Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Ahoj, jiz nejakou dobu se snazim udelat nazor na vhodnou distribuci s fitrovanim sitoveho provozu.Jako sitovy firewall nejspis zustane aktualni virtualizovany mikrotik, jez bych rad doplnil o filtrovani na vyssich vrstvach. Ocekavam zejmena mene mallware na pocitacich klientu a moznost zakazu urcitych kategorii webovych stranek, napr. pristupu na porno, FB, a urcite kategorie provozu P2P, tor.

Pozadavky: -alespon free antivirus clamav, vyhodou volitelne komercni -aplikacni filtr -napr zakaz pruchodu tor,p2p siti, atd. Tak aby kdyz zakazu nejake webove stranky tak mi to neobehli TORem ci VPN -filtr webovych stranek - napr. vylouceni pristupu do kategorie porno -email antivirus

Dotazy: -mate nekdo realnou zkusenost s kvalitou detekce free antiviru clamav oproti komercnim sitovym antivirum? Ja mohu jen posoudit, ze po nasazeni untagle jsem resil podstatne mene viru na stanicich

-kvalita free seznamu kategorii webu oproti komercnim, mam jen starsi spatnou zkusenost s placenymi kategoriemi na zywally jez nemel skoro vubec zakategorizovane ceske porno stranky tj. byl pro nase prostredni nepozuitelny, na druhou stranu mam dobropu aktualni zkusenost s opendns.com

-nejake zkusenosti s moznosti nastaveni fitrace spravcem konkretni site , tzn lokalni admin si muze navolit zda se bude filtrovat porno, pripadne jake stranky jeste zakaze/povoli mimo globalni konfiguraci, fortinet to pry resi radiusem a nejakymi predvollenymi profily

-jakekoliv zkusenosti z provozu s podobnym resenim typu provozujem v pohode, mel jsem tenhle prpduk ale nefungovalo korektne tohle ale tohle nam bezi OK, urcite to bude zajimat cim dal vice adminu a mne to snad ukaze spravnou cestu

Vyhodou: -virtualni aplience , kdyz navysim pocet uzivatelu nechci kupovat novou krabici -otevreny kod ci moznost zakladni konfigurace povolenych websites,protokolu pro urcitou sit "lokalnim adminem" co vim bezne se resi pres radius -zakladni funkcionalita zdarma, rozsirena komercni antivirus apodobne s dobrym pomerem ceny na uzivatele, pokud to bude delat co ma tak uzivatelu budou stovky

Aktualni hraci o trun: -untangle.com kdysi jsem uspesne nasadil a bez starosti provozoval ve firmne o cca 70 uzivatelich a minimalne sitovy freeantivirus /clamav/ delal co ma a firewall na aplikacni urovni take, moznost dokupovani komercnich variant k jednotlivym free alternativam -clearos.com prijde mi zajimavy i komunitni projekt s free i komercnimi moduly, ale kdyz bych chtel komercni aplikace musim jiz mit komercni verzi placenou na mesicni bazi dle pictu uzivatelu, ale prijde mi ze projekt docela zije je komplexni a ma plno zajimavych funkcionalit -endian.com, rovnez free a placene moduly, prsi se ze pouzivaji i velke nadnarodni firmy -fortinet.com , ryze komercni produkt, chlubi se 60 techniky primo v Cr, zmaknutou spolupraci s radiusem, ale i virtualku clovek zaplati

Odpovědi

My jedeme tak, že máme odchozí provoz kompletně blokován a je povolena jen proxy, kde filtrujeme obsah (zakázání stahování různých přípon apod.). Navíc uživatelé vědí, že se vše loguje, takže si dávají bacha a nezlobí.
Nejvíce bordelu chodilo přes emaily, což se vyřešilo tak, že se blokuje nějaký seznam přípon příloh + ten stejný seznam se kontroluje v archivech + je zakázán archiv v archivu (začaly chodit exe sračky, co byly zip v zipu).
Tím jsme se zbavili jakýchkoli problémů.
Jinak teď je v plánu migrace stanic do AD a následně bych chtěl i nasadit politiky, aby uživatel mohl spustit jen definovaný sw, nic víc. Kdyby se tedy do pc nějakou cestou dostalo něco škodlivého, tak by to nemělo jít spustit. Uvidíme, jak to půjde.
Zdar Max

Měl jsem sen ... :(

27.4.2015 13:35 Lupex
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Fortigate můžu doporučit, umí úplně vše co potřebujete a spoustu věci navíc, například FSSO - identifikace uživatelů a skupin dle členství v AD, policy dle těchto skupin do ostatních sítí / internetu, takže můžete v jedné síti rozlišovat AV, app, IPS,webfilt,DLP profily dle těchto, skupin možno použít radiusy servery, LDAP, zahrnuje device management - identifikuje zařízení a jeho OS, člení do přednastavených nebo vytvořených skupin, zase jde navázat jednotlivé policy na tyto skupiny, VPN ipsec / ssl, podpora vlastního klienta pro ssl/ipsec ale zároveň podpora nativních ipsec vpn pro iOS, android, cisco atd. Ipsec site to site je samozřejmost formou klasickou tak formou ipsec interface. v Application rozeznává více než 3000 aplikací, detekuje botnet spojení, umí SSL MITM, takže se lze dívat i do šifrovaného spojení. Další z výhod je licencování, platí se jednou ročně maintenance kde je záruka výměny boxu po dobu zaplaceného support a přístup k UTM databázím. Další funkce nebo jejich rozsah není licenčně omezen. Veškerou podporu zajištuje Fortinet partner, v CZ je EMEA středisko podpory. Ano jsme partner Fortinetu.

27.4.2015 14:44 ivir | skóre: 7 | Barrandov
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Asi nejlepší mi připadá nasazení Bitlockeru, kterým lze zamezit spouštění nepodepsaných aplikací. Nehrozí tak takové riziko v případě nezachycení antivirem. Poté nastavit transparentní proxy s logováním a rozeslat informaci, že v rámci zákona o kybernetické bezpečnosti se aplikuje kontrola navštěvovaných stránek a v případě porušení pracovní kázně hrozí to a to. Když to ještě člověk podpoří statistikou ve stylu černá/červená/žlutá zóna, tak většina lidí si budou této hrozby vědomi a nebudou tak pokoušet svoje štěstí. Ideálně ještě na někom uplatnit trest, aby viděli co hrozí.

------

Jinak zrovna nyní nasazujeme Fortinet a musím říci, že spokojeni s ním zatím moc nejsme s ohledem na nemožnost vypnutí starého ISA/TMG serveru.

IPSec VPN min. ve verzi 5.0.10 nepodporuje MSCHAPv2, takže se nelze přihlašovat uživatelským certifikátem
VPN klient volá domů a neposkytuje rozumné API pro jeho ovládání + nepostihuje situaci, kdy se člověk přihlašuje pouze certifikátem a nezná heslo
WEB GUI obsahuje celkem hodně chyb v JavaScriptu, že občas rozhraní nereaguje nebo generuje hlouposti
Hodně bolestivé jest nemožnost výměnu disku/zvýšení diskového prostoru pro logy o provozu - nutno pořídit další krabici nebo odlévat jinam

27.4.2015 16:02 vasek
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Kromě jiného se webové rozhraní fortigatu pravidelně částečně rozbíjí po každé aktualizaci a dokumentace k němu je neaktuální. Často je potřeba používat kombinaci CLI + WEB GUI. Kdyby alespoň jedno z toho bylo výborně udělané, tak není problém ... Mimochodem SSL MITM je sice běžně používané, ale je to nebezpečná prasárna největšího kalibru

27.4.2015 21:21 Lupex
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Tak vůči cli nemám výhrady ( teda pokud se tam nesype příliš mnoho najednou), to gui ve verzi 5.0.x nebylo moc dobrý do 5.0.9 načítat několik set policy bylo na uvaření kafe, to jo, ale v řadě 5.2.x to vypadá vše dobře. Certifikáty používáme s sslvpn bez problémů, u ipsec to po mě ještě nikdo nechtěl. Díky za info, je to reportovaný ? Kombinace CLI a gui je ale logická, do gui nenacpeš vše co lze nakonfigurovat. SSL MITM je sice bežné, ale tady si to děláš vědomě a ne třeba jako u Lenova. Nicméně nemám informace že by to bylo ze strany klientů vyžadované. Pravidelné rozbíjení GUI nicméně zase tak tragicky nepociťuji, ale na 5.0.x nevzpomínám v dobrém.

27.4.2015 22:40 ivir | skóre: 7 | Barrandov
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Tikety jsou otevřené a dodavatel to už řeší přes 2 měsíce. Na 5.2.x se mu zatím nechce přecházet dokud jsou tikety otevřené. Je možné, že se u nové řady je to lepší, ale ve verzi 5.0.10 u SSL VPN jde jen nastavit, že ověří certifikátem a poté je nutné vyplnit uživatelské jméno a heslo. Je pravda, že jsme to neměli opřené o RADIUS, ale jen o AD/LDAP. S dodavatelem jsme se postupně dostali do stádia, že VPN jsme schopni budovat pouze pomocí certifikátu, ale jen v režimu IKEv2 VPN s certifikátem stroje, ale někteří poskytovatelé IKEv2 nepropouští (např. ADSL O2). Bohužel oficiální klient nelze použít neb není stabilní a už nemá CLI rozhraní pro automatické budování.

Připadá mi, že firewall nemá rád naši restriktivní politiku spolu s logováním všeho a virtuálním desktopem. Navíc, když pro uživatele je většina věcí zautomatizovaná, že jen vyplní PIN a otisk prstu a o vše se automaticky postaráme bez ohledu kde jsou, takže po chvilce jim jen vyskočí pracovní plocha, kde v klidu mohou pracovat.

Tohle je tedy nyní největší bolístka a už mám připravené další věci k nahlášení, jen to musím ověřit, alespoň zdá se, že FSSO u webproxy trošku selhává, když je člověk přihlášen na více desktopů zároveň různými účty. Pak na vše uplatňuje pravidla dle posledního účtu.

---

Kdyby vše fungovalo jak mělo, pak je řešení dobré. U syslogů pěkně informuje o všem možném, ovládání je celkem rozumné a v dokumentaci se toho najde celkem hodně.

Jen tedy musím upozornit, že pro maily má Fortinet extra krabici a to co je implementované ve FortiGate nejde moc rozumně použít pro filtraci spamu/virů. V tomto ohledu se přikláním spíše ke specializovaným řešením pro jednotlivé části.

Bohužel s bezplatnými variantami nemám zkušenosti, ale obecně bude nejspíše platit, že je to hlavně o rychlosti nalezení signatury a její distribuce.

28.4.2015 11:43 karel.zem | skóre: 2
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Dekuji vsem za odpovedi.

Shrnu li tedy poznatky z tohoto a konkurecniho fora http://forum.root.cz/index.php?topic=11114.msg128612#msg128612 :

-clamav nebrat ani jako zaklad, ve free linuxech se pak dokupuje vetsinou AV kaspersky ci bitdefender u untagle to uz je predpokladam jina liga?

-pokud se hodi aplikacni kontrola i pres HTTPS je tu jedine pouzitelne reseni fortinet? ikdyz zrovna untagle se prsi nejakym placenym modulem https://www.untangle.com/shop/HTTPS-Inspector

Ma te nekdo pozitivni zkusenost s nejakou aplikacni kontrolou provozu? Klidne i z Great Firewall of China :-)

Pokud by jsme fortinet nasazovali bude jen jako filtr, veskere routovani + VPN budem realizovat na mikrotiku. Zejmena ted kdyz jej dokazeme dat kazdemu klientovi domu za par korun http://www.wifihw.cz/default.asp?cls=stoitem&stiid=3162

28.4.2015 12:04 karel.zem | skóre: 2
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

jeste jsem nasel toto "Ceske reseni", neznate nekdo: https://www.kernun.cz/home/

28.4.2015 14:46 ES
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

jakoze klientum chcete blokovat TOR a delat MITM na SSL? taky dobry...

28.4.2015 16:29 ivir | skóre: 7 | Barrandov
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Kontrolu na úrovni HTTPS umí většina dražších komerčních řešení (Checkpoint, Palo Alto, F5, Juniper), jen Fortinet vychází asi nejlevněji. Vše je jen o způsobu nastavování, které je nutné si osahat. Třeba u Fortinetu si to můžeš vyzkoušet na "demu". fortigate.com s účtem demo:demo . V záložce "Security Policy" se nastavují politiky pro aplikace/web/... . Doporučuji vyzkoušet zda vyhovuje. Navíc je nutné do koncové ceny započítat podporu pro aktualizaci databází.

Jinak Kernum znám jen od vidění. Co jsem se ptal, tak to mají postavené na FreeBSD a lokální databázi webů. V případě chybějícího záznamu se volá domů, kde prý ručně provádí kategorizaci stránky. Rozhraní to má pěkné včetně statistik. Jen je otázkou co v rámci statistik zaznamenávají a posílají k sobě.

Můžu se zeptat k čemu je šmírování v HTTPS? Různé weby lze na základě protokolu a IP adres a jejich kombinace a signatur blokovat i bez nahlížení do obsahu HTTPS (to třeba fortinet umí). Z pohledu uživatele mi přijde jako důvod k HTTPS mitm:

chci sám ukrást a zneužít něčí data (včetně hesel)
chci někomu prodat něčí data
chci někomu vnutit nevhodná data

Z technického pohledu je to o tom:

doufat, že výrobce firewallu nebude zneužívat něčí data
doufat, že firewall nemá žádné chyby zneužitelné případnými útočníky ke kradení dat
doufat, že firewall korektně ověřuje certifikáty

... a mnoho dalšího

29.4.2015 05:23 karel.zem | skóre: 2
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Dekuji, souhrn vsech komentaru a odpovedi: -jeste k pomalu aktualizoavnemu clamavu, byl jsme na marketingove nalejvarne fortinetu a tam tvrdili, ze z celkoveho poctu utoku typu lidska chyba /asi tim rozumi klik na neco co nemas/ bylo pouze cca 11% zneuzitelenych technik z aktualniho roku /2014 / vse ostatni starsi chyby -soukromej nazor na filtrovani https tj. vlastne MITM je, ze je to strasne nebezpecne a nezadouci zneuziti. na druhou stranu chapu, ze nekdo muze mit moranil pravo na kontrolu nad tim co se deje na siti a toto je jedina technika trochu funkcni technika nezbyva nez ji vyuzit (zazil jsem jak placici matku jez zjistila co syn /z meho pohledu velice sofitikovane/ pacha na internetu ci majitele firmy jez plati zdroje a chce maximalne vyuzit), pokud je to mozne u komercniho draheho reseni i bez MITM tak super, ale podle mne to nepokryva aktualni zranitelnosti jez si uzivatel svou chybou bude chtit stahnout a mohou se sirit z libovolne IP a jen jdou pres HTTPS

-dekuji Vsem spolu s Vami se snazim se udelat si nazor efektivitu na ruznych kategorii reseni: --do free kategorie pokud akceptujeme technicke omezeni reseni, urcite patri openDNS diky sve kvalite kategorize urcite patri --druhy level mi prijde free reseni s placenym antivirem zatim zatim proste asi untangle s bitdefenderem -jina reseni nasazuji kasperkyho ,ale nedokazu posoudit realny rozdil techto AV na teto vrstve dle testu na stanici je aktualne bitdefender lepsi --komercni jez ma dle vsech komentaru opodstatneni zejmena kvuli HTTPS /at jiz s ci bez MITM/ mi prijde zajimave fortinet ve virtualce

-bylo to jiz zmineno, ale vnitrne fandim ceske firme z oboru, ale vubec nevim co realne ocekavat od kernun.cz , hledal jsem ve forech a nikdo to asi moc nepouziva ci reseni nekomunikuje navenek, opravdu to nikdo nezna? krom ivira jemuz dekuji, ze se i poptaval :-)

29.4.2015 12:38 ivir | skóre: 7 | Barrandov
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Reálně lze očekávat to co nabízí jako demo: www.kernun.cz/produkty-case-study/kernun-clear-web/online-demo/. Případně se zeptat na konkrétních ministerstvech, ale to je potřeba přesně formulovat otázky na které se dá rychle a stručně odpovědět. Odpověď bude chvilku trvat, ale většinou jsou to rozumní lidé. Jen tedy s ohledeme na zákon o kybernetické bezpečnosti nebudou moci říci tolika o technické realizaci.

U nás tedy dešifrování HTTPS provádíme z důvodu omezení možnosti úniku dat před schválením a detekci komunikujících aplikací neb už se často stává, že pro zamezení snadné detekce využívá škodlivý kód i HTTPS. bohužel opačný přístup, že vše zablokujeme a pustíme konkrétní stránky není u nás moc využitelné.

2.5.2015 14:45 bimbo
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Velka spokojnost s Kerio Control UTM. Ci uz v prevedeni ako HW box, alebo virtualka, alebo .iso instalacka. Mas tam vsetko co potrebujes. Je to sice za peniaze, no stoji to za to.

3.5.2015 22:58 karel.zem | skóre: 2
Rozbalit Rozbalit vše Re: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

na kerio mam spatnou vzpominku, kdysi mi prodali pro malou firmu tusim KWF po nasazeni jsem jim reportoval nejakou nefunkcnost a odpovedeli, ze to vedi, ale produkt uz ted jen prodavaji a nevyviji protoze makaj na novejsim reseni.. a za vola jsem byl ja... tak je podprovat z principu nebudu, ale samozrejme dekuji za typ

Dotaz: Vyber firewallu se sitovym "antivirem" a filtrem webovych stranek.

Odpovědi