Ciao,

se volessi costruire un UTM con pfSense su un mini computer, di cosa avrei bisogno?

Mi spiego meglio, un UTM comprende svariati software:
- firewall
- ids/ips
- traffic control
- anti spam
- anti virus
- content filtering
- etc etc
- intefaccia di controllo

se volessi implementare il tutto usando la distro pfSense, quali software open source usereste?

ho trovato questa guida (non recentissima, è del 2012) giusto per farsi un'idea:
http://fafadiatech.blogspot.it/2012/05/build-your-own-unified-threat.html


la guida dice:

- firewall: pfSense
- ids/ips: Snort
- traffic control: pfSense + squid
- anti spam: SpamD o SpamAssassin
- anti virus: HAVP basato su ClamAV (ma proteggerebbe solo il traffico http)
- content filtering: pfSense + squid guard
- intefaccia di controllo: pfSense ???

qualche consiglio?
un'idea delle risorse che occuperebbero i vari software?
in modo da capire quali componenti sarebbero più adatti per assemblare il mini computer.


Un dubbio che ho è l'antispam: immagino che bisogna installare prima un server mail sul server pfSense per poi fare l'antispam.. o sbaglio?

Grazie !

Dipende da quanto traffico deve maneggiare, e quanto storaggio (IN/OUT) deve muovere squid e quanto RAM vuo fargli usare, e quente mail al giorno devono passare per spam assasin.

Io anni fa a casa mia avevo squid che girava su un NSLU2 DLINK che aveva ~3-MB di RAM e un hard disk USB: ma per far funzionare 3 miei computer era piu' che sufficiente.

grazie per il consiglio.
per il momento lo userei per 1-2 pc, in futuro per 5-6.

hai anche qualche idea per i sw da utilizzare per fare le funzioni richieste dal utm? anche non con la distro pfSense.

- firewall:
- ids/ips:
- traffic control:
- anti spam:
- anti virus:
- content filtering:
- intefaccia di controllo:

Per 1/2 PC non ci sono requisiti tecnici particolari.
Ma se non sei un esperto del sistema operativo che vorrai utilizzare ti conviene partire da una macchina super corazzata tipo una mini itx atom / amd con almeno mezzo giga di ram. Cosi' ameno sei sicuro di riuscire a partire facile. Poi la puoi sempre utilizzare come NAS o muletto.

I software che hai proposto nel parent vanno bene, ovvio poi che ogni sistema ha le sue peculiarita': es linux usa iptables. Ma i software di alto livello di rete sono poi sempre quelli.

Un dubbio che ho è l'antispam: immagino che bisogna installare prima un server mail sul server pfSense per poi fare l'antispam.. o sbaglio?

L'anti spam tipicamente e' meglio se lavora su base IP quindi prima del SMTP: es. una query blacklist a black list di IP. Poi c'e' il grey listing come postgrey: li c'hei gia' l'smtp ovviamente. Dopo puoi avere qualcosa come spam assasin, che lavora per i fati suoi fin tanto che c'e' qualcosa da scansionare da qualche parte...

i requisiti per il mini server a cui avevo pensato erano all'incirca:


CPU ========> Intel Atom Dual Core ~ 1.8GHz
Motherboard ===> Mini-ITX
RAM =========> 1 GByte
Storage ======> il minimo possibile..
Ethernet ======> 2 interfacce giga integrate nella mainboard


conosci qualche software da integrare in un proxy server, per rimuovere script/ad/banner dalle pagine web?

una sorta di adblock attivo direttamente sul proxy server..

ho trovato delle versioni linux di AV anche per avast e AVG, solo che non capisco se fanno real time o solo scan on demand..

ho trovato un bel articoletto:
http://digitalcombines.wordpress.com/2013/08/18/squidclamav-the-antivirus-for-your-squid-proxy-server/

su come integrare in squid clamAV con il pacchetto "squidclamav".

ho trovato anche un'altra lettura interessante:
http://sathisharthars.wordpress.com/2013/07/31/configuring-proxy-server-with-antivirus-squidclamavsquidguarddansguardian/

Squid+clamAV+squidguard+dansguardian

ho tuttavia un dubbio: se il traffico https è crittografato, come è possibile che squid lo controlli con un AV ?
mi sto sbagliando?



Aggiungo:
sarebbe bene sandboxare squid? magari mettendo in sicurezza con un chroot jail?

ho tuttavia un dubbio: se il traffico https è crittografato, come è possibile che squid lo controlli con un AV ?
mi sto sbagliando?
Immagino che non lavori su https. Fallo lavorare sulle cartelle condivise magari.

Aggiungo:
sarebbe bene sandboxare squid? magari mettendo in sicurezza con un chroot jail?Perche'? Tanto gira in locale mica e' esposto a internet, basta che il file system su cui lavora sia noexec e nosuid, e delle schifezze di windows mica gliene frega qualcosa.

conosci qualche software da integrare in un proxy server, per rimuovere script/ad/banner dalle pagine web?

una sorta di adblock attivo direttamente sul proxy server..
Be' c'e' squidguard, [rpbabilmente gli si puo' far far qualcosa.
Ma mi sa che il livello 4 di networking non e' ancora abbastanza alto: ci vuole qualcosa che interpreti l'html e sappia decidere cosa toglere e quali script evitare: insomma fallo fare al browser web, tipo opera che puo' condividere i filtri su tutte le installazioni.

sul browser ho già ff con:
adblock
betterprivacy
noscript
ghostery
trackmenot

e devo dire che configurati a dovere fanno il loro sporco lavoro.. :)

adesso provo a costruire una VM e a installare tutto.. poi monitoro quante risorse hw usa (spannometricamente) e infine cerco di raffinare la selezione di SW.

Immagino che non lavori su https. Fallo lavorare sulle cartelle condivise magari.

Perche'? Tanto gira in locale mica e' esposto a internet, basta che il file system su cui lavora sia noexec e nosuid, e delle schifezze di windows mica gliene frega qualcosa.

forse ho trovato forse qualcosa che cade a fagiolo..

SSL Bump
qlproxy


devo provarli.. l'unica cosa che non mi convince di SSL Bump è:
Squid becomes responsible for handling server certificate validation errors
... Squid makes the ultimate decision on whether to ignore the validation error ...

quindi in caso di certificato invalido (ho un paio di siti che ricadono nella casistica) dovrei vedere come si comporta.