Firewall - Esnek Raporlama ve Log Yönetimi Hk.

Merhaba

ÇözümPark olarak watchguard kullanıyoruz ve ben şahsen çok memnunum ama güvenlik alanında uzman arkadaşlarımızda yorum yapacaklardır.

 Aslında UTM alırken tam olarak neye ihtiyacınız olduğunu bilmek lazım. Mesala ben bir güvenlik sistemi  uyguluyacağım bunu WAN ve LAN bölgelerinde açıp uygulamak istemediğimide ve izin vermek gereken kullanıcılarıda sistemin komple dışında bırakacağım diyorsanız Sonicwall bu istediklerinizi yapacaktır. Yok ben Pro bir model istiyorum Gerekirse her IP için ayrı Web content ayrı IDS ve IPS uyguluyacagım ve oluşturduğum her VPN tüneli, PPPOE yada Ethenet sistemi sanalda bir arayüz olsun bu arayüz üzerinden de gerekirse kural yazabileyim gerekirse IP başına bant genişliği session yönetimi yapıyım derseniz Clavister, Chek Point, Juniper gibi bir cihaz almanız lazım.

Fakat raporlama işi malesef sıkıntılı bu tür firmalar UTM üretirler ve onlar için rapor demek neyi kestiklerini, hangi tafiğin çok ya da az üretildiğini, nekadar bant genişliği tüketildiği gibi sistemleri göstermekten ibarettir. Maksat saldırı tespit, sistem takibi ise http://demo.phplogcon.org/index.php? programı Linux üzerinde çalışan temel olarak rsyslog programını kullanan güzel bir web arayüzü, tüm cihazlar ilede kullanılıp gerekirse öselleştirilebilir. ama iş Raporlamaya dönünce profesyonel ve ücretli programlara dönemek gerekiyor.

 Ya da bu tür bir sistemi alıp özelleştirmek gerekiyor.

Tekrar merhabalar,

Amacımız yönetimin anlayabileceği türde internet kullanımını vb alt kategorileri raporlamak sadece. Birkaç marka UTM üzerinde inceleme yaptım. Domain çözümlemelerinden kaynaklanan verimsiz data nedeni ile raporların yönetim tarafından anlaşılabilir olmaması bizi farklı arayışlar içerisine sevk etti. Donanımsal - yazılımsal çözüm önerileriniz ve tecrübelerinizden faydalanmak isterim

Döküman olarak şu an için raporlama yapamasada görsel anlamda sanırım sizin istediklerinizi sunabilecek tek program DrayTek cihazlarının bazı modelleri ile çalışan Smart monitor programı. http://draytek.com/user/SupportLiveDemoDetail.php?ID=56 bu adresten canlı demosuna bakabilirsiniz.

Program tam olarak domain adlarını ve subdomain adlarını gösterir, msn konuşmalarını msn adresleri ile kayıt eder, mail trafiğini mail adresleri ile kaydeder eklerinin bir kopyasını alır, voip görüşmelerini yakalar ve kopyalar vs vs vs....

Belki bu program işinizi görecektir ayrıca katmanlı admin yapısı bulunmaktadır.

Ertan Bey ,

==Alıntıdır==

Mesala ben bir güvenlik sistemi  uyguluyacağım bunu WAN ve LAN
bölgelerinde açıp uygulamak istemediğimide ve izin vermek gereken
kullanıcılarıda sistemin komple dışında bırakacağım diyorsanız Sonicwall
bu istediklerinizi yapacaktır.

 ==Alıntıdır==

biraz heyecanlı bir arkadaşımızsın..Ancak eksik bilgilere sahipsin... Lütfen insanları yanlış bilgilendirme veya buraya yazarken biraz daha araştır lütfen.

Kolay gelsin..

Heycanlı olduğumu sanmıyorum ama sanırım en büyük serisi olan NS 5* serisinde bu özellik yoksa başka bir modelindede yoktur ? yoksa farklı bir model mi var bu iş için

http://nsa.demo.sonicwall.com/main.html

Merhaba arkadaşım. 

iş raporlama olunca  olayın rengide boyutuda değişiyor. Kendi sisteminde bile bazen aldğım raporlar bile yetersiz kalıyor. bu anlamda benim önerim kullandığın firewall log dosyasını çözümleyip kendi isteğine gore bir raporlama hazırlaman. bunun için biraz programlama bilmen gerekiyor ama en sağlısı bu şekilde oluyor.

Demo :   http://www.fusioncharts.com/Demos/Blueprint/

Mesela ben dansguardian'ın log dosyasında  aylık - haftalık en çok download eden kullanıcıları  http://www.fusioncharts.com/Demos/JS/Index.html  buradaki grafikte oldu gibi rapor alıyorum.  

Buradaki gibi örnek raporlama kullanıla bilir. aynı sitede başka demolarda vardır.

Konuya biraz farklı kulvardan yaklaşım oldu ama genede fikrimi paylaşmak istedim.

Bilal Bey selamlar, bugün securitylere baktığınızda sizi iki cihaz tatmin edecektir. Tabi kullanıcı sayınızı bilemiyorum. Fakat Juniper ve WatchGuard fazlasıyla işinizi görür. Uzun süre Juniper SSG serisi ve ManageEngine Firewall Analyzer ürünleri ile çalıştım ve raporlama yaptım. İkisi de uzun ömürlü ve kalitesini bu alanlarda kanıtlamış ürünlerdir.

Juniper : http://www.juniper.net/us/en/products-services/security/ssg-series/

Firewall Analyzer : http://www.manageengine.com/products/firewall/

Juniper ürünlerini seçerseniz www.jmon.net adresindeki ürünü önerebilirim.

Bilal Bey kararınızı verdiniz mi ?

kurumda kullandığımız web tabanlı yazılımı dışarıya acıcaz - dışarıdan mobil kullanıcılar web uzerinden firmadaki servere bağlanıp calışıcak. içeride hem kullanıcılara web için kural oluşturmak hemde bu bağlantıların sisteme etkisini azalatmak için bir urun secmek istiyorum- check point yada juniper yada isa diyorum - önerilerinizi öğrenebilirmiyim

Burada kaç kullanıcıdan bahsediyoruz ?

yaklaşık 30 - 35 kullanıcı

Yazılım olarak Firewall Analyzer http://www.manageengine.com/products/firewall/ kullanarak firewall dan gelen loglar ile sunuma uygun raporlar oluşturmayı deneyebilirsiniz.

TrGuard Adında bir firewall var. Ben gayet memnunum. Arayüzü Türkçe. Diğer firewall cihazları gibi detaylı olarak uğraşmanıza gerek yok. Ayrıca raporlama konusunda ise gayet güzel. İstediğiniz her sonucu alabilirsiniz. Ben gayet memnun olduğumdan ve Kullanışlı bir arayüzü olmasından dolayı tavsiye ederim.

Bilal Bey kararınızı verdiniz mi ?

Mustafa Bey, merhaba

Evet TZ 100 modeli işimizi görüyor..

UTM loglarını anlaşılabilir bir seviyeye çıkarmak için daha doğrusu yönetim tarafından anlaşılır bir seviye diyelim..ViewPoint yerine farklı çözümler araştırdım. LogSign tavsiyeniz üzerine ürünü denedik sonra almaya karar verdik ancak çok fazla memnun kaldığımızı söyleyemiyeceğim. sadece daha iyi bir alternatifi bulamadığımız için bu üründe karar kıldık.

LogSign.net forumlarında sorduğum sorular , yaptığım talepler pek dikkate alınmadı.Hatta yayınladığım ekran görüntüleri ve bazı yazışmalarım forumdan kaldırıldı.. Garip..

Bilal Bey kararınızı verdiniz mi ?

Mustafa Bey, merhaba

Evet TZ 100 modeli işimizi görüyor..

UTM loglarını anlaşılabilir bir seviyeye çıkarmak için daha doğrusu yönetim tarafından anlaşılır bir seviye diyelim..ViewPoint yerine farklı çözümler araştırdım. LogSign tavsiyeniz üzerine ürünü denedik sonra almaya karar verdik ancak çok fazla memnun kaldığımızı söyleyemiyeceğim. sadece daha iyi bir alternatifi bulamadığımız için bu üründe karar kıldık.

LogSign.net forumlarında sorduğum sorular , yaptığım talepler pek dikkate alınmadı.Hatta yayınladığım ekran görüntüleri ve bazı yazışmalarım forumdan kaldırıldı.. Garip..

Merhaba Bilal Bey,

 Support.logsign.net destek platformunda toplam 2 adet açılmış ticket'ınız bulunmaktadır. Son açtığınız ticket aşağıdaki gibi olup yazılan cevaba dönüş olmamıştır.

Açılan ticket: "Sonicwall UTM ürünün sağlamış olduğu ViewPoint yazılımı ile istenilen
raporu sunamıyoruz..Anlaşılabilir bir rapor istenmesi üzerine
araştırmalarımız bizi LogSign ile tanıştırdı.

Programın demosunu dün kurduk ve şu ana kadar sadece internet
raporlama kısmını inceledik.Aslında bizim için önemli olan da bu kısım.
Raporlarda forumda açtığım topiclerin bir kısmını burda paylaştım. Eğer
böyle bişey mümkün ise programın satın almak istiyoruz. Teşekkürler, İyi
çalışamalar

"Filtre" menusune "Arg" kısmınıda eklerseniz "/" sorgusunun sonuçları daha anlaşılabilir olabilir...

Yada Arg kategorisinin içinde uzantıya göre filtre uygulanabilir mi ?

Örneğin rapor ekranında Arg- Filter seçeneği oluşturulsa ve (.aspx,
.html, .php)gibi filtre uygulansa (js.css.jpg.gif.vb.) gibi görmek
istemediğimiz satırları rapordan çıkarmış olabiliriz."

Cevap :Ürünü size satan partnerimizin bilgilerini bizim ile paylaşırmısınız bazı teknik konularda onlardan yardım almamız gerekecek.

 Arg kısmı mevcut versiyonlarda filtre'de olmayıp önümüzdeki ay çıkacak olan "Logsign Zoom"  isimli ürünle belirttiğiniz tüm kriterlere göre arama yapabilirsiniz.

PM gönderdim.

ilginiz için teşekkürler..