Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 1007 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Requests

Ted
Hi,

Before I get started I wanted to mention that I like Astaro very much and think you guys are doing a good job of adding additional features. So to make a good product better (IMHO)..

Here are some feature requests that I would love to see included:
Proper email address verification - Currently under the sender address verification option in the SMTP proxy, the verification does not actually use a VRFY command. I understand this is for compatibility, but the way it has been implemented makes it seem a bit useless to me.

Fine grained control of Spamassassin - This is probably the option I think should have the highest priority. Spamassassin is a great addition but to be truly effective each location needs to be able to fine tune the settings. Not just the master threshold (although this needs to be precisely controlled as well) but many of the rules need to be fine tuned on a per location basis.

Recipient whitelist for Spamassassin - some people need to receive all email. As much as I have warned people that email should not be treated as a guaranteed delivery mechanism, they still 100% rely on it. I know of at least one US federal government agency that seems to be bad for this.

Better options for whitelists and blacklists in the smtp proxy – as they stand the rules for the smtp proxy white and black lists are a little rudimentary. It would sure be nice to have better control over these very important options.


Multiple levels of HTTP Proxy - For example a limited proxy open to everyone based and a wide open proxy available to people who authenticate, possibly on a different port. I know the surf protection is supposed to offer some, if not all, of this functionality but it doesn't seem to me to be something that should require further licensing.

Smbclient integration with proxy verification so IE doesn’t prompt - When setting the http proxy to user verification I always get prompted to authenticate for every new IE session I open. This isn't really practical and it is my understanding squid can be configured with an smbclient to avoid this prompting.

The ability to tune the web proxy cache particularly when using a large drive - most people now have large drives by default, it would be nice to be able to tune the http proxy from the GUI.
 
Well that about does it for now and happy coding.

Thanks,
Ted

PS: If any of the requests are already available but their configuration procedures have escaped me please let me know, minus the obligatory RTFM as I already have. It would certainly make my life a little bit easier. 
  


This thread was automatically locked due to age.
  • 0
    I agree, more granular control of spamassasin and Squid would be wonderful.  I have customized my own config for each, but it would be nice to be able to make the changes within the webadmin - especially managing Squid ACLs from the webadmin would be an awesome addition!

    As far as Squid authentication goes - the version currently being used by Astaro doesn't support NTLM authentication (at least not without an ugly hack).  Squid 2.5 supports NTLM from the get-go and I think would be a wise upgrade to be included in the next Up2date!

    Question to Astaro guys:  does the current compile of squid include delay_pools?  I will be setting this up next week (if it's compiled to do so), but to save me time could one of you let me know?  
  • 0 in reply to Prolific
    I would like to see the option to install to multiple harddisks.  For instance, using a flashdrive for the os and then a regular harddrive for proxy cache and logs [:)]  
  • 0
    Hi,

    as a user of ASL 4.x Enterprise Gigabit Edition, we can agree to most of Ted's requests, especially in the mail and spam area.

    After two days of testing, we had to switch off "sender call out verification", since it didn't work e.g. with listserv.heise.de, also it would help us a lot to reduce spam.

    Things we also would like to see:
    - White list for sender-call-out verification (prio: VERY HIGH)
     - Integration of RBLs into Spamassassin,
       so that Spamassassin gives higher score to black listed mail
       and can also tag it as Spam in subject field. (HIGH)
     - Finer grained control of Spamassassin
     - Be able to create Webadmin users, who have only access
       to SMTP-Relay/ Proxy Content Manager/ SMTP-Logs
       (Prio: VERY HIGH)
    - Be able to configure, that the recipients of a virus infected
      mail also get a notification (Low)
    - Installation to multiple hard-disk (high)
    - Better Exim/Spamassassin log-format for analysis (middle)

    You guys at Astaro do already a very good job. With our input we hope to make ASL even more usable and convincing for others.

    Best regards,
    Erwin.
      
  • 0 in reply to ERoth
    here are some thoughts i have. i usually work with cisco and checkpoint so i will give examples when i can.

    1. as mentioned, better control over spamassain
    2. real blacklist support via...maps http://mail-abuse.org/

    3. better control and monitoring for vpn users. Finer grained control over where they  are able to go via… user or group. For ex. If I have a user or a group of users that only need to get email or check the company web server…I should be able to set for ex. Group “field” with a rule such as. 10.0.0.6  255.255.255.255 and 10.0.0.7 255.255.255.255 where .6 and .7 are my email and web servers. Once connected the user or group “field”  would only be able to access 10.0.0.0 -.6 and .7. if I wanted to allow them access to the entire 10.0.0.0 / 16 network a rule such as allow field 10.0.0.0 .255.255.0.0. or multiple networks. Allow field 10.0.0.0 255.255.0.0 192.168.1.0 255.255.255.0. This would also protect other companies and vendor networks that are connected to your vpn server from malicious users using it as a relay to enter another connected network.
    it would be nice to see currently logged in users, packets in and out count for this user / group, the original src-ip for the uses: as in there isp ip, the tunnel ip they are assigned to, where are they going../doing, able to sniff src and dest for tunnel traffic, how are they vpn'ed in via... pptp or ipsec and what is there encryption....3des, Aes etc... To be able to assign a group or individual different enc. would be great. automatic topology download upon successful connection. hide nat and double PAT would be nice for vpn connections. All this would need to be in realtime as I don’t want to have to refresh every sec. to monitor a user or group.

    Also a big plus would be real time active failover for vpn connections...like rainfinity or stonebeat provide for checkpoint fw/vpn servers. If a user is in vpn1 and vpn1 goes down then vpn2 or vpn3..4..5..etc... should take over the users connection without any user intervention or reconnect. with checkpoint and rainfinity i can have a vpn connection to vpn1 for ex. during this connection i have a open ftp session with an internal ftp server, in the middle of uploading a lage file. Now with this ftp session going, i can pull vpn1 offline...my ftp session will pick up and continue within about 5 sec. when vpn2 takes over the original connection that vpn1 had. This would make astaro really scalable for critical redundancy. throw in a good routing package such as zebra with bgp and ospf...weighted dns or other global routing system and you have multi-cluster global redundancy in real time. 

    Split dns. for vpn users and groups. 

    Be able to specify which dns server/s the users / groups use. This is nice if your vpn server connects many different B2B connections. For ex. If a user or group from centennial airlines is vpn’ed in I should be able to specify which dns server they see. This makes it possible to host a rich b2b environment without having to provide a large dns or several dns for each customer. User “mike” from centennial is logged in via vpn and he is trying to request the internal web server ….http://marketing.hr.centennial.com …..


    Ok fine because one of the dns servers I have set for mike is owned by his company for ex. ns1.centennial.com. now say that mike needs to resolve a server in another domain for which he is working….travel-info.com. This will work because one of the dns servers in his config. on the astaro  box  “primary, secondary, tertiary” will have the proper dns for travel-info.com. 

    4. snort.  It would be great to have a light weight snort engine. i think a interface such as puresecure's would be great as it defines the attack, src-dest etc... i also like how it shows the TOP10 on information about attacks. ex. top10 src ip's, dest ip's. All one should have to do is point astaro / snort to the ip or hostname for the mysql server and the user, passwd and database to  use. automatic updating of short rules would be great with the ability to customize if needed.

    another feature that should be integrated into the IDS:

    "system verification checking". 

    puresecure uses a daemon that runs on the hosts and watches for changes to the system. i think there daemon is trippwire or viper. If one of the hosts has been tampered with i will see this next to the hostname in the gui... the daemon checks the checksum for all the system files and notifies if they change…. Really great for a firewall.

    all of the above connections, snort to the mysql database, the host system checking and reporting daemon etc... should be over ssl or ssh.

    5. ssh proxy with auth. via local, radius etc.. this would allow for a company to centralize admin ssh connections to other devices. a comparison would be to that of a cisco tacacs+ server for authenticating connections for engineers, admins etc.. to routers, firewalls, servers etc... also fined grained ssh_ config options would be nice.


    6. challenge responce: 
    How about being able to tie all the current auth. methods and couple them with a software token for challenge response or paraphrase response after the initial user passwd via... radius, nt etc.. are completed. this adds an extra layer of  protection.

    I have setup nortel contivity switches like this.

    the user launches his/her client and connects to vpn1.example.com  with their username and pass, the nortel server checks the radius server and if they are there and provided the correct credentials the nortel server will go on to check our token server. the users then gets present with a challenge which they enter into their software token calculator hash the algorithm …then take the result and enter it into the challenge window. The info then is sent to the token server and if everything is ok, the user is connected.

    7. console connection via serial, so the firewall can be connected to a terminal server for emergencies. 

    8. a client in java, so its platform independent, to connect to astaro or astaro centralized server “with all the options of the webadmin” and admin..monitor the devices.  there are networks that I really would not want any webserver running on and therefore I think a client such as checkpoints or cisco’s  would be nice … 

    9. ssl-tunnel with fine grained auth. And gui admin. 

    This would allow us to use astaro gateways as a ssl authenticating proxies to secure communications with other host whom do not support ssl. This would be great for sensitive networks or securing a web farm, email farm etc…

    10. as another user mentioned the ability to use flash drives or these new USB mini hard drives with raid in case one fails, the ability to use a regular hd for crap like cache or even better mount a nfs network drive to a internal server for storing cache etc.. via ssh or ssl then astaro wont have any moving parts to fail. Your could even write a enc. Serial to the usb or flash drives to make sure nobody can just put in a new drive and compromise your system. Nortel does this. On the contivity fw/vpn servers the hd’s are encrypted with a serial for that server. you might be able to  just put the necessary files on the local disk such as kernel and then use the nfs server to boot the firewall and load via ..ssh-ssl the proper partitions and configs like a headless boot from lan workstation. 

    11. Ethernet device polling. Great hack for speeding things up.

    12. 12. out of band service

    13. light weight authenticating dial in analog server for management use in emergencies when the network is down.

    14. ucspi-tcp "a tcp server and client"

     http://cr.yp.to/ucspi-tcp.html

    What is it?

    tcpserver and tcpclient are easy-to-use command-line tools for building TCP client-server applications. 
    tcpserver waits for incoming connections and, for each connection, runs a program of your choice. Your program receives environment variables showing the local and remote host names, IP addresses, and port numbers. 

    tcpserver offers a concurrency limit to protect you from running out of processes and memory. When you are handling 40 (by default) simultaneous connections, tcpserver smoothly defers acceptance of new connections. 

    tcpserver also provides TCP access control features, similar to tcp-wrappers/tcpd's hosts.allow but much faster. Its access control rules are compiled into a hashed format with cdb, so it can easily deal with thousands of different hosts. 

    This package includes a recordio tool that monitors all the input and output of a server. 

    tcpclient makes a TCP connection and runs a program of your choice. It sets up the same environment variables as tcpserver. 

    This package includes several sample clients built on top of tcpclient: who@, date@, finger@, http@, tcpcat, and mconnect. 

    tcpserver and tcpclient conform to UCSPI, the UNIX Client-Server Program Interface, using the TCP protocol. UCSPI tools are available for several different networks. 

    I would use this to start and monitor connections such as ssh http, smntp, ftp, https etc.. instead of using the inetd daemon. 

    15. build system with stack guard, format guard, race guard, and subdomain.

    available as individual pcs. @ http://www.immunix.org







    Just my rant,trying to help make astaro better[:)] 


      
  • 0
    Ted,  I agree with every suggestion you have.  All of those features would be great selling points for those of use who are working on deploying ASL for customer sites.  I wonder what effect those add-on's would have on the price though.  Development time could add a considerable increase to the price...but man would this be a fantastic, world-class product that could compete head to head with vendors such as CISCO, CheckPoint and NetScreen!!!  Nice ideas.

    Cheers,
    Clay  
  • 0
    Hi,

    Could the Astaro guys please give a short statement concerning their future roadmap in the spam blocking (spam assassin) area?!

    Since we rely heavily on ASL 4.0 as secure mail gateway, we would like to see in the future more SNMP statistics of the SMTP-Relay, like
      - # processed mails
      - # mails rejected due to blacklist
      - # virus infected mails
      - # mails classified as spam

    Thanks for your attention,
    Erwin.

    ASL 4.x Enterprise Gigabit Edition User  
  • 0 in reply to EaSyToKeR
    [ QUOTE ]

    8. a client in java, so its platform independent, to connect to astaro or astaro centralized server “with all the options of the webadmin” and admin..monitor the devices.  there are networks that I really would not want any webserver running on and therefore I think a client such as checkpoints or cisco’s  would be nice … 
     

    [/ QUOTE ]

    I'm not familiar with the clients you referenced, so I'm not sure if I'm being redundant here.  But it would be great to have the ability to use this client to develop configurations through a simulated Webadmin-type interface where you can create a config, then import it into a new installation of Astaro.