Hw tartalom szűrő?

Hálózati eszközök

Kellene tartalom szűrést csinálnom egy cégnél. Van egy DSL modem, és ezen keresztül menő forgalomra szeretnének:

* http és https naplózást (melyik gépről milyen website-okat néztek, mennyi ideig)
* a naplókhoz egy jelszóval védett web-es felületet
* feketelistás blokkolást, hogy ne lehessen elérni bizonyos oldalakat

Teljesen mindegy hogy proxy-ként vagy ip cím szintű szűrőként van implementálva. Meg tudnám csinálni mondjuk squid-dal, de nem akarom. Nem szeretnék egy külön átjáró gépet üzemeltetni emiatt. A fogyasztás miatt sem, meg azért sem mert azt karban kell tartani. Valami olyan hardware-es megoldás lenne jó ami készen kínálja ezt a funkciót. Nyilván nem egy új gép árában. Lehet akár NAS is, de mondjuk az fölösleges lenne mert NAS már van náluk. (Csak nem átjáróként funkcionál.)

Mit ajánlotok?

  • 9713 megtekintés

( gemnon v | 2016. 02. 12., p – 17:12 )

Szerintem a https loggolásnál elvérzett... (egy szappantartó nem lesz hozzá elég erős)
A UTM hardware meg minden csak nem olcsó.

Ki kell bontani mivel a Host header már titkosítva megy.

Egy IDS/IPS-el tudod szűrni mondjuk a cert CN-jére, de ahhoz is vas kell, meg szabályokat írni: 


alert tls any any -> any any (msg:"W7/8/10 phoned home!"; tls.subject:"CN=*.vortex-win.data.microsoft.com"; sid:1000002; rev:1;)

Ezt határozottan cáfolom! HTTPS protokolnál a shared hosting ki van zárva. Az SSL Cert még azelőtt elküldésre kerül mielőtt a kliens elküldené a host header-t. Tehát https-re a reverse domain lookup MINDIG megoldás! Bár az igaz hogy ha wildcard cert van akkor esetleg több subdomain is szóbajöhet. De a naplózás/monitorozás szempontjából nekem ez nem lényeges. Tökmindegy hogy m.facebook.com vagy www.facebook.com volt...

( athila v | 2016. 02. 12., p – 18:28 )

bluecoat cuccok tudnak ilyet, de godolom nem olcsón.

( xclusiv v | 2016. 02. 12., p – 18:34 )

Vegyél egy használt PC-t bruttó 30-ért. Egy squid+squidguard 0 terhelést fog neki okozni, a fogyasztása pedig valszeg megáll 50 W-ban. Ha nem számoltam el ez havi 36 kWh, 40 Ft/kWh-val számolva ez nincs 1500 Ft havonta.
Komplett hidegtartalékkal és fogyasztással együtt számolva 3 év alatt 110k, havonta 3100 Ft.

Ha egy cégnek ennyi nem fér bele, akkor én komolyabban aggódnék, hogy engem kifizetni miből fognak.

A kisebb SBC-k se jönnek ki sokkal olcsóbbra, bár a fogyasztáson megfogsz talán havi ezerpárszáz forintot is. Egy pi2 valami 15k, és akkor még hozzá táp, sd kártya, meg az üszkölés. És ez talán a legolcsóbb SBC.
Aztán lassú lesz a procija, vagy a LAN-ja, vagy instabil, vagy kirohad alóla a táp, vagy akármi. Ha egy squidguard -C 10 másodpercekig fut egy x86-os procin, akkor tippelhetsz hogy egy 100x gyengébb procit meddig fog leölni egy nap közben elkövetett host tiltás vagy engedélyezés. És lesz erre igény.

De a nem erre tervezett soho NAS-okkal soho natolós dobozkákkal is hasonló a helyzet. Egy hp microserver elvinné a nas funkcióval együtt, de az baromi drága lett.

Ami meg célszerszám, hát az nem új gép árában van...

És ha már itt tartunk, melyik log analyzer-t használjam? Ami a megrendelőt érdekli az csak annyi, hogy melyik gépről melyik siteokat milyen gyakran és folyamatosan mennyi ideig néztek. Feltételezem hogy ezt mindegyik tudja, úgyhogy az elsődleges szempont a könnyű kezelhetőség.

Illetve az se lenne hátrány ha tudnának tiltani site-okat web-en keresztül. (Hogy ne engem hívogassanak...) A SquidGuardManager-t néztem de elég fapadosnak tűnik a felülete.

"Csak" ennyit akarnak?
A "folyamatosan mennyi ideig" szerintem simán nem működik. Megnyitok a hup-on egy 1000 hsz-es topic-ot, aztán azt olvasgatom simán 1 óráig úgy, hogy az elején van párszáz kB forgalom, utána meg semmi. Vagy épp pont a fordítotja, reggel megnyit valami js csoda weblapot egy browser tab-en lekicsinyítve, az percenként nyom valami ajax request-et egész nap, a dolgozó meg mondjuk rá se néz hanem dolgozik rendesen.

Ehhez inkább valami távoli képernyőnézegető/rögzítő sw kéne.

Én erre régen olyan megoldást láttam, hogy ha azonos domain-be azonos ip-ről néhány percen belül érkezik kérés, akkor az még ugyan abba a session-ba tartozik. Ha pedig mondjuk több mint 10 perc van a kettő lekérés között akkor az már külön session. Az adott session-ön belüli legelső és legutolsó kérés közötti idő az "ott töltött idő". Nyilván ez csak egy közelítés, nem igazán lehet tudni hogy pontosan mit csinált az illető (kiment közben kávézni, írt egy email-t stb.) de azért elég jó közelítés. Csak azt szeretnék tudni, hogy pl. ki mennyi ideig volt föllépve facebook-ra. Az ilyen lapok úgyis poll-oznak folyamatosan javascriptből, ha meg bezárod az ablakot akkor vége a session-nek. Nekik pont elég tudni azt, hogy mennyi ideig volt nyitva a facebook ablak.

De ezt se tudod, ha pl. fb-n chat-el valaki egy nap 3x 2 percet, miközben egész nap nyitva van a site.
Plusz az FB, hát ilyenek lesznek benne, hogy fbcdn-video-d-a.akamaihd.net, fbcdn-video-a-a.akamaihd.net, fbcdn-sphotos-h-a.akamaihd.net, stb.

Értem én, hogy a vezetőség azt hiszi, hogy a lusta disznók egész nap fészbúkoznak munka helyett, és akár még igazuk is lehet, de ez nem megoldás.
Ilyen esetben szerintem tiltani kell a francba az egészet, maximum kitenni egy gépet full nettel, amin a dolgozók csinálhatnak bármit amit a munkagépen nem szabad.

Ahha, és ha van egy weblap, amibe be van inkludolva egy fb kód és amúgy kétpercenként befrissít az _egész_ oldal a júzer böngészőjében (rengeteg ilyen van sajna) és közben elmegy meetingre az ember -ahogy írtad is-, akkor a napi reportban mit fogsz kihozni, hogy az ártatlan ember órákig fészbukozott ??

( freeoli v | 2016. 02. 15., h – 07:37 )

Dell Sonicwall, többet tud mint ami neked kell, viszont egy wifi-s routerkent fog funkcionálni. Nemcsak az alkalmazottakat lehet vele monitorozni, hanem a céges halót biztonságban tudni, szűrni az athaladoteljes forgalmat, tiltani oldal vagy protokoll csoportokat, akár AD csoportokra lebontva.

Írj privátot ha érdekel.

( pirate | 2016. 02. 15., h – 17:07 )

Remeljuk a dolgozok tudnak rola, hogy meg vannak figyelve...

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Lehet egyszerubb lenne egy whitelist, mint figyelni, hogy ki merre bongeszik.
Ha pedig nem lehet whitelist, akkor megmondani, hogy a FB/stb. nem a munka resze, aki pedig nem csak ebedszunetben hasznalja azt figyelmeztetni.

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Igen, csak sajnos a megrendelőnek fogalma sincs róla hogy mit tiltson le, vagy hogy mit engedélyezzen. Valahogy úgy akarja hogy először összegyűjti azokat a lapokat amiket használnak az emberek, és abból a listából akar letiltani dolgokat. Ha nem rakok elé egy listát amiből válogathat, akkor magától nem fog tudni egy whitelist-et írni.

( uid_20269 | 2016. 02. 15., h – 22:39 )

Nekem erre teljesen megfelelő volt egy Asus RT-N18U és a Tomato web usage.. De vannak izmosabb vasak 50.000+
--
God bless you, Captain Hindsight..

Közben a megrendelő kitalálta a hogy file szervert is akar rá, meg adatbázis szervert is... így azóta megváltozott a helyzet. Összeraktam neki egy i5-ös gépet, tükrözött SSD és 16GB memória. Ez bőven elég lesz arra amire ő akarta. Nekem is az a jobb ha a beállításért fizet többet, mert azon több a hasznom mint a puszta vason.

Már van rajta DHCPD, named, wins/nmbd, tűzfal és egyebek. Egyelőre csak simán NAT-ol, de valószínűleg squid lesz belőle.

esxi + virtualizacio +1

egyebkent "bundle" vagy "oem" vagy nem tudom ebben a relacioban hogy hivjak, de volt olyan (es biztos van meg mindig), hogy pl. ibm x3550 m4 -hez volt opcio hogy "vmware hypervisor" valami 10-20 euroert... megvettuk, es egy ibm pendriveon kaptunk egy telepitett esxi -t meg hozza kulcsot. nocsak, nocsak... jo, nem full licencelt volt, mert par funkcio nem volt benne engedelyezve, de erre teljesen jol hasznalhato volt.

erdemes olyan brand gepet venni, amihez mondjuk van ilyen licencelt esxi. megiscsak job erzes, mint a vsphere_keygen.exe -t futtatni...

Közben a megrendelő kitalálta a hogy file szervert is akar rá, meg adatbázis szervert is...

noooormalis?

Btw. ugyan nem hw tartalomszures, de 1. korben en a helyi dns cache logjait neznem at. Mert ha valaki https-en is trukkozik, de a dns naplokban akkor is ott van, hogy miket latogat meg (nem pont, de 1. kozelitesnek jo). Pl. a www.facebook.com A rekordjanak 3600 a TTL-je, de ha kepes vagy manipulalni a valaszt ugy, hogy 1 perc legyen a kliensnek visszaadott valaszban a TTL, akkor a dns logokban frankon latszik, hogy ki mennyit facsezik...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Micsoda ötletek! Bár szerintem ez náluk nem működne, mert androidos telefonnal is föllépnek a hálózatra, a facebook messenger meg állandóan beszélget. Ha nagyon akarom akkor tudok saját SSL CA Cert-eket telepíteni a windows-os klienseikre és akkor a https kapcsolatot is tudom logolni. De ennyire nem akarok belemenni.

prémium igények, balkáni költségvetés :)

Persze ahogy a megrendelő akarja. Csak jó szerződésed legyen velük, hogy fél év múlva, amikor mondjuk egy elektromos probléma miatt összedől minden, akkor ne higyje, hogy ingyen dolgozol a hátralévő életedben a két garasért, amit eredetileg kaptál :)

kell venni egy rendes szervert, nem i5 -os asus alaplapos hullambadogot.
legalabb dupla tap, ilom, ecc memoria, stb. legyen.
aztan egy ilyen rendes szerver sok-sok-sok evig rendes szerver marad, tapasztalatok alapjan max. 1-1 tap szokott elpukkanni, az is 100 darabbol szokoevente egyszer, de nincs gond a dupla tap miatt.
ja, meg ele egy rendes smart-ups -t, ami a tulfeszt is megfogja.

1 millio ft kornyeken mar eleg tisztesseges szervert lehet venni, amit akar 5-8-10 evig is kiszolgalja. manapsag a fogyasztasa sem egetvero egy E5-os szervernek.
ennyit meg azert szanjon mar ra az ember, ha a ceg adatait akarja rajta tarolni, amibol elvileg el...
backup meg valami havi 20 ezerert berelt vps-re, kezdesnek eleg lehet.
es akkor innen lehet fejleszteni. :)

Nos, ez az 1 milliós gép 8 év múlva 100 ezret se fog érni. Igazából vehettem volna nekik olyat hogy 2x6 magos opteron, 32GB ECC ram, szerver alaplap, dupla táp. Ez se került volna sokkal többe nekik. De mindez semmi pluszt nem adna, a következők miatt:

- Szerver gépet nem 32 fok melegre tervezik. Náluk szokott annyi lenni.
- Szerver gépet nem olyan környezetbe tervezik ahol száll a por - és náluk ez is bőven előfordul
- A dupla táp nagyon jó, de sokszor annyit fogyaszt, és egy szerver gépnek elég magas a zajszintje is. Nincs külön szerver szoba, és az is igény a részükről hogy ne legyen hangos. (Igen tudom, túl sok az elvárás amit nem lehet teljesíteni...)

Próbálkoztam már ilyennel, de nem jött be. Hiába drága a gép, ha nem megfelelőek a körülmények. Ilyen környezetben a drága szerver is tönkremegy. Ez elkerülhetetlen. Ez az olcsóbb gép persze 3 év múlva ki fog purcanni, de még mindig jobban megéri 3 évente lecserélni egy ilyen "eldobható" szervert, mint előre befektetni milliós nagyságrendet. Nyilván ha lenne legalább egy szerver szoba ahol nyáron nincs 40 fok, és ki van szűrve a por a levegőből akkor más lenne a helyzet.

A VPS backup megintcsak nem játszik, mert ez egy külterületen levő telephely ahol jelenleg az elérhető legmagasabb internet sebesség egy 5 megabites ADSL. A felfelé menő ága maximum 0.5 megabitet tud.

Szóval ahelyett hogy megpróbálnék beleerőszakolni egy full szerver gépet egy olyan környezetbe amibe nem lehet, a következőt csinálom:

- Telepítettem egy NAS-t külön 12V-os táppal, WiFi kapcsolódással. Erre mennek az adatmentések. A file share folyamatosan szinkronizálva lesz a háttérben, az adatbázisuk pedig óránként dump-olva. Szerencsére az adatbázis mérete nem túl nagy, 1-200 MB. Így jó eséllyel az adatbázisba rögzített adatok max. 1 órás késében lesznek, a file szerver tartalma még ennél is frissebb lesz.
- A NAS is szünetmentesen van, fogyasztása szinte semmi, és mivel WiFi-vel kapcsolódik ezért villámcsapás ellen is nagyjából 100%-ban védve van. Igaz hogy nem gyors, de legalább semmi másra nincs használva, csak adatmentésre.
- Tehát egy 99.99% rendelkezésre állású szerver helyett van egy szinte 100% biztonságú adatmentés, ami legfeljebb néhány órával van elcsúszva a szerverhez képest. Közöltem velük hogy ilyen körülmények között ha bármi baj van (pl. elmegy az áram) akkor az utolsó 2-3 óra munkájukat esetlegesen kézzel újra be kell pötyögni, és ha ez nekik nem tetszik akkor kaphatnak egy jobb rendszert 10-szer ennyi pénzért. Lehet sejteni hogy melyiket választották. :-)

Nem valószínű hogy szerver crash, villámcsapás és egyéb más dolog miatt tönkremegy a szerver, de ha mégis akkor az adatok helyreállítása nekem néhány óra munka, amit akkor ők majd kifizetnek és örülnek neki hogy csak néhány óra plusz munkájuk lesz vele.

"Nos, ez az 1 milliós gép 8 év múlva 100 ezret se fog érni."
Nem is befektetésnek veszünk a céghez szervert. Kávéfőzőt, fénymásolót se olyan szemléletben veszünk, hogy x idő múlva mennyit fog érni. Munkaeszköz, kell, és kész.

"- Szerver gépet nem 32 fok melegre tervezik. Náluk szokott annyi lenni."
Azért már a dolgozók is sipákolnának, hogy szereljenek be klímát. Egyébként egy álló toronygép, egy HP ML310 ketegória még olcsóbb is, mint egy ugyan olyan rackes kivitel, és nem okoz problémát hosszú távon sem

"- Szerver gépet nem olyan környezetbe tervezik ahol száll a por - és náluk ez is bőven előfordul"
Tegyék be egy üvegszekrénybe akkor, ha TÉNYLEG akkora por van, hogy húú meg háá.

"- A dupla táp nagyon jó, de sokszor annyit fogyaszt, és egy szerver gépnek elég magas a zajszintje is. "
Dehogy fogyaszt dupla annyit a dupla táp. A modern, E5 procis gépek alig fogyasztanak. Egy HP ml310 vagy hasonló kategóriás IBM, Dell, stb. torony kivitelben nem is hangosabb mint egy akármilyen gép.

"A VPS backup megintcsak nem játszik, mert ez egy külterületen levő telephely ahol jelenleg az elérhető legmagasabb internet sebesség egy 5 megabites ADSL. A felfelé menő ága maximum 0.5 megabitet tud."
Te, azon dolgozni se lehet. Egy e-mailt nem lehet akkor szinte elküldeni! Ezek sezrtin ez nem egy túl komoly hely. Ha ilyen van, akkor egy normális cég leglább egy mikrós bérelt vonalat kiéppítet, 5/0.5 mbit egy vicc, azon dolgozni nem lehet lényegében.

"- Telepítettem egy NAS-t külön 12V-os táppal, WiFi kapcsolódással. Erre mennek az adatmentések. A file share folyamatosan szinkronizálva lesz a háttérben, az adatbázisuk pedig óránként dump-olva. Szerencsére az adatbázis mérete nem túl nagy, 1-200 MB. Így jó eséllyel az adatbázisba rögzített adatok max. 1 órás késében lesznek, a file szerver tartalma még ennél is frissebb lesz.
- A NAS is szünetmentesen van, fogyasztása szinte semmi, és mivel WiFi-vel kapcsolódik ezért villámcsapás ellen is nagyjából 100%-ban védve van. Igaz hogy nem gyors, de legalább semmi másra nincs használva, csak adatmentésre.
- Tehát egy 99.99% rendelkezésre állású szerver helyett van egy szinte 100% biztonságú adatmentés, ami legfeljebb néhány órával van elcsúszva a szerverhez képest. Közöltem velük hogy ilyen körülmények között ha bármi baj van (pl. elmegy az áram) akkor az utolsó 2-3 óra munkájukat esetlegesen kézzel újra be kell pötyögni, és ha ez nekik nem tetszik akkor kaphatnak egy jobb rendszert 10-szer ennyi pénzért. Lehet sejteni hogy melyiket választották. :-)
"
okéjó, nekem végülis mindegy.
Azért ez a rész: "egy 99.99% rendelkezésre állású szerver helyett van egy szinte 100% biztonságú adatmentés"
arra sarkall, hogy ne is olvassam tovább, és bocs, hogy írtam neked. Peace!

> Nem is befektetésnek veszünk a céghez szervert. Kávéfőzőt, fénymásolót se olyan szemléletben veszünk, hogy x idő múlva mennyit fog érni. Munkaeszköz, kell, és kész.

Igen, de ők NEM fizetnek érte ennyi. Ez van!

> Te, azon dolgozni se lehet. Egy e-mailt nem lehet akkor szinte elküldeni!

Ez pontosan így van! Panaszkodnak is, hogy a levelük néha a postázandó üzenetek között van 15 percig. Lehet hogy most lesz előrelépés. A mikrós vonal se biztos hogy menne, mert a várostól kb. 2 km-re vannak egy gödör alján ahová a nap se süt. Néha a mobil hálózat se megy (nem lehet őket fölhívni telefonon). A kedves Vodafone erre azt a megoldást találta ki, hogy adtak egy netes bázisállomást. Amit bedugtak a 0.5 megabites ASDL vonalba.

:-D :-D :-D

> Azért ez a rész: "egy 99.99% rendelkezésre állású szerver helyett van egy szinte 100% biztonságú adatmentés
arra sarkall, hogy ne is olvassam tovább, és bocs, hogy írtam neked. Peace!

Tudom én hogy igazad van, de muszáj abból gazdálkodni amennyiből lehet. :-)

azert megorobalhatnad rabeszelni oket arra, hogy ne a tehenek istallojaba tegyek a "szervert"...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Ez tipikusan olyan project, amiből kibújnék, ha lehet. Szopjon velük ordasakat más.

Ja, villám a 230V-on keresztül is tönkretehet bármit. UPS sem védi meg, úgyhogy ha nincs offline backup, akkor elég egy peches villám, és ment minden a levesbe.

A számítógépeket pedig alapvetően nem poros környezetbe tervezik. Vagy kompresszorolhatod ki havonta.

az options blokkba:

max-cache-ttl 60;
max-ncache-ttl 60;

ld. https://lists.isc.org/pipermail/bind-users/2006-September/063886.html

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

( nagylzs v | 2016. 03. 18., p – 09:41 )

Megy a squid, az ssl-bump és a squidclamav is. Most jönne a dansguardian. De ez nem tűnik jó ötletnek:

root@gw:/usr/ports/www # cd /usr/ports/www
root@gw:/usr/ports/www # make search name=dansguardian
Port: www/dansguardian
Moved:
Date: 2014-09-16
Reason: Depends on www/squid (v2.7) which is two years past EOL

Port: www/dansguardian-devel
Moved:
Date: 2014-09-16
Reason: Depends on www/squid (v2.7) which is two years past EOL

A dansguardian fejlesztése megszűnt, és a ports tree-ből kikerült azzal, hogy a squid v2.7-tel működik. Nekem persze 3-mas van fönt.

Nos, mik az alternatívák?