Český CZ.NIC uviedol po routeroch hardvérový firewall pre domácnosti

Značky: Českosiete

DSL.sk, 2.9.2020

Správca českej domény najvyššej úrovne CZ.NIC po WiFi routeroch Turris dnes uviedol na trh svoj nový produkt, hardvérový firewall Turris Shield cielený aj na domácnosti.

Podobne ako pri routeroch sú výhodou automatické aktualizácie, pričom v prípade firewallu sa podľa informácií na stránkach CZ.NIC nasadzujú aktualizácie aj na detekované útoky prebiehajúce na Internete. Denne má firewall dostávať približne 50 takýchto aktualizácií.

Tvorcovia ako jednu z hlavných výhod tiež avizujú zabudovanú podporu VPN v podobe Open VPN.

Turris Shield rovnako ako routery Turris beží na Turris OS postavenom na OpenWrt a podľa oznámenia evidentne dostáva podobne ako routery aj aktualizácie operačného systému.

Firewall má dvojjadrový 1.0 GHz procesor Marvell Armada 3720, 512 MB RAM, jeden gigabitový WAN port a štyri gigabitové LAN porty.

Turris Shield, kliknite pre zväčšenie (foto: CZ.NIC)

Turris Shield by sa mal zapájať medzi modem a router. V prípade modemu integrovaného v routeri je ho možné zapojiť až za router, firewall ale nemá integrovanú podporu WiFi a tú si je potrebné následne zabezpečiť ďalším zariadením.

Router je s uvedením dostupný, v Česku stojí takmer 3 tisíc Kč a cena na Slovensku sa aktuálne pohybuje niečo nad 110 eur.




Najnovšie články:



Diskusia:

fw a ids Od: dufus | Pridané: 2.9.2020 12:09 jde to i levneji pžátelé: https://lnk.sk/reps Odpovedať Známka: -7.1 Hodnotiť:

Re: fw a ids Od: Sancho | Pridané: 2.9.2020 12:37 Osobne mi 110 EUR pride ako OK cena. Ale: RPi4, 2GB - okolo 50EUR, zdroj 12 EUR, krabicka 8 EUR a externa USB3 sietovka minimalne 13EUR (videl som aj za 30EUR), microSD karta 4 EUR. Cize si na 87 EUR, bez SW, bez podpory a este k tomu s haprujucim USB3 na RPi4. Da sa na RPi realne dosiahnut rychlost podobnej 300Mbit? Ak sa dobre pamatam, tak aj RPi4 ma limit na vnutornu sietovku niekde v tomoto okoli a na USB3 sietovku to asi tiez nebude lepsie - plus treba mat na pamati, ze by to mal dosiahnut na oboch naraz. Dalsi problem z mojho pohladu nie je HW (ten si vies kupit lacno aj z Ciny, pripadne upravit existujuci OpenWRT router ciston na firewall). Problem je SW aktualizacia a rychla reakcia na hrozby - a to je, podla mna, sila toho ceskeho produktu. Odpovedať Známka: 7.7 Hodnotiť:

Re: fw a ids Od: Sancho | Pridané: 2.9.2020 13:10 Oh, este ako pozeram, ten touris ma 4 gigove porty. Nepredpokladam, ze ich priepustnost bude 4Gbps, cize obycko 5-portovy gigovy ethernet switch by mal dostacovat. Cize este treba prihodit dalsich 14EUR - tak a sme na 101EURach, iba 9EUR od toho produktu... Odpovedať Známka: 8.0 Hodnotiť:

Re: fw a ids Od: Matus UHLAR - fantomas | Pridané: 2.9.2020 14:16 turris nie touris - len pre uplnost Odpovedať Hodnotiť:

Re: fw a ids Od: no jasne | Pridané: 3.9.2020 9:18 RPi4 má plnohodnotnú gigabitovú sieťovku, RPi3 má gigabit na USB radiči a tam to dávam max 300Mbit. Mám doma RPi4 ako FTP server kde mi zapisujú IP kamery. Gigabitové rýchlosti to dosahuje normálne, stabilne. Odpovedať Hodnotiť:

Re: fw a ids Od: ujo tomas | Pridané: 3.9.2020 10:27 Ak sa mozem opytat, ako mas vyriesene zaplnenie diskoveho priestoru? Ci tie kamery vedia automaticky mazat z FTP servera stare subory? Odpovedať Známka: 5.0 Hodnotiť:

Re: fw a ids Od: miro j. | Pridané: 3.9.2020 14:43 kokos , jeden cron job napisany za 5 minut co zbehne raz za den nie je ziadny rocket science... Odpovedať Známka: 3.3 Hodnotiť:

Re: fw a ids Od: PTi | Pridané: 3.9.2020 20:00 ... rocket surgery Odpovedať Známka: -3.3 Hodnotiť:

ultraradikalny gamerizmus Od: syntaxterrorXXX,. X | Pridané: 2.9.2020 12:10 Že v Diablo IV má ionizátor vzduchu, hardvérový firewall pre domácnosti, COVID rúška, Cashback karta Lyoness a osmotický vodný filter priekazne tvoriť Legendary set. Odpovedať Známka: -3.7 Hodnotiť:

Re: ultraradikalny gamerizmus Od: syntaxterrorYXX | Pridané: 3.9.2020 10:20 priekazneeeeeeee Odpovedať Hodnotiť:

hovodina Od: Wernher | Pridané: 2.9.2020 12:25 50 aktualizácií denne. Hmmm... tak to musí byť super bezpečná krabička. Odpovedať Známka: -5.0 Hodnotiť:

Re: hovodina Od: bukajcok | Pridané: 2.9.2020 12:35 comu nechapes? cim aktualnejsie rules tym viac adidas Odpovedať Známka: 8.0 Hodnotiť:

Re: hovodina Od: bukajcok | Pridané: 2.9.2020 12:36 nerozumies* Odpovedať Známka: 6.0 Hodnotiť:

Re: hovodina Od: Wernher | Pridané: 2.9.2020 12:51 V čase aktualizácie je to ako bezpečné? Odpovedať Známka: -5.0 Hodnotiť:

Re: hovodina Od: jebe jebe jebe | Pridané: 2.9.2020 13:07 v case aktualizacie to je zranitelne na tie zranitelnosti ktore este nie su nainstalovane v aktualizujucej sa aktualizacii. Odpovedať Známka: 8.8 Hodnotiť:

Re: hovodina Od: Wernher | Pridané: 2.9.2020 13:35 Amen! Odpovedať Známka: 3.3 Hodnotiť:

Re: hovodina Od: MAJAK - neregistrovany original | Pridané: 3.9.2020 9:17 skôr "no dpc" (samozrejme tým myslím do PC - niečo ako choď do Bytče) Odpovedať Známka: -3.3 Hodnotiť:

Re: hovodina Od reg.: little | Pridané: 2.9.2020 12:39 To je až 350 aktualizácii týždenne! Odpovedať Známka: 8.8 Hodnotiť:

Re: hovodina Od reg.: KillerM | Pridané: 2.9.2020 13:22 co je priekazne viac ako 100 tabletov tyzdenne Odpovedať Známka: 7.1 Hodnotiť:

Re: hovodina Od: kecalek | Pridané: 2.9.2020 16:34 3,5x predbehli Alzu..... Odpovedať Známka: 7.1 Hodnotiť:

Re: hovodina Od: Matus UHLAR - fantomas | Pridané: 2.9.2020 14:18 pojde o aktualizacie typu ako je nova virusova databaza, ako su IP adresy utocnikov a podobne, nie o SW aktualizacie. Odpovedať Známka: 10.0 Hodnotiť:

Re: hovodina Od reg.: little | Pridané: 2.9.2020 14:28 Budú aj IP adresy krásnych útočníčiek? Odpovedať Známka: 10.0 Hodnotiť:

Re: hovodina Od: Matus UHLAR - fantomas | Pridané: 3.9.2020 10:25 nanestastie, iba tych skaredych Odpovedať Známka: 3.3 Hodnotiť:

Re: hovodina Od: Janko Zygelitki. | Pridané: 3.9.2020 13:02 ziadna virusova databaza. len aktualizacie firewallu, cize ipcky botnetov a podobne. co ma firewall s virusmi . Odpovedať Známka: 3.3 Hodnotiť:

Re: hovodina Od: Matus UHLAR - fantomas | Pridané: 8.9.2020 13:29 preto som napisal "typu ako je" a nie aktualizacia virusovej databazy. Odpovedať Hodnotiť:

Hmm.... Od: CiscoASA | Pridané: 2.9.2020 14:17 Starsie cisco asa fw (5505 - nie je gigabit, 5510, 5520) kupis na bazosi resp second hand od 35 do 120. Musis si sice sam nakonfigurovat, ale sa naucis a je to trosku silnejsi nastroj Odpovedať Hodnotiť:

Re: Hmm.... Od: Matus UHLAR - fantomas | Pridané: 2.9.2020 14:19 ale samozrejme, ASA kupis... Rovnako ako kupis vyssie spominany Raspberry PI. Odpovedať Hodnotiť:

Re: Hmm.... Od: CiscoASA | Pridané: 2.9.2020 14:51 Vazne chces porovnavat cisco asa fw s rpi? :) Rozumiem, co pises, kde a do kedy mas garantovany support pravidelnych updateov? Svojim sposobom, ak je to ako pises, je to dalsi single point of human failure ... spravca sa ti rozbije a pokonfiguruje :) Plus je to zaujimave aj pre utocnikov, ak ziskam pristup ku konfiguracii, mam celkom velku siet klientov ... Odpovedať Hodnotiť:

Re: Hmm.... Od: DisplayLink | Pridané: 2.9.2020 14:54 Nemusim ti hovorit,ze teamviewer kont mam este viac ;) Odpovedať Hodnotiť:

Re: Hmm.... Od: CiscoASA | Pridané: 2.9.2020 14:57 Bezi ti teamviewer 24/7? Odpovedať Hodnotiť:

Re: Hmm.... Od: DisplayLink | Pridané: 2.9.2020 14:58 Mne bezi podla potreby,ale protistranam ano :) Odpovedať Známka: 10.0 Hodnotiť:

Re: Hmm.... Od: CiscoASA | Pridané: 2.9.2020 15:00 Ak ho maju zakupeny, malo by to byt pravne podchytene zakupenou licenciou. Ak nie, zrejme nie je bezpecnost pre nich prvorada :) Odpovedať Hodnotiť:

Re: Hmm.... Od: DisplayLink | Pridané: 2.9.2020 15:03 Pravne je to problem,to ako keby si presiel po jame s autom a poskodis si disk,pneu.Moze za to vyrobca auta,ze spravca ciest nespravil update firmware danej cesty ? Druha vec,ze poistovne mozu toto poriesit,ak mas havarijnu poistku :-) Odpovedať Hodnotiť:

Re: Hmm.... Od: Asdf3 | Pridané: 2.9.2020 15:22 V com je to cisco lepsie? Vies to nejako polopate vysvetlit v nejakych bodoch? Odpovedať Známka: 3.3 Hodnotiť:

umiernený polopatizmus Od: syntaxterrorXXX,. X | Pridané: 2.9.2020 15:29 Je možné spraviť si k nemu priekazne i certifikáciu. Odpovedať Známka: 10.0 Hodnotiť:

Re: Hmm.... Od: fdbdfbfdb | Pridané: 2.9.2020 16:00 je to lepsie pre predavajuceho Odpovedať Známka: 5.0 Hodnotiť:

