Strona 2 z 3

: 10 maja 2015, 22:21
autor: bart
Tak jeszcze przyglądnąłem się temu FortiGate i zainteresowała mnie funkcjonalność DLP:

http://www.fortinet.com/solutions/data_ ... ntion.html

Jaki to ma wpływ na wydajność urządzenia, bo niestety nie mogę się nigdzie sensownego doszukać albo źle szukam ;) Np pudełko średniej wielkości seria 200/300.

: 02 cze 2015, 15:45
autor: Rilke
tu byś potrzebował już PoC. Jak złożona reguła DLP, ile ruchu na raz przez nią przepuścisz? Co byś chciał tym DLP tak na prawdę osiągnąć?

: 13 cze 2015, 23:41
autor: bart
Rilke pisze:tu byś potrzebował już PoC. Jak złożona reguła DLP, ile ruchu na raz przez nią przepuścisz? Co byś chciał tym DLP tak na prawdę osiągnąć?
Na początek głównie chodzi o wyciek danych z sieci firmowej załóżmy że chronione są jakieś katalogi plików z AD.

: 15 cze 2015, 10:27
autor: Rilke
bart pisze:
Rilke pisze:tu byś potrzebował już PoC. Jak złożona reguła DLP, ile ruchu na raz przez nią przepuścisz? Co byś chciał tym DLP tak na prawdę osiągnąć?
Na początek głównie chodzi o wyciek danych z sieci firmowej załóżmy że chronione są jakieś katalogi plików z AD.
To jest efekt końcowy. Na początku musisz w jakiś sposób oznaczyć dokumenty, które mają nie przechodzić, np. posługując się watermarkami. Dopiero wtedy działanie polityki powoduje, że dokumenty nieoznaczone są przepuszczane a oznaczone nie.
Jak pisałem, to nie jest prosty i łatwy w implementacji temat, szczególnie, że wymaga działań po stronie serwera plików oraz użytkowników.

: 18 cze 2015, 21:43
autor: bart
Akurat tak się złożyło, że mam na tapecie Fortigate 200D i co mogę powiedzieć. CLI całkiem całkiem ale do JUNOS jeszcze trochę brakuje. Za to www naprawdę niczego sobie i tutaj SRX jest w tyle. Co jest mega plusem to SSLVPN, który działa i to całkiem sprawnie, jest konfigurowalny na różne sposoby a co najważniejsze jest w cenie pudełka. Na razie jedyne co jest dziwne z tym SSLVPN, że mimo wrzucenia certa wildcard na pudełko, to pod firefox czasami pluje się, że cert jest nie ok i cholera wie od czego to zależy? Firewall działa jak powinien a pudełko jest całkiem żwawe i wydajne jak na tą cenę. Z dodatkowych funkcji to włączyłem IPS i nawet działa i coś wyłapuje. Za to AV i email filter dupa - włączyłem w trybie flow-based mode (o ile dobrze pamiętam) i przez dwa dni nic nie złapało (co jest raczej mało prawdopodobne). Za to w końcu ktoś przyszedł, jak to zwykle w takich przypadkach bywa, powiedzieć że mu poczta z załącznikiem 400kB nie chce się w ogóle wysłać i na razie wyłączyłem. Z innych rzeczy na minus to logowanie. Pudełko ma flash i jak się chce coś więcej logować niż tylko 'deny' to trzeba postawić coś na boku bo inaczej flash wysiądzie chwila moment. Co najdziwniejsze, mimo że wyłączyłem logowanie na flash i pudełko pokazuje, że flash jest praktycznie czysty to przy ponownym włączeniu logowania na flash i wejściu w jakikolwiek log kółko się kręci i tyle widać tego logu ;) nie wiem co trzeba zrobić aby to znowu ruszyło? Na nowo formatować flash? Niby można ale to wiąże się z restartem pudełka więc trochę lipa :/ Aktualnie korzystam z darmowego planu forticloud ale to też mało wygodne, no i nie jestem fanem trzymania logów w tak zwanej 'chmurze'. Fortianalyzer jest rozwiązaniem ale to znowu wydanie pieniędzy i to nie małe, więc chyba pójdzie ELK na logi i tyle.

: 24 lip 2015, 19:54
autor: bart
Z tym logowanie i pamięcią flash okazało się że po zmianie softu z 5.0 na 5.2 problem się rozwiązał i aktualnie logowanie działa poprawnie. Dziwne to trochę ale nie wnikam. Widać że w wersji 5.2 dużo rzeczy dorobili oraz poprawili i wygląda to nieźle.

FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

: 31 sie 2015, 10:59
autor: maroszka
U Nas kupili wirtualną furtkę 5.2.3 z analizatorem logów. Założenie to pełny web (http&https) dla pracowników, tyle że monitorowany. Na tą chwile to tak średnio wychodzi:
- FortiGate łączy się w różne miejsca - support w tym temacie kluczy (podsyła dokumenty jedynie z listą portów tcp/udp), przyciśnięty odpowiada "FortiGuard IP addresses are dynamic and we can not provide you the list"
- w GUI pojawia się informacja o nowym firmware 5.2.4, niestety taka aktualizacja nie przechodzi "Firmware image is not valid" - support proponuje opcję Download / Upload
- SSL Inspection oraz WebFilter youtube.com nie bardzo działa - support labuje / testuje i sugeruje aktualizacje oprogramowania (patrz wyżej), następnie eskaluje do L2 i ponownie labuje / testuje i po jakimś czasie zauważa, że istnieje już reported bug (proponuje obejście które na dłuższą mete się nie sprawdzi), w drugim przypadku tworzy nowy bug
- FortiAnalyzer przekracza dzienny limit logów, zmiana akcji z Monitor na Allow niektórych kategorii WebFilter nie przynosi efektów - support testuje / labuje, odpowiada że w zasadzie to "it seems to be a 'by design' behavior", proponuje niedziałające obejścia czy powołuje się na nieistniejące w GUI opcje...
- SSL Inspection i Skype nie współgra ze sobą - support testuje / labuje i stwierdza że u Nich działa, proponuje zebranie pokaźnego debuga i logów...

c.d.n.

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

: 31 sie 2015, 17:53
autor: krisiasty
maroszka pisze:U Nas kupili wirtualną furtkę 5.2.3 z analizatorem logów. Założenie to pełny web (http&https) dla pracowników, tyle że monitorowany. Na tą chwile to tak średnio wychodzi
czyli nowy "standard" u większosci vendorów - wypuszczamy mnóstwo funkcji żeby być mieć więcej niż konkurencja, nie ważne czy działają czy nie - przetestuje się na klientach...

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

: 04 wrz 2015, 12:15
autor: maroszka
krisiasty pisze:czyli nowy "standard" u większosci vendorów - wypuszczamy mnóstwo funkcji żeby być mieć więcej niż konkurencja, nie ważne czy działają czy nie - przetestuje się na klientach...
Tak mi się skojarzyło, od 1:48 :)

A wracając do tematu:
- jeśli chodzi o okiełznanie logów, to support sprzedał wskazówkę jak to zrobić w CLI i eskalował do L2, tam okazało się że "This is a known bug, with currently no workaround available"
- w poniedziałek urządzenie odmówiło posłuszeństwa - utylizacja dwóch CPU 100%, w logach "application: ipse, Signal 11 received, Backtrace", wieczorny restart nie pomógł - support poddał analizie i zaproponował ukierunkowaną aktualizację samego silnika ips (dystrybuowany jako paczka .pkg) - po jego aktualizacji, chwilę chodziło po czym "klękło" na powrót dodatkowo z brakiem możliwości zalogowania się po GUI (via SSH nie reagował na polecenia np. reboot), potrzebny był podwójny twardy reset. Dziś aktualizacja do 5.2.4, tym bardziej że błędu w GUI już nie zwraca, zobaczymy...

c.d.n.

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

: 22 wrz 2015, 08:55
autor: balam
maroszka pisze:Dziś aktualizacja do 5.2.4, tym bardziej że błędu w GUI już nie zwraca, zobaczymy...
Jestes juz na 5.2.4 na Forti? Sam sie zastanawiam czy juz mozna wejsc w ten soft, bo na razie 5.2 slabo wypadalo.

: 22 wrz 2015, 09:24
autor: kurđ
My na razie wróciliśmy z 5.2.4 na 5.2.3. W najnowszej wersji jest bug w module antywirusa dla Proxy. Nie działają niektóre strony np. pliki na sourceforge.

Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x

: 22 wrz 2015, 14:48
autor: maroszka
balam pisze:Jestes juz na 5.2.4 na Forti? Sam sie zastanawiam czy juz mozna wejsc w ten soft, bo na razie 5.2 slabo wypadalo.
Tak, mamy 5.2.4 + jeszcze nowszy ipsengine 3.00141, zachowuje się stabilne aczkolwiek:
- w trybie Flow-based działa SSL Inspection oraz WebFilter youtube.com (z wcześniej wspominanym obejściem, błąd mają finalnie naprawić w wersji 5.4), Skype też działa, na powrót wszystko jednak loguje (mimo ustawienia stosownej opcji w CLI)
- w trybie Proxy nie działa natomiast Skype

c.d.n.

: 23 wrz 2015, 13:43
autor: balam
Dzieki za info panowie.

: 23 wrz 2015, 19:58
autor: bart
Mnie wkurza w Forti inna rzecz. Przez GUI robię sobie w miarę często 'save' zmian configu z krótkim opisem. Ostatnio musiałem coś cofnąć i fakt, trochę przyzwyczajony z Junipera myślałem, że wgra stary config i zrobi commit a ten jeb - wgrał config i reboot kompletnie bez pytania. Generalnie to jest według mnie totalna porażka w GUI, że czy download nowego softu, czy odegranie configu jak wyżej - od razu jeb reboot pudełka bez pytania.

Z przejściem na 5.2 to ja miałem jazdę z SSLVPN. Zmienili totalnie config i podejście do tego tematu. Ja mam bazę użytkowników w Windows AD i po przejściu na 5.2 zaczęły się losowe problemy z logowaniem - raz wpuszczał a za chwilę nie, użytkownik trafiał do grupy do której nie należał w AD itd. itp. Pomogło dopiero usunięcie całej konfiguracji SSLVPN łącznie z policy i zrobienie tego praktycznie od zera. A oficjalny support (fakt, że polski) mnie zapewniał, że 5.2 to już super stabilne i w ogóle.

: 02 paź 2015, 15:26
autor: maroszka
A więc:
- logowanie wszystkiego w trybie Flow-based na L1 "need to try submitting it as a bug and make sure it is not already reported", wyeskalowanie do L2 a tam "is to be expected as per design" i że zdalna sesja potrzebna by to dalej analizować
- nie działający Skype w trybie Proxy - wyeskalowany do L2 i tam na powrót debug / logi + zdalna sesja z pracownikiem wsparcia tak jakby ustalenia z L1 były bez wartości (dodatkowo bez sesji ponoć nie można pójść do przodu z analizą problemu!) - po wszystkim identyfikacja buga i...teraz najlepsze "this behavior is by design and you cannot combine webfilter in proxy mode with application control"

Używacie z powodzeniem rozwiązań Fortinet?