Firewalls suck: Sonicwall

Leider gibt es einige Firewallhersteller, die es wirklich verdient hätten, ihre Firewalls selbst benutzen zu müssen. In der Serie “Firewalls suck” werde ich etwas zu dem Themenkomplex schreiben – man könnte dies ruhig als Rant verstehen. 😉

Im ersten Beitrag der Serie geht es um Sonicwall, den ich nicht mehr so sonderlich mag. Dies liegt an mehreren Dingen:

Regel-Limit

Es gibt bei einigen Modellen (wohlgemerkt: mit Gigabit Ethernet) von Seiten Sonicwalls eine Beschränkung auf 300 Regeln von Zone zu Zone. Wenn man ca. 200 Server hat, die viele Services für verschiedene Gruppen von Usern haben, und auch vielleicht auch noch hundert VMs, wird das sehr, sehr eng. Auch wenn man mit Gruppen arbeitet. Leider steht von diesem Limit nichts im Produktdatenblatt – und Sonicwall möchte es nicht per Firmwareupdate entfernen. Man soll doch bitte ein größeres Modell kaufen, mit einem Limit von 600 Regeln von Zone zu Zone. Klar gern, wir wissen grade eh nicht wohin mit unserem Geld!

SonicWALL Content Filtering Service (CFS)

Dieser Service macht Deep Packet Inspection und guckt sich auch HTTP Header genau an. Leider macht das bei HTTP Traffic von Zone zu Zone bei mehreren Sonicwall-Modellen Probleme und äußert sich darin, dass der Payload nur noch teilsweise ankommt und irgendwann einfach abgeschnitten wird. Das Deaktivieren des CFS im versteckten “DIAG.html” Menü schafft Abhilfe – allerdings erlischt damit wohl auch die Garantie (?). CFS ist übrigens auch aktiv, wenn man das IDS nicht nutzt (nichtmal lizensiert hat) und zieht immer Performance. Dauerhafte Abhilfe gibt es hier nicht, nur den Workaround.

TCP-Header Änderungen

Nicht nur CFS greift in den Traffic ein, sondern auch auf TCP-Ebene passieren “lustige” Dinge als Sicherheitsmaßnahme, so werden z.B. TCP-Sequenznummern umgeschrieben, was viel Freude bei der Untersuchung von komischen Netzwerkfehlern erzeugt. Kann ja nicht schaden, sein detailliertes Wissen über TCP/IP mal wieder in der Praxis anzuwenden und sich 1-2 Tage mit Lowlevel-Debugging zu beschäftigen.

Lizenzserver

Irgendwie gefällt es mir nach dem kleinen Malheur bei Sonicwall nicht mehr so ganz, dass die Geräte immer mal wieder Kontakt zum Sonicwall-Server benötigen, damit IDS, CFS usw. nicht ausfallen.

IPv6

In der Produktübersicht steht, dass v6 unterstützt wird. Allerdings nicht, dass das nur im Bridged-Modus der Fall ist und bei weitem nicht alle Features enthalten sind, die man überlicherweise zum Betrieb als ‘normale’ v6-Firewall benötigt. 🙁 Aber was soll die Haarspalterei!1!! ;(

Service und QS

Vom Service kann ich nichts Gutes berichten – als 24/7/365 Kunde mit Active-Passive Cluster wird einem schonmal am Telefon mitgeteilt, dass der zuständige Kollege bereits im Wochenende sei und dass das Problem grade nicht bearbeitet werden kann (kann doch bis Montag warten!!?). Grundsätzlich wird verlangt, ein bestimmtes oder das neuste Firmwareupdate einzuspielen, bevor sich der Support das Problem überhaupt genauer ansieht. Bei einem vom Support verlangten Update wußte selbiger aber eigentlich, dass das Routing dort nicht ganz korrekt funktioniert und somit einen viel schlimmeren Ausfall verursachen wird als das eigentliche Problem. Eher ungünstig ist dann auch, dass die defekte Firmware seit Monaten auf der Sonicwall-Webseite als aktuellste Download-Version bereitsteht und der Support immer mal wieder Kunden über das Problem stolpern läßt. Naja, so lernt der man dann nach nur 30 Minuten Wartezeit an der Hotline das qualifizierte Servicepersonal kennen! Das schafft gute Kundenbindung.

Leider basiert das hier auf der Realität – für jeden einzelnen Fall habe ich Ticketnummern in petto. Alles in Allem regt mich der unfähige Service bei Sonicwall am meisten auf… 🙁

This entry was posted in Rant, Rechenzentrum, Security and tagged , , , . Bookmark the permalink.

11 Responses to Firewalls suck: Sonicwall

  1. Jummo says:

    OpenBSD ist für uns von einer Alternative zur DER Firewall schlechthin geworden.

    – gute und korrekte Dokumentation
    – arbeiten mit pf ist sehr angenehm
    – keine Lizenzgebühren oder Einschränkungen -> BSD License

    Leider noch nicht im WAF-Bereich einsatzfähig.

  2. admin says:

    Naja, den WAF-Bereich braucht man ja i.d.R. ja auch erstmal garnicht. Etwas aus dem Open Source Bereich als Firewall zu Nutzen, finde ich aber auch die beste Lösung, dort ist die Doku und Fehlersuche einfach am schönsten.

  3. vampear says:

    Stell dich mal nicht so an, alte Heulsuse 😉 😀

  4. admin says:

    Ich wünsche dir, dass du hast auf der Arbeit Checkpoint hast! Die sind noch schlimmer! 😛

  5. vampear says:

    Altobelli, laufen die Checkpoints immer noch? 😀 Weisste was das Beste ist? Ich hab mit der Pest nix mehr zu tun 😉

  6. admin says:

    Dafür hast du nun täglich mit Oracle zu tun, das steht in meinem Wörterbuch eindeutig unter “Pest”. ;P

  7. vampear says:

    bist halt nix gutes gewohnt 😉 Meitest wohl Best! Hast halt das P mit nem B vertauscht, es seih dir verziehen 😀

  8. admin says:

    Nee, ich bin ganz froh, dass ich mit dem Mist wenig zu Tun habe. Postgres ist wirklich viel, viel schöner…Update eine Oracle -> 2h Beschäftigung. Postgres: 2m. 🙂

  9. vampear says:

    wasn hinkender Vergleich 😉 Was wirklich fikke ist, ist MaxDB, musste doch glatt ein SAP System auf MaxDB übernehmen 🙁 Da machste was mit, aber das fliegt auch bald raus, so bald ich Zeit habe wird das nach Oracle portiert 😉

  10. vampear says:

    im übrigen Bekeley sucks auch 😉

  11. admin says:

    SAP und Oracle…du hast mein tief empfundenes Beileid. 😉

Leave a Reply

Your email address will not be published. Required fields are marked *