?

Komedie. Za 11kkc se da poridit podobne maly supermicro server se 4 intel gb ifacy, hw akceleraci, ilo s vlastnim iface, a na to zadarmo pfsense se suricata, squid s clamav, blokaci dle dynamickych listu, na urovni dns, openvpn atp.

Až na to, že tě to sežere na elektřině a budeš si na to muset najmout admina, protože to cílovka tohoto produktu nezvládne ani zapojit do zásuvky.

Zatímco ta samá cílovka dá 3kKč za krabičku, která nedělá "nic"? Ta samá cílovka, která řeší, jestli internet stojí 250 nebo 350 Kč měsíčně?

Je to o prioritach a hodnote. Soused zednik dal 300kkc za ojeté auto, ale nechce ale dat tu samou částku za pripojeni k internetu.
Ani pražáci to většinou nedají protože jsou zvyklí že k nim vsechno vede a komancove k nim sítě natáhli "zadarmo". Velkej problém dat 30kkc za prekop chodníku.
Vážně nechápu jak se isp vyplatí za 250kkc vůbec za pripojeni poskytovat. Ti lidé to musejí dělat jen za chleba a vodku a bydlet v zemljance.

Tak existují i komba spravovane ASA/PFsense/Sy­nology/Zywall/For­tigate/Unifi/Ed­geR/Mikrotik se da poridit za litr mesicne s 24/7/365 dohledem.

Neni to sice ekvivalent k vlastnimu adminovi ale zakladni analytika tam je, s krabickou bez zpravy se to porovnavat neda. Nicmene narozdil od niceho je to proaktivni system.

Stejne to k tomu speje, symatec/f5 uz ted maji armady "indu" kteri to resi ve vyssich radach/odberech ad-hoc mistro stroje. V nejakem mnozstvi se proste zaplati armada 50+ operatoru kteri to jedou nonstop s petiminutovym spozdenim.

I u malejch firem se da sit rozdelit na vlany a tem nastavit globalni pravidla, my mame ve firme co uzivatel co vlana, co typ zarizeni to vlana pak naskladat ve firewallu kdo smi co je alespon zakladni ransomware ochrana - samozrejme v kombinaci s out-of-box kontinualnim verzovanim/zalohou sdilenych sluzeb.

Driv nebo pozdeji to bude proste vse na bazi predplatneho takze je na zvazeni jestli mini firma/urad o 5ti lidech bude platit 10x10 dolaru za ochranu we widlich nebo 80 dolaru za ochranu s indem v zadech.

Nechápu jak můžete porovnávat řešení za 12000 Kč ročně s řešením za 2990Kč jednorázově.

Navíc když je Turris centrálně spravovaný proaktivní firewall.

Navíc když je Turris centrálně spravovaný proaktivní firewall.

Ovšem bez garance a teoreticky ten projekt může za měsíc skončit (samozřejmě nepravděpodobné, ale když se to stane, nenaděláte nic).

tak to radsi starsi fortigate za par korun z ebay

Furt nechápu, jak po těchto šílenostech 1 2 3 může kdokoli používat cokoli co začíná na Forti.

Dovolim si jen doplnit ze krome PF-Sense je zdarma (pro domaci pouziti) i Sophos ktery zrejme bude mit lepsi vysledky v zachytu viru a v DPI. Ja bych do toho Mikroserveru urcite Sophos zkusil.

Pf-sense nejde na ARMech, ne?