Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 984 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BM Moves to Astaro

DCallahan
Hi,

I am a long time BorderManager user considering moving on to new and not secret till the last minute and already EOL things. BorderManager has been very very good to me except the 3.8 BS VPN that never really worked the way that it should have. It has very powerfull filtering possibilities and I need them in the future. Can anyone tell me if the example below is possible and give basic examples how it would be configured so that dumb ol me can test it?

Basics:
-nobody can surf if they are not in the www_users group.
-nobody can use https except certain general exceptions.
-no ebay, webmailers und co.
-.exe, .com, .pif, mp3 .. are no-nos

ACLs configured in BM:

1. Deny
- *.exe
- *.com
- *.... several others
for all

2. Allow:
- https://*.lufthansa.com
- https://*.ba.com
- https:// ... several others
for group www_https

3. Allow:
- ftp://*.novell.com
- ftp://*.mcafee.com
- ftp://*.... several others
for group ftp_users

......

8. Allow http thru proxy ( port 80 ) for www_Users

9. Deny rest.

Generally, all www_users can surf normal, non-webmail / ebay and Co. sites. No FTP, https or executable downloads. I must be able to control the access on a group basis ( just toooooo many users ) and many users belong to more than one group. This means that a multiple profile/acl configurations and checks for one group must be possible.

Can Astaro support something like this? I found something in the manual ( yea, I RTFM but it isn't quite enough ) that stated that multiple profile assignment checks per "local user" were not possible but it did not state if that goes for groups also.

Can anyone provide some infos on this. I really like what I've seen of the ASG but am not quite sure if it can do what I need it to.

Thanks,
Daryn


This thread was automatically locked due to age.
Parents
  • 0
    Yes, it is possible to do everything you want as long as you are using Active Directory (at least, that's all I know).  You have to remove the HTTP and HTTPS services from the packet filter, then make everyone go through your HTTP Proxy on port 8080 (you can change that port).  In the HTTP proxy, you can deny files by extensions and you can whitelist site (allowing access).

    I have two groups that I'm using now, one is HTTP_RESTRICTED and HTTP_ACCESS.  For the restricted group, I'm denying based on web content (nudity, lifestyle, sports, drugs, annonymous web proxies, etc), basically those users can't surf for fun.  For the HTTP_ACCESS group, I just filter out virus and spyware.

    One catch that I found out is you have to edit the localhosts file on the Astaro box to point it to a domain controller.
  • 0 in reply to rstark
    Thanks for the answer Rick. I'd like to go a few steps further than just two groups. I like to have 8-10 groups or policies and any one user could be a member of several of the groups. Is this possible? Using your groups for example:

    Lets say everyone is a member of your HTTP_RESTRICTED group. This allows them to even authenticate. Some users who are members of that group are also members of the HTTP_ACCESS group. Does ASG check through all groups till it gets a positive deny or allow?
    Thanks,
    Daryn
Reply
  • 0 in reply to rstark
    Thanks for the answer Rick. I'd like to go a few steps further than just two groups. I like to have 8-10 groups or policies and any one user could be a member of several of the groups. Is this possible? Using your groups for example:

    Lets say everyone is a member of your HTTP_RESTRICTED group. This allows them to even authenticate. Some users who are members of that group are also members of the HTTP_ACCESS group. Does ASG check through all groups till it gets a positive deny or allow?
    Thanks,
    Daryn
Children
  • 0 in reply to DCallahan
    Yes, more than two groups is possible, that was a requirement for me before I purchased it for my company.  You list the groups in order, so let's say a user belongs to more than one group.  The order of the groups determines their surfing restrictions.  If they are a member of group #1, then those settings will get applied.  If they are a member of group #6 and #10, then group #6 gets applied.  Hope this helps.
  • 0 in reply to rstark
    "If they are a member of group #6 and #10, then group #6 gets applied"

    Meaning if policy #6 doesn't deny or allow that policy #10 won't be applied as the user/group exists in policy #6 - the user belongs to BOTH groups

    Daryn
  • 0 in reply to DCallahan
    Meaning if policy #6 doesn't deny or allow that policy #10 won't be applied as the user/group exists in policy #6 - the user belongs to BOTH groups

    Daryn

    I'm no expert on this, you may want to ask technical support.  According to the manual, only one profile can be assigned per user or network (in this case AD security groups).

    It kind of doesn't make sense to have two profiles kick in for a user, since one may conflict with the other.  If you want policy #10 to kick in before policy #6, you would move #10 above #6.

    In my case, I created new security groups for two types of users, one that is really restricted and the other that only does virus and spyware.
  • 0 in reply to rstark
    Rick,

    you are right. The manual says just one user or network but I'm talking about groups. If this only goes for users and networks then it may be possible to have groupmembers access controlled by more than one policy. The firewall that I'm currently using allows this and it checks through the policys ( ACLs ) and doesn't stop until it hits a positive, negative or last ACL. Depending on what it finds it grants or denys access.

    My problem is that I have thousands of users that all have different permissions and I really don't want to have to create hundreds of profiles for them. If Astaro can do a top down ACL check, granting or denying permission after finding an definite positive or negative entry then my search is over.

    Thanks
    Daryn
  • 0 in reply to DCallahan
    We had the same dilema in trying to figure out how to duplicate our bordermanager ACL's.  Astaro just doesn't work the same way, bordermanager has to match both the rule AND the user for a positive match, Astaro is only looking at the user (that includes groups) and when it finds a match, it doesn't look at the rest of the profiles.

    They aren't called ACL's they are profiles, and as soon as one of them matches, it doesn't look at the rest.  I thought this was going to be a huge problem, but it really isn't, just had to take a different approach.  We too have thousands of users with 20 our so groups for internet access, but we found that out of those 20 groups, only about 5 of them were completely unique on what they could access.

    So we started with a a profile that denied access to anybody in our novell group that was a memeber of "no internet" since it was the first profile, we also had to make sure that nobody overlapped into this group who needed internet rights, or they wouldn't get it.  Next we put in the least restrictive group, let's say admins, who could basically get to anything, except pornographic websites.  Having that group second made sure they were going to get to the sites they needed, just in case they were also in a more restrictive group that got processed down the line, it wouldn't matter because there profile already granted access.

    We progressively applied the more restrictive profiles down the line to the most restricted user groups.  There isn't a global blacklist, so if there was a website, or file type, etc that needs to be blocked for everybody, we made sure it was in each profile's blacklist.

    So basically, instead of like bordermanager, were we applied a bunch of rules, and they all got processed, we take all those rules and combine them into a single profile for a group of users.  Then we do the same thing again for each group, anytime there is a difference in internet rights, we create a profile that contains EVERYTHING we want that group to have or not have access too.

    So yes, at first it sounds like it won't work, but in the end, there is absolutely no mistake in what rights they should have, because everything that applies to a group is contained in a single profile, instead of having to figure out which ACL was messed up.