Re: Hmm.... Od: CiscoASA | Pridané: 2.9.2020 21:23 Vlany, dmz, aclka, vpn ... prehlad aktivit na interfaceoch ... vela veci. Mozes zberat zabbixom, tam su uz templates, ktore vedia lepsie vyhodnotit ... urcite je vela moznosti Cim viac vies o networkingu, tym vacsi zmysel ti to dava. Ako su aj firewally, na ktorych ti bezia top banky (palo alto, checkpoint, ...), ktore vedia nieco aj o injections ... ale to nezaplatis ... aj cisco ma licencie na ips/ids atd Ak sa chces ucit, radsej cisco ako tie gns a ine simulatory. Daj ubuntu, do lxd kontajnerov nahadz webservre, databazy, hocico ... porob honeypots a uvidis, niekto sa najde. Nie su to veci pre bezneho franta uzivatela, pre toho je mozno tento blackbox postacujuci. Ale je to rovnako ako s AV, aj ked budes mat najlepsi na svete, nezaruci to, ze nebudes mat virus. Ani ASA, ze budes mat intrusion, ale mas dost v rukach, kam ho pustis (nieco ako sandbox na pc) Odpovedať Hodnotiť:

Re: Hmm.... Od: Anal Fabet | Pridané: 8.9.2020 16:08 No ty si mi uz len majster. Kazdy priemerny linuxovy firewall ma vlany, dmzka, aclka, vpn (take o ktorych Cisco ani nesniva, nie len 100 rokov stary IPSec). Zberanie Zabbixom, to hadam ani nemyslis vazne? To ako chces povedat ze si si isty ze to nebude mat SNMP? Urcite to bude mat aj NetFlow. GNS spusta Cisco IOS image priamo v emulatore Cisco HW - takze je to to iste. Odpovedať Hodnotiť:

windows Od: DisplayLink | Pridané: 2.9.2020 14:53 Ak mate windows,je to zbytocna kupa.Windows predsa nema diery! Odpovedať Známka: 7.1 Hodnotiť:

Re: windows Od: CiscoASA | Pridané: 2.9.2020 14:59 Lubovolny fw (obzvlast mimo windows) by mal byt objektivny a zobrazit ti vsetky nadviazane spojenia/prechadzajucu komunikaciu cez jeho interface Odpovedať Známka: 10.0 Hodnotiť:

Re: windows Od: DisplayLink | Pridané: 2.9.2020 15:01 ..problem ale je s malware,virmy a pod.Tie si clovek niekedy nevsimne a si vybaveny.. Odpovedať Hodnotiť:

Re: windows Od: peterse | Pridané: 2.9.2020 19:00 A keď ti neheknú PC ale router alebo modem? Odpovedať Hodnotiť:

Re: windows Od: Matus UHLAR - fantomas | Pridané: 3.9.2020 10:27 mas pravdu, windows JE diera :-) Odpovedať Hodnotiť:

Malware Od: CiscoASA | Pridané: 2.9.2020 15:07 Ak aj nemas dlhsie trvajuce spojenia, vies si logovat komunikaciu. Alebo krmit takymi logmi dalsiu sluzbu napr zabbix, kde si vyfiltrujes povolenu komunikaciu. Nie som network ani security expert, nebudem zachadzat do nejakych IPS atd, ale tieto sluzby su uz dostupnejsie ako kedysi ... aspon pre tych, ktorych to trosku zaujima. Odpovedať Hodnotiť:

Re: Malware Od: DisplayLink | Pridané: 2.9.2020 15:14 Bezny user ani len netusi,ci tam ma nejake spojenia a co vsetko mu bezi v pc.Ano,tak ako vravis dnes sa da skoro vsetko podchytit ak sa tomu venujes. Odpovedať Hodnotiť:

Re: Malware Od: qweq | Pridané: 2.9.2020 20:21 neviem si dost dobre predstavit akoby aj pokrocilejsi user prechadzal logy vsetkych sessions, podla coho by si vedel ktore su ziaduce a ktore nie, ved dnes pri nacitani obycajne stranky sa ti pootvara milion relacii, toto sa neda manualne sledovat, nato su prave signatury ktore by tu mali byt dostupne okamzite ako je znamy nejaky utok Odpovedať Známka: 10.0 Hodnotiť:

Re: Malware Od: CiscoASA | Pridané: 2.9.2020 20:31 Je to dost aj o tom, ci browsujes zname stranky. Ano, samozrejme hladanie info cez google otvara divociny, ale zasa clivej, co googli, vie vyhladat nieco aj o navstivenych ip Odpovedať Hodnotiť:

Ja len tolko Od: Mariooo | Pridané: 2.9.2020 15:21 RB951 Odpovedať Známka: -3.3 Hodnotiť:

12345 Od: Dr. Magor | Pridané: 2.9.2020 22:25 Zas to bude fungovat ako omnia... restart 10x do tyzdna, ziadne logy ulozene. sem tam prestane ist wifi... po update prestane fungovat dns... taky som bol rad ked sme sa toho zbavili ! Odpovedať Známka: 3.3 Hodnotiť:

Re: 12345 Od: e1. | Pridané: 3.9.2020 10:55 Mal som podobnú skúsenosť, až na to, že skoro vôbec som ten krám nepoužíval, lebo sa na neho nedalo spoľahnúť. Prišla aktualizácia a vždy sa niečo posralo. Potom bolo treba vymeniť wifi kartu, a potom ma už úplne prešla chuť sa s tým mordovať. Mal to byť router ktorý zapojím, nastavím a nestarám sa a nakoniec sa z toho stala hračka pre geekov ktorí od rána do večera štelujú router v príkazovom riadku. Nakoniec som Omniu predal, kúpil som HW od Ubiquiti a od vtedy som spokojný. Síce to stálo viac peňazí, ale všetko funguje ako má, a uptime je dlhý ako interval aktualizácie. Odpovedať Hodnotiť:

Re: 12345 Od: asdfghjkl1 | Pridané: 3.9.2020 17:48 Ono ten rozjdazd omnie bol dost tazky, ked to zacali posielat z kampane, nemali doladeny soft, a ked zacali so zmenou ath10k drivera, tak nastalo presne to, co popisujes. Tiez som si vtedy kupil Unifi, Omnia isla do krabice kde nejaky cas pobudla, az som potreboval nieco pre rodicov. Omniu som vybalil z krabice, urobil cisty reinstall a u nich spolahlivo funguje. No a k tomu Unifi - tiez ma svoje problemy. Problemy s DHCP v kombinacii s LAG vyriesili az toto leto (na switchi, ktory predavaju roky...). Ine bugy neriesia vobec. Co nenastavis cez GUI, teoreticky mozes cez json subor (teda ked zisis ako; chciet na site-to-site VPN zadefinovat, ze opacny koniec moze mat dynamicku adresu a ty tam potrebujes hostname a nie IP, to uz bolo nad chapanie inzinierov z Ubiquiti), ale iba na starsich zariadeniach (USG). Niektore veci nenastavis vobec. Na novsich zariadeniach (UDM), co nie je v GUI, tak mas smolu uplne. Aj ked na Omnii je to jeden riadok v /etc/config/. Odpovedať Známka: 3.3 Hodnotiť:

Re: 12345 Od: e1. | Pridané: 4.9.2020 10:11 Vec sa má tak, že ja som tú Omniu mal v krabici tiež aspoň rok. Ale bol to router v tom čase za veľa peňazí a fakt sa mi páčila myšlienka, že nastavím a budem mať pravidelné aktualizácie. Nedalo sa na to ale spoľahnúť, pritom sa mi ten projekt páčil. Čo sa týka Unifi, bežné veci idú nastaviť cez klikačku, a viac som nikdy nepotreboval. Štve ma akurát jediná vec, a to že s (free) ESXi sa nedá na ich switchoch rozchodiť link aggregation. Odpovedať Hodnotiť:

Re: 12345 Od: asdfghjkl1 | Pridané: 6.9.2020 20:41 Kedysi som mal v praci na ich switchi rozchodeny LAG voci free ESXi (a konkretne to bol US-48 na jednom konci drotov a HP DL380p Gen8 na druhom; bol to stary server urceny na hranie sa s technologiami). Co presne tam bolo nastavene ti uz nepoviem, ESXi isiel medzitym prec a uz je tam Proxmox. Vsetky styri draty ostali zapojene presne tak isto a na switchi zostala presne ta ista LAG skupina. Odpovedať Hodnotiť:

Re: 12345 Od: Matus UHLAR - fantomas | Pridané: 8.9.2020 13:35 bez urazky, ale ked beries zariadenie z kampane tak sa de facto hlasis za beta testera a potom by si take nieco mohol ocakavat. turris ma 5 urovni testovania https://docs.turris.cz/geek/testing/ na stabilnej (HBS) to je celkom v pohode, navyse si mozes vypnut automaticke aktualizacie Odpovedať Hodnotiť:

Re: 12345 Od: asdfghjkl1 | Pridané: 8.9.2020 16:06 Bez urazky, ale tych 5 urovni testovania stoji za staru backoru, ked sa im v tej najstabilnejsej urovni podari vydat verziu, v ktorej nejde wifi. Takze nie ze user nieco blbo nakonfiguroval s cim nepocitali, ale v podstate v default nastaveni, akurat s konfiguraciou dhcp pre wan, nastavenim ip rozsahu pre lokalnu siet a nastavenim ssid+heslo pre wifi sa im podarilo znefunkcnit svoje vtedy posledne zariadenie (Mox). Gratulacia. Ako fakt nechapem, ci maju ambiciu dotiahnut sa na Mikrotik a Ubuquiti, alebo sa iba hrajkaju s peniazmi od zdruzenia. Pretoze tak, ako to robia, to urcite nepojde. Odpovedať Hodnotiť:

Macher Od reg.: Zapredaný | Pridané: 3.9.2020 8:57 Tak si tu zamachrujem s aspoň jedným chytrým slovíčkom... Podporuje to WireGuard? Odpovedať Hodnotiť:

Re: Macher Od: Zjebe jebe jebe | Pridané: 3.9.2020 9:41 Ani wirecard teda Slovensko IT s.r.o. Odpovedať Hodnotiť:

Re: Macher Od: Matus UHLAR - fantomas | Pridané: 3.9.2020 10:29 povedal by som ze na 99% ano. Odpovedať Hodnotiť:

Re: Macher Od: Matus UHLAR - fantomas | Pridané: 3.9.2020 10:36 https://doc.turris.cz/doc/en/public/wireguard malo by ist na omnii, moxe aj shielde Odpovedať Hodnotiť:

Porovnanie Od: Anonymus1 | Pridané: 3.9.2020 10:44 Ak ma niekto Omniu, ktora ma zabudovany firewall, tak je to porovnatelne, alebo ma tento Shield nejaky vyhody navyse? Odpovedať Známka: 3.3 Hodnotiť:

Re: Porovnanie Od: Jebe jebe jebe | Pridané: 3.9.2020 11:20 Firewall v omnii asi nema aktualizácie tohto typu ako shield. Je to skôr firewall ktorému tradične nastavuješ blocklist a allowlist Odpovedať Hodnotiť:

Re: Porovnanie Od: jebe jebe jebe | Pridané: 3.9.2020 11:24 Ďalšia výhoda je že je to separátny hw od routeru. Na fyzickej úrovni vieš teda odpojiť tuto krabičku a prepojiť modem priamo s routerom a okamžite máš sieť bez firewallu a poprípade bez VPN. Ak máš viac routerov v sieti tak kazdy môže mat tento firewall Odpovedať Hodnotiť:

Re: Porovnanie Od: Anonymus2 | Pridané: 3.9.2020 13:00 Omnia se zapnutym sberem dat vyuziva stejny dynamicky firewall. Viz https://docs.turris.cz/basics/collect/ Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár