Forum
Merhaba ;
Şirketimizde kullandığımız 1 adet NS 520 mevcut 4 adet farklı untrust zone ları mevcut ve 3 adet de farklı trust zone ları ve policy ler dahilinde internet erişimleri benı sormak istedıgım 3 adet soru var
1. Server 2003 ile authenticatin yapabılıyormuyuz ldap authentication u yani ?
2. ise Deep Inspection kullanıcımı ile ilgili genel olarak nasıl calısır mesela live msn ı engellemek istersem veya windows media player uzerınden calısan radyo vb uygulamaları tahmınımce bunlarla ilgili signature bularak uygulamam gerekıyor ama bu signature ları kendım mı olusturmam gerekıyor yoksa junıper veya baska bır sıteden temın edılebılıyor mu ?
3. Şirketimizde exchange uzerınden mail hostıngı de yapıyoruz FBA da kullandıgımız için 25;80;110;443 portları vip ile localdekı exc sunucuma yonlendırdım ama nıhayetınde bu yonlendırmede paketlerın içerıgıne bakmamakta o porta gelen ısteklerı local de kı exc sunucuma ıletme remote executable code vb tehlıkelerıde Deep Inspection kullanarak onlemem mümkün mü ve eger mümkün ise nasıl yoksa ayrıca IDS mı kullanmamız gerekir? ( Deep Inspection lisansı mevcut )
Teşekkürler.
Merhabalar ;
1. maddeyi ben netscreen başka bir cihazda yaptım çok güzel çalışıyor. Ama IAS dan netscreen için bazı içerik göndermen gerekir tam hatırlamıyorum bakıcam. Bulunca atarım buraya..
bende 2. sorunu cevaplıyayım kısaca..
;
DIP özelliği ben genellikle dosya uzantılarını yasaklamak için kullanıyorum..Mesela ; .avi .rar .mpeg gibi..
Msni yasaklamak için ise policy yazman yeterli. Yasaklamak istedigin grup.kişi yada Any olarak belirtip Services kısmından ( Multiple deyip 1 den fazla services ekliyebilirsin) MS-MESSENGER ve Msn i ekleyip aciton kısmına da deny demen yeterli..
Audio video uygulamalarını kapatmak için ise ; Security nin altında Web Filter in altında profiles var ordan oncelikle new deyip yeni bir profile olusturuyosun.Daha sonra tekrar profilesin altında Custom var custom ın altında olusturdugun profili göreceksindir.Edit diyip içine giriyosun ve category name inaltındaki streaming media yı ekledigin zaman audio ve video uygulaması sonlanır.Olusturdugun profil altında ordaki categorilerden ekleyip Permit yada block diyebilirsin.
Saygılar..
Merhaba,
Radyo lar genelde 80 nolu portu kullanınır. Streaming Media yı kapatarak hepsini bloklayamazsın. Bunları IDP cihazı ile başarılı bir şekilde bloklayabilirsin. Custom Signature için döküman okuman gerekir ayrıca juniper kb araştırabilirsin.
Exchange tarafında ise gruplandırılmış smtp sign larını kullanabilirsin. Ayrıca anti-spam ve anti virus özelliğine de kullanabilirsin.
ScreenOS versiyon nedir?
Murat Hocam'a ek olarak bu gibi engellemelerin exchange üzerinde yapılmasında yarar görüyorum hem mail içeriğini hem eklentisini görmenizde yarar var. Aksi bir durumda maili geri alabilirsiniz. Ama yukarıdaki anlatılan gibi engellediğinizde mail eklentisi hatta mail tamamen gidecektir.
Merhaba ;
Sırasıyla cevap vermeye çalışayım 🙂
1. olarak Eser BeyRadius la authentication yaptırararak calıstırdım gayetde guzel calısıyor ias dan grup veya kullanıcı bazlı ızın vs de verebılıyorum ama benım tam olarak aradıgım sey belkıde soruyu sordum nıhayetınde rule ları ip bazlı yazıyorum ISA dakı gıbı kullanıcı bazlı kural olusturmak ldap ı denedeım ama oada ıstedıgım gıbı olmadı yada ben yapamadım ama benım dusundugum ldap ile authentication yaptıgımda ldap kullanıcılarının listesini kendi belleğine alması ve ben oradan ip bazlı degılde kullanıcı bazlı kurallar oluşturabilmemdı belkide cok hayal kuruyorumdur 🙂
2. olarak Nezih Bey sahsen msn yasaklamayı ben denemedım ama live msn 80 den de cıkıs yaptıgı için servıces den msn ı eklememın yeterlı olmayacagını dusunmustum pazartesı bır test yaparım en azından ve WEB filtering lisansı malesef yok:( .
3.Murat bey antivirus ve antispam lisansı yok ama Symantec mail security Appliance 8300 kullandıgımız ıcın vırus ve spam tarafında bır sıkıntımız yok mailler direk 25 portu 8300 e yonlendırdıgı ıcın o taraftada sıkıntı yok ama FBA kullandıgımız ıcın 80 ve 443 portları sunucuma yonlendırılmıs durumda gerçi erişim ızın aynı zamanda ben authentication uyguluyorum kullanıcı adı ve şifre gırılmeden 80 ve 443 e erişim yapılamıyor ama en azından 8300 ume remote executable code ile bır zarar saldırı vb durumları ıcın Deep Inspection ile paketlerın içeriğini kontrol edıp zararlı bır kod vb varsa direk firewall dan bloklamayı düşünmüştüm. Exchange tarafında ise gruplandırılmış smtp sign larını kullanabilirsin demişsiniz sanırım bu siganturleri juniper in sitesinden temın etmem gerekıcek ? ScreenOS versiyonum da 6.0.0r2.0 (Firewall+VPN) dir.
Bu arada ek olarak mx kaydımız mail.xxx.com.tr ve ptr kaydımızda mevcut giden mailleride symantec uzerınden gonderıyoruz ve kontrol ettıgımde ptr kaydımızın oldugu ip den gıtmekte onda da sorun yok ancak Symantec in hostname inde ve MTA hostname inde smtp.xxx.com olarak tanımlanmıs bu tanımlama Spam listelere gırmemıze vb problemlere yol acabılır mı 2 aydır hiçbir listede değiliz ama yıne de tam emın olmak en ıyısı zannedersem .
Teşekkürler.
Merhaba ;
3.Murat bey antivirus ve antispam lisansı yok ama Symantec mail security Appliance 8300 kullandıgımız ıcın vırus ve spam tarafında bır sıkıntımız yok mailler direk 25 portu 8300 e yonlendırdıgı ıcın o taraftada sıkıntı yok ama FBA kullandıgımız ıcın 80 ve 443 portları sunucuma yonlendırılmıs durumda gerçi erişim ızın aynı zamanda ben authentication uyguluyorum kullanıcı adı ve şifre gırılmeden 80 ve 443 e erişim yapılamıyor ama en azından 8300 ume remote executable code ile bır zarar saldırı vb durumları ıcın Deep Inspection ile paketlerın içeriğini kontrol edıp zararlı bır kod vb varsa direk firewall dan bloklamayı düşünmüştüm. Exchange tarafında ise gruplandırılmış smtp sign larını kullanabilirsin demişsiniz sanırım bu siganturleri juniper in sitesinden temın etmem gerekıcek ? ScreenOS versiyonum da 6.0.0r2.0 (Firewall+VPN) dir.
Merhaba,
DI sign ları Juniper periyodik olarak update eder. Juniper, DI sertifikasının expire olduğunu duyurdu. Update leri almanız için sertifikalrı güncellemeniz gerekir. Sizin kullandığın ScreenOS versiyonunda, yeni DI sertifikaları içermiyor. r5 yükseltebilir yada sertifikaları güncelleyebilirsiniz. İlgili kb aşağıda veriyorum. Daha sonra, Configure - Update - Attack Signature kısmından update edin. . Policy üzerinden Deep Inspection kısmına Sign ların gelmesi lazım. Sign ların ne işe yaradığını öğrenmek için Objects - Attacks kısmındaki soru işaretlerine tıklarsanız sign lar hakkında bilgi alırsınız.
MTA hostname konusunda spam listlere düşeceğinizi düşünmüyorum. Yanlız karşı taraf MTA hostname kontrolü yapıyor ise orada problem yaşarsınız.