Costruire un UTM (Unified Threat Management) con pfSense

evil_stefano · 30-10-2013, 15:58

Ciao,

se volessi costruire un UTM con pfSense su un mini computer, di cosa avrei bisogno?

Mi spiego meglio, un UTM comprende svariati software:
- firewall
- ids/ips
- traffic control
- anti spam
- anti virus
- content filtering
- etc etc
- intefaccia di controllo

se volessi implementare il tutto usando la distro pfSense, quali software open source usereste?

ho trovato questa guida (non recentissima, è del 2012) giusto per farsi un'idea:
http://fafadiatech.blogspot.it/2012/...ed-threat.html

la guida dice:

- firewall: pfSense
- ids/ips: Snort
- traffic control: pfSense + squid
- anti spam: SpamD o SpamAssassin
- anti virus: HAVP basato su ClamAV (ma proteggerebbe solo il traffico http)
- content filtering: pfSense + squid guard
- intefaccia di controllo: pfSense ???

qualche consiglio?
un'idea delle risorse che occuperebbero i vari software?
in modo da capire quali componenti sarebbero più adatti per assemblare il mini computer.

Un dubbio che ho è l'antispam: immagino che bisogna installare prima un server mail sul server pfSense per poi fare l'antispam.. o sbaglio?

Grazie !

eaman · 30-10-2013, 19:38

Dipende da quanto traffico deve maneggiare, e quanto storaggio (IN/OUT) deve muovere squid e quanto RAM vuo fargli usare, e quente mail al giorno devono passare per spam assasin.

Io anni fa a casa mia avevo squid che girava su un NSLU2 DLINK che aveva ~3-MB di RAM e un hard disk USB: ma per far funzionare 3 miei computer era piu' che sufficiente.

evil_stefano · 30-10-2013, 22:32

grazie per il consiglio.
per il momento lo userei per 1-2 pc, in futuro per 5-6.

hai anche qualche idea per i sw da utilizzare per fare le funzioni richieste dal utm? anche non con la distro pfSense.

- firewall:
- ids/ips:
- traffic control:
- anti spam:
- anti virus:
- content filtering:
- intefaccia di controllo:

eaman · 30-10-2013, 22:43

Per 1/2 PC non ci sono requisiti tecnici particolari.
Ma se non sei un esperto del sistema operativo che vorrai utilizzare ti conviene partire da una macchina super corazzata tipo una mini itx atom / amd con almeno mezzo giga di ram. Cosi' ameno sei sicuro di riuscire a partire facile. Poi la puoi sempre utilizzare come NAS o muletto.

I software che hai proposto nel parent vanno bene, ovvio poi che ogni sistema ha le sue peculiarita': es linux usa iptables. Ma i software di alto livello di rete sono poi sempre quelli.

eaman · 30-10-2013, 22:58

Quote:

Originariamente inviato da evil_stefano

Un dubbio che ho è l'antispam: immagino che bisogna installare prima un server mail sul server pfSense per poi fare l'antispam.. o sbaglio?

L'anti spam tipicamente e' meglio se lavora su base IP quindi prima del SMTP: es. una query blacklist a black list di IP. Poi c'e' il grey listing come postgrey: li c'hei gia' l'smtp ovviamente. Dopo puoi avere qualcosa come spam assasin, che lavora per i fati suoi fin tanto che c'e' qualcosa da scansionare da qualche parte...

evil_stefano · 31-10-2013, 09:32

i requisiti per il mini server a cui avevo pensato erano all'incirca:

CPU ========> Intel Atom Dual Core ~ 1.8GHz
Motherboard ===> Mini-ITX
RAM =========> 1 GByte
Storage ======> il minimo possibile..
Ethernet ======> 2 interfacce giga integrate nella mainboard

conosci qualche software da integrare in un proxy server, per rimuovere script/ad/banner dalle pagine web?

una sorta di adblock attivo direttamente sul proxy server..

evil_stefano · 31-10-2013, 10:40

ho trovato delle versioni linux di AV anche per avast e AVG, solo che non capisco se fanno real time o solo scan on demand..

evil_stefano · 31-10-2013, 11:39

ho trovato un bel articoletto:
http://digitalcombines.wordpress.com...-proxy-server/

su come integrare in squid clamAV con il pacchetto "squidclamav".

ho trovato anche un'altra lettura interessante:
http://sathisharthars.wordpress.com/...ddansguardian/

Squid+clamAV+squidguard+dansguardian

ho tuttavia un dubbio: se il traffico https è crittografato, come è possibile che squid lo controlli con un AV ?
mi sto sbagliando?

