Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 4087 views
  • Users 0 members are here
Options
Suggested

Initial impressions and observations

Scott_Klassen
These are based on the 6.807 web demo.  Some of these are most likely in the works due to this being a beta.

1)  The dashboard update time should be configurable.  5 seconds is a bit spastic, as the page "flashes" when it refreshes.  It's like a disco UI.

2)  IPS.  Currently the ability to see, edit, and add to individual rules appears to be MIA.  Needs to come back in some form.  In the network security dashboard besides/instead of top IPS alerts, a "last 10 alerts triggered" would be nice which would include the alert ID and the number of times triggered in a period of time (24 hours?).  I really like the ability to now keep a ruleset active and be able to turn off alerts.  

3)  There doesn't appear to be anything like the proxy content manager available anymore.  It's great that end-users can be allowed to have their own portals, but the admin still needs the ability to centrally monitor and control the email quarentine.  If I have a dozen employees out on maternity leave and vacation, I DO NOT want to have to log into that many user portals everyday to check for caught false-positive emails which may be business-critical and time-sensitive.  That scenario is much more of a burden to me as an admin.  Treat the user portal as a value-added feature, not as a complete replacement of central administration.

4)  Lots of people have asked for it on these boards, but I don't see it yet.  Persistent granular configuration of spam assassin rules and the ability to turn on and set parameters for beysian filtering.  Without these, there is no way to fix false-positives in a meaningful manner.  I don't want to whitelist joeshmoe@somewhere.com.  He may be our most important business partner, who likes to send html emails with goofy junk pasted in so his mails get caught by the filter everyday.  You know that the second I pop him into the whitelist, his non-AV running system will get infected with every virus, trojan, spyware, etc. known to man which will then be coming our way and every spammer on the planet will choose that time to spoof his address.  Spam mitigation must happen based on content to be effective.  Astaro is running Spam-Assassin which has a fantastic and tunable beysian system.  Please allow us to use them to their potential without having to void our support by "hacking" config files through the shell.

5)  The Up2Date blog post mentions that reporting is still being worked on.  Please keep the HTTP proxy usage reports because they are not in the build on the web demo.  The capability to easily see all sites a particular user has visited during a given time frame is a business necessity.  It is a major means of monitoring employee productivity (or lack thereof).

6)  I've been told before by tech support that this next feature was being looked into for V7, but it's not there yet.  Myself and several others have asked for it in the past.  Using SSO (Active Directory in my case, but eDirectory, and LDAP as well), with no changes to user browser proxy settings,  LOG the user names.  This could be served just by allowing the HTTP proxy on the ASG to be set to 80.  It's a fusion of transparent authentication with transparent proxy.  For some people, setting a proxy might be no big deal through AD, DNS, and/or DHCP.  I've got an environment where these means are not feasible to ensure content protection in a timely fashion with no after effects.  SurfControl and Websense can do this, Astaro should be able to as well.  To my understanding, IE only sends the user name if a proxy is set, but not if it just runs as default over port 80.  Think outside the box a little for other ways to achieve this.  I think WebSense, SurfControl, and other professional content filtering packages do it by having a user account with priviledges elevated enough that they can read the login event logs so they can build a temporary database that can correlate username, IP address, and machine name.  I need to see that www.astaro.com was visited by JSmith on Workstation7 with an IP of 192.168.1.100.  Please make this happen.

7)  IE7 was just released officially yesterday.  The blog post mentions its' compatibility with the new WebAdmin UI.  Still needs a bit of tweaking though.  I know that when I tried it, I was pelted with script errors until a added the demo address to the Trusted Sites list as a workaround. 

8)  Nice add with the SSL VPN.  If you get a chance, please work out a way that people can log into a user portal on the v7demo machine so that we can try out downloading the client and playing with it a bit.  Closely related, maybe run some test traffic through to populate some of the logs, IPS, mail quarentine, etc.  Easier to check things out and test with some dummy data to play with.

Ok, that's it for now.  I'm going to mess with the beta more and see what else I can dig up.
Parents
  • 0
    Scott, to answer some of your questions:

    2) You could never edit existing IPS rules from the UI, but you could see them. This is one of those things that only a few people used. Creating your own IPS rules requires knowledge of Snort's syntax (which a lot of people don't have), and entering a bad rule (with bad syntax) stopped all network traffic. First beta release, I'm sure they have noted your comment here.

    3) That's coming out in a later beta release. You'll see that the new quarantine content manager is a big improvement on the one in v6.

    4) Tweaking spam assassin rules is for power users, not something for the faint of heart. It would be great to do so, but not really necessary. Bayesian filtering was enabled in earlier versions of ASG but causes more problems than they solved, so it no longer runs. Besides, most spammers today know how to fool Bayesian filtering [;)] Just wait, I'm sure a better system will get implemented.

    5) Take a look Reporting >> Web Security and the Web Security Users tab. You'll see each individual user that has surfed through the proxy. What you might have not seen is that the for each user, there is a number of domains viewed. That number is clickable and takes you to a sub report. The sub report isn't implemented in this beta, but its going to give you a break down of the sites that user visited. You can also go to the Web Security Domains report and click on the number of users to see the actual users that visited that domain. Plus, you can filter both reports via different time periods.

    6) This is a bit more difficult to implement than it sounds. Browsers won't respond to a proxy's authentication attempts while in transparent mode, because they really aren't talking to that proxy. Your suggestion would work, but only in static IP environments.

    7) This is something that every vendor who has a web UI is racing to fix and work with. Applaud Microsoft for tightening security, but they have gone a bit too far in that is a bother to have some web apps work with it.

    8) SSL client works fantastic! I'd recommend running it on a demo system of your own if you don't have one setup yet!
  • 0 in reply to Rick_S_01
    Thanks Rick. 
     
    On #2, I used it. [:)] Whenever I get an alert, I look up exactly what parameters it was looking for to be triggered. I especially liked the links to external sources of further information. Probably doesn't need an entire section of the UI, but it would be nice to retain the functionality in the form of looking up alert ID's one at a time to conserve real-estate and make the code lithe.  Also need some means back of clearing alerts.  If for nothing else, then to same some drive space.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Hi guys

    I have just installed 6.808 and like Simon..  WOW.  The UI is much different.
    I must say that IE7 does have some major issues with it, I kept getting kicked out to the login page.  Sometimes I also got errors stating IE could not handle the XMHTML.  I am using RC2 of Vista so I don't know if Vista is the dodgy link.

    Also I can not view logs, I can see the live logs but if you click on view I get nothing.

    Also did I miss reading anything about 6.303 backup files not being supported.  When I tried restoring from a 6.303 backup non-encrypted file it said it was corrupt.

    Silly question:  Why when you login after an initial install do you need to use port 4444?  Can this be removed so it is only using the normal 443, or is that me being stupid.

    Also I was under the impression this version, the realtime / history logs would tell you the number of the rule that processed the packet, however I can not see it.

    With all that said, it is a fantastic step up...  Well done to the whole team, now hopefully the community and Astaro can iron out the remaining bugs before a great release....
Reply
  • 0 in reply to Scott_Klassen
    Hi guys

    I have just installed 6.808 and like Simon..  WOW.  The UI is much different.
    I must say that IE7 does have some major issues with it, I kept getting kicked out to the login page.  Sometimes I also got errors stating IE could not handle the XMHTML.  I am using RC2 of Vista so I don't know if Vista is the dodgy link.

    Also I can not view logs, I can see the live logs but if you click on view I get nothing.

    Also did I miss reading anything about 6.303 backup files not being supported.  When I tried restoring from a 6.303 backup non-encrypted file it said it was corrupt.

    Silly question:  Why when you login after an initial install do you need to use port 4444?  Can this be removed so it is only using the normal 443, or is that me being stupid.

    Also I was under the impression this version, the realtime / history logs would tell you the number of the rule that processed the packet, however I can not see it.

    With all that said, it is a fantastic step up...  Well done to the whole team, now hopefully the community and Astaro can iron out the remaining bugs before a great release....
Children
  • 0 in reply to Mike_H
    Another feature that I think would nice and that is to display the ISPs DNSs in the DNS forwarders page when the "use ISPs DNS" box is ticked.

    I am currently trying out the V7b and pppoe interface directly rather than through my v6.303  machine.

    Works well and is much faster than through the dual firewall setup. I don't think 512mb will be sufficient memory for anyone running proxies. 56% of my 768mb (which v7b says is 757mb) is already used and I only have one user on it with all proxies enabled.

    Ian M
  • 0 in reply to Mike_H
    Also did I miss reading anything about 6.303 backup files not being supported.  When I tried restoring from a 6.303 backup non-encrypted file it said it was corrupt.
    Restoring from backups does not work yet, but it should in future beta releases.
    Silly question:  Why when you login after an initial install do you need to use port 4444?  Can this be removed so it is only using the normal 443, or is that me being stupid.
    They changed the default admin port because of the new SSL VPN and User portal features. I would recommend that you leave it on a non-standard port.
  • 0 in reply to Mike_H

    Also I can not view logs, I can see the live logs but if you click on view I get nothing.
     
    Can you please tell us which ones?


    Also did I miss reading anything about 6.303 backup files not being supported.  When I tried restoring from a 6.303 backup non-encrypted file it said it was corrupt.
     
    The backup import feature didn't make it into the first beta release, but it will be there!


    Silly question:  Why when you login after an initial install do you need to use port 4444?  Can this be removed so it is only using the normal 443, or is that me being stupid.
     
    The reason for switching to 4444 is so that those people that want to DNAT 443 to a web server behind the ASG don't have to go in and make the port change for WebAdmin. If you want to switch it back, you're of course more than welcome too 


    Also I was under the impression this version, the realtime / history logs would tell you the number of the rule that processed the packet, however I can not see it.
     
    Its there in the raw packetfilter.log file if you look at it. Just hasn't made its way into the live log yet.


    With all that said, it is a fantastic step up...  Well done to the whole team, now hopefully the community and Astaro can iron out the remaining bugs before a great release....
     
    Appreciate it and the all feedback we can get (good or bad)!
  • 0 in reply to Rick_S_01
    Thanks for the feedback Rick.

    The POP3 pre-fetch sounds sweet.

    I will probably install in production at my house soon for testing. (I know it's beta but my home isnt mission critical...)
  • 0 in reply to Simon Shaw
    Hi Rick_S and others

    Last night I thought I would play with my nice new Astaro 7 install.  I thought I would really test it by using a Vista Ultimate RC2 workstation looking at the Astaro box through the IE7 browser.

    The issues I was getting are.

    1.  I keep getting an XMHTML error when clicking on login after entering my credentials.  Third time of trying it let me in.  In normal operation it looks like I am using about 2% CPU (Duron 1 Ghz) and 47% memory (384 Mb)  All is great until I click on VIEW on any of the log files in the logging section, a blank window pops up but is not populated.  At this point my server gets a little upset.  I could no longer access any screens from the menu and none of the top icons such as log out worked.  The only way I could regain control was to quit the browser and go back in.

    After logging in for the second time I viewed the Dashboard and wastched the CPU go up slowly to 99% (I love the coloured meter, very cool.)
    The only way I could get the CPU down was to reboot the fiewall from the menu.

    2.  I had an issue with the DNS.  I use a cable service that uses DHCP, I set up the interface for external access using the Cable modem option (Nice addition) and the interface came up ok, Added the masq and packet filter rules, Internat Network to External interface, Internal, Any, Any, Allow, No_Log.

    Everything worked except DNS browsing.  I looked at the DNS and it had the tick in use the ISP DNS, I tooked the tick out which I assumed it would use the root servers, which it did and I could browse ok.  Please can you put in the info section on the right that this is the case about the root name servers as I guess it is a tad confusing, as if you don't know from previous versions it would look like no DNS is set up.  I then put explicit DNS ip addresses in to the fowarders and that worked too.  So I don't know if there is a bug in the collection of DNS from the ISP (Blueyonder in my case)
    I agree, it would be nice for it to tell you what DNS addresses it had gathered from your ISP as atleast then you know the feature is working and you eliminate the guess work.

    Please can you help me get these logs viewable as I miss them..   [:)]
  • 0 in reply to Simon Shaw
    Thanks for the feedback Rick.

    The POP3 pre-fetch sounds sweet.

    I will probably install in production at my house soon for testing. (I know it's beta but my home isnt mission critical...)
     
    I've been using it at home and the only difference my wife noticed was the reduction in spam [;)] I'm running on a 110/120 w/ only 256 meg and it works like a charm.
  • 0 in reply to Mike_H
    Hi Rick_S and others

    Last night I thought I would play with my nice new Astaro 7 install.  I thought I would really test it by using a Vista Ultimate RC2 workstation looking at the Astaro box through the IE7 browser.

    The issues I was getting are.

    1.  I keep getting an XMHTML error when clicking on login after entering my credentials.  Third time of trying it let me in.  In normal operation it looks like I am using about 2% CPU (Duron 1 Ghz) and 47% memory (384 Mb)  All is great until I click on VIEW on any of the log files in the logging section, a blank window pops up but is not populated.  At this point my server gets a little upset.  I could no longer access any screens from the menu and none of the top icons such as log out worked.  The only way I could regain control was to quit the browser and go back in.

    After logging in for the second time I viewed the Dashboard and wastched the CPU go up slowly to 99% (I love the coloured meter, very cool.)
    The only way I could get the CPU down was to reboot the fiewall from the menu.
     
    R&D is looking into this and we'll have a slick way of making sure things like the middleware and reporting don't take up too much CPU% time.


    2.  I had an issue with the DNS.  I use a cable service that uses DHCP, I set up the interface for external access using the Cable modem option (Nice addition) and the interface came up ok, Added the masq and packet filter rules, Internat Network to External interface, Internal, Any, Any, Allow, No_Log.

    Everything worked except DNS browsing.  I looked at the DNS and it had the tick in use the ISP DNS, I tooked the tick out which I assumed it would use the root servers, which it did and I could browse ok.  Please can you put in the info section on the right that this is the case about the root name servers as I guess it is a tad confusing, as if you don't know from previous versions it would look like no DNS is set up.  I then put explicit DNS ip addresses in to the fowarders and that worked too.  So I don't know if there is a bug in the collection of DNS from the ISP (Blueyonder in my case)
    I agree, it would be nice for it to tell you what DNS addresses it had gathered from your ISP as atleast then you know the feature is working and you eliminate the guess work.
     
    Haven't heard of that issue, it worked just great w/ my ISP. As for your info request, make sure to forward it to v7beta@astaro.com to make sure R&D sees it.
Cookie Information Banner