Auteur | Bericht |
---|---|
|
Zijn er besturen die ervaring hebben met Untangle (http://www.untangle.com)? Ik ben dat hier eens aan het testen en het ziet er mij interessant en eenvoudig uit om in onze bib bvb. tussen onze internetpc's en de router te hangen. Of een goedkope oplossing om het administratief netwerk van het publieke te scheiden.
|
|
|
|
Valentijn,
Toeval wil dat ik recent de documentatie op hun site grondig doorgenomen heb. En inderdaad: het ziet er veelbelovend uit. Echt experimenteren ermee heb ik nog niet gedaan, maar dit komt zeker nog. Ik ben dus zeker geïnteresseerd in jullie ervaringen. Misschien toch enkele minpunten (voorlopig, en voor zover het wel nadelen zijn): laat enkel 1 WAN-aansluiting toe + Untangle-partner in België (lees: ondersteuning in case of)? |
|
|
|
Untangle draait intussen enkele weken in ons bestuur. De Untangle-machine zit tussen onze firewall en het interne netwerk en doet dienst als 'extra' beveiligingslaag. Mijn bevindingen:
* Je kan diverse modules doen draaien naargelang wat je nodig hebt. Bij ons draait bvb. de webfilter, anti-spam, anti-virus, protocolfilter enzoverder. Firewalling wordt door de firewall gedaan, niet door Untangle (maar het kan wel, instellingsmogelijkheden zijn echter beperkt). Untangle draait als een 'transparent bridge' waardoor er geen netwerkinstellingen gewijzigd moeten worden maar kan ook als router dienstdoen. * Enkel een Untangle-server is onvoldoende als beveiliging van het netwerk. Zeker in de -vