Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: PatPatPat 27. 04. 2015, 07:48:32
-
Ahoj, jiz nejakou dobu se snazim udelat nazor na vhodnou distribuci s fitrovanim sitoveho provozu.Jako sitovy firewall nejspis zustane aktualni virtualizovany mikrotik, jez bych rad doplnil o filtrovani na vyssich vrstvach. Ocekavam zejmena mene mallware na pocitacich klientu a moznost zakazu urcitych kategorii webovych stranek, napr. pristupu na porno, FB, a urcite kategorie provozu P2P, tor.
Pozadavky:
-alespon free antivirus clamav, vyhodou volitelne komercni
-aplikacni filtr -napr zakaz pruchodu tor,p2p siti, atd. Tak aby kdyz zakazu nejake webove stranky tak mi to neobehli TORem ci VPN
-filtr webovych stranek - napr. vylouceni pristupu do kategorie porno
-email antivirus
Dotazy:
-mate nekdo realnou zkusenost s kvalitou detekce free antiviru clamav oproti komercnim sitovym antivirum? Ja mohu jen posoudit, ze po nasazeni untagle jsem resil podstatne mene viru na stanicich
-kvalita free seznamu kategorii webu oproti komercnim, mam jen starsi spatnou zkusenost s placenymi kategoriemi na zywally jez nemel skoro vubec zakategorizovane ceske porno stranky tj. byl pro nase prostredni nepozuitelny, na druhou stranu mam dobropu aktualni zkusenost s opendns.com
-nejake zkusenosti s moznosti nastaveni fitrace spravcem konkretni site , tzn lokalni admin si muze navolit zda se bude filtrovat porno, pripadne jake stranky jeste zakaze/povoli mimo globalni konfiguraci, fortinet to pry resi radiusem a nejakymi predvollenymi profily
-jakekoliv zkusenosti z provozu s podobnym resenim typu provozujem v pohode, mel jsem tenhle prpduk ale nefungovalo korektne tohle ale tohle nam bezi OK, urcite to bude zajimat cim dal vice adminu a mne to snad ukaze spravnou cestu
Vyhodou:
-virtualni aplience , kdyz navysim pocet uzivatelu nechci kupovat novou krabici
-otevreny kod ci moznost zakladni konfigurace povolenych websites,protokolu pro urcitou sit "lokalnim adminem" co vim bezne se resi pres radius
-zakladni funkcionalita zdarma, rozsirena komercni antivirus apodobne s dobrym pomerem ceny na uzivatele, pokud to bude delat co ma tak uzivatelu budou stovky
Aktualni hraci o trun:
-untangle.com kdysi jsem uspesne nasadil a bez starosti provozoval ve firmne o cca 70 uzivatelich a minimalne sitovy freeantivirus /clamav/ delal co ma a firewall na aplikacni urovni take, moznost dokupovani komercnich variant k jednotlivym free alternativam
-clearos.com prijde mi zajimavy i komunitni projekt s free i komercnimi moduly, ale kdyz bych chtel komercni aplikace musim jiz mit komercni verzi placenou na mesicni bazi dle pictu uzivatelu, ale prijde mi ze projekt docela zije je komplexni a ma plno zajimavych funkcionalit
-endian.com, rovnez free a placene moduly, prsi se ze pouzivaji i velke nadnarodni firmy
-fortinet.com , ryze komercni produkt, chlubi se 60 techniky primo v Cr, zmaknutou spolupraci s radiusem, ale i virtualku clovek zaplati
-
K tomu blokovani TORu.
Nevim jestli se tak chova v zakladu ale 100% jde nastavit, aby komunikoval po 443 a TLS. Takze budes mit problem ho detekovat oproti standardnimu https trafficu. Mozna tak nejakou statistickou analyzou, coz myslim neni nic standardniho.
-
"-aplikacni filtr -napr zakaz pruchodu tor,p2p siti, atd. Tak aby kdyz zakazu nejake webove stranky tak mi to neobehli TORem ci VPN... "
Proč ?
Protože těmto technologiím nerozumíš? ::)
S tvým nápadem se zajímaj o práci v Číně nebo KLDR, práci budeš mít jistou...
-
Free? tezko, zaklad si poskladas, ale definice toho co kam jak pres co, signatury dobrejch a zlejch, seznamy.... to je to co stoji to co to stoji.
-
Smiř se s tím, že účinnou aplikační kontrolu a web filtraci s free linuxíkem nezajistíš ;)
-
Clamav je na hovno. Na spostu souboru, na kterych jsem to kdysi testoval, reagoval s nekolikamesicnim zpozdenim. Prkrat jsem jim zkusil zaslat vzorek a nic se nezmenilo. Akorat se tam daji nainstalovat nejake alternativni zdroje definici malware a s temi se to zlepsi.
-
Zkus mrknout na IPCOP, před cca 10 lety jsem jej používal jako proxy s filtrací a anv kontrolou pro 80 uživatelů a už tehdy byl velmi dobrý. Je pro něj i spousta addonů.
-
Zoufala snaha blokovat nezablokovatelne ...
Osobni zkusenosti - blokovani webu na zaklade obsahu/nazvu domen. Vzdy se nalezne alespon jeden web, ktery dotycny ke sve praci potrebuje a zaroven obsahuje zakazana slova.
Dtto VPN a dalsi, pokud tomu dotycny rozumi, neexistuje cesta jak ho zastavit, nemluve o tom, ze poridit si data do mobilu je trivka.
Tak jako tak, jakykoli efektivni zajisteni musi jit na uroven stanice, nejaky srv v ceste nic neresi. Pochopitelne vyzaduje striktni nastaveni (= uzivatel nespusti zadnou neautorizovanou aplikaci ...) a stejne vzdy narazis na to, ze nefunguje neco, co by melo, nebo naopak funguje neco, co by nemelo (btw, tunel se da provozovat i pres http, https na to vazne netreba).
-
Clamav je na hovno. Na spostu souboru, na kterych jsem to kdysi testoval, reagoval s nekolikamesicnim zpozdenim. Prkrat jsem jim zkusil zaslat vzorek a nic se nezmenilo.
To jsem tady psal taky, dokonce o mnoho slušněji, leč tento názor zde nevydržel ani hodinu... No nic. ::)
-
Zoufala snaha blokovat nezablokovatelne ...
Osobni zkusenosti - blokovani webu na zaklade obsahu/nazvu domen. Vzdy se nalezne alespon jeden web, ktery dotycny ke sve praci potrebuje a zaroven obsahuje zakazana slova.
Dtto VPN a dalsi, pokud tomu dotycny rozumi, neexistuje cesta jak ho zastavit, nemluve o tom, ze poridit si data do mobilu je trivka.
Tak jako tak, jakykoli efektivni zajisteni musi jit na uroven stanice, nejaky srv v ceste nic neresi. Pochopitelne vyzaduje striktni nastaveni (= uzivatel nespusti zadnou neautorizovanou aplikaci ...) a stejne vzdy narazis na to, ze nefunguje neco, co by melo, nebo naopak funguje neco, co by nemelo (btw, tunel se da provozovat i pres http, https na to vazne netreba).
Rozpoznat a blokovat provoz jednotlivých aplikací na firewallu samozřejmě lze, vč. inspekce šifrovaného provozu. Aplikační kontrolu lze dělat bez ohledu na použitý tcp port. Příklad technologie, která to umí uvedl sám tazatel, "linux zdarma" to samozřejmě není :D
-
Rozpoznat a blokovat provoz jednotlivých aplikací na firewallu samozřejmě lze, vč. inspekce šifrovaného provozu. Aplikační kontrolu lze dělat bez ohledu na použitý tcp port. Příklad technologie, která to umí uvedl sám tazatel, "linux zdarma" to samozřejmě není :D
Jiste, existuji naivove kteri si mysli prave toto. Ne, nelze. Ani kdyby sis na to koupil krabici za 100M.
-
A proc ne???
-
A proc ne???
Pomocí pokročilé inspekce provozu lze na firewallu povolit jen žádoucí aplikace a ostatní provoz dropnout. Pro uživatele je pak jednodušší použít vlastní mobil s internetem, což z hlediska bezpečnosti už není problém, neohrozí tím chráněnou síť.
-
Dekuji vsem za odpovedi.
