Od kilku lat system operacyjny komputerów Apple (MACOS) posiada wbudowanego klienta VPN IPSEC. W artykule przedstawię w jaki sposób skonfigurować Stormshield UTM oraz komputer z systemem MacOS aby można było nawiązać połączenie VPN. Założenia:  

Od kilku lat system operacyjny komputerów Apple (MACOS) posiada wbudowanego klienta VPN IPSEC. W artykule przedstawię w jaki sposób skonfigurować Stormshield UTM oraz komputer z systemem MacOS aby można było nawiązać połączenie VPN. Założenia:  

Zdarza się, że poprzez tunel IPSEC przesyłamy cały ruch, łącznie z ruchem do Internetu. Jeżeli korzystamy z funkcjonalności SSL PROXY dobrze byłoby również filtrować ruch przychodzący z tunelu IPSEC do Internetu. SSL PROXY można używać tylko dla sieci wewnętrznych (protected) natomiast interfejs IPSEC jest traktowany standardowo...

Ostatnio stanąłem przed zadaniem skonfigurowania SVC w oparciu o chmurę Microsoft AZURE. W niniejszym artykule podzielę się swoimi doświadczeniami w tej kwestii. Ogólne założenie jest takie, że Stormshield UTM wysyła logi przez tunel IPSEC do AZURE. W AZURE znajduje się instancja SVC która odbiera logi i...

Popularny klient Shrew VPN w sytuacji gdy autentykacja tunelu odbywa się z wykorzystaniem certyfikatów, przed każdym połączeniem żąda podania hasła do klucza prywatnego użytkownika. Jest to istotny element podnoszący poziom bezpieczeństwa. W Shrew VPN w przeciwieństwie np. do TheGreenBow VPN nie ma możliwości zapamiętania tego...

Konfiguracja tuneli site-to-site wymaga podania adresów IP będących zakończeniami tunelu (endpoints). Zdarzają się jednak sytuacje gdy lokalizacja zdalna jest podłączona do Internetu za pomocą łącza na którym provider nie udostępnia klientowi stałego adresu, np. Neostrada lub standardowe łącza telefonii komórkowej. W artykule opiszę sposób połączeniu...

Brak zajawki, ponieważ wpis jest zabezpieczony hasłem.

O ile zablokowanie aplikacji Skype w Stormshield UTM jest zadaniem bardzo prostym o tyle przepuszczenie tej aplikacji w szczególności gdy  stosujemy restrykcyjną politykę bezpieczeństwa w tym wykorzystujemy mechanizm SSL PROXY sprawia problemy. W artykule opisuję przykładowy sposób poradzenia sobie z zagadnieniem obsługi aplikacji Skype z wykorzystaniem DCSP. Wymagana...

STORMSHIELD UTM ma wbudowanego agenta SNMP. W artykule opisuję w jaki sposób zainstalować i skonfigurować oprogramowanie MRTG w celu monitorowania ruchu na interfejsach UTM-a. MRTG to popularny (oparty o PERL) program do wizualizacji przepływów na interfejsach urządzenia sieciowego. Przykładowa instalacja zostanie przeprowadzona w ramach dystrybucji...

Firma STORMSHIELD wypuściła nowe oprogramowanie dla zbierania logów i tworzenia raportów. Dotychczasowy program Virtual Log Appliance (VLA) został zastąpiony przez Stormshield  Visibility Center (SVC). SVC jest udostępniony w formacie OVA dla środowiska VMware ESXi oraz VMware Workstation (dostępny jest również plik maszyny wirtualnej dla MS...

Brak zajawki, ponieważ wpis jest zabezpieczony hasłem.

Stormshield udostępnia narzędzie Virtual Log Appliance (narzędzie zbudowane na bazie Kibany) za pomocą którego można zbierać logi (syslog) z UTM-a oraz tworzyć na ich podstawie raporty. Virtual Log Appliance jest udostępniany jako maszyna wirtualna .ova (oraz jako maszyna wirtualna dla HypherV).  Do uruchomienia wymaga zatem platformy...

Artykuł opisuje rozwiązanie problemu konfiguracji podsieci udostępniającej podstawowe serwisy internetowe dla osób odwiedzających firmę lub pracowników chcących skorzystać z własnych notebooków lub smartfonów. Udostępnione łącze może być zrealizowane np. poprzez łącze WiFi. Dla uproszczenia będę nazywał taką sieć: Gość, sieć dla gości. Założenia: Realizacja Dla...

Popularne są dwa scenariusze. Pierwszy dotyczy sytuacji gdy naszym dostawcą Internetu jest lokalny provider. Bardzo często w ramach swojej infrastruktury sieciowej operuje on na adresacji prywatnej (czyli np. z zakresu 192.168.0.0/16) natomiast dla użytkowników którzy mają takie wymagania dostarcza on niewielką pulę (czasami tylko jeden)...

Większość zdarzeń zaobserwowanych na urządzeniu STORMSHIELD jest zapisywana w logach. Systematyczne przeglądanie logów jest obowiązkiem administratora IT jednak bywa, że czasami powstaje potrzeba szybkiego zareagowania na zdarzenie. System STORMSHIELD pozwala na konfigurację alertów wysyłanych bezpośrednio na adres email. Pierwszą rzeczą jaką musimy skonfigurować aby takie...

Artykuł dotyczy sytuacji gdy polityka bezpieczeństwa stanowi aby pobieranie plików wykonywalnych oraz np. archiwów (rar, zip) ze stron www było zablokowane. Konfigurację taką możemy zrealizować na dwa sposoby lub zastosować obie metody równocześnie. Jeden sposób to wykorzystanie analizy protokołu w ramach wtyczki http i filtrowania...

Przedstawiam przykład konfiguracji Stormshield UTM dla wykreowania tunelu typy GRE over IPSEC utworzonego na routerze Cisco. Protokół GRE łączy sieć 172.16.80.0/24 z siecią 10.0.0.0/8. Ponieważ protokół GRE nie jest protokołem szyfrowanym zachodzi konieczność zabezpieczenia połączenia z wykorzystaniem polisy IPSEC. Zarówno w lokalizacji Cisco jak i...

Zdarzają się sytuacje gdy jesteśmy zmuszeni połączyć tunelem dwie lokalizacje w których sieci lokalne maja identyczną adresację (te same podsieci) i nie mamy możliwości przeadresowania podsieci. Problem taki można rozwiązać na drodze translacji One-to-One NAT poprzez maskowanie sieci zdalnych ale nie zawsze takie rozwiązanie jest...

TCPDUMP to program o którym każdym admin słyszeć musiał choć nie każdy miał okazję go wykorzystać w praktyce. TCPDUMP to program należący do kategorii tzw. snifferów sieciowych czyli aplikacji których zadaniem jest przechwytywanie i gromadzenie pakietów przepływających w sieci komputerowej. Program potrafi zbierać informacje na...

Ludzie kochają PPTP z jednego prostego powodu, konfiguracja i użytkowanie jest banalnie prosta. PPTP jest dostępny w urządzeniach NETASQ jako jeden z trzech dostępnych protokołów tunelowania (poza IPSEC i SSL). Protokołu PPTP dostępny w NETASQ-u możemy używać w trybie client-to-site. Klient protokołu PPTP jest wbudowany we...

Po pewnym czasie aktywnej administracji NETASQ-kiem dojdziemy do momentu gdy uznamy, że nawet w przypadku tak przyjaznego urządzenia jak NETASQ wiele czynności (głównie diagnostycznych) o wiele wygodniej, lub po prostu jest to jedyna metoda, trzeba wykonać z poziomu CLI. Jako administratorzy często musimy mieć dostęp...

Pytania dotyczące konfiguracji w NETASQ-u połączenia mobilnego IPSEC, najlepiej z wykorzystaniem darmowego SHREW, pojawiają się praktycznie każdego dnia. Postanowiłem definitywnie rozstrzygnąć ten temat opisując najprostszą z możliwych konfiguracji, bez tokenów,  bez certyfikatów, bez LDAP, bez żadnych zawiłości i tricków konfiguracyjnych. Ponieważ konfiguracja jest pozbawiona jakichkolwiek...

Artykuł przedstawia konfigurację IPSEC VPN w sytuacji gdy zasoby sieci lokalnych trzech lokalizacji (A, B, C) są połączone poprzez kanały IPSEC VPN. Specyficzne dla przedstawionego modelu jest to, że jedna z lokalizacji (C) jest wybrana jako pośrednicząca w przekazywania ruchu pomiędzy sieciami lokalnymi (A, B)....

NETASQ UTM (podobnie zresztą kwestia ta wygląda u innych producentów) nie posiada funkcjonalności filtrowania ruchu ze względu na kraj pochodzenia pakietu IP. Jest kilka przyczyn takiego stanu rzeczy choć prawdopodobnie najistotniejszą jest kwestia liczby podsieci jakie są przydzielane poszczególnym krajom, przykładowo Chiny mają obecnie przydzielone...

Jaki UTM kupić’? – takie pytanie pojawia sie dość często np. na forach internetowych związanych, mniej lub bardziej, z tematyką IT SECURITY.  Odzew bywa, że jest dość szeroki. Padają propozycje konkretnych marek i modeli. W odpowiedzi zaś na te propozycje pojawiają sie kontr argumenty przeciwko danej...

W niektórych sytuacjach zachodzi potrzeba połączenia identycznych zdalnych podsieci. Ponieważ polisa IPSEC realizuje m.in. trasowanie ruchu konieczne jest aby podsieci połączone przez IPSEC VPN były różne (rozłączne). Możemy rozwiązać ten problem bez konieczności zmiany adresacji sieci zdalnej. Z pomocą przychodzi technologia znana pod nazwą ONE-to-ONE...

SSL to aktualnie najczęściej wykorzystywany protokół w Internecie (i nie tylko). Warto zapoznać się w jaki sposób negocjowana jest sesja SSL czyli proces jaki musi zajść nim dane użytkowe (aplikacyjne) zostaną przesłane tym kanałem. Opis dotyczy sytuacji gdy autentykacja ma miejsce tylko po stronie serwera.

W sytuacji gdy dojdziemy do wniosku że nasze urządzenie „muli”  lub „bardzo muli” musimy ustalić co jest przyczyną tego zjawiska. Dysponujemy kilkoma prostymi narzędziami aby zdiagnozować sytuację. Widżety wyświetlane w Panelu kontrolnym WebGUI są stosunkowo mało przydatne z uwagi na choćby długi czas odświerzania. Monitorowanie CPU...

Wersja 9.1 wprowadza nową opcję kontroli aplikacji związaną z wyszukiwarkami internetowymi (Google, Bing, Yahoo). Funkcjonalność SafeSearch powoduje wymuszenie włączenia filtra bezpiecznego wyszukiwania w serwisach wyszukujących. Filtr bezpiecznego wyszukiwania (SafeSearch) daje powoduje zablokowanie wyników wyszukiwania dla słów kluczowych uznanych za nie wskazane. Poprawne działanie mechanizmu SafeSearch...

Począwszy od wersji firmware 9.0.1 NETASQ wspiera (na razie w bardzo ograniczonym stopniu) protokół IP w wersji 6. Dostęp do obsługi protokołu IPv6 jest, obecnie, możliwy jedynie z poziomu CLI.   Funkcjonalność IPv6 w 9.0.1 umożliwia: Konfigurację można przeprowadzić z poziomu Konfiguracja / Wiersz poleceń...

