SSL PROXY via IPSEC

Posted by pawel in IPS,SSL PROXY,VPN

Zdarza się, że poprzez tunel IPSEC przesyłamy cały ruch, łącznie z ruchem do Internetu. Jeżeli korzystamy z funkcjonalności SSL PROXY dobrze byłoby również filtrować ruch przychodzący z tunelu IPSEC do Internetu. SSL PROXY można używać tylko dla sieci wewnętrznych (protected) natomiast interfejs IPSEC jest traktowany standardowo...

MS Azure i SVC

Posted by pawel in PROBLEMATYKA OGÓLNA

Ostatnio stanąłem przed zadaniem skonfigurowania SVC w oparciu o chmurę Microsoft AZURE. W niniejszym artykule podzielę się swoimi doświadczeniami w tej kwestii. Ogólne założenie jest takie, że Stormshield UTM wysyła logi przez tunel IPSEC do AZURE. W AZURE znajduje się instancja SVC która odbiera logi i...

Shrew VPN – łączenie bez monitu o hasło

Posted by pawel in PKI,VPN

Popularny klient Shrew VPN w sytuacji gdy autentykacja tunelu odbywa się z wykorzystaniem certyfikatów, przed każdym połączeniem żąda podania hasła do klucza prywatnego użytkownika. Jest to istotny element podnoszący poziom bezpieczeństwa. W Shrew VPN w przeciwieństwie np. do TheGreenBow VPN nie ma możliwości zapamiętania tego...

Tunel Site-to-Site – dynamiczny adres końca tunelu

Posted by pawel in LDAP/AD,NETWORK,PKI,SECURITY IT,VPN

Konfiguracja tuneli site-to-site wymaga podania adresów IP będących zakończeniami tunelu (endpoints). Zdarzają się jednak sytuacje gdy lokalizacja zdalna jest podłączona do Internetu za pomocą łącza na którym provider nie udostępnia klientowi stałego adresu, np. Neostrada lub standardowe łącza telefonii komórkowej. W artykule opiszę sposób połączeniu...

Wirusy w email

Posted by pawel in PROBLEMATYKA OGÓLNA,SECURITY IT

Dużym problemem jest zabezpieczenie się przed różnego rodzaju infekcjami rozsyłanymi w poczcie mailowej. Podstawowy problem polega na tym, że wiadomości email rozchodzą się w błyskawicznym tempie i docierają do adresatów dużo szybciej niż firmy produkujące oprogramowanie antywirusowe są w stanie dostarczyć odpowiednie sygnatury do swoich...

Skype <-> Stormshield

Posted by pawel in NETWORK,SECURITY IT,SSL PROXY

O ile zablokowanie aplikacji Skype w Stormshield UTM jest zadaniem bardzo prostym o tyle przepuszczenie tej aplikacji w szczególności gdy  stosujemy restrykcyjną politykę bezpieczeństwa w tym wykorzystujemy mechanizm SSL PROXY sprawia problemy. W artykule opisuję przykładowy sposób poradzenia sobie z zagadnieniem obsługi aplikacji Skype z wykorzystaniem DCSP. Wymagana...

Monitorowanie SNMP dla STORMSHIELD

Posted by pawel in PROBLEMATYKA OGÓLNA

STORMSHIELD UTM ma wbudowanego agenta SNMP. W artykule opisuję w jaki sposób zainstalować i skonfigurować oprogramowanie MRTG w celu monitorowania ruchu na interfejsach UTM-a. MRTG to popularny (oparty o PERL) program do wizualizacji przepływów na interfejsach urządzenia sieciowego. Przykładowa instalacja zostanie przeprowadzona w ramach dystrybucji...

Routing w sieciach VPN (VTI)

Posted by pawel in NETWORK,VPN

W pierwszej kolejności należy wyjaśnić jaka jest różnica pomiędzy tradycyjnymi  tunelami IPSEC a tunelami opartymi o VTI (Virtual Tunnel Interface). Tradycyjna konfiguracja tunelu IPSEC wymaga zdefiniowania zasobów które mają zostać połączone za pomocą kreowanego tunelu (local traffic to remote traffic). Taka definicja wpływa na trasowanie pakietów powodując,...

Zabezpieczenie sieci dostępnej dla gości firmy

Posted by pawel in CAPTIVE PORTAL,HTTP PROXY,IPS,NETWORK,PROBLEMATYKA OGÓLNA,SECURITY IT,SSL PROXY

Artykuł opisuje rozwiązanie problemu konfiguracji podsieci udostępniającej podstawowe serwisy internetowe dla osób odwiedzających firmę lub pracowników chcących skorzystać z własnych notebooków lub smartfonów. Udostępnione łącze może być zrealizowane np. poprzez łącze WiFi. Dla uproszczenia będę nazywał taką sieć: Gość, sieć dla gości. Założenia: Realizacja Dla...

Implementacja dodatkowych adresów

Posted by pawel in NETWORK

Popularne są dwa scenariusze. Pierwszy dotyczy sytuacji gdy naszym dostawcą Internetu jest lokalny provider. Bardzo często w ramach swojej infrastruktury sieciowej operuje on na adresacji prywatnej (czyli np. z zakresu 192.168.0.0/16) natomiast dla użytkowników którzy mają takie wymagania dostarcza on niewielką pulę (czasami tylko jeden)...

Powiadomienia email

Posted by pawel in PROBLEMATYKA OGÓLNA,SECURITY IT

Większość zdarzeń zaobserwowanych na urządzeniu STORMSHIELD jest zapisywana w logach. Systematyczne przeglądanie logów jest obowiązkiem administratora IT jednak bywa, że czasami powstaje potrzeba szybkiego zareagowania na zdarzenie. System STORMSHIELD pozwala na konfigurację alertów wysyłanych bezpośrednio na adres email. Pierwszą rzeczą jaką musimy skonfigurować aby takie...

Cisco GRE over IPSEC & STORMSHIELD

Posted by pawel in NETWORK,VPN

Przedstawiam przykład konfiguracji Stormshield UTM dla wykreowania tunelu typy GRE over IPSEC utworzonego na routerze Cisco. Protokół GRE łączy sieć 172.16.80.0/24 z siecią 10.0.0.0/8. Ponieważ protokół GRE nie jest protokołem szyfrowanym zachodzi konieczność zabezpieczenia połączenia z wykorzystaniem polisy IPSEC. Zarówno w lokalizacji Cisco jak i...

GRE over IPSEC

Posted by pawel in NETWORK,VPN

Zdarzają się sytuacje gdy jesteśmy zmuszeni połączyć tunelem dwie lokalizacje w których sieci lokalne maja identyczną adresację (te same podsieci) i nie mamy możliwości przeadresowania podsieci. Problem taki można rozwiązać na drodze translacji One-to-One NAT poprzez maskowanie sieci zdalnych ale nie zawsze takie rozwiązanie jest...

NETASQ & TCPDUMP

Posted by pawel in NETWORK,SYSTEM

TCPDUMP to program o którym każdym admin słyszeć musiał choć nie każdy miał okazję go wykorzystać w praktyce. TCPDUMP to program należący do kategorii tzw. snifferów sieciowych czyli aplikacji których zadaniem jest przechwytywanie i gromadzenie pakietów przepływających w sieci komputerowej. Program potrafi zbierać informacje na...

PPTP

Posted by pawel in NETWORK,VPN

Ludzie kochają PPTP z jednego prostego powodu, konfiguracja i użytkowanie jest banalnie prosta. PPTP jest dostępny w urządzeniach NETASQ jako jeden z trzech dostępnych protokołów tunelowania (poza IPSEC i SSL). Protokołu PPTP dostępny w NETASQ-u możemy używać w trybie client-to-site. Klient protokołu PPTP jest wbudowany we...

Logowanie po SSH

Posted by pawel in NETWORK,SECURITY IT,SYSTEM

Po pewnym czasie aktywnej administracji NETASQ-kiem dojdziemy do momentu gdy uznamy, że nawet w przypadku tak przyjaznego urządzenia jak NETASQ wiele czynności (głównie diagnostycznych) o wiele wygodniej, lub po prostu jest to jedyna metoda, trzeba wykonać z poziomu CLI. Jako administratorzy często musimy mieć dostęp...

Najprostsza konfiguracja VPN IPsec

Posted by pawel in NETWORK,VPN

Pytania dotyczące konfiguracji w NETASQ-u połączenia mobilnego IPSEC, najlepiej z wykorzystaniem darmowego SHREW, pojawiają się praktycznie każdego dnia. Postanowiłem definitywnie rozstrzygnąć ten temat opisując najprostszą z możliwych konfiguracji, bez tokenów,  bez certyfikatów, bez LDAP, bez żadnych zawiłości i tricków konfiguracyjnych. Przesłanie jest proste, wysyłasz SMS-a...

Hub & Spoke IPSec VPN

Posted by pawel in NETWORK,VPN

Artykuł przedstawia konfigurację IPSEC VPN w sytuacji gdy zasoby sieci lokalnych trzech lokalizacji (A, B, C) są połączone poprzez kanały IPSEC VPN. Specyficzne dla przedstawionego modelu jest to, że jedna z lokalizacji (C) jest wybrana jako pośrednicząca w przekazywania ruchu pomiędzy sieciami lokalnymi (A, B)....

Country ACL

Posted by pawel in NETWORK,SECURITY IT

NETASQ UTM (podobnie zresztą kwestia ta wygląda u innych producentów) nie posiada funkcjonalności filtrowania ruchu ze względu na kraj pochodzenia pakietu IP. Jest kilka przyczyn takiego stanu rzeczy choć prawdopodobnie najistotniejszą jest kwestia liczby podsieci jakie są przydzielane poszczególnym krajom, przykładowo Chiny mają obecnie przydzielone...

Jaki UTM wybrać?

Posted by pawel in PROBLEMATYKA OGÓLNA

Jaki UTM kupić’? – takie pytanie pojawia sie dość często np. na forach internetowych związanych, mniej lub bardziej, z tematyką IT SECURITY.  Odzew bywa, że jest dość szeroki. Padają propozycje konkretnych marek i modeli. W odpowiedzi zaś na te propozycje pojawiają sie kontr argumenty przeciwko danej...

One-to-One NAT & IPSEC VPN

Posted by pawel in NETWORK,VPN

W niektórych sytuacjach zachodzi potrzeba połączenia identycznych zdalnych podsieci. Ponieważ polisa IPSEC realizuje m.in. trasowanie ruchu konieczne jest aby podsieci połączone przez IPSEC VPN były różne (rozłączne). Możemy rozwiązać ten problem bez konieczności zmiany adresacji sieci zdalnej. Z pomocą przychodzi technologia znana pod nazwą ONE-to-ONE...

SSL Handshake

Posted by pawel in SSL

SSL to aktualnie najczęściej wykorzystywany protokół w Internecie (i nie tylko). Warto zapoznać się w jaki sposób negocjowana jest sesja SSL czyli proces jaki musi zajść nim dane użytkowe (aplikacyjne) zostaną przesłane tym kanałem. Opis dotyczy sytuacji gdy autentykacja ma miejsce tylko po stronie serwera.

Monitorowanie urządzenia NETASQ

Posted by pawel in SYSTEM

W sytuacji gdy dojdziemy do wniosku że nasze urządzenie „muli”  lub „bardzo muli” musimy ustalić co jest przyczyną tego zjawiska. Dysponujemy kilkoma prostymi narzędziami aby zdiagnozować sytuację. Widżety wyświetlane w Panelu kontrolnym WebGUI są stosunkowo mało przydatne z uwagi na choćby długi czas odświerzania. Monitorowanie CPU...

SafeSearch – nowy future dla 9.1

Posted by pawel in IPS,SECURITY IT

Wersja 9.1 wprowadza nową opcję kontroli aplikacji związaną z wyszukiwarkami internetowymi (Google, Bing, Yahoo). Funkcjonalność SafeSearch powoduje wymuszenie włączenia filtra bezpiecznego wyszukiwania w serwisach wyszukujących. Filtr bezpiecznego wyszukiwania (SafeSearch) daje powoduje zablokowanie wyników wyszukiwania dla słów kluczowych uznanych za nie wskazane. Poprawne działanie mechanizmu SafeSearch...

NETASQ IP v6

Posted by pawel in NETWORK,SECURITY IT

Począwszy od wersji firmware 9.0.1 NETASQ wspiera (na razie w bardzo ograniczonym stopniu) protokół IP w wersji 6. Dostęp do obsługi protokołu IPv6 jest, obecnie, możliwy jedynie z poziomu CLI.   Funkcjonalność IPv6 w 9.0.1 umożliwia: Konfigurację można przeprowadzić z poziomu Konfiguracja / Wiersz poleceń...

Automatyczna autentykacja SSL

Posted by pawel in CAPTIVE PORTAL,LDAP/AD,PKI,SECURITY IT,SSL

W artykule został opisany problem automatycznej autoryzacji użytkowników z sieci LAN poprzez certyfikat SSL. Zastosowanie takiej konfiguracji może mieć zastosowanie w sieciach w których np. brak jest serwera Active Directory.  Przedstawione rozwiązanie pozwala chronić sieć przed nie autoryzowanymi (obcymi) komputerami.   Opis Część użytkowników jest...

Portal autoryzacji – custom

Posted by pawel in CAPTIVE PORTAL

W wersji 9.1 firmware NETASQ ułatwiono zmianę wyglądu Portalu autoryzacji (Captive Portal). Bezpośrednio z poziomu GUI mamy możliwość zmiany loga portalu jak również zaimportowania szablonu CSS opisującego pozostałe elementy. W pierwszej kolejności warto jednak postarać się, szczególnie gdy Portal autoryzacji udostępniamy klientom lub pracownikom, aby...

Strona blokowania filtra URL

Posted by pawel in HTTP PROXY,SSL PROXY

Wersja 9.1 firmware NETASQ-a przynosi m.in. możliwość definiowania wielu stron komunikatu filtra URL (a dokładnie 4). Pojawiła się również możliwość stosowania opcji lokalizacyjnych oraz opcja żądania odblokowania zablokowanego adresu URL. W artykule przedstawiono nową wersję strony blokowania uwzględniając nowe możliwości (poprzednia wersja została opublikowana w...

Polityka bezpieczeństwa IT – jak napisać?

Posted by pawel in SECURITY IT

Moim pierwszym pytaniem jakie zadaję przy okazji wdrożeń jest „Czy mają Państwo „Politykę bezpieczeństwa””.  Większości przypadków słyszę odpowiedź, że i owszem ale… tymczasem Polityka bezpieczeństwa IT jest (powinna być) jedym z najważniejszych najważniejszych dokumentów w każdej firmie. Jest to jedyny dokument w oparciu o treść...

Sieć TOR – jak blokować

Posted by pawel in IPS,SSL PROXY

Tor jest siecią komputerową, która ma na celu zapewnienie anonimowości jej użytkownikom. Oznacza to, że Tor ukrywa to, co użytkownicy robią w sieci. Tor jest siecią działającą w ramach sieci Internet. Sieć Tor składa się z tak zwanych „węzłów wyjściowych” (exit nodes) oraz z węzłów...

NETASQ Mobile IPSec

Posted by pawel in VPN

NETASQ IPSEC VPN ma zaprojektowany dedykowany profil dla połączeń realizowanych z urządzeń mobilnych z systemem iOS (Apple iPad, iPhone, iPod Touch). Opiszę jak skonfigurować takie połączenia, zarówno dla urządzeń iOS jak i komputerów z systemem Windows i Mac OS X. Przedstawione konfiguracje będą bazować na...

Integracja z MS AD w trybie SSO

Posted by pawel in LDAP/AD

Wersja 9.1 firmware wprowadza zupełnie nowy model integracji z bazą katalogową AD w trybie SSO. Do wersji 9.1 automatyczna autoryzacja użytkowników logujących się do domeny AD była oparta o protokół SPNEGO. Nie był to idealny sposób, żeby nie powiedzieć, że w praktyce wręcz fatalny. Konieczność...

SSL Proxy

Posted by pawel in IPS,SSL PROXY

Mechanizm SSL PROXY jest jednym z najważniejszych modułów UTM-a za pomocą którego możemy w pełni kontrolować ruch webowy. Samo HTTP PROXY nie już dzisiaj wystarczające i bardzo łatwo obejść jego restrykcje. SSL PROXY w Netasq-u ma wiele opcji konfiguracyjnych pozwalających na dokładne dopasowanie sposobu działania funkcjonalności...

ACOS5 współpracuje z TheGreenBow

Posted by pawel in VPN

Oprogramowanie klienta IPSec VPN współpracuje z całą gamą kart i tokenów kryptograficznych. Na urządzeniach tych możemy przechowywać certyfikaty cyfrowe służące do autentykacji tuneli VPN – w szczególności do autentykacji użytkowników tuneli mobilnych. Karta ACS ACOS5 nie należy do kart których obsługa jest zapewniona negatywnie. Oprogramowanie...

Najnowszy firmware SNS: 3.8.1 (Release Note)
Najnowszy firmware SNSv2: 2.13 (Release Note)