Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 734 views
  • Users 0 members are here
Options
Suggested

[7.x] TOP Ten Features Request ! Making Astaro the best product !

BuBU
Hi

just a new thread to talk about the top ten features request that would be great to have integrated in next major releases ? To make astaro the best all in one secure product... (ok this is allready great, but there is probably missing stuff that make this a killer app)

On my side here are my requests:

1/ Sniffing Capabilities

2/ Realtime traffic track (through console is enough, using iptraf...)

3/ API/Web Services/Whatever to be able to provisionned automatically astaro from another system remotely (like ISP/ASP apps...)

4/ Handling Wifi devices (USB dongle and PCI cards, ...)

5/ for home users and small company being able to have samba shares for both files and printers should be really great (ok this is a secure software, but how many guys have a samba servers or windows share for a media center or whatever... that make them forced to have a second box running all the time...). same for ushare capabilities...

6/ Adding automaticcally NAT rules through UPnP service would be also great for home users and probably some other small companies..

7/ site-to-site openvpn clients used for connecting to other vpn servers than astaro or at least tools to generate compatible .apc files from a non astaro openvpn server config...

8/ improved load balancer server functionalities.. with weight and other rules (wlc, ...) with Direct Routing, NAT features...

9/ being able to tune which IPs should be always into the license scope (ie servers that we absolutly want behing able to connect to internet), with exclusion for some network we does not care if they do not have internet access.. (most of the time those box are configured through dhcpd so we may want to exclude all boxes with ips attributed by dhcp server that have no static mapping...)

10/ more attributes/properties configured with the dhcp servers (like PXE attributes next-server, ...)

there may have probably more features... but here my top ten... so maybe our beloved Astaro Team will includes some of them into next major release [:)]

thx...
  • 0
    Well, my humble comments:

    ad 1) for sniffing on ASG I have always used TCPDUMP from shell. It is powerful, easy to use and efficient. If you need to sniff then you can use even another option already present on ASG boxes... The SNORT! It is there providing IPS/IDS services but as many know SNORT was written as a sniffer so a few switches and you got another great sniffer at your service [[:)]]

    ad 2) well although I like iptraf myself as well and I use it on my other linux boxes, I'm quite comfortable with the other tool which is already present on ASG - the 'iftop'. It is not as 'nice' and 'blue' but it is still a formidable replacement for the iptraf nevertheless...

    ad 3) Well, I don't quite get this point. Perhaps because it is still relatively early in the morning and I did not have my coffee yet. But there is SNMP at your service on ASG and the NOC operators can use ACC to monitor the AXG boxes in real-time. ACC is one sweet application and it is getting better with every release. Then you can let AXG to send you syslogs to your designated server and you can parse them there and get whatever output you require from it for your needs.

    ad 4) WiFi support would perhaps be nice but I'm not really missing it and I can imagine reasons why better not to have it, prefer separate access points and just provide security for the established connections.

    ad 5) I think that AXG was never intended to be a all-in-one home media server with security features. So the primary focus on security is just fine. If a small company or household needs SMB share on the network then there is a huge ammount of affordable NAS boxes out there offering SMB services and many of them with extra added values like ability to connect printers to them or with built in p2p clients etc.


    But there are few features I'm really missing...

    11/ Ability to export configuration of the box in a human readable format (XML, CSV) or in some format that would make possible to do a security audit without having to inspect every single definition and rule on the box manually. Combined with a slight glitch that a user with auditor role is not even allowed to inspect those makes security audits painful and time consuming operations. Especially when the box contains hundreds of rules.

    12/ Ability to fine-tune the IPS engine. The way the IPS is configured nowdays is nice, ***y and 'end-user' friendly but it is not acceptable for most administrators because it now works like a shotgun. You control whole groups of rules and the only way of fine-tuning is to use external database of SIDs (access to which may not always be available from the box/network) and you can then disable those rules. Ability to add your own SNORT rules would be nice too because it would in many cases give the admins the opportunity to fine-tune the IPS in such a way they really need.

    13/ Ability to use negation in rules. This would make admin life much more simple in complicated networks and it would also cut down the number of packet filter rules by quite some margin in such networks because you would be able to use one rule with negation instead of more rules we have to write nowdays to achieve the same functionality.

    14/ Ability for the GUI to actually make use of the whole display. These days when the high resolution displays are pretty common it seems a bit odd that the ASG GUI is limited to a very thin strip of the display and the rest is just gray and unused... Taking use of the whole area would make many parts of the GUI, menus etc. so much more readable. And this applies to both AXGs and ACC


    Well... and many more... [[:)]]

    MB
  • 0 in reply to MBirdCZ
    I agree on the last point on your list, and would like to add 'and the other way round'...

    I'm working for Ampersant, a belgian IT Services company, targetting SMB's, and we have Astaro's running at every client's location, or about that much...

    I'm mostly on the road, and being able to carry a small laptop, like the Asus EEE 901, makes my day a whole lot easier, doing checks, tests and linux admin jobs at the clients.

    In version 6 I always needed to 'blow up' my Firefox to Full Screen mode, because I couldn't reach the lower 2-3 items in the Menu list (Log out, for instance, wasn't reachable)...
    I disabled all icons, bars, texts for the buttons etc, so my usable screen size in FF was giving me as much space as possible, but still...

    Version 7 did a great job changing this, as the scroll bar let me use the lower part of the Menu list too, where in v6 that part went down too...

    I just don't want to have that changed, because of more space on the newer monitors... I just don't want them to forget our super-compact-netbook users and admins... I don't want to go back to the Full Screen and Text Resizing version 6-ish days... [;)]

    Just my € 0.02
  • 0 in reply to BramKortleven
    FWIW, it's VERY easy to install iptraf on Astaro; how-to:
    http://www.astaro.org/closed-forums-read-only/asg-v7-000-beta-closed/9610-hack-adding-iptraf-asl5.html
    It still works in 7.x including 7.380.

    insert usual disclaimer about voiding your warranty

    Barry
  • 0
    I would like to see http host header routing (like in ISA server) where i can route hosted websites to different servers by host header on the astaro.
  • 0 in reply to NathanPConvergent
    I would like to see http host header routing (like in ISA server) where i can route hosted websites to different servers by host header on the astaro.


    I second that.  ISA allows you to "publish" (they call it) applications like this.
  • 0 in reply to theproto
    In addition, add the ability for the reverse proxy to act as the SSL endpoint (middleman approach) so that we can send the traffic for hosted SSL sites (hosted behind the Astaro) through the IPS to detect exploit attempts.
  • 0 in reply to BrucekConvergent
    Hmm... squid in reverse mode could have done both request routing and SSL acceleration/endpoint, but I don't know about ASL 7's proxy. Does it have a reverse mode at all?

    Barry