W artykule został opisany problem automatycznej autoryzacji użytkowników z sieci LAN poprzez certyfikat SSL. Zastosowanie takiej konfiguracji może mieć zastosowanie w sieciach w których np. brak jest serwera Active Directory.  Przedstawione rozwiązanie pozwala chronić sieć przed nie autoryzowanymi (obcymi) komputerami.   Opis Część użytkowników jest...

W wersji 9.1 firmware NETASQ ułatwiono zmianę wyglądu Portalu autoryzacji (Captive Portal). Bezpośrednio z poziomu GUI mamy możliwość zmiany loga portalu jak również zaimportowania szablonu CSS opisującego pozostałe elementy. W pierwszej kolejności warto jednak postarać się, szczególnie gdy Portal autoryzacji udostępniamy klientom lub pracownikom, aby...

Wersja 9.1 firmware NETASQ-a przynosi m.in. możliwość definiowania wielu stron komunikatu filtra URL (a dokładnie 4). Pojawiła się również możliwość stosowania opcji lokalizacyjnych oraz opcja żądania odblokowania zablokowanego adresu URL. W artykule przedstawiono nową wersję strony blokowania uwzględniając nowe możliwości (poprzednia wersja została opublikowana w...

NETASQ UTM daje możliwość autoryzacji użytkowników w oparciu o certyfikat SSL. Funkcjonalność ta może znaleźć zastosowanie chociażby w sytuacji gdy chcemy udostępnić na zewnątrz zasoby z sieci wewnętrznej np. serwis WWW dla naszych klientów lub dostęp do RDP dla pracowników  a z różnych powodów autoryzacja...

Moim pierwszym pytaniem jakie zadaję przy okazji wdrożeń jest „Czy mają Państwo „Politykę bezpieczeństwa””.  Większości przypadków słyszę odpowiedź, że i owszem ale… tymczasem Polityka bezpieczeństwa IT jest (powinna być) jedym z najważniejszych najważniejszych dokumentów w każdej firmie. Jest to jedyny dokument w oparciu o treść...

Tor jest siecią komputerową, która ma na celu zapewnienie anonimowości jej użytkownikom. Oznacza to, że Tor ukrywa to, co użytkownicy robią w sieci. Tor jest siecią działającą w ramach sieci Internet. Sieć Tor składa się z tak zwanych „węzłów wyjściowych” (exit nodes) oraz z węzłów...

NETASQ IPSEC VPN ma zaprojektowany dedykowany profil dla połączeń realizowanych z urządzeń mobilnych z systemem iOS (Apple iPad, iPhone, iPod Touch). Opiszę jak skonfigurować takie połączenia, zarówno dla urządzeń iOS jak i komputerów z systemem Windows i Mac OS X. Przedstawione konfiguracje będą bazować na...

Wersja 9.1 firmware wprowadza zupełnie nowy model integracji z bazą katalogową AD w trybie SSO. Do wersji 9.1 automatyczna autoryzacja użytkowników logujących się do domeny AD była oparta o protokół SPNEGO. Nie był to idealny sposób, żeby nie powiedzieć, że w praktyce wręcz fatalny. Konieczność...

Mechanizm SSL PROXY jest jednym z najważniejszych modułów UTM-a za pomocą którego możemy w pełni kontrolować ruch webowy. Samo HTTP PROXY nie już dzisiaj wystarczające i bardzo łatwo obejść jego restrykcje. SSL PROXY w Netasq-u ma wiele opcji konfiguracyjnych pozwalających na dokładne dopasowanie sposobu działania funkcjonalności...

Oprogramowanie klienta IPSec VPN współpracuje z całą gamą kart i tokenów kryptograficznych. Na urządzeniach tych możemy przechowywać certyfikaty cyfrowe służące do autentykacji tuneli VPN – w szczególności do autentykacji użytkowników tuneli mobilnych. Karta ACS ACOS5 nie należy do kart których obsługa jest zapewniona negatywnie. Oprogramowanie...