Shrnuli tedy poznatky z tohoto a konkurecniho fora http://www.abclinuxu.cz/poradna/linux/show/403637 :
-clamav nebrat ani jako zaklad, ve free linuxech se pak dokupuje vetsinou AV kaspersky ci bitdefender u untagle to uz je predpokladam jina liga?
-pokud se hodi aplikacni kontrola i pres HTTPS je tu jedine pouzitelne reseni fortinet? ikdyz zrovna untagle se prsi nejakym placenym modulem https://www.untangle.com/shop/HTTPS-Inspector
Ma te nekdo pozitivni zkusenost s nejakou aplikacni kontrolou provozu? Klidne i z Great Firewall of China:-)
Dekuji
-
Ma te nekdo pozitivni zkusenost s nejakou aplikacni kontrolou provozu? Klidne i z Great Firewall of China:-)
Fortigate splňuje očekávání 8)
-
jeste jsem nasel toto "Ceske reseni", neznate nekdo:
https://www.kernun.cz/home/
-
jeste jsem nasel toto "Ceske reseni", neznate nekdo:
https://www.kernun.cz/home/
No abych musel schvalovat bezpecnostni vyjimku pro certifikat u webu, ktery nabizi "bezpecnejsi internet" je nejakej protimluv, ne?
-
jo to zni divne, ja se na jejich stranky i omylem zaslane https z Chrome 41 dostanu rovnou. ale to nebudem resit, jejich boj, je pravda, ze to duveryhodnosti neprida :-)
-
No abych musel schvalovat bezpecnostni vyjimku pro certifikat u webu, ktery nabizi "bezpecnejsi internet" je nejakej protimluv, ne?
Naopak. Pokud věříte certifikátům, které se vám bůhvíjak dostaly do prohlížeče, příliš bezpečné to není. Ale je pravda, že web by mohli mít přizpůsobený pro ty, kteří zatím moc bezpečnou konfiguraci nemají.
-
-clamav nebrat ani jako zaklad, ve free linuxech se pak dokupuje vetsinou AV kaspersky ci bitdefender u untagle to uz je predpokladam jina liga?
Nez ten clamav uplne zahodite, tak se mrknete na http://sourceforge.net/projects/unofficial-sigs/ a http://manpages.ubuntu.com/manpages/lucid/man8/clamav-unofficial-sigs.8.html (nevim, jestli se jedna o stejny projekt). Ale bylo by potreba pochytat nejake viry, ktere ted radi a zkusit, jak dobre to je. Treba na USENETu by mohl zase radit nejaky ten halleberrynaked.scr virus nebo nejaky novy smejd, ktery kdysi clamav detekoval az za mnoho mesicu (AVG po nekolika mesicich, rychleji nez clamav, Avast celkem rychle). Jinak tusim existuje Avast pro Linux a mozna Eset take neco ma. Nod32 byval dost dobry, jak ted ale nevim.
-
eset linux sitovy antivirus jsem zkousel a filtrovalo to jen http zadny jiny provoz, sami eseti souhlasili s tim, ze to neni nic moc, ale ze maj jiny priority tak to resit nebudou. sitovy avg ani avast neznam
-
Avast pro Linux: https://www.avast.com/linux-server-antivirus . Podle vseho neni verze zdarma. Neskanuje sitovy provoz, coz, pokud se pamatuji, clamav take nedela. Ale umi to skanovat soubory, takze se to hodi treba na postovni server a to asi vice, nez clamav, ktery tam ale muze byt take.
Ostatne skanovani sitoveho provozu je presne vec, ktera rychlosti stroje moc nepomuze.
-
Pate, takovej volně související dotaz: Když už tohle tak detailně řešíš, jakej máš názor na filtrování https? Mně to pořád nějak nesedí, násilně nabourávat komunikaci, o které má komunikující dojem, že je privátní point to point... Je jasné, že bez toho filtrování prakticky v;bec nemá smysl, ale zas na druhou stranu, lézt do spojení, které může být nakrásně třeba mezi zaměstnancem a jeho soukromou bankou? Nevím... Právně je to celkem jasné (zveřejnit v pravidlech provozu sítě a každého zaměstnance s tím seznámit), ale moc se s tím nemůžu srovnat osobně...
P.S. můžeš aspoň rámcově říct, v jaké oblasti to hodláš nasadit a co je vlastně cílem filtrování?
-
Pate, takovej volně související dotaz: Když už tohle tak detailně řešíš, jakej máš názor na filtrování https? Mně to pořád nějak nesedí, násilně nabourávat komunikaci, o které má komunikující dojem, že je privátní point to point... Je jasné, že bez toho filtrování prakticky v;bec nemá smysl, ale zas na druhou stranu, lézt do spojení, které může být nakrásně třeba mezi zaměstnancem a jeho soukromou bankou? Nevím... Právně je to celkem jasné (zveřejnit v pravidlech provozu sítě a každého zaměstnance s tím seznámit), ale moc se s tím nemůžu srovnat osobně...
P.S. můžeš aspoň rámcově říct, v jaké oblasti to hodláš nasadit a co je vlastně cílem filtrování?
Uživatel má přece stále možnost v prohlížeči zjistit, kdo vydal certifikát cílového systému, jestli veřejná CA nebo interní firemní CA a podle toho se zachovat. Kromě toho pro přístupy na bankovní servery se pro tuto kategorii nastavuje vyjímka, aby firewall do takové komunikace nezasahoval.
-
Uživatel má přece stále možnost v prohlížeči zjistit, kdo vydal certifikát cílového systému, jestli veřejná CA nebo interní firemní CA a podle toho se zachovat.
To má, ale dělat to nebude.
Kromě toho pro přístupy na bankovní servery se pro tuto kategorii nastavuje vyjímka, aby firewall do takové komunikace nezasahoval.
Hm. Ale stejně mi to přijde takový... nevím no. Možná jako kamery na WC, s ujištěním, že pindíka to nezabírá, protože na to je tam výjímka ;) Ty důvody, proč se to dělá, chápu, jenom nějak si na to neumím udělat názor, jestli je to pochopitelná dobrá praxe nebo spíš korporátní fašismus...
-
Jeste me napada OpenDNS na to blokovani webu. Kdyz klientum vnutis tyhle DNS servery a zakazes DNS komunikaci kamkoli jinam, tak je to myslim celkem dobre reseni (muzes si naklikat, ktere kategorie webu nechces, muzes pridavat vyjimky, ...).
Samozrejme se to da obejit zadanim IP adresy, ale to je uz docela dost BFU-unfriendly. A tech par Facebooku, co si zamestnanci zjisti, se da zablokovat natvrdo i pomoci IP.
-
Souhrn odpovedi:
-jeste k pomalu aktualizoavnemu clamavu, byl jsme na marketingove nalejvarne fortinetu a tam tvrdili, ze z celkoveho poctu utoku typu lidska chyba /asi tim rozumi klik na neco co nemas/ bylo pouze cca 11% zneuzitelenych technik z aktualniho roku /2014 / vse ostatni starsi chyby
-soukromej nazor na filtrovani https tj. vlastne MITM je, ze je to strasne nebezpecne a nezadouci zneuziti. na druhou stranu chapu, ze nekdo muze mit moranil pravo na kontrolu nad tim co se deje na siti a toto je jedina technika trochu funkcni technika nezbyva nez ji vyuzit (zazil jsem jak placici matku jez zjistila co syn /z meho pohledu velice sofitikovane/ pacha na internetu ci majitele firmy jez plati zdroje a chce maximalne vyuzit)
-dekuji spolu s Vami se snazim se udelat si nazor efektivitu na ruznych kategorii reseni:
--do free kategorie pokud akceptujeme technicke omezeni reseni, urcite patri openDNS diky sve kvalite kategorize urcite patri
--druhy level mi prijde free reseni s placenym antivirem zatim zatim proste asi untangle s bitdefenderem -jina reseni nasazuji kasperkyho ,ale nedokazu posoudit realny rozdil techto AV na teto vrstve dle testu na stanici je aktualne bitdefender lepsi
--komercni jez ma dle vsech komentaru opodstatneni zejmena kvuli HTTPS mi prijde zajimave fortinet ve virtualce
-bylo to jiz zmineno, ale vnitrne fandim ceske firme z oboru, ale vubec nevim co realne ocekavat od kernun.cz , hledal jsem ve forech a nikdo to asi moc nepouziva, opravdu to nikdo nezna?
-
Ještě jeden univerzální zpomalovač internetu zdarma k vyzkoušení: :P
https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx