Fortinetowe rozważania

wszystko inne - NIE licząc sprzętu typu SOHO!!!

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
bart
wannabe
wannabe
Posty: 389
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#16

#16 Post autor: bart » 10 maja 2015, 22:21

Tak jeszcze przyglądnąłem się temu FortiGate i zainteresowała mnie funkcjonalność DLP:

http://www.fortinet.com/solutions/data_ ... ntion.html

Jaki to ma wpływ na wydajność urządzenia, bo niestety nie mogę się nigdzie sensownego doszukać albo źle szukam ;) Np pudełko średniej wielkości seria 200/300.

Rilke
member
member
Posty: 15
Rejestracja: 04 lis 2014, 13:03

#17

#17 Post autor: Rilke » 02 cze 2015, 15:45

tu byś potrzebował już PoC. Jak złożona reguła DLP, ile ruchu na raz przez nią przepuścisz? Co byś chciał tym DLP tak na prawdę osiągnąć?
Jarek Rowiński

bart
wannabe
wannabe
Posty: 389
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#18

#18 Post autor: bart » 13 cze 2015, 23:41

Rilke pisze:tu byś potrzebował już PoC. Jak złożona reguła DLP, ile ruchu na raz przez nią przepuścisz? Co byś chciał tym DLP tak na prawdę osiągnąć?
Na początek głównie chodzi o wyciek danych z sieci firmowej załóżmy że chronione są jakieś katalogi plików z AD.

Rilke
member
member
Posty: 15
Rejestracja: 04 lis 2014, 13:03

#19

#19 Post autor: Rilke » 15 cze 2015, 10:27

bart pisze:
Rilke pisze:tu byś potrzebował już PoC. Jak złożona reguła DLP, ile ruchu na raz przez nią przepuścisz? Co byś chciał tym DLP tak na prawdę osiągnąć?
Na początek głównie chodzi o wyciek danych z sieci firmowej załóżmy że chronione są jakieś katalogi plików z AD.
To jest efekt końcowy. Na początku musisz w jakiś sposób oznaczyć dokumenty, które mają nie przechodzić, np. posługując się watermarkami. Dopiero wtedy działanie polityki powoduje, że dokumenty nieoznaczone są przepuszczane a oznaczone nie.
Jak pisałem, to nie jest prosty i łatwy w implementacji temat, szczególnie, że wymaga działań po stronie serwera plików oraz użytkowników.
Jarek Rowiński

bart
wannabe
wannabe
Posty: 389
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#20

#20 Post autor: bart » 18 cze 2015, 21:43

Akurat tak się złożyło, że mam na tapecie Fortigate 200D i co mogę powiedzieć. CLI całkiem całkiem ale do JUNOS jeszcze trochę brakuje. Za to www naprawdę niczego sobie i tutaj SRX jest w tyle. Co jest mega plusem to SSLVPN, który działa i to całkiem sprawnie, jest konfigurowalny na różne sposoby a co najważniejsze jest w cenie pudełka. Na razie jedyne co jest dziwne z tym SSLVPN, że mimo wrzucenia certa wildcard na pudełko, to pod firefox czasami pluje się, że cert jest nie ok i cholera wie od czego to zależy? Firewall działa jak powinien a pudełko jest całkiem żwawe i wydajne jak na tą cenę. Z dodatkowych funkcji to włączyłem IPS i nawet działa i coś wyłapuje. Za to AV i email filter dupa - włączyłem w trybie flow-based mode (o ile dobrze pamiętam) i przez dwa dni nic nie złapało (co jest raczej mało prawdopodobne). Za to w końcu ktoś przyszedł, jak to zwykle w takich przypadkach bywa, powiedzieć że mu poczta z załącznikiem 400kB nie chce się w ogóle wysłać i na razie wyłączyłem. Z innych rzeczy na minus to logowanie. Pudełko ma flash i jak się chce coś więcej logować niż tylko 'deny' to trzeba postawić coś na boku bo inaczej flash wysiądzie chwila moment. Co najdziwniejsze, mimo że wyłączyłem logowanie na flash i pudełko pokazuje, że flash jest praktycznie czysty to przy ponownym włączeniu logowania na flash i wejściu w jakikolwiek log kółko się kręci i tyle widać tego logu ;) nie wiem co trzeba zrobić aby to znowu ruszyło? Na nowo formatować flash? Niby można ale to wiąże się z restartem pudełka więc trochę lipa :/ Aktualnie korzystam z darmowego planu forticloud ale to też mało wygodne, no i nie jestem fanem trzymania logów w tak zwanej 'chmurze'. Fortianalyzer jest rozwiązaniem ale to znowu wydanie pieniędzy i to nie małe, więc chyba pójdzie ELK na logi i tyle.

bart
wannabe
wannabe
Posty: 389
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#21

#21 Post autor: bart » 24 lip 2015, 19:54

Z tym logowanie i pamięcią flash okazało się że po zmianie softu z 5.0 na 5.2 problem się rozwiązał i aktualnie logowanie działa poprawnie. Dziwne to trochę ale nie wnikam. Widać że w wersji 5.2 dużo rzeczy dorobili oraz poprawili i wygląda to nieźle.