Aggiungo:
sarebbe bene sandboxare squid? magari mettendo in sicurezza con un chroot jail?

eaman · 31-10-2013, 15:35

Quote:

Originariamente inviato da evil_stefano

ho tuttavia un dubbio: se il traffico https è crittografato, come è possibile che squid lo controlli con un AV ?
mi sto sbagliando?

Immagino che non lavori su https. Fallo lavorare sulle cartelle condivise magari.

Quote:

Aggiungo:
sarebbe bene sandboxare squid? magari mettendo in sicurezza con un chroot jail?

Perche'? Tanto gira in locale mica e' esposto a internet, basta che il file system su cui lavora sia noexec e nosuid, e delle schifezze di windows mica gliene frega qualcosa.

eaman · 31-10-2013, 15:38

Quote:

Originariamente inviato da evil_stefano

conosci qualche software da integrare in un proxy server, per rimuovere script/ad/banner dalle pagine web?

una sorta di adblock attivo direttamente sul proxy server..

Be' c'e' squidguard, [rpbabilmente gli si puo' far far qualcosa.
Ma mi sa che il livello 4 di networking non e' ancora abbastanza alto: ci vuole qualcosa che interpreti l'html e sappia decidere cosa toglere e quali script evitare: insomma fallo fare al browser web, tipo opera che puo' condividere i filtri su tutte le installazioni.

evil_stefano · 31-10-2013, 16:57

sul browser ho già ff con:
adblock
betterprivacy
noscript
ghostery
trackmenot

e devo dire che configurati a dovere fanno il loro sporco lavoro..

adesso provo a costruire una VM e a installare tutto.. poi monitoro quante risorse hw usa (spannometricamente) e infine cerco di raffinare la selezione di SW.

evil_stefano · 31-10-2013, 17:09

Quote:

Originariamente inviato da eaman

Immagino che non lavori su https. Fallo lavorare sulle cartelle condivise magari.

Perche'? Tanto gira in locale mica e' esposto a internet, basta che il file system su cui lavora sia noexec e nosuid, e delle schifezze di windows mica gliene frega qualcosa.

forse ho trovato forse qualcosa che cade a fagiolo..

SSL Bump
qlproxy

devo provarli.. l'unica cosa che non mi convince di SSL Bump è:

Quote:

Squid becomes responsible for handling server certificate validation errors
... Squid makes the ultimate decision on whether to ignore the validation error ...

quindi in caso di certificato invalido (ho un paio di siti che ricadono nella casistica) dovrei vedere come si comporta.

30-10-2013, 15:58	#1
evil_stefano Senior Member Iscritto dal: May 2003 Messaggi: 1057	Costruire un UTM (Unified Threat Management) con pfSense Ciao, se volessi costruire un UTM con pfSense su un mini computer, di cosa avrei bisogno? Mi spiego meglio, un UTM comprende svariati software: - firewall - ids/ips - traffic control - anti spam - anti virus - content filtering - etc etc - intefaccia di controllo se volessi implementare il tutto usando la distro pfSense, quali software open source usereste? ho trovato questa guida (non recentissima, è del 2012) giusto per farsi un'idea: http://fafadiatech.blogspot.it/2012/...ed-threat.html la guida dice: - firewall: pfSense - ids/ips: Snort - traffic control: pfSense + squid - anti spam: SpamD o SpamAssassin - anti virus: HAVP basato su ClamAV (ma proteggerebbe solo il traffico http) - content filtering: pfSense + squid guard - intefaccia di controllo: pfSense ??? qualche consiglio? un'idea delle risorse che occuperebbero i vari software? in modo da capire quali componenti sarebbero più adatti per assemblare il mini computer. Un dubbio che ho è l'antispam: immagino che bisogna installare prima un server mail sul server pfSense per poi fare l'antispam.. o sbaglio? Grazie ! __________________ Trattative concluse con: vitale12345 - JamesDean - Piripikkio - alibibi - oclla - yaku - gionnizipsp - ciriccio - mxrco90 - gigarobot - uazzamerican

30-10-2013, 22:32	#3
evil_stefano Senior Member Iscritto dal: May 2003 Messaggi: 1057	grazie per il consiglio. per il momento lo userei per 1-2 pc, in futuro per 5-6. hai anche qualche idea per i sw da utilizzare per fare le funzioni richieste dal utm? anche non con la distro pfSense. - firewall: - ids/ips: - traffic control: - anti spam: - anti virus: - content filtering: - intefaccia di controllo: __________________ Trattative concluse con: vitale12345 - JamesDean - Piripikkio - alibibi - oclla - yaku - gionnizipsp - ciriccio - mxrco90 - gigarobot - uazzamerican

30-10-2013, 22:43	#4
eaman Senior Member Iscritto dal: Feb 2002 Messaggi: 2511	Per 1/2 PC non ci sono requisiti tecnici particolari. Ma se non sei un esperto del sistema operativo che vorrai utilizzare ti conviene partire da una macchina super corazzata tipo una mini itx atom / amd con almeno mezzo giga di ram. Cosi' ameno sei sicuro di riuscire a partire facile. Poi la puoi sempre utilizzare come NAS o muletto. I software che hai proposto nel parent vanno bene, ovvio poi che ogni sistema ha le sue peculiarita': es linux usa iptables. Ma i software di alto livello di rete sono poi sempre quelli. Ultima modifica di eaman : 30-10-2013 alle 22:47.

31-10-2013, 09:32	#6
evil_stefano Senior Member Iscritto dal: May 2003 Messaggi: 1057	i requisiti per il mini server a cui avevo pensato erano all'incirca: CPU ========> Intel Atom Dual Core ~ 1.8GHz Motherboard ===> Mini-ITX RAM =========> 1 GByte Storage ======> il minimo possibile.. Ethernet ======> 2 interfacce giga integrate nella mainboard conosci qualche software da integrare in un proxy server, per rimuovere script/ad/banner dalle pagine web? una sorta di adblock attivo direttamente sul proxy server.. __________________ Trattative concluse con: vitale12345 - JamesDean - Piripikkio - alibibi - oclla - yaku - gionnizipsp - ciriccio - mxrco90 - gigarobot - uazzamerican

31-10-2013, 10:40	#7
evil_stefano Senior Member Iscritto dal: May 2003 Messaggi: 1057	ho trovato delle versioni linux di AV anche per avast e AVG, solo che non capisco se fanno real time o solo scan on demand.. __________________ Trattative concluse con: vitale12345 - JamesDean - Piripikkio - alibibi - oclla - yaku - gionnizipsp - ciriccio - mxrco90 - gigarobot - uazzamerican

30-10-2013, 19:38	#2
eaman Senior Member Iscritto dal: Feb 2002 Messaggi: 2511	Dipende da quanto traffico deve maneggiare, e quanto storaggio (IN/OUT) deve muovere squid e quanto RAM vuo fargli usare, e quente mail al giorno devono passare per spam assasin. Io anni fa a casa mia avevo squid che girava su un NSLU2 DLINK che aveva ~3-MB di RAM e un hard disk USB: ma per far funzionare 3 miei computer era piu' che sufficiente.

31-10-2013, 11:39	#8
evil_stefano Senior Member Iscritto dal: May 2003 Messaggi: 1057	ho trovato un bel articoletto: http://digitalcombines.wordpress.com...-proxy-server/ su come integrare in squid clamAV con il pacchetto "squidclamav". ho trovato anche un'altra lettura interessante: http://sathisharthars.wordpress.com/...ddansguardian/ Squid+clamAV+squidguard+dansguardian ho tuttavia un dubbio: se il traffico https è crittografato, come è possibile che squid lo controlli con un AV ? mi sto sbagliando? Aggiungo: sarebbe bene sandboxare squid? magari mettendo in sicurezza con un chroot jail? __________________ Trattative concluse con: vitale12345 - JamesDean - Piripikkio - alibibi - oclla - yaku - gionnizipsp - ciriccio - mxrco90 - gigarobot - uazzamerican Ultima modifica di evil_stefano : 31-10-2013 alle 13:49.

31-10-2013, 16:57	#11
evil_stefano Senior Member Iscritto dal: May 2003 Messaggi: 1057	sul browser ho già ff con: adblock betterprivacy noscript ghostery trackmenot e devo dire che configurati a dovere fanno il loro sporco lavoro.. adesso provo a costruire una VM e a installare tutto.. poi monitoro quante risorse hw usa (spannometricamente) e infine cerco di raffinare la selezione di SW. __________________ Trattative concluse con: vitale12345 - JamesDean - Piripikkio - alibibi - oclla - yaku - gionnizipsp - ciriccio - mxrco90 - gigarobot - uazzamerican

Strumenti
Mostra una versione stampabile Invia questa pagina per email