FireWall sprzętowy z Gigabit Ethernet, na 3-4 PC,...jaki?

Ze względu na notoryczne włamania, chciałbym kupić do firmy firewall sprzętowy na 3-4 komputery. Jest to mój pierwszy zakup tego typu urządzenia, więc proszę o wskazówki i podpowiedzi na co zwrócić uwagę przy zakupie.

Zależy mi na:
- 4 wyjścia LAN Gigabit
- jedno wejście WAN / Ethernet
- mile widziany port USB na modem LTE.
- solidny firewall z obsługą VPN
- nowy w cenie do ok. 1000 zł.
- najlepiej bez WIFI, absolutnie nie potrzebuję WLANu.
- dobry support, częste aktualizacje

Prawdę mówiąc, nie wiem co jest jeszcze istotne, może jakieś podpowiedzi? Chętnie bym poczytał na temat firewalli sprzętowych...... Może jakieś porównania sprzętu?

Większość powyższych punktów spełnia:
MikroTik RouterBoard RB962UiGS 5HacT2HnT hAP ac

i ma zjadliwą cenę na tle konkurentów. Co o nim sądzicie? A może coś z konkurencji wypada dużo lepiej?

Na razie korzystam z internetu z kablówki, ale rozważam światłowód (Orange lub Netia). Firewall najchętniej kupiłbym nowy, raczej używki w tym wypadku nie wchodzą w grę.

Dziękuje za wszelkie sugestie!

CC_PL napisał:

Ze względu na notoryczne włamania

podaj objawy, dlaczego tak wnioskujesz

Jak ci pracownik pobierze virusa przez stronę HTTPS na swój komputer (by było porno darmowe, albo nagroda do odebrania za friko) to tego żaden firewall nie zabezpieczy, (firewall nie zabezpieczy przed głupotą pracowników).

Masz rację, ale nie chodzi o wirusy (komputery pracują na Linuxie). Dowodów jest wiele, ale to temat rzeka i nie będę się rozpisywał.

Szukam firewall sprzętowy nie dlatego że "wydaje mi się" że coś jest nie tak, tylko notujemy często różne zdarzenia.

CC_PL napisał:

Szukam firewall sprzętowy

podaj przed jakim zagrożeniem ma ten firewall chronić

To co wybrałeś to nie firewall sprzętowy. To router z WLAN. Firewall da się na nim postawić, ale musisz umieć to zrobić. W kosztach około 1000zł możesz wybrać coś ze stajni Mikrotika bardziej wydajnego, np. CCR1009-7G-1C-PC , RB1100AHx4. Pytanie jakie masz łącze, bo musisz dobrać sprzęt pod wymaganą wydajność.

ryba884 napisał:

To co wybrałeś to nie firewall sprzętowy. To router z WLAN. Firewall da się na nim postawić, ale musisz umieć to zrobić. W kosztach około 1000zł możesz wybrać coś ze stajni Mikrotika bardziej wydajnego, np. CCR1009-7G-1C-PC , RB1100AHx4. Pytanie jakie masz łącze, bo musisz dobrać sprzęt pod wymaganą wydajność.

Zdecydowanie to musi być firewall i to porządny, a nie zwykły router. Mogę zwiększyć nieco budżet, ale sądziłem, że za 1000 zł się coś kupi. Wymagania nie są duże, 3-4 stanowiska. Obecnie podłączona jest Vectra 100 MBIT, ale być może skorzystam również z Vectry 600 MBIT lub światłowodu o podobnych parametrach.

Rozumiem, że w tym budżecie można raczej zapomnieć o NGFW czy UTM ?? Czy ich skuteczność jest dużo wyższa niż klasycznych "ogniomurków" ?

Z zaproponowanych przez @ryba884 :

MikroTik RB1100AHx4 Dude Edition 1.4GHz 1GB RAM, 13xGig LAN, 19 60GB M.2 SSD wygląda interesująco, choć nie wiem czy to nie overkill ( 13 x LAN ), ale jeśli jest dobry to go rozważę. Do czego jest tutaj SSD o pojemności 60GB? Jakie dane są tam trzymane?

Router MikroTik Cloud Core Router (1009-7G-1C-PC) - też dość ciekawy, ale cena coraz bliżej 1500 zł, czyli nie lepiej w takim wypadku dołożyć kolejne 500 zł i pójść w CISCO ASA lub najtańszy Fortinet Fortigate??? (tylko pytam)

Ktoś pisał, że Mikroteki - w pewnym uproszczeniu - tańsze od niższych modeli dużo się nie różnią jeśli chodzi o "mechanizmy obronne" (zapobiegające atakom), a głównie różnią się liczbą wejść / wyjść i procesorem/pamięcią czyli w efekcie przepustowością.?? Czy to prawda?

Przed czym chcesz się chronić, bo jeszcze nie napisałeś. Zabezpieczenie sieci, to nie tylko firewall. Źle dobrany i źle SKONFIGUROWANY chroni jak aspiryna przed łysieniem. Obecnie używa się urządzeń typu UTM, a nie "gołych" firewalli. UTM posiada aktualizacje baz wirusów, bootnetów, aplikacji itd. Będziesz siedział dniami i nocami i wpisywał ręcznie setki tysięcy adresów bootnetów, czy złośliwych domen do takiego Mikrotika?
Napisz, co chcesz osiągnąć, to dobierzemy rozwiązanie.

No tak, trudne pytania, nie jestem hakerem / przestępcą i nie włamuje się do komputerów... Mechanizmów, sposobów włamań jest mnóstwo i na dobrą sprawę znam ich niewiele i to tylko z nazwy.

Chodzi o zabezpieczenie, możliwie kompleksowe przed różnymi zagrożeniami płynącymi z sieci komputerowej, przede wszystkim włamaniem się do komputera czy przejęciem nad nim kontroli, itp. itd. Od pewnego czasu przestępcy przykładowo "zaglądają" na moją pocztę (gmail z podwójną autentykacją (hasła SMS przychodzą na telefon)) i nie mam pomysłu jak się ich pozbyć. Google każdorazowo zgłasza ten fakt odpowiednim komunikatem, ale przestępcy łączą się z moim komputerem w nieznany mi sposób i IP na liście ostatnich 10 logowań jest tylko moje. To jeden z przykładów.

O systemach UTM wiem bardzo niewiele, dziś pierwszy raz się z nimi zetknąłem , ale to jest właśnie to czego szukam... Jestem gotów zwiększyć budżet do ok. 1500-2000 zł jeśli to przyniesie efekty.

CC_PL napisał:

Google każdorazowo zgłasza ten fakt odpowiednim komunikatem, ale przestępcy łączą się z moim komputerem w nieznany mi sposób i IP na liście ostatnich 10 logowań jest tylko moje

- odwirusuj swój komputer
- zaloguj sie do konga google security i wyloguj wszystkie urządzenia,
- następnie ponów logowanie 2-step do gmaila

Dodano po 33 [sekundy]:

Z jakich geo lokalizacji sa te inne logowania do gmaila ?
https://www.robtex.com/

Tak jak pisałem, obecnie z mojego IP (IP jest to samo, tzn. moje, ale mam zwykle 2, czasami, rzadko 3-4 użytkowników na koncie GMAIL). Wcześniej Gmail zgłaszał wielokrotnie też logowania np. z Krakowa i okolic, mimo, że nie byłem tam z dobre 20 lat (a już miałem 2-way authentification w gmailu)...

Cytat:

- odwirusuj swój komputer

Mam linuxa, czasami nawet "świeżego" (live cd). ClamAV ani RKHunter nic nie znalazły,

Lokalizacja w Google jest tylko orientacyjna i zależy np od lokalizacji serwerowni Twojego ISP.
SMS jest łatwo wykraść lub przekierować
(np złośliwa aplikacja na smartfony). Używaj raczej aplikacji do potwierdzania, lub generatora tokenów.
Jeżeli korzystasz z InPrivate w przeglądarce, to Google każde logowanie traktuje jako nowe urządzenie...
Zainstaluj na test trial Windows 10 bezpośrednio ze strony MS. Raczej na nowiutki i aktualny system nie ma dużo exploitów. Dodatkowo trial Eseta.
Dobry UTM to wydatek około 2000 na start + później 1000zł na rok za sygnatury zagrożeń.

Dzięki za rady, zdaję sobie sprawę, że trzeba będzie przeinstalować systemy operacyjne, aplikacje od zera (na czyste dyski), itd.

Ale chciałbym się skupić na stronie sprzętowej (firewall, UTM).... Znalazłem coś takiego:

Zyxel ZyWALL USG40 (USG40-EU0101F)
https://www.morele.net/zyxel-zywall-usg40-usg40-eu0101f-647401/

oraz:

Ubiquiti UniFi Security Gateway, USG-PRO-4
https://www.morele.net/ubiquiti-unifi-security-gateway-usg-pro-4-839955/

Ten pierwszy to coś pomiędzy klasycznym firewallem a UTM. Posiada: Filtrowanie adresów URL, Filtrowanie treści, Firewall, VPN oraz IPS.
Drugi, z nieznanych mi powodów, jest bestsellerem na Morele (w grupie tańszych urządzeń).

Co o nich sądzicie?

IC_Current napisał:

.... Będziesz siedział dniami i nocami i wpisywał ręcznie setki tysięcy adresów bootnetów, czy złośliwych domen do takiego Mikrotika?
Napisz, co chcesz osiągnąć, to dobierzemy rozwiązanie.

Nic nie musi ręcznie wpisywać. Są do tego odpowiednie skrypty. Jeśli chodzi o RB1100AHx4 Dude Edition to ten dysk służy do przetrzymywania logów z monitoringu sieci wykonywanego przez serwer stojący na tym routerze.
Niemniej jednak najpierw musisz wyczyścić swoje podwórko, bo nawet i najdroższy firewall nic Ci nie da. Na Linuxa też są wirusy i exploity tylko mniej się o nich słyszy ze względu na mniejszą popularność. Ja bym najpierw wyczyścił wszystkie dyski najlepiej zerując pierwsze kilkaset megabajtów i zakładając nowe tablice partycji z poziomu jakiegoś live cd lub innego komputera. Dodatkowo instalacja systemów ze świeżej płytki z pewnego źródła. No i odpowiednio skonfigurowany firewall może być na Mikrotiku. Zostanie tylko przeszkolenie ludzi by nie otwierali podejrzanych załączników ani nie grzebali w Internecie tam gdzie nie powinni. Można ograniczyć dostęp do wybranych domen jeśli jest taka możliwość. Dodatkowo zabranie uprawnień, usunięcie sudo z komputerów, odpowiednio mocne hasła, brak możliwości montowania dysków przez użytkowników, to powinno poprawić bezpieczeństwo. Problemem mogą nie być włamania, a przyniesione coś np. na pendrivie. W dzisiejszych czasach nie tylko włamują się na komputery, ale i na źle zabezpieczone routery, rejestratory itd.. Gdybyś miał sieć odpowiednio monitorowaną to byś wiedział który komputer jest zarażony.

Cytat:

Lokalizacja w Google jest tylko orientacyjna i zależy np od lokalizacji serwerowni Twojego ISP.

Dokładnie nie podaje lokalizacji, ale też nie z 300-kilometrowym błędem. Vectra ma infrastrukturę w kilku miastach (?), ja korzystam z warszawskiej.

Cytat:

SMS jest łatwo wykraść lub przekierować (np złośliwa aplikacja na smartfony).

Bardzo możliwe, muszę temat dokładniej poznać.

Cytat:

Używaj raczej aplikacji do potwierdzania, lub generatora tokenów.

A te nie korzystają z Internetu? Bo jeśli tak, to nie ma sensu. Czy "aplikacja do potwierdzania" lub "generator tokenów mogą pracować off-line?
Zresztą, jak wpiszę kod (z innego źródła), a przestępcy mają u mnie np. keyloggera to na jedno wyjdzie.

Cytat:

Jeżeli korzystasz z InPrivate w przeglądarce, to Google każde logowanie traktuje jako nowe urządzenie...

Nie korzystam z trybu prywatnego.

Cytat:

Dobry UTM to wydatek około 2000 na start + później 1000zł na rok za sygnatury zagrożeń.

Znalazłem na Allegro oferty Zyxel ZyWall z licencją na rok w granicach 1800-2000 zł brutto.

Dodano po 10 [minuty]:

Cytat:

Nic nie musi ręcznie wpisywać. Są do tego odpowiednie skrypty.

No tak, ale idąc tą drogą, to można kupić komputer na ITX czy jakiś net-top / thin-client i postawić na nim pfSense, może to działać nawet lepiej, a na pewno taniej, tyle, że trzeba mieć sporą wiedzę na temat sieci i firewalli, której ja nie posiadam.

Cytat:

Jeśli chodzi o RB1100AHx4 Dude Edition to ten dysk służy do przetrzymywania logów z monitoringu sieci wykonywanego przez serwer stojący na tym routerze.

Wygląda to dość ciekawie, muszę o nim poczytać.

Cytat:

Niemniej jednak najpierw musisz wyczyścić swoje podwórko, bo nawet i najdroższy firewall nic Ci nie da.

Jasna sprawa.

Cytat:

Ja bym najpierw wyczyścił wszystkie dyski najlepiej zerując pierwsze kilkaset megabajtów i zakładając nowe tablice partycji z poziomu jakiegoś live cd lub innego komputera. Dodatkowo instalacja systemów ze świeżej płytki z pewnego źródła.

Tak zrobię.

Cytat:

usunięcie sudo z komputerów,

Czytałem o możliwości nie tyle usnięcia sudo, co wydzielenia użytkownika który może dokonać update systemu ( inny użytkownik i oczywiście inne hasło ). Trochę na temat "utwardzania" systemu będę musiał poczytać.

Cytat:

Problemem mogą nie być włamania, a przyniesione coś np. na pendrivie.

Zgadza się, dziś czytałem o USB Guard i o "firewallu" do portów USB, ale oczywiście najlepiej jest wiedzieć jaki i skąd pendrive wkłada się do portu.

----------------------

Jeszcze chciałem zapytać o backdoory. Wiadomo dziś są wszędzie, nie tylko w systemach operacyjnych, ale też w sprzęcie (W CPU Intela naliczono ich sporo, ARMy i AMD mają jakby mniej, ale.....??? ). Co ze sprzętem sieciowym? Zawsze mówiło się, że najlepszy jest z USA, czyli CISCO, 3Com, US Robotics, Zyxel, Paolo Alto, itd. ....ale właśnie co z tymi backdoorami? Komu wierzyć ?

Kolejna sprawa, to widziałem gotowe firewalle sprzętowe na pfSense. Warto?

Są na oficjalnej stronie: https://store.netgate.com/pfSense/systems.aspx
ale też do kupienia w Polsce.

Do tego na chińskim ALIEXPRESS jest sporo urządzeń made in China opartych o pfSense: https://pl.aliexpress.com/promotion/promotion_pfsense-firewall-router-promotion.html

Warto?

CC_PL napisał:

A te nie korzystają z Internetu? Bo jeśli tak, to nie ma sensu. Czy "aplikacja do potwierdzania" lub "generator tokenów mogą pracować off-line?
Zresztą, jak wpiszę kod (z innego źródła), a przestępcy mają u mnie np. keyloggera to na jedno wyjdzie.

Generator tokenów może pracować offline, w aplikacji musisz dotknąć ekranu - nie ma współdzielonej bazy danych jak w przypadku SMS,

CC_PL napisał:

Cytat:
Niemniej jednak najpierw musisz wyczyścić swoje podwórko, bo nawet i najdroższy firewall nic Ci nie da.


Jasna sprawa.

Cytat:
Ja bym najpierw wyczyścił wszystkie dyski najlepiej zerując pierwsze kilkaset megabajtów i zakładając nowe tablice partycji z poziomu jakiegoś live cd lub innego komputera. Dodatkowo instalacja systemów ze świeżej płytki z pewnego źródła.


Tak zrobię.

Pisałem Ci w tym kontekście o Windows 10 bezpośrednio od MS. Możesz kupić dysk za 250 zł i na min zainstalować ten nowy system. Popracujesz na takim czystym systemie dwa tygodnie. Jak się sprawdzi, to przeniesiesz dane ze starego dysku. Jak się nie sprawdzi to będziesz miał dysk na kopie zapasowe i ochronę przed cryptoblokerami.

Jakie parametry ma łącze? Od tego zależy wymagana wydajność urządzenia. Na przykład ten Zyxel jest góra do 50 Mb/s.
Jeszcze jedno. UTM-y wymagają opłacania corocznej subskrypcji na aktualizacje sygnatur. Cena, którą znalazłeś, to zawiera? Trzeba sprawdzić u sprzedawcy!

jprzedworski napisał:

Jakie parametry ma łącze? Od tego zależy wymagana wydajność urządzenia. Na przykład ten Zyxel jest góra do 50 Mb/s.
Jeszcze jedno. UTM-y wymagają opłacania corocznej subskrypcji na aktualizacje sygnatur. Cena, którą znalazłeś, to zawiera? Trzeba sprawdzić u sprzedawcy!

Tak jak pisałem wcześniej, łącze to 100 / 10 MBITów, być może wybiorę 600 / 30 MBIT, ale mogę się bez tego szybszego łącza obejść.
W przypadku Zyxela podają ogólną przepustowość 400 Mbit/s. Wartości dla firewalla, IDS czy AV są różne.

O licencji / subskrypcji wiem. Zyxel daje (oferta z Allegro) pierwszy rok w cenie urządzenia, nie wiem ile kosztuje przedłużenie na kolejne lata.

CC_PL napisał:

W przypadku Zyxela podają ogólną przepustowość 400 Mbit/s. Wartości dla firewalla, IDS czy AV są różne.

Ogólna przepustowość oznacza goły firewall z wyłączonymi wszystkimi usługami bezpieczeństwa. Istotne jest "UTM throughput (AV and IDP)", a to wynosi 50!
https://www.zyxel.com/pl/pl/products_services...ay-USG40-40W-60-60W/comparison#specifications

Dziękuje. Dobrze wiedzieć. Tak więc zostanę przy starym łączu internetowym.

Oczywiście przepustowość jest ważna i trzeba ją dobrać pod łącze, a jeszcze bardziej pod swoje wymagania (nie każdy kto ma łącze np. 1000 MBIT wykorzystuje je w pełni), ale dla mnie w wyborze urządzenia ważniejsze są takie cechy, jak: skuteczność odpierania ataków (zdaję sobie sprawę, że ocenę mogą wystawić jedynie testy porównawcze), renoma producenta, niezawodność sprzętu, support, etc. Nie ściągam TB danych, więc chodzi głównie o skuteczność sprzętu, a przepustowość jest sprawą dla mnie drugorzędną.

CC_PL napisał:

Cytat:

Nic nie musi ręcznie wpisywać. Są do tego odpowiednie skrypty.

No tak, ale idąc tą drogą, to można kupić komputer na ITX czy jakiś net-top / thin-client i postawić na nim pfSense, może to działać nawet lepiej, a na pewno taniej, tyle, że trzeba mieć sporą wiedzę na temat sieci i firewalli, której ja nie posiadam.

W necie są gotowe skrypty na Mikrotika do blokowania niechcianych adresów IP. Np: https://blog.squidblacklist.org/?p=1407
Odnośnie firewalla w Mikrotiku to ma on strukturę bardzo zbliżoną do IPTABLES. Jeśli potrafisz pisać skrypty pod Linuxem to z Mikrotikiem też sobie poradzisz. To nie jest jakieś bardzo trudne. Firewall sprzętowy też trzeba odpowiednio ustawić, więc bez podstawowej wiedzy i tak się nie obędzie.

Kupując UTM nie patrzy się na parametry w katalogach. Wydajność UTM dobiera się doświadczalnie, tj dobierasz wstępnie na podstawie katalogu, kontaktujesz się z dystrybutorem, on wypożycza Ci urządzenie, instalujesz, konfigurujesz wszystkie wymagane polityki i testujesz. Konfiguracja może być różna i charakterystyka ruchu sieciowego różna (w skrócie 10Mbps może bardziej obciążyć UTM niż 200Mbps).
Porównanie skuteczności i ceny: http://utmlab.com/porownanie-producentow-utm-technologia-skutecznosc-cena/ (oczywiście jak do wszystkich takich testów należy podchodzić do tego z rezerwą).
Ja osobiście montuję głownie Fortigate. Dla takiej sieci jak Twoja w praktyce wystarczy najniższy model 30E.

CC_PL napisał:

Oczywiście przepustowość jest ważna i trzeba ją dobrać pod łącze, ale dla mnie w wyborze urządzenia ważniejsze są takie cechy, jak: skuteczność odpierania ataków

Mniejsza przepustowość przy włączonych zabezpieczeniach wynika, oczywiście, z większego obciążenia procesora urządzenia. Trzeba przecież robić inspekcję każdego przechodzącego pakietu. To samo jest w każdym urządzeniu różnych producentów, różnica wynika z użytego procesora i oprogramowania. Widzę, że Zyxel nie jest zbyt wydajny pod tym względem.
Fortigate jest chyba lepszy, ale i droższy:
https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/Fortinet_Product_Matrix.pdf

No tak, ktoś napisał, że CISCO ASA i Fortigate Fortinet to takie Mercedesy wśród urządzeń tego typu. Też myślałem głównie o modelu Fortigate 30E.

Dzięki za porównanie UTMLAB, wczoraj u nich przeglądałem jedynie tabelę zbiorczą, tu jest nieco więcej informacji.

Skoro to kablówka - to jakie masz u nich IP: stałe, dynamiczne?
Może warto ich poprosić o zmianę IP?

ISP to Vectra, IP się zmienia dość często, nawet co kilka dni. Ale w jakiś mi nieznany sposób, mój IP trafia do hakerów. Oczywiście możliwości jest wiele.

I tak ja tu pisali koledzy, czeka mnie przed ponownym podłączeniem się do sieci, przeinstalowanie OS/aplikacji we wszystkich komputerach.

W jednej firmie miałem tysiące prób na różne porty telnet/ssh/www/vpn
Po tym jak zablokowałem ip-bloki z chiny/azje/am-płd/rosję - prawie wszystko ustało

CC_PL napisał:

ISP to Vectra, IP się zmienia dość często, nawet co kilka dni. Ale w jakiś mi nieznany sposób, mój IP trafia do hakerów. Oczywiście możliwości jest wiele.

I tak ja tu pisali koledzy, czeka mnie przed ponownym podłączeniem się do sieci, przeinstalowanie OS/aplikacji we wszystkich komputerach.

To wskazuje na zawirusowany komputer/y i/lub jakieś inne urządzenia. Proponuje jeszcze zresetować router do ustawień fabrycznych.

ryba884 napisał:

To wskazuje na zawirusowany komputer/y i/lub jakieś inne urządzenia.

Też bym to obstawiał.
Nie ma praktycznie możliwości by hacker idealnie ponownie trafił w nowy IP należący do tej samej osoby czy sprzętu - coś musi mu te dane przesyłać.
Wydaje mi się, że należy zrobić format CAŁEGO HDD w każdym komputerze i ponownie jak i system operacyjny tak i dane zainstalować "na czysto".

ryba884 napisał:

Proponuje jeszcze zresetować router do ustawień fabrycznych.

A skoro to Vectra - to jest możliwe na ich sprzęcie uruchomić tryb mostu i mieć czysty modem i do tego podłączyć własny dobry router.

Albo pomyśleć o jakimś hostingu OVH i tam "przenieść firmę" a w lokalizacji Autora tylko pulpit zdalny.

Cytat:

To wskazuje na zawirusowany komputer/y i/lub jakieś inne urządzenia. Proponuje jeszcze zresetować router do ustawień fabrycznych.

Może tak być, choć ClamAV ani RKHunter niczego nie znalazły. Router był resetowany, ale .....dziś czytałem, że przestępcy potrafią nawet "zarazić" pamięc flash / BIOS (główny, jak i jego komponentów):

https://www.schneier.com/blog/archives/2015/03/bios_hacking.html

( ciekawy wpis i wiele sensownych komentarzy).

Cytat:

A skoro to Vectra - to jest możliwe na ich sprzęcie uruchomić tryb mostu i mieć czysty modem i do tego podłączyć własny dobry router.

Właśnie myślałem o bridge-u, Vectra dostarcza sprzęt Cisco

---
Dziękuje za wszelkie sugestie i uwagi - przeczytam je raz jeszcze i przeanalizuje.

Nadal szukam sprzętu (jestem na etapie porównywania specyfikacji do zaproponowanych modeli. Muszę poczytać na ich temat i zaznajomić się z wieloma rozwiązaniami, terminami - nie sądziłem, że nowe firewalle/UTM mają tyle bajerów).

Wątek będę śledził, a za kilka dni napiszę co wybrałem i z pewnością będę Was zasypywał kolejnymi pytaniami.

To może jeszcze ja pozwole sobie dorzucić swoje 3 grosze z własnego podwórka )

Z mojej obserwacji wynika, ze ok 70 % ruchu wychodzącego z sieci LAN do Internetu (i związanego z tym ruchu powrotnego) jest zaszyfrowane..bo no leci HTTPS over SSL czy np. TLS.

Jeśli chciałbyś, żeby Twój nowy FW zaglądał również w tego typu ruchu to musisz na nim ten ruch odszyfrować i poddać inspekcji..czyli świadomie zrobić cos takiego jak mniej więcej atak Man in the Middle.

W tej chwili liczące się firewalle to te z grupy Next Generation, które rozumieją aplikacje przechodzące przez niego (np. rozróżnia ze ktoś korzysta z YouTuba a ktoś inny po prostu ogląda stronę www)

Zwykły FW np. Cisco ASA jest tylko mniej lub bardziej zaawansowany filtrem pakietów, który śledzi stan sesji, potrafi robic jakas prosta inspekcje ruchu http, smtp i ftp (może cos jeszcze) ale to w dzisiejszych czasach już w ogóle się nie sprawdza.

Odnośnie twoich problemów, to gdzieś na kompie albo na telefonie, który np. korzysta z Twojej sieci masz trojana lub inny syf który przekazuje drugiej stronie informacje o Twoim IP.

M.