Názory k článku Americký Fortinet chce ovládnout český trh s kybernetickou bezpečností
-
RTFM (neregistrovaný)
Můžete místo tohoto plácnutí dát konkrétní informace? (co jste měli předtím? co přesně provozujete?
Moje zkušenost (cca. 10 let s FW CheckPoint, Juniper, Fortinet a dalšími bezpečnostními produkty) říká, že Fortinet se ovládá výzazně jednodušeji než konkurence srovnatelné úrovně (nebavím se o pokusech typu Clavister, Sonic Wall, Sophos atp.).
Dále zkušenost říká, že v případě nějakého zádrhelu (většinou se jedná o nepochopení filozofie nebo natvrdlém trvání si na postupech z předchozí technologie) se stačí obrátit na zástupce Fortinetu a je rychle vyřešeno. Po pochopení pak na toto řešení nedají zákazníci dopustit. -
Lupen (neregistrovaný)
Tak je pravda že 5.4 jsem u C řady ani nepředpokládal, hlavně kvůli paměťovým nárokům. 4.3.x a 5.0.x vydrží do doby, kdy C řada už nebude vyhovovat z hlediska použitelnosti.
RMA ve standardnim supportu mi netrvali nikdy déle než 36 hodin od doručení boxu do Francie. Otázka tedy je jak rychle box doručíte. Doporučuji neposílat českou poštou.
Ale v tomhle je Fortinet má co přidávat.- u advaced rma je box posílán po potvrzení tiketu. Zatím se jim to povedlo vždy do 24 hodin.
-
Tomáš2 (neregistrovaný)
No právě, je jich plný internet od přepisovačů zpráviček, kde se každým přepisem něco ztrácí.
Akcie samozřejmě reagují na kde co, akcionáři nejsou odborníci, nechají se ovlivnit pouze vjemy a díra v bezpečnostním SW je opravdu problém.
Ano, nejen že mají společnou historii, oni mají doteď společné části SW.
Jak jsem psal, tahle chyba je zneužitelná jen lokálně, ale i tak je problém, že kdokoliv s fyzickým přístupem k FW může změnit jeho nastavení.
Asi se těším na dobu až podobné zařízení budou kompletně otevřené a kódy účesané.
-
Karel Hlavinka (neregistrovaný)
Pan Stahlavsky nas utahnul na varene nudli. Jsme statni organizace a mezi jejich praktiky patri vylozene lhat do vyberoveho rizeni.
Vi, ze rusit to a odvolavat je pak temer nemozne.
Pouzivali jsme konkurencni reseni a v porovnani je Fortinet cesta zpet. Jen na obsluhu firewallu travime tak o 60% vice casu.
A Lupu jsem mel za seriozni online erudovany material - vzdyt toto je prece naprosto okate PR ;( kde si jen dalsi chudak nechal vymit hlavu slibotechnou panem Stahlavskym.
K. Hlavinka
-
Asi to nevíte, takže bohužel verze 5.4 již není pro řadu C podporována. Jak je to s podporou různých řad verzí je asi každému jasné. Novinky jsou pouze v nové verzi a ostatní jsou pouze udržovány nikoliv vyvíjeny. Tedy alespoň tomu tak posledních 5 let u Fortinetu bylo.
Termíny podpory jsou pevné bohužel pouze pro hardware, u software je to tak, že pokud životnost nové hlavní verze překročí životnost hardware, tak tato verze již nebude pro daný hardware podporována. Termíny vydání nových hlavních verzí nejsou nikde dány.
Takže aktualizace ano, ale vývoj nikoliv.Dříve bylo možné převést licence na jiný, rezervní, box, což vzhledem k pomalosti dodávky boxu při závadě i nejvyšší podpoře bylo nutností a dnes je čím dál obtížnější až nemožné. Dnes už je pro rezervní box potřeba mít samostatné licence, i když bude v šuplíku.
Pokud si převedete konfiguraci na rezervní box bez licencí, pravidla která používají licencované části, zkolabují.Pravidla lze ručně upravit, a pokud dále konfiguraci podle potřeb společnosti konfigurujete, při návratu na licencovaný box máte dvě rozdílné konfigurace.
V základní podpoře zabalíte box, pošlete a čekáte až někdo po měsíci pošle box nazpět. U placené podpory čekáte až vám box za dva dny někde ze zeměkoule někdo pošle a další dny, než ho někdo doručí, pak balíte a posíláte svůj. Takže pokud nemáte rezervu s licencí, tak klidně týden stojíte, pokud máte rezervu bez licence, tak musíte upravovat konfiguraci a udržovat změny pro nový box.
"Bludy" jsou bohužel realitou.
K uloženému heslu pro ovládání boxu jsem dohledával, že snad od verze 5.2.24 a dál to tam skutečné již není, ale nenašel jsem nikde jasný důkaz, že ve verzích těsně před 5.2.24 tam ještě uloženo bylo. Podle popisu chování jsem si dovodil, že to tam už také nebylo jak ve starých verzích, ale chovalo se to jinak, než od verze 5.2.24 dál, takže tam mohlo být heslo nějak jinak. Reakce Fortinetu tomuto mému podezření poměrně vyhovuje.
-
luke (neregistrovaný)
Zdroju informaci najdes plny internet – staci dat do google „fortigate backdoor“
Kazdopadne mi to cele prijde jako celkem ambiciozni vystupovani jelikoz se akcie Fortinetu na burze propadly za posledni pul rok o 50% dolu. Vzhledem k poslednim incidentum ohledne Juniperu ScreenOS (jen pro info zakladatel Fortinetu je zakladatel NetScreen -dnes Juniper ScreenOS, tezko hledat souvislost) je jakykoliv backdoor zrovna u bezpecnostniho reseni veliky problem a snizuje duveru v "bezpecnostni" produkt. Kdyy po tom zacnete patrat vice, tak zjistite ze backdoor je ve vicero produktech a neni 100% zda neni v poslednich verzich, jelikoz vetsina autentizacni infrastruktury zustala nezmenena.
Meli jsme u nas Fortinet na testovani minuly rok.. cena dobra, temer bez licencovani.. ale celkova zkusenost horsi nez se stavajici technologii.
-
Lupen (neregistrovaný)
Musím oponovat, FW řada C je stále podporována. Termíny podpory jsou pevně stanoveny výrobcem. Při sizingu tedy přesně víte do kdy bude podpora platit.
Třeba 110C nám běží od roku 2010 už 6 let, 4.3.x je podporován do 2018, řada 5.0.x - bude ukončen TAC support ale aktualizace stále fungují - doporučen přechod na 5.2.x ( přechody mezi verzemi jsou zdarma a nemusí se licencovat, ale to asi víte).
"že co je dnes prodejně podporováno, zítra už nemusí a pozítří to bude aktivně blokováno"
- tohle je opravdu ale blud. Žádná blokace boxu ze strany Fortinetu není. Boxy fungují i bez supportu - pouze nelze použít webfilter a antispam - protože se ověřuje online. AV + IPS databáze zůstává, pouze se neaktualizuje UTM.
Takže i nesupportované boxy lze stále používat jako VPN/packet firewall/routing.Co se týká životnosti - od výrobce je tradeUP ze starých na nové. Staré ale zůstávají funkční u zákazníka ( pouze není možné aktivovat UTM)
Co myslíte základní podporou se kterou si zákazník nevystačí?
K "backdooru", týká starých firmware4.0.0-4.3.16,5.0.0-7. řada 5.2.x a 5.4 není postižena. takže jsme 2 a více let zpátky.
4.3.16 -- 7/2014
5.0.7 -- 4/2014 -
Tomáš2 (neregistrovaný)
nechci slovíčkařit, ale postižený FortiOS obsahoval stejný backdoor (dobře, jejich slovy nevhodný způsob autentizace) a byl už někdy předloni opravený a teď akorát zveřejnili (někdo zveřejnil), že stejnou věc také opravovali, ale čerpám jen z veřejných informací.
Ono to je vlastně jedno, jak to je. Za normálních okolností to nebylo zneužitelné a subjektivně mám v jejich produkty pořád důvěru. Prokazatelně se tohle týká historické části přejatého kódu a je možné, že už o tom naprosto nikdo nevěděl.
Sdílím ale obavy z právě podobných kostlivců ve skříni, dá ještě hodně práce se toho zbavit. Sám s různými systémy dělám a vím, že není snadné se spoléhat na cizí kód a zároveň zaručovat určitou kvalitu celku.
-
Fortinet je rozhodně jeden z nejlepších firewallů. Potvrzuje to i Gartner, patří k technologické špičce a vychází velmi levně.
Z toho ale vyplývají i nevýhody. Technologická špička znamená totiž také neprobádané a někdy i slepé cestičky, Časté verze, občas nestabilní, to co se přidalo před 2 roky bude zítra nutné překonfigurovat úplně jinak atp. Levná cena je naopak vyvážena dlouhou dostupností servisu a kratší dobou životností úplné podpory.
Z vlastní zkušenosti mohu říci, že Fortinet je výbornou volbou, ale zároveň musím říci, že pokud chcete podporovaný produkt, tak nepočítejte s životností delší než 5 let, ačkoliv železo bude fungovat, bude v podpoře, nebude podporován software, viz aktuální verze 5.4 a již nepodporovaná řada modelů C, které měly historicky nejkratší dobu podpory. Se základní podporou si nevystačíte a pokud budete chtít ušetřit, tak počítejte s tím, že co je dnes prodejně podporováno, zítra už nemusí a pozítří to bude aktivně blokováno. Pokud chcete pouze stabilní produkt s masivní podporou, hledejte jinde. Pokud se nebojíte občasného risku, je to v pohodě. -
Uzivatel (neregistrovaný)
Pravda, ze se to moc neda dohledat. Cenik ma tisice polozek a bez vysvetleni se clovek ztrati. Hlavne nenaletet webum, kde jsou ceny v USD, protoze v EU plati uplne jine ceny (smutne, ale pravda). Kontaktujte nektereho partnera, kteri jsou uvedeni na webu Fortinetu nebo webech distributoru (Veracomp, DNS). Po upresneni situace (velikost site, charakter provozu, rychlost konektivity, pozadovane druhy ochran) Vam urcite posle spravne modely a cisla pravdepodobne v nekolika variantach :-)
P. -
Petr (neregistrovaný)
Pouzivame to delsi dobu u mnoha firem a zadny zasadni problem.
Nebudeme se tady pretahovat, ze mel nekdo z vendoru chybku. To se stalo a bude stavat vsem (Cisco, Juniper, Symantec,..). Nejde delat vyvoj sw bez chyb (to je opravdu naivni).Pomer vykon/cena velmi dobre. Maji tam milion funkci, ze bezny admin ani nemuze vyuzit, coz beru jako univerzalni nastroj, ktery potrebuje kazda sit.
Zadne slozite licencovani per user. Koupite box a mate vse k dispozici pro neomezeny pocet uzivatelu (vse je o spravnem vyberu hw). Take maji neco omezene per box (napr. APcka), ale to je normalni u vsech vendoru.
Po mnoha letech provozovani (nebojim se napsat, ze nasobne vice zkusenosti nez ostatni na tomto foru) muzu doporucit.
P. -
Tomáš2 (neregistrovaný)
jasně, myslím, že tebe se to vůbec netýká a s podobnými zařízením se do styku nedostaneš.
Chyba to je samozřejmě problematická a neexistuje žádný SW bez chyby. K dobru hraje, že chybu odhalili sami.
V potaz chce brát také vektor zneužití, u aktivních síťových prvků a zejména u hraničních firewallů prostě nejsou otevřené ssh/telnet porty do světa, tečka. Pokud je máš, jsi vůl a podobné chyby tě aspoň vyškolí, že si hraješ s něčím čemu nerozumíš.
ČLÁNKY DO MAILU