Forum

Netscreen NS 520 De...
 
Bildirimler
Hepsini Temizle

Netscreen NS 520 Deep Inspection Hakkında

8 Yazılar
5 Üyeler
0 Reactions
516 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Merhaba ;



  Şirketimizde  kullandığımız 1 adet NS 520 mevcut 4 adet farklı  untrust zone ları mevcut ve  3 adet de  farklı trust zone ları ve policy ler dahilinde internet erişimleri benı sormak istedıgım 3 adet soru var

1. Server 2003 ile authenticatin yapabılıyormuyuz ldap authentication u yani ?

2. ise Deep Inspection kullanıcımı ile ilgili genel  olarak nasıl calısır mesela live msn ı engellemek istersem veya windows media player uzerınden calısan radyo vb uygulamaları tahmınımce bunlarla ilgili signature bularak uygulamam gerekıyor ama  bu signature ları kendım mı  olusturmam  gerekıyor  yoksa  junıper  veya  baska bır  sıteden temın edılebılıyor mu ?
3. Şirketimizde exchange uzerınden mail hostıngı de  yapıyoruz FBA da kullandıgımız için 25;80;110;443  portları vip ile localdekı exc sunucuma  yonlendırdım ama nıhayetınde  bu yonlendırmede  paketlerın içerıgıne  bakmamakta  o porta gelen ısteklerı  local de kı exc sunucuma  ıletme remote executable code   vb tehlıkelerıde Deep Inspection  kullanarak onlemem mümkün mü ve eger mümkün ise  nasıl yoksa ayrıca  IDS mı  kullanmamız gerekir? ( Deep Inspection lisansı mevcut )

Teşekkürler.

 
Gönderildi : 31/05/2008 07:24

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Merhabalar ;


1. maddeyi ben netscreen başka bir cihazda yaptım çok güzel çalışıyor. Ama IAS dan netscreen için bazı içerik göndermen gerekir tam hatırlamıyorum bakıcam. Bulunca atarım buraya..

 
Gönderildi : 31/05/2008 12:22

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Adamalar yazmış....


http://services.netscreen.com/docs/Auth/Authentication_For_Access_Policies.pdf

 
Gönderildi : 31/05/2008 12:24

(@nezihk)
Gönderiler: 115
Estimable Member
 

bende 2. sorunu cevaplıyayım kısaca..


 ;


DIP özelliği ben genellikle dosya uzantılarını yasaklamak için kullanıyorum..Mesela ; .avi .rar .mpeg gibi..


Msni yasaklamak için ise policy yazman yeterli. Yasaklamak istedigin grup.kişi yada Any olarak belirtip Services kısmından ( Multiple deyip 1 den fazla services ekliyebilirsin) MS-MESSENGER ve Msn i ekleyip aciton kısmına da deny demen yeterli..


Audio video uygulamalarını kapatmak için ise ; Security nin altında Web Filter in altında  profiles var ordan oncelikle new deyip yeni bir profile olusturuyosun.Daha sonra tekrar profilesin altında Custom var custom ın altında olusturdugun profili göreceksindir.Edit diyip içine giriyosun ve category name inaltındaki streaming media yı ekledigin zaman audio ve video uygulaması sonlanır.Olusturdugun profil altında ordaki categorilerden ekleyip Permit yada block diyebilirsin.


 


Saygılar..

 
Gönderildi : 31/05/2008 12:41

(@muratguclu)
Gönderiler: 1164
Noble Member
 

Merhaba,


Radyo lar genelde 80 nolu portu kullanınır. Streaming Media yı kapatarak hepsini bloklayamazsın. Bunları IDP cihazı ile başarılı bir şekilde bloklayabilirsin. Custom Signature için döküman okuman gerekir ayrıca juniper kb araştırabilirsin.


Exchange tarafında ise gruplandırılmış smtp  sign larını kullanabilirsin.  Ayrıca anti-spam ve anti virus özelliğine de kullanabilirsin.


ScreenOS versiyon nedir?

 
Gönderildi : 31/05/2008 23:16

(@rafets-ayata)
Gönderiler: 3820
Üye
 

Murat Hocam'a ek olarak bu gibi engellemelerin exchange üzerinde yapılmasında yarar görüyorum hem mail içeriğini hem eklentisini görmenizde yarar var. Aksi bir durumda maili geri alabilirsiniz. Ama yukarıdaki anlatılan gibi engellediğinizde mail eklentisi hatta mail tamamen gidecektir.