Awatar użytkownika
maroszka
wannabe
wannabe
Posty: 82
Rejestracja: 01 lut 2007, 23:16
Lokalizacja: Wrocław

FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

#22

#22 Post autor: maroszka » 31 sie 2015, 10:59

U Nas kupili wirtualną furtkę 5.2.3 z analizatorem logów. Założenie to pełny web (http&https) dla pracowników, tyle że monitorowany. Na tą chwile to tak średnio wychodzi:
- FortiGate łączy się w różne miejsca - support w tym temacie kluczy (podsyła dokumenty jedynie z listą portów tcp/udp), przyciśnięty odpowiada "FortiGuard IP addresses are dynamic and we can not provide you the list"
- w GUI pojawia się informacja o nowym firmware 5.2.4, niestety taka aktualizacja nie przechodzi "Firmware image is not valid" - support proponuje opcję Download / Upload
- SSL Inspection oraz WebFilter youtube.com nie bardzo działa - support labuje / testuje i sugeruje aktualizacje oprogramowania (patrz wyżej), następnie eskaluje do L2 i ponownie labuje / testuje i po jakimś czasie zauważa, że istnieje już reported bug (proponuje obejście które na dłuższą mete się nie sprawdzi), w drugim przypadku tworzy nowy bug
- FortiAnalyzer przekracza dzienny limit logów, zmiana akcji z Monitor na Allow niektórych kategorii WebFilter nie przynosi efektów - support testuje / labuje, odpowiada że w zasadzie to "it seems to be a 'by design' behavior", proponuje niedziałające obejścia czy powołuje się na nieistniejące w GUI opcje...
- SSL Inspection i Skype nie współgra ze sobą - support testuje / labuje i stwierdza że u Nich działa, proponuje zebranie pokaźnego debuga i logów...

c.d.n.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

#23

#23 Post autor: krisiasty » 31 sie 2015, 17:53

maroszka pisze:U Nas kupili wirtualną furtkę 5.2.3 z analizatorem logów. Założenie to pełny web (http&https) dla pracowników, tyle że monitorowany. Na tą chwile to tak średnio wychodzi
czyli nowy "standard" u większosci vendorów - wypuszczamy mnóstwo funkcji żeby być mieć więcej niż konkurencja, nie ważne czy działają czy nie - przetestuje się na klientach...

Awatar użytkownika
maroszka
wannabe
wannabe
Posty: 82
Rejestracja: 01 lut 2007, 23:16
Lokalizacja: Wrocław

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

#24

#24 Post autor: maroszka » 04 wrz 2015, 12:15

krisiasty pisze:czyli nowy "standard" u większosci vendorów - wypuszczamy mnóstwo funkcji żeby być mieć więcej niż konkurencja, nie ważne czy działają czy nie - przetestuje się na klientach...
Tak mi się skojarzyło, od 1:48 :)

A wracając do tematu:
- jeśli chodzi o okiełznanie logów, to support sprzedał wskazówkę jak to zrobić w CLI i eskalował do L2, tam okazało się że "This is a known bug, with currently no workaround available"
- w poniedziałek urządzenie odmówiło posłuszeństwa - utylizacja dwóch CPU 100%, w logach "application: ipse, Signal 11 received, Backtrace", wieczorny restart nie pomógł - support poddał analizie i zaproponował ukierunkowaną aktualizację samego silnika ips (dystrybuowany jako paczka .pkg) - po jego aktualizacji, chwilę chodziło po czym "klękło" na powrót dodatkowo z brakiem możliwości zalogowania się po GUI (via SSH nie reagował na polecenia np. reboot), potrzebny był podwójny twardy reset. Dziś aktualizacja do 5.2.4, tym bardziej że błędu w GUI już nie zwraca, zobaczymy...

c.d.n.

Awatar użytkownika
balam
wannabe
wannabe
Posty: 976
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

#25

#25 Post autor: balam » 22 wrz 2015, 08:55

maroszka pisze:Dziś aktualizacja do 5.2.4, tym bardziej że błędu w GUI już nie zwraca, zobaczymy...
Jestes juz na 5.2.4 na Forti? Sam sie zastanawiam czy juz mozna wejsc w ten soft, bo na razie 5.2 slabo wypadalo.
Somewhere back in time.

kurđ
wannabe
wannabe
Posty: 225
Rejestracja: 13 kwie 2005, 07:15
Lokalizacja: München
Kontakt:

#26

#26 Post autor: kurđ » 22 wrz 2015, 09:24

My na razie wróciliśmy z 5.2.4 na 5.2.3. W najnowszej wersji jest bug w module antywirusa dla Proxy. Nie działają niektóre strony np. pliki na sourceforge.
MfG
Kurđ
[CCNA+W][CCNP][MCSE 2000/2003+M+S][MCTS][MCITP Ex2010]
Windowsinfo

Awatar użytkownika
maroszka
wannabe
wannabe
Posty: 82
Rejestracja: 01 lut 2007, 23:16
Lokalizacja: Wrocław

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

#27

#27 Post autor: maroszka » 22 wrz 2015, 14:48

balam pisze:Jestes juz na 5.2.4 na Forti? Sam sie zastanawiam czy juz mozna wejsc w ten soft, bo na razie 5.2 slabo wypadalo.
Tak, mamy 5.2.4 + jeszcze nowszy ipsengine 3.00141, zachowuje się stabilne aczkolwiek:
- w trybie Flow-based działa SSL Inspection oraz WebFilter youtube.com (z wcześniej wspominanym obejściem, błąd mają finalnie naprawić w wersji 5.4), Skype też działa, na powrót wszystko jednak loguje (mimo ustawienia stosownej opcji w CLI)
- w trybie Proxy nie działa natomiast Skype

c.d.n.

Awatar użytkownika
balam
wannabe
wannabe
Posty: 976
Rejestracja: 21 cze 2006, 16:27
Lokalizacja: Warszawa

#28

#28 Post autor: balam » 23 wrz 2015, 13:43

Dzieki za info panowie.
Somewhere back in time.

bart
wannabe
wannabe
Posty: 389
Rejestracja: 09 maja 2005, 10:33
Lokalizacja: Zielona Góra
Kontakt:

#29

#29 Post autor: bart » 23 wrz 2015, 19:58

Mnie wkurza w Forti inna rzecz. Przez GUI robię sobie w miarę często 'save' zmian configu z krótkim opisem. Ostatnio musiałem coś cofnąć i fakt, trochę przyzwyczajony z Junipera myślałem, że wgra stary config i zrobi commit a ten jeb - wgrał config i reboot kompletnie bez pytania. Generalnie to jest według mnie totalna porażka w GUI, że czy download nowego softu, czy odegranie configu jak wyżej - od razu jeb reboot pudełka bez pytania.

Z przejściem na 5.2 to ja miałem jazdę z SSLVPN. Zmienili totalnie config i podejście do tego tematu. Ja mam bazę użytkowników w Windows AD i po przejściu na 5.2 zaczęły się losowe problemy z logowaniem - raz wpuszczał a za chwilę nie, użytkownik trafiał do grupy do której nie należał w AD itd. itp. Pomogło dopiero usunięcie całej konfiguracji SSLVPN łącznie z policy i zrobienie tego praktycznie od zera. A oficjalny support (fakt, że polski) mnie zapewniał, że 5.2 to już super stabilne i w ogóle.

Awatar użytkownika
maroszka
wannabe
wannabe
Posty: 82
Rejestracja: 01 lut 2007, 23:16
Lokalizacja: Wrocław

#30

#30 Post autor: maroszka » 02 paź 2015, 15:26

A więc:
- logowanie wszystkiego w trybie Flow-based na L1 "need to try submitting it as a bug and make sure it is not already reported", wyeskalowanie do L2 a tam "is to be expected as per design" i że zdalna sesja potrzebna by to dalej analizować
- nie działający Skype w trybie Proxy - wyeskalowany do L2 i tam na powrót debug / logi + zdalna sesja z pracownikiem wsparcia tak jakby ustalenia z L1 były bez wartości (dodatkowo bez sesji ponoć nie można pójść do przodu z analizą problemu!) - po wszystkim identyfikacja buga i...teraz najlepsze "this behavior is by design and you cannot combine webfilter in proxy mode with application control"

Używacie z powodzeniem rozwiązań Fortinet?

ODPOWIEDZ