Fortinetowe rozważania
To jest efekt końcowy. Na początku musisz w jakiś sposób oznaczyć dokumenty, które mają nie przechodzić, np. posługując się watermarkami. Dopiero wtedy działanie polityki powoduje, że dokumenty nieoznaczone są przepuszczane a oznaczone nie.bart pisze:Na początek głównie chodzi o wyciek danych z sieci firmowej załóżmy że chronione są jakieś katalogi plików z AD.Rilke pisze:tu byś potrzebował już PoC. Jak złożona reguła DLP, ile ruchu na raz przez nią przepuścisz? Co byś chciał tym DLP tak na prawdę osiągnąć?
Jak pisałem, to nie jest prosty i łatwy w implementacji temat, szczególnie, że wymaga działań po stronie serwera plików oraz użytkowników.
Jarek Rowiński
Akurat tak się złożyło, że mam na tapecie Fortigate 200D i co mogę powiedzieć. CLI całkiem całkiem ale do JUNOS jeszcze trochę brakuje. Za to www naprawdę niczego sobie i tutaj SRX jest w tyle. Co jest mega plusem to SSLVPN, który działa i to całkiem sprawnie, jest konfigurowalny na różne sposoby a co najważniejsze jest w cenie pudełka. Na razie jedyne co jest dziwne z tym SSLVPN, że mimo wrzucenia certa wildcard na pudełko, to pod firefox czasami pluje się, że cert jest nie ok i cholera wie od czego to zależy? Firewall działa jak powinien a pudełko jest całkiem żwawe i wydajne jak na tą cenę. Z dodatkowych funkcji to włączyłem IPS i nawet działa i coś wyłapuje. Za to AV i email filter dupa - włączyłem w trybie flow-based mode (o ile dobrze pamiętam) i przez dwa dni nic nie złapało (co jest raczej mało prawdopodobne). Za to w końcu ktoś przyszedł, jak to zwykle w takich przypadkach bywa, powiedzieć że mu poczta z załącznikiem 400kB nie chce się w ogóle wysłać i na razie wyłączyłem. Z innych rzeczy na minus to logowanie. Pudełko ma flash i jak się chce coś więcej logować niż tylko 'deny' to trzeba postawić coś na boku bo inaczej flash wysiądzie chwila moment. Co najdziwniejsze, mimo że wyłączyłem logowanie na flash i pudełko pokazuje, że flash jest praktycznie czysty to przy ponownym włączeniu logowania na flash i wejściu w jakikolwiek log kółko się kręci i tyle widać tego logu nie wiem co trzeba zrobić aby to znowu ruszyło? Na nowo formatować flash? Niby można ale to wiąże się z restartem pudełka więc trochę lipa :/ Aktualnie korzystam z darmowego planu forticloud ale to też mało wygodne, no i nie jestem fanem trzymania logów w tak zwanej 'chmurze'. Fortianalyzer jest rozwiązaniem ale to znowu wydanie pieniędzy i to nie małe, więc chyba pójdzie ELK na logi i tyle.
FortiGate VM64 & FortiAnalyzer-VM64 5.2.x
U Nas kupili wirtualną furtkę 5.2.3 z analizatorem logów. Założenie to pełny web (http&https) dla pracowników, tyle że monitorowany. Na tą chwile to tak średnio wychodzi:
- FortiGate łączy się w różne miejsca - support w tym temacie kluczy (podsyła dokumenty jedynie z listą portów tcp/udp), przyciśnięty odpowiada "FortiGuard IP addresses are dynamic and we can not provide you the list"
- w GUI pojawia się informacja o nowym firmware 5.2.4, niestety taka aktualizacja nie przechodzi "Firmware image is not valid" - support proponuje opcję Download / Upload
- SSL Inspection oraz WebFilter youtube.com nie bardzo działa - support labuje / testuje i sugeruje aktualizacje oprogramowania (patrz wyżej), następnie eskaluje do L2 i ponownie labuje / testuje i po jakimś czasie zauważa, że istnieje już reported bug (proponuje obejście które na dłuższą mete się nie sprawdzi), w drugim przypadku tworzy nowy bug
- FortiAnalyzer przekracza dzienny limit logów, zmiana akcji z Monitor na Allow niektórych kategorii WebFilter nie przynosi efektów - support testuje / labuje, odpowiada że w zasadzie to "it seems to be a 'by design' behavior", proponuje niedziałające obejścia czy powołuje się na nieistniejące w GUI opcje...
- SSL Inspection i Skype nie współgra ze sobą - support testuje / labuje i stwierdza że u Nich działa, proponuje zebranie pokaźnego debuga i logów...
c.d.n.
- FortiGate łączy się w różne miejsca - support w tym temacie kluczy (podsyła dokumenty jedynie z listą portów tcp/udp), przyciśnięty odpowiada "FortiGuard IP addresses are dynamic and we can not provide you the list"
- w GUI pojawia się informacja o nowym firmware 5.2.4, niestety taka aktualizacja nie przechodzi "Firmware image is not valid" - support proponuje opcję Download / Upload
- SSL Inspection oraz WebFilter youtube.com nie bardzo działa - support labuje / testuje i sugeruje aktualizacje oprogramowania (patrz wyżej), następnie eskaluje do L2 i ponownie labuje / testuje i po jakimś czasie zauważa, że istnieje już reported bug (proponuje obejście które na dłuższą mete się nie sprawdzi), w drugim przypadku tworzy nowy bug
- FortiAnalyzer przekracza dzienny limit logów, zmiana akcji z Monitor na Allow niektórych kategorii WebFilter nie przynosi efektów - support testuje / labuje, odpowiada że w zasadzie to "it seems to be a 'by design' behavior", proponuje niedziałające obejścia czy powołuje się na nieistniejące w GUI opcje...
- SSL Inspection i Skype nie współgra ze sobą - support testuje / labuje i stwierdza że u Nich działa, proponuje zebranie pokaźnego debuga i logów...
c.d.n.
Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x
czyli nowy "standard" u większosci vendorów - wypuszczamy mnóstwo funkcji żeby być mieć więcej niż konkurencja, nie ważne czy działają czy nie - przetestuje się na klientach...maroszka pisze:U Nas kupili wirtualną furtkę 5.2.3 z analizatorem logów. Założenie to pełny web (http&https) dla pracowników, tyle że monitorowany. Na tą chwile to tak średnio wychodzi
Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x
Tak mi się skojarzyło, od 1:48krisiasty pisze:czyli nowy "standard" u większosci vendorów - wypuszczamy mnóstwo funkcji żeby być mieć więcej niż konkurencja, nie ważne czy działają czy nie - przetestuje się na klientach...
A wracając do tematu:
- jeśli chodzi o okiełznanie logów, to support sprzedał wskazówkę jak to zrobić w CLI i eskalował do L2, tam okazało się że "This is a known bug, with currently no workaround available"
- w poniedziałek urządzenie odmówiło posłuszeństwa - utylizacja dwóch CPU 100%, w logach "application: ipse, Signal 11 received, Backtrace", wieczorny restart nie pomógł - support poddał analizie i zaproponował ukierunkowaną aktualizację samego silnika ips (dystrybuowany jako paczka .pkg) - po jego aktualizacji, chwilę chodziło po czym "klękło" na powrót dodatkowo z brakiem możliwości zalogowania się po GUI (via SSH nie reagował na polecenia np. reboot), potrzebny był podwójny twardy reset. Dziś aktualizacja do 5.2.4, tym bardziej że błędu w GUI już nie zwraca, zobaczymy...
c.d.n.
Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x
Jestes juz na 5.2.4 na Forti? Sam sie zastanawiam czy juz mozna wejsc w ten soft, bo na razie 5.2 slabo wypadalo.maroszka pisze:Dziś aktualizacja do 5.2.4, tym bardziej że błędu w GUI już nie zwraca, zobaczymy...
Somewhere back in time.
Re: FortiGate VM64 & FortiAnalyzer-VM64 5.2.x
Tak, mamy 5.2.4 + jeszcze nowszy ipsengine 3.00141, zachowuje się stabilne aczkolwiek:balam pisze:Jestes juz na 5.2.4 na Forti? Sam sie zastanawiam czy juz mozna wejsc w ten soft, bo na razie 5.2 slabo wypadalo.
- w trybie Flow-based działa SSL Inspection oraz WebFilter youtube.com (z wcześniej wspominanym obejściem, błąd mają finalnie naprawić w wersji 5.4), Skype też działa, na powrót wszystko jednak loguje (mimo ustawienia stosownej opcji w CLI)
- w trybie Proxy nie działa natomiast Skype
c.d.n.
Mnie wkurza w Forti inna rzecz. Przez GUI robię sobie w miarę często 'save' zmian configu z krótkim opisem. Ostatnio musiałem coś cofnąć i fakt, trochę przyzwyczajony z Junipera myślałem, że wgra stary config i zrobi commit a ten jeb - wgrał config i reboot kompletnie bez pytania. Generalnie to jest według mnie totalna porażka w GUI, że czy download nowego softu, czy odegranie configu jak wyżej - od razu jeb reboot pudełka bez pytania.
Z przejściem na 5.2 to ja miałem jazdę z SSLVPN. Zmienili totalnie config i podejście do tego tematu. Ja mam bazę użytkowników w Windows AD i po przejściu na 5.2 zaczęły się losowe problemy z logowaniem - raz wpuszczał a za chwilę nie, użytkownik trafiał do grupy do której nie należał w AD itd. itp. Pomogło dopiero usunięcie całej konfiguracji SSLVPN łącznie z policy i zrobienie tego praktycznie od zera. A oficjalny support (fakt, że polski) mnie zapewniał, że 5.2 to już super stabilne i w ogóle.
Z przejściem na 5.2 to ja miałem jazdę z SSLVPN. Zmienili totalnie config i podejście do tego tematu. Ja mam bazę użytkowników w Windows AD i po przejściu na 5.2 zaczęły się losowe problemy z logowaniem - raz wpuszczał a za chwilę nie, użytkownik trafiał do grupy do której nie należał w AD itd. itp. Pomogło dopiero usunięcie całej konfiguracji SSLVPN łącznie z policy i zrobienie tego praktycznie od zera. A oficjalny support (fakt, że polski) mnie zapewniał, że 5.2 to już super stabilne i w ogóle.
A więc:
- logowanie wszystkiego w trybie Flow-based na L1 "need to try submitting it as a bug and make sure it is not already reported", wyeskalowanie do L2 a tam "is to be expected as per design" i że zdalna sesja potrzebna by to dalej analizować
- nie działający Skype w trybie Proxy - wyeskalowany do L2 i tam na powrót debug / logi + zdalna sesja z pracownikiem wsparcia tak jakby ustalenia z L1 były bez wartości (dodatkowo bez sesji ponoć nie można pójść do przodu z analizą problemu!) - po wszystkim identyfikacja buga i...teraz najlepsze "this behavior is by design and you cannot combine webfilter in proxy mode with application control"
Używacie z powodzeniem rozwiązań Fortinet?
- logowanie wszystkiego w trybie Flow-based na L1 "need to try submitting it as a bug and make sure it is not already reported", wyeskalowanie do L2 a tam "is to be expected as per design" i że zdalna sesja potrzebna by to dalej analizować
- nie działający Skype w trybie Proxy - wyeskalowany do L2 i tam na powrót debug / logi + zdalna sesja z pracownikiem wsparcia tak jakby ustalenia z L1 były bez wartości (dodatkowo bez sesji ponoć nie można pójść do przodu z analizą problemu!) - po wszystkim identyfikacja buga i...teraz najlepsze "this behavior is by design and you cannot combine webfilter in proxy mode with application control"
Używacie z powodzeniem rozwiązań Fortinet?