 
Gönderildi : 31/05/2008 23:46

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Merhaba ;

Sırasıyla cevap vermeye çalışayım 🙂

1. olarak Eser BeyRadius la authentication yaptırararak calıstırdım gayetde  guzel calısıyor ias dan grup veya kullanıcı bazlı ızın vs de verebılıyorum ama benım tam  olarak aradıgım sey belkıde  soruyu sordum  nıhayetınde rule ları ip bazlı yazıyorum ISA dakı gıbı kullanıcı bazlı kural olusturmak ldap ı denedeım ama oada ıstedıgım gıbı olmadı  yada ben yapamadım ama  benım dusundugum ldap ile authentication yaptıgımda ldap kullanıcılarının listesini kendi belleğine alması ve  ben oradan ip bazlı degılde  kullanıcı bazlı  kurallar  oluşturabilmemdı belkide cok hayal  kuruyorumdur 🙂

2. olarak Nezih Bey  sahsen msn yasaklamayı ben denemedım ama live msn 80 den de  cıkıs yaptıgı için servıces den  msn ı eklememın yeterlı olmayacagını dusunmustum pazartesı bır test yaparım en azından ve  WEB  filtering lisansı malesef yok:( .

3.Murat bey antivirus ve antispam lisansı yok ama Symantec mail security Appliance 8300 kullandıgımız  ıcın vırus ve spam tarafında bır  sıkıntımız yok mailler direk 25 portu  8300 e yonlendırdıgı ıcın o taraftada sıkıntı yok ama FBA kullandıgımız ıcın 80 ve 443 portları sunucuma yonlendırılmıs durumda gerçi erişim ızın aynı zamanda ben authentication uyguluyorum kullanıcı adı ve şifre  gırılmeden 80 ve 443 e erişim yapılamıyor ama en azından 8300 ume remote executable code ile bır zarar saldırı vb durumları ıcın Deep Inspection ile paketlerın içeriğini kontrol edıp zararlı bır kod vb varsa direk firewall dan bloklamayı düşünmüştüm. Exchange tarafında ise gruplandırılmış smtp  sign larını kullanabilirsin demişsiniz sanırım bu siganturleri juniper in sitesinden temın etmem gerekıcek ? ScreenOS versiyonum da 6.0.0r2.0 (Firewall+VPN) dir.

Bu arada ek  olarak mx kaydımız mail.xxx.com.tr  ve ptr  kaydımızda  mevcut giden mailleride  symantec uzerınden gonderıyoruz ve kontrol ettıgımde ptr kaydımızın oldugu ip den  gıtmekte onda da  sorun yok ancak Symantec in hostname inde ve MTA hostname inde smtp.xxx.com olarak tanımlanmıs bu tanımlama Spam listelere gırmemıze vb problemlere yol acabılır mı 2 aydır hiçbir listede değiliz ama  yıne de  tam  emın olmak en ıyısı zannedersem .

Teşekkürler. 

 

 

 
Gönderildi : 01/06/2008 06:15

(@muratguclu)
Gönderiler: 1164
Noble Member
 


Merhaba ;


3.Murat bey antivirus ve antispam lisansı yok ama Symantec mail security Appliance 8300 kullandıgımız  ıcın vırus ve spam tarafında bır  sıkıntımız yok mailler direk 25 portu  8300 e yonlendırdıgı ıcın o taraftada sıkıntı yok ama FBA kullandıgımız ıcın 80 ve 443 portları sunucuma yonlendırılmıs durumda gerçi erişim ızın aynı zamanda ben authentication uyguluyorum kullanıcı adı ve şifre  gırılmeden 80 ve 443 e erişim yapılamıyor ama en azından 8300 ume remote executable code ile bır zarar saldırı vb durumları ıcın Deep Inspection ile paketlerın içeriğini kontrol edıp zararlı bır kod vb varsa direk firewall dan bloklamayı düşünmüştüm. Exchange tarafında ise gruplandırılmış smtp  sign larını kullanabilirsin demişsiniz sanırım bu siganturleri juniper in sitesinden temın etmem gerekıcek ? ScreenOS versiyonum da 6.0.0r2.0 (Firewall+VPN) dir.


 


 



Merhaba,


DI sign ları Juniper periyodik olarak update eder. Juniper,  DI sertifikasının expire olduğunu duyurdu. Update leri almanız için sertifikalrı güncellemeniz gerekir. Sizin kullandığın ScreenOS versiyonunda, yeni DI sertifikaları içermiyor.  r5 yükseltebilir yada sertifikaları güncelleyebilirsiniz. İlgili kb aşağıda veriyorum. Daha sonra, Configure - Update - Attack Signature kısmından update edin. . Policy üzerinden Deep Inspection kısmına Sign ların gelmesi lazım. Sign ların ne işe yaradığını öğrenmek için Objects - Attacks kısmındaki soru işaretlerine tıklarsanız sign lar hakkında bilgi alırsınız.


http://kb.juniper.net/KB10239


MTA hostname konusunda spam listlere düşeceğinizi düşünmüyorum. Yanlız karşı taraf MTA hostname  kontrolü yapıyor ise orada problem yaşarsınız.

 
Gönderildi : 02/06/2008 12:28

Paylaş: