Aktuelle Sicherheitslücken

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

13.12.2022 - 14:20

sry no offense sollte nicht böse rüberkommen. ich bin nur selber ein bisserl enttäuscht von dem "Run" den fortinet da grade hat.

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2568

13.12.2022 - 20:19

Der Run ist sicher nicht vertrauenserweckend, keine Frage.
Aber wenn Cisco bei Produkten welche noch nicht EoL sowie unter Wartungsvertrag sind meint, dass kleinere Bugs, die für Kunden jedoch Showstopper darstellen meint, dass jene in Versionen gefixed werden, welche die eingesetzte Appliance nie zu Gesicht bekommen wird ist das auch nicht unbedingt vertrauenserweckend.
Selbiges gilt btw. auch für zentrale Features derer Software, die auf Komponenten anderer Hersteller aufbauen, welche nach 2 jahren bekannter CVEs endlich überarbeitet werden und die letzten Workarounds mittels Registryeinträgen in wenigen Monaten unbrauchbar werden und jene Features nach wie vor nicht überarbeitet wurden.
Wie soll denn ein solcher Hersteller als brauchbare Alternative verkauft werden?

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

13.12.2022 - 20:49

cisco würd mir für FW nicht im Traum einfallen, das hatten wir auch schon und sind froh da weg zu sein

aber lassen wir das, das ist jetzt wirklich OT

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50484

13.12.2022 - 21:04

Aber welche würdest sonst nehmen? Von F5 hört man ähnliches. Auch wenn der Fortimanager wirklich mist ist und die Partner auch eher am Verkauf von HW interessiert sind und weniger an (bezahltem) Support

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

13.12.2022 - 21:31

wir haben auch noch palo alto, die haben zumindest security technisch jetzt nicht soo einen lauf hingelegt. gibt ein paar andere sachen die nerven aber würde ich im moment vorziehen.

edit: ich bin ja generell überhaupt kein Fan davon immer irgendwelche proprietären Appliance Lösungen einzusetzen aber ich bin auch ned der der entscheidet.

Bearbeitet von davebastard am 13.12.2022, 21:42

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12146

13.12.2022 - 21:40

Cisco statt FortiIrgendwas - mit Wucht vom Regen in die Traufe?

Wenn ich nicht selber machen will oder kann, kaufe ich mir eine OPNsense- oder zur Not auch pfSense-Appliance. Da ist dann wenigstens offensichtlich, was an Software darin werkt, und ich trete mir keinen unvermittelt in eine RCE explodierenden `sslvpnd` ein. Weil alles quelloffen ist, kann man als aufs eigene Image bedachter Hersteller das Software-Innenleben auch nicht ohne die geringste Ruecksichtnahme auf... nun, nennen wir es "Cyber-Hygiene", zuscheiszen, wie das ganz offensichtlich bei anderen Firmware-Giftmischern ohne die geringsten Skrupel seit Jahren Usus ist.

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3571

13.12.2022 - 21:43

Wir sind in der aktuellen Firma von einer Checkpoint auf eine hybride F5/Palo Alto gewechselt, und das war in Wirklichkeit vom Regen in die Traufe. die Fortigates in der vorigen Firma waren jetzt auch ned wirklich der Traum eines jeden Netzwerkers.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

13.12.2022 - 21:44

Zitat
Wenn ich nicht selber machen will oder kann, kaufe ich mir eine OPNsense- oder zur Not auch pfSense-Appliance. Da ist dann wenigstens offensichtlich, was an Software darin werkt, und ich trete mir keinen unvermittelt in eine RCE explodierenden `sslvpnd` ein. Weil alles quelloffen ist, kann man als aufs eigene Image bedachter Hersteller das Software-Innenleben auch nicht ohne die geringste Ruecksichtnahme auf... nun, nennen wir es "Cyber-Hygiene", zuscheiszen, wie das ganz offensichtlich bei anderen Firmware-Giftmischern ohne die geringsten Skrupel seit Jahren Usus ist.

ack am besten mit wartungsvertrag dass ichs wen anderen umhängen kann wenn man sich nimma raussieht

interessehalber: was ist eine hybride F5/palo alto? ich dachte das wäre entweder oder? ich hatte aber mit f5 noch keine Berührungspunkte

checkpoint kann ich nur von einer partnerfirma sagen dass die auch immer wieder Probleme haben... halt aber andere Sachen, eher instabilitäten. z.B: dass die ssl inspection amok läuft. Außerdem habens keinen gscheiten linux VPN client bzw. keine gscheite doku dafür wie man sich mit strongswan verbindet.

Bearbeitet von davebastard am 13.12.2022, 21:50

UnleashThebeast

unsäglicher Prolet

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3571

13.12.2022 - 21:56

Frag mich bitte nix genaues dazu, ich bin nicht im Netzwerkteam. Irgendeine Frickellösung mit der F5 als Hauptfirewall, dahinter dann für die unterschiedlichen Datacenter mit Palo und fürs VPN auch mit GlobalProtect. Die Kapsch hat den Bledsinn zwar verkauft, verzweifelt aber regelmäßig daran.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

13.12.2022 - 21:58

achso also mehrere firewalls wo manche F5 und manche Palo sind verstehe

Viper780

Elder
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50484

13.12.2022 - 22:00

Hat schon seine Vorteile, dann bist wirklich von jeder Sicherheitslücke betroffen. Perfekter Honeypot

Palo Alto kenn ich nur die VPN Lösung. Die ist erstaunlich angenehm einzurichten und zu verwenden

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11295

13.12.2022 - 22:04

Zitat aus einem Post von davebastard
achso also mehrere firewalls wo manche F5 und manche Palo sind verstehe

Big-IP für deine Frontend Server + random Vendor für den "Rest" ist eigentlich sehr verbreitet.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12469

13.12.2022 - 22:08

verstehe, ich hab nicht mit so großen umgebungen zu tun...war überhaupt nicht negativ gemeint UTB gegenüber...falls der eindruck entstanden ist

Bearbeitet von davebastard am 13.12.2022, 22:10

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2568

13.12.2022 - 22:30

Alle mir bekannten Hersteller und deren Produkte haben ihre Vor und Nachteile. Das gilt für hochpreisige Checkpoints, günstigere Cisco (sei es Firepower oder ASA), Forti oder auch opnsense. Palo kenn ich nicht persönlich, hab aber auch schon sowohl gutes als auch schlechtes darüber gehört.
Ein Produkt davon zu verteufeln halte ich aber für Recht engstirnig. Und eine opnSense mit >100 oder gar 1000 Regeln mag ich auch sicher nicht managen. Sobald da die Policy troublegeshootet werden muss kannst dir die Kugel geben.

Ein zweistufigen Konzept mit unterschiedlichen Herstellern macht btw. durchaus Sinn. Wenn es bei einer der beiden FWs zu einer groben Sicherheitslücke kommt steht noch eine weitere nicht kompromitierte dahinter und das Netz ist nicht gleich komplett offen.

questionmarc

Here to stay

Registered: Jul 2001
Location: -
Posts: 5046

13.12.2022 - 22:56

Witzig aus meiner Sicht dass Sophos gar nicht vorkommt in eurer Aufzählung. Begleitet mich nun schon ziemlich lange. Gut, die XG Serie und early SF-OS war eher meh, aber da war die SG UTM ja auch noch Core Produkt. Seit die XGS Hardware draußen ist passt aber schon sehr viel und Sync-Sec mit deren Endpoint Lösungen, jetzt mit MDR, imho für mich als Partner schon länger eine gute Lösung ohne große Probleme. Jedenfalls sind wir froh kein Forti Partner zu sein

Und auch "größere" (für uns) Firmen mit 200-300 Leuten sind soweit zufrieden mit Service und Funktion.

Bearbeitet von questionmarc am 13.12.2022, 22:59

davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	13.12.2022 - 14:20 sry no offense sollte nicht böse rüberkommen. ich bin nur selber ein bisserl enttäuscht von dem "Run" den fortinet da grade hat.
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2568	13.12.2022 - 20:19 Der Run ist sicher nicht vertrauenserweckend, keine Frage. Aber wenn Cisco bei Produkten welche noch nicht EoL sowie unter Wartungsvertrag sind meint, dass kleinere Bugs, die für Kunden jedoch Showstopper darstellen meint, dass jene in Versionen gefixed werden, welche die eingesetzte Appliance nie zu Gesicht bekommen wird ist das auch nicht unbedingt vertrauenserweckend. Selbiges gilt btw. auch für zentrale Features derer Software, die auf Komponenten anderer Hersteller aufbauen, welche nach 2 jahren bekannter CVEs endlich überarbeitet werden und die letzten Workarounds mittels Registryeinträgen in wenigen Monaten unbrauchbar werden und jene Features nach wie vor nicht überarbeitet wurden. Wie soll denn ein solcher Hersteller als brauchbare Alternative verkauft werden?
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	13.12.2022 - 20:49 cisco würd mir für FW nicht im Traum einfallen, das hatten wir auch schon und sind froh da weg zu sein aber lassen wir das, das ist jetzt wirklich OT
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50484	13.12.2022 - 21:04 Aber welche würdest sonst nehmen? Von F5 hört man ähnliches. Auch wenn der Fortimanager wirklich mist ist und die Partner auch eher am Verkauf von HW interessiert sind und weniger an (bezahltem) Support
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	13.12.2022 - 21:31 wir haben auch noch palo alto, die haben zumindest security technisch jetzt nicht soo einen lauf hingelegt. gibt ein paar andere sachen die nerven aber würde ich im moment vorziehen. edit: ich bin ja generell überhaupt kein Fan davon immer irgendwelche proprietären Appliance Lösungen einzusetzen aber ich bin auch ned der der entscheidet. Bearbeitet von davebastard am 13.12.2022, 21:42
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12146	13.12.2022 - 21:40 Cisco statt FortiIrgendwas - mit Wucht vom Regen in die Traufe? Wenn ich nicht selber machen will oder kann, kaufe ich mir eine OPNsense- oder zur Not auch pfSense-Appliance. Da ist dann wenigstens offensichtlich, was an Software darin werkt, und ich trete mir keinen unvermittelt in eine RCE explodierenden `sslvpnd` ein. Weil alles quelloffen ist, kann man als aufs eigene Image bedachter Hersteller das Software-Innenleben auch nicht ohne die geringste Ruecksichtnahme auf... nun, nennen wir es "Cyber-Hygiene", zuscheiszen, wie das ganz offensichtlich bei anderen Firmware-Giftmischern ohne die geringsten Skrupel seit Jahren Usus ist.
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3571	13.12.2022 - 21:43 Wir sind in der aktuellen Firma von einer Checkpoint auf eine hybride F5/Palo Alto gewechselt, und das war in Wirklichkeit vom Regen in die Traufe. die Fortigates in der vorigen Firma waren jetzt auch ned wirklich der Traum eines jeden Netzwerkers.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	13.12.2022 - 21:44 Zitat Wenn ich nicht selber machen will oder kann, kaufe ich mir eine OPNsense- oder zur Not auch pfSense-Appliance. Da ist dann wenigstens offensichtlich, was an Software darin werkt, und ich trete mir keinen unvermittelt in eine RCE explodierenden `sslvpnd` ein. Weil alles quelloffen ist, kann man als aufs eigene Image bedachter Hersteller das Software-Innenleben auch nicht ohne die geringste Ruecksichtnahme auf... nun, nennen wir es "Cyber-Hygiene", zuscheiszen, wie das ganz offensichtlich bei anderen Firmware-Giftmischern ohne die geringsten Skrupel seit Jahren Usus ist. ack am besten mit wartungsvertrag dass ichs wen anderen umhängen kann wenn man sich nimma raussieht interessehalber: was ist eine hybride F5/palo alto? ich dachte das wäre entweder oder? ich hatte aber mit f5 noch keine Berührungspunkte checkpoint kann ich nur von einer partnerfirma sagen dass die auch immer wieder Probleme haben... halt aber andere Sachen, eher instabilitäten. z.B: dass die ssl inspection amok läuft. Außerdem habens keinen gscheiten linux VPN client bzw. keine gscheite doku dafür wie man sich mit strongswan verbindet. Bearbeitet von davebastard am 13.12.2022, 21:50
UnleashThebeast unsäglicher Prolet Registered: Dec 2005 Location: 127.0.0.1 Posts: 3571	13.12.2022 - 21:56 Frag mich bitte nix genaues dazu, ich bin nicht im Netzwerkteam. Irgendeine Frickellösung mit der F5 als Hauptfirewall, dahinter dann für die unterschiedlichen Datacenter mit Palo und fürs VPN auch mit GlobalProtect. Die Kapsch hat den Bledsinn zwar verkauft, verzweifelt aber regelmäßig daran.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	13.12.2022 - 21:58 achso also mehrere firewalls wo manche F5 und manche Palo sind verstehe
Viper780 Elder Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50484	13.12.2022 - 22:00 Hat schon seine Vorteile, dann bist wirklich von jeder Sicherheitslücke betroffen. Perfekter Honeypot Palo Alto kenn ich nur die VPN Lösung. Die ist erstaunlich angenehm einzurichten und zu verwenden
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11295	13.12.2022 - 22:04 Zitat aus einem Post von davebastard achso also mehrere firewalls wo manche F5 und manche Palo sind verstehe Big-IP für deine Frontend Server + random Vendor für den "Rest" ist eigentlich sehr verbreitet.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12469	13.12.2022 - 22:08 verstehe, ich hab nicht mit so großen umgebungen zu tun...war überhaupt nicht negativ gemeint UTB gegenüber...falls der eindruck entstanden ist Bearbeitet von davebastard am 13.12.2022, 22:10
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2568	13.12.2022 - 22:30 Alle mir bekannten Hersteller und deren Produkte haben ihre Vor und Nachteile. Das gilt für hochpreisige Checkpoints, günstigere Cisco (sei es Firepower oder ASA), Forti oder auch opnsense. Palo kenn ich nicht persönlich, hab aber auch schon sowohl gutes als auch schlechtes darüber gehört. Ein Produkt davon zu verteufeln halte ich aber für Recht engstirnig. Und eine opnSense mit >100 oder gar 1000 Regeln mag ich auch sicher nicht managen. Sobald da die Policy troublegeshootet werden muss kannst dir die Kugel geben. Ein zweistufigen Konzept mit unterschiedlichen Herstellern macht btw. durchaus Sinn. Wenn es bei einer der beiden FWs zu einer groben Sicherheitslücke kommt steht noch eine weitere nicht kompromitierte dahinter und das Netz ist nicht gleich komplett offen.
questionmarc Here to stay Registered: Jul 2001 Location: - Posts: 5046	13.12.2022 - 22:56 Witzig aus meiner Sicht dass Sophos gar nicht vorkommt in eurer Aufzählung. Begleitet mich nun schon ziemlich lange. Gut, die XG Serie und early SF-OS war eher meh, aber da war die SG UTM ja auch noch Core Produkt. Seit die XGS Hardware draußen ist passt aber schon sehr viel und Sync-Sec mit deren Endpoint Lösungen, jetzt mit MDR, imho für mich als Partner schon länger eine gute Lösung ohne große Probleme. Jedenfalls sind wir froh kein Forti Partner zu sein Und auch "größere" (für uns) Firmen mit 200-300 Leuten sind soweit zufrieden mit Service und Funktion. Bearbeitet von questionmarc am 13.12.2022, 22:59

Aktuelle Sicherheitslücken

Forum Index > Software > Applications, Apps & Drivers

davebastard

schizo

davebastard

Viper780

davebastard

COLOSSUS

UnleashThebeast

davebastard

UnleashThebeast

davebastard

Viper780

spunz

davebastard

schizo

questionmarc