Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 4085 views
  • Users 0 members are here
Options
Suggested

Initial impressions and observations

Scott_Klassen
These are based on the 6.807 web demo.  Some of these are most likely in the works due to this being a beta.

1)  The dashboard update time should be configurable.  5 seconds is a bit spastic, as the page "flashes" when it refreshes.  It's like a disco UI.

2)  IPS.  Currently the ability to see, edit, and add to individual rules appears to be MIA.  Needs to come back in some form.  In the network security dashboard besides/instead of top IPS alerts, a "last 10 alerts triggered" would be nice which would include the alert ID and the number of times triggered in a period of time (24 hours?).  I really like the ability to now keep a ruleset active and be able to turn off alerts.  

3)  There doesn't appear to be anything like the proxy content manager available anymore.  It's great that end-users can be allowed to have their own portals, but the admin still needs the ability to centrally monitor and control the email quarentine.  If I have a dozen employees out on maternity leave and vacation, I DO NOT want to have to log into that many user portals everyday to check for caught false-positive emails which may be business-critical and time-sensitive.  That scenario is much more of a burden to me as an admin.  Treat the user portal as a value-added feature, not as a complete replacement of central administration.

4)  Lots of people have asked for it on these boards, but I don't see it yet.  Persistent granular configuration of spam assassin rules and the ability to turn on and set parameters for beysian filtering.  Without these, there is no way to fix false-positives in a meaningful manner.  I don't want to whitelist joeshmoe@somewhere.com.  He may be our most important business partner, who likes to send html emails with goofy junk pasted in so his mails get caught by the filter everyday.  You know that the second I pop him into the whitelist, his non-AV running system will get infected with every virus, trojan, spyware, etc. known to man which will then be coming our way and every spammer on the planet will choose that time to spoof his address.  Spam mitigation must happen based on content to be effective.  Astaro is running Spam-Assassin which has a fantastic and tunable beysian system.  Please allow us to use them to their potential without having to void our support by "hacking" config files through the shell.

5)  The Up2Date blog post mentions that reporting is still being worked on.  Please keep the HTTP proxy usage reports because they are not in the build on the web demo.  The capability to easily see all sites a particular user has visited during a given time frame is a business necessity.  It is a major means of monitoring employee productivity (or lack thereof).

6)  I've been told before by tech support that this next feature was being looked into for V7, but it's not there yet.  Myself and several others have asked for it in the past.  Using SSO (Active Directory in my case, but eDirectory, and LDAP as well), with no changes to user browser proxy settings,  LOG the user names.  This could be served just by allowing the HTTP proxy on the ASG to be set to 80.  It's a fusion of transparent authentication with transparent proxy.  For some people, setting a proxy might be no big deal through AD, DNS, and/or DHCP.  I've got an environment where these means are not feasible to ensure content protection in a timely fashion with no after effects.  SurfControl and Websense can do this, Astaro should be able to as well.  To my understanding, IE only sends the user name if a proxy is set, but not if it just runs as default over port 80.  Think outside the box a little for other ways to achieve this.  I think WebSense, SurfControl, and other professional content filtering packages do it by having a user account with priviledges elevated enough that they can read the login event logs so they can build a temporary database that can correlate username, IP address, and machine name.  I need to see that www.astaro.com was visited by JSmith on Workstation7 with an IP of 192.168.1.100.  Please make this happen.

7)  IE7 was just released officially yesterday.  The blog post mentions its' compatibility with the new WebAdmin UI.  Still needs a bit of tweaking though.  I know that when I tried it, I was pelted with script errors until a added the demo address to the Trusted Sites list as a workaround. 

8)  Nice add with the SSL VPN.  If you get a chance, please work out a way that people can log into a user portal on the v7demo machine so that we can try out downloading the client and playing with it a bit.  Closely related, maybe run some test traffic through to populate some of the logs, IPS, mail quarentine, etc.  Easier to check things out and test with some dummy data to play with.

Ok, that's it for now.  I'm going to mess with the beta more and see what else I can dig up.
  • 0
    Next observation, and this may have existed for a very long time through previous versions, but ...

    When installing from ISO to some machine, during setup and after hardware detection, it displays the installed NICs by name.  A short time later your asked to choose the NIC that the management interface will be on by MAC.  I would think it to be handy if on the hardware result screen if it could show each NIC by name and MAC.  This is for people (like me), who forgot to jot down the MAC addresses of installed NICs before install and who are then too lazy to abort their install and run diag tools or open up the case to get this info.  [:)]  Just nice to make an informed decision on which NIC initial management will be going through.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    On a local install, version 6.808. Created a test user, Turned on the End-User Portal, enabled SSL in remote access and added the test user. When I login to the test users portal and go to SSL-VPN it states that the method is not configured for this user and no downloadable client is available. Either this is still being worked on and not yet fully implemented or some process has to restart to pick up the change.
     
    Speaking of the End-User Portal. Something that may require more thought. Are entries in the EMail Whitelist for that user only? I'm thinking that a combination of a reporting function to list all users individual whitelists and some method of override in WebAdmin may be a necessity to monitor and maintain company email policy restrictions that may be in place. 
     
    Should also be configurable from WebAdmin, what tabs/features display in the user-portals. If a user isn't allowed to have Remote Access, then that feature shouldn't display in the interface. If my company chooses to only deploy IPSec-VPN only, then that should be the only tab displayed. I don't relish having to tell my users that they can't have something even though they see it and then have to go over what each type of VPN entails and why we do or don't use them.
     
    Three other quick things with the User portals. Needs a help button with a backend configurable link to an external resource. For example, if I put together a PDF walkthrough of the portal interface and place it on a file server, in the back end I should be able to input \servername\share\help.pdf and when a user clicks on the button in their portal, that document will open. Can also be a link to a help web site if the administrator chooses (Extra points if it is set to open in a new window, as in target="_blank"). A good and simple add to the welcome page would be a Message of The Day, set on the back end by the admin, for important messages. Finally, the portals need a configurable timeout value. I was just out of the building for an hour, and I didn't close the connections to my V7 test setup before I left. On my return, WebAdmin had timed out properly and was back on the login page, the end-user portal was still open and active.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Hey Scott.. all good stuff... 

    as to #6 in your initial post.. Surfcontrol handles this by having the admin install a user agent on each client PC... I sure don't want to do this.. but I'm sure there's some other way of getting it done.. I for one like to use the proxy in standard mode, but I can see where transparent has it's uses.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Scott, to answer some of your questions:

    2) You could never edit existing IPS rules from the UI, but you could see them. This is one of those things that only a few people used. Creating your own IPS rules requires knowledge of Snort's syntax (which a lot of people don't have), and entering a bad rule (with bad syntax) stopped all network traffic. First beta release, I'm sure they have noted your comment here.

    3) That's coming out in a later beta release. You'll see that the new quarantine content manager is a big improvement on the one in v6.

    4) Tweaking spam assassin rules is for power users, not something for the faint of heart. It would be great to do so, but not really necessary. Bayesian filtering was enabled in earlier versions of ASG but causes more problems than they solved, so it no longer runs. Besides, most spammers today know how to fool Bayesian filtering [;)] Just wait, I'm sure a better system will get implemented.

    5) Take a look Reporting >> Web Security and the Web Security Users tab. You'll see each individual user that has surfed through the proxy. What you might have not seen is that the for each user, there is a number of domains viewed. That number is clickable and takes you to a sub report. The sub report isn't implemented in this beta, but its going to give you a break down of the sites that user visited. You can also go to the Web Security Domains report and click on the number of users to see the actual users that visited that domain. Plus, you can filter both reports via different time periods.

    6) This is a bit more difficult to implement than it sounds. Browsers won't respond to a proxy's authentication attempts while in transparent mode, because they really aren't talking to that proxy. Your suggestion would work, but only in static IP environments.

    7) This is something that every vendor who has a web UI is racing to fix and work with. Applaud Microsoft for tightening security, but they have gone a bit too far in that is a bother to have some web apps work with it.

    8) SSL client works fantastic! I'd recommend running it on a demo system of your own if you don't have one setup yet!
  • 0 in reply to Rick_S_01
    All good points from Scott.

    Transparent proxy is great as we have many users who would otherwise turn the proxy settings on their clients OFF.

    NOTE: The beta 7 web demo does not seem to be letting me in.
    There is a user 'admin' and a password '******' but I get the error that its not a valid login.

    The initial load of the beta 7 web page is also EXTREMELY slow.
    (30-45 seconds of 'connecting to backend' before page loads.)
  • 0 in reply to Simon Shaw
    I can't seem to get up and running with the SSL VPN Rick.  I must be missing a step somewhere.  After enabling SSL VPN, adding my user, and internal network, all I get for that user in the portal is:
     
    Unfortunalety this remote access method is not configured for you.
    Please contact your system administrator for more information on that.
     
    Well, in this case, the sys admin doesn't have a clue.  [:)]  Any idea what I may have accidentally missed?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Simon Shaw
    I note with the IPS system, you do not seem to be able to search for rules anymore?
    (I may be wrong).

    Often I would be emailed a notification like:

    Message........: NETBIOS SMB-DS winreg OpenKey unicode little endian overflow attempt
    Details........: http://www.snort.org/pub-bin/sigs.cgi?sid=3228


    I could go into the ASL IPS/IDS rules and filter rules for "3228" and bingo, there is the rule I want to alter...

    I do not see an easy way of finding rules in the new beta...

    However, have installed it and I must say, " *** WOW *** "

    Great job team!

    PS: My dashboard does not appear to flicker, the change is so fast I just see the numbers update..
    (Client: Firefox 2, ASL on Athlon 1800 with 512MB)

    PPS: Maybe move the logout button further away from the Help button on the top bar. 

    PPPS: With POP3 prefetch, I presume the 'prefetched' mail is removed from the host POP3 server?
    Just asking as if someone is out of the office checking mail I presume that if ASL has prefetched the mail then they won't see it when they check their mail externally?
  • 0 in reply to Simon Shaw
    P2P Security.

    Will ASL detect Bittorrents where the clients are using protocol encryption?
    (Available now in most clients such as uTorrent).
  • 0 in reply to Simon Shaw
    I think there is a bug in the prefetch, as mine gets mail even when the prefetch is disabled. I have no idea where it is getting the mail from?

    Ian M
  • 0 in reply to Rick_S_01
    Thanks Rick. 
     
    On #2, I used it. [:)] Whenever I get an alert, I look up exactly what parameters it was looking for to be triggered. I especially liked the links to external sources of further information. Probably doesn't need an entire section of the UI, but it would be nice to retain the functionality in the form of looking up alert ID's one at a time to conserve real-estate and make the code lithe.  Also need some means back of clearing alerts.  If for nothing else, then to same some drive space.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Cookie Information Banner