Então, estou na área já faz um tempo e estou mudando mais para segurança do que redes.
Tenho trabalhado com FTDs, Checkpoints e Palo Alto há alguns anos e, em todo lugar que olho (especialmente neste subreddit kkk), vejo piadas frequentes sobre a plataforma FTD.
Quer dizer, eu entendo, a plataforma começou mal e era uma bagunça até recentemente, quando eles conseguiram melhorar um pouco na minha visão. Mas quando leio as discussões, parece que todo mundo acha que é um desperdício total de investimento para qualquer implantação.
Então, o que vocês acham? Ainda é tão ruim quanto dizem?
Na minha opinião, está melhor do que era, mas ainda é bem ruim. Os problemas que tenho com ele são problemas fundamentais, de arquitetura. A menos que esses problemas sejam resolvidos, não consideraremos voltar a ele como plataforma. E honestamente, não confio nas capacidades da equipe de desenvolvimento por trás da plataforma para resolver esses problemas sem introduzir uma série de novos bugs. Meu time e eu já gastamos dezenas de horas resolvendo esses problemas e posso falar com detalhes sobre as dificuldades que enfrentamos.
Entre esses problemas principais está o fato de a plataforma basicamente ser três sistemas operacionais em um “casaco de trenchcoat” (FX-OS, Firepower OS, LINA) mantidos juntos por fita isolante, scripts em perl e cola de saliva. Muitos bugs que encontramos acontecem porque a arquitetura requer muita coordenação entre essas partes móveis, que muitas vezes não ocorrem de forma adequada.
Mesmo que você consiga passar pelos (na minha opinião, enormes) problemas da plataforma, ela não faz nada de relevante que te faça optar por ela em vez de outros fornecedores no espaço de firewalls ou justifique seu preço extremamente alto.
A minha pergunta é: qual o argumento positivo para escolhê-la? Não basta ela estar melhor do que era. Ela é melhor que a concorrência? Mais barata? Mais fácil de gerenciar? Melhor suporte? Para impulsionar a adoção, tem que haver algum motivo para escolhê-la em vez das alternativas.
Fortinet e Palo estão avançando tão rápido, adicionando recursos, valor e qualidade a cada lançamento.
Por que se preocupar?
TI é sobre fazer “melhores práticas”, não fazer falhas funcionarem. Tenho certeza de que alguém conseguiria fazer IPX funcionar em uma rede moderna, por que fazê-lo?
Era quase impossível de usar anos atrás. A versão 5 frequentemente falhava ao aplicar mudanças.
A versão 6/7 tem estabilidade muito melhor, mas coisas como implantações levam um tempo enorme.
Na perspectiva de um varejista, não estão tão ruins agora. Muito difícil de configurar e ainda encontro bugs com frequência, mas nada que eu não consiga superar.
Lembre-se, não estou na rotina diária, então não posso falar sobre isso.
Só usei FTD nos últimos 3 meses desde que comecei um novo trabalho e, honestamente, não tenho queixas. Minha suposição é que as pessoas tiveram uma experiência ruim no começo e nunca mais deixaram passar. Isso, unido às pessoas que nunca usaram, só repete que é ruim porque é o que ouviram.
Passei literalmente 6 horas com o TAC ontem, além de várias horas sem TAC, para colocar um site remoto online depois que o dispositivo decidiu resetar para fábrica por algum motivo (ou alguém fez isso, não sei) e o FMC não permitiu o registro. Cada minuto foi pura frustração.
Todo o sistema, como funciona o registro, a conversão para uma interface de dados para acesso gerencial e a falta de gerenciamento no dispositivo para chegar ao gerenciamento central é absoluto lixo e só uma reformulação completa vai melhorar.
Com um FortiGate, essa mesma tarefa levaria no máximo duas horas.
Da minha perspectiva, a interface é ruim, falha ao decodificar algo tão simples quanto DNS a ponto de recomendar contra a detecção de aplicativos. Por outro lado, você pode configurar regras do Snort para casos realmente críticos.
Nós desistimos deles. Os poucos que temos estão saindo, um deles provavelmente hoje, na verdade. Desmontei um par de 1010’s na semana passada que nunca entrou em produção.
Tenho gerenciado mais de 200 FTDs e alguns FMCs nos últimos 7 anos. Eles melhoraram bastante. Integrações com SecureX e todas as outras ferramentas de segurança da Cisco são incríveis para um analista de segurança. Sim, FTDs são excessivamente complicados, mas isso se deve à grande quantidade de opções de configuração disponíveis.
Para quem reclama do FX-OS, tente gerenciar tecnologias de segurança não polidas. Não consigo contar quantas demos em que aparecem só rodando Linux. Depois, o aplicativo de segurança roda em Docker. É horrível de gerenciar, especialmente em escala. O FX-OS evoluiu para mim, mas é complicado entre versões e peculiaridades.
Minha única reclamação com a Cisco agora é a deficiência do TAC. Infelizmente, mais empresas cortam orçamentos de suporte.
Tive o prazer de implantar FTD na série 2100. Que lixo que foi, recursos básicos ausentes do código do ASA.
Acabei usando o código do ASA até que o Zscaler virou realidade. Descomissionei esses firepowers em dois anos de compra. Só 1,5 anos de operação devido ao código péssimo e cheio de bugs.
Graças a Deus, os firewalls sem VPN eram Palo Alto, que são excelentes.
Resposta certa - sim! Tenho 7 pares de HA de modelos 2k a 9k. É um tecido de bugs. O FTD é inutilizável, de baixo desempenho e você fica cansado de ler os bugs deles. A cada 2-3 meses, reiniciava de forma inesperada. O TAC tem 3 sugestões: reiniciar, reimagens, atualizar. Nenhuma atualização foi fácil. Sempre perde conexão. Ah, por que comprei essa porcaria?
Parece estar melhorando - Snort 3 ajudou bastante no desempenho. Temos uma atualização chegando e, honestamente… talvez eu adquira novos FTDs. Conheço bem a Fortinet, mas com os problemas de segurança e bugs do ano passado, um conjunto de Gates + Manager + EMS fica cada vez menos atrativo.
Ainda há várias coisas que parecem faltar, mas novidades são adicionadas a cada versão. Há 4 anos, olhei para FTD/FMC e pensei que era uma bagunça, mas agora estou um pouco otimista.
Uso FTDs com FMC desde 2017 e nunca tive problemas de configuração, agora as atualizações de código que deixam o hardware do FTD ou FMC ruim, sim, isso acontece, mas poderia acontecer com qualquer fornecedor.