http://securityreactions.tumblr.com/post/134533644467/bypassing-firewall


sophos_videos fortinet_videos firewalls_channel

sonicwall_independent

Next Generation Firewalls (NGFW)


Encryption increasingly used to hide attacks

Dell SonicWall TZ Series 5th Generation. Escrito en primavera 2015

Una característica muy conveniente de los NGFW es la de "3G/4G Modem Failover", que junto al balanceo de varias conexiones simultáneas WAN nos garantiza una conexión permanente a Internet de alta disponibilidad. No olvidemos el punto crítico para nuestro negocio que supone la conexión a Internet con el auge de VoIP IP-PBX (en la nube ó alojado en nuestra infraestructura), donde una caída de Internet puede suponer la incomunicación telefónica del negocio. En cualquier caso existen en el mercados productos balanceadores WAN/ADSL expécíficos con 3G/4G failover, como por ejemplo los balanceadores "Peplink Balance" (http://www.wifisafe.com/balanceadores-adsl.html)

Del mismo modo, SonicWALL integra otras interesantes funcionalidades: proporciona el antivirus de escritorio mediante un enlace de descarga además del incluído en el mismo Gateway, evitando así la compra de un antivirus comercial de escritorio.

Desde Marzo 2013 existen dos categorías de SonicWALL 5th Generation firewall:

  1. TZ Series (gama baja)
  2. NSA (gama media alta)

Oferta de NSA 220 hasta finales de Abril 2015 con el mismo precio del TZ-215, a excepción del coste de renovación de licencias Level-7 firewall anuales (no tiene sentido adquirir un NGFW sin estas licencias). NSA 220 es la solución más económica dentro de su categoría, pero también una solución mucho más potente que el TZ-215 5th Generation.

Dentro de la categoría TZ series, los dos más pequeños TZ-105 y TZ-205 serían apropiados para empresas de no más de 25 empleados. El TZ-215 5th Generation actual resulta conveniente para empresas de hasta 50 empleados siempre y cuando sus 60Mbps Full DPI throughput sean suficientes para nuestra planificación a cuatro años vista. Otra ventaja de los TZ Series es que incluyen Wifi-N, lo cual puede ser de interés para algunas pymes. En cambio nos puede interesar un NSA 220 no sólo por su mayor DPI throughput (muchas amenazas de seguridad actuales vienen encriptadas en el tráfico SSL), sino también por buscar una solución NGFW sin Wifi a ubicar dentro de nuestro Server Room. Mi último cliente tenía el Server Room junto al comedor con sus dos microondas -> interferencias. Un Wifi AP podemos colocarlo donde mejor nos convenga dentro de la oficina. Las soluciones WIFI AP de Dell SonicPoint no parece ser las más populares entre los expertos, existiendo productos WIFI AP más reconocidos como los de Aruba Networks ó Ubiquiti Networks.

Del NSA 220 con respecto al TZ 215 también nos puede interesar su mayor número de licencias SSL-VPN y conexiones RDP (acceder al escritorio de la oficina en remoto).

En cuestión de semanas DELL actualizará los TZ series con la sexta generación de firewalls con mayor CPU, memoria, DPI throughput y SonicOS 6.2 (basado en CentOS). A tener en cuenta con las últimas novedades de fibra existente en el mercado con ofertas de 300Mbs y 500Mbs. Si disponemos de una conexión de fibra de 100Mbs ó superior, conviene un NSA220 en lugar del actual TZ-215 para hacer un mejor uso del ancho de banda y evitar cuellos de botella (mayor DPI throughput del primero: 110Mbps full throughput). Coste alrededor de 900€ primer año con TotalSecure Bundle + renovación de CGSS Bundle a partir del segundo año por ~300€ anuales según el minorista correspondiente. Renovación de equipo NGFW cada 4 años.

Dell SonicWall TotalSecure and CGSS Bundles

Dell SonicWall TZ Series 6th Generation

Dell SonicWALL WAN Acceleration Appliance (WAN optimization)

Dell SonicWall TZ500 Management Monitor


Fortinet

http://securityreactions.tumblr.com/post/137299316242/fortinet-official-response-to-the-backdoor

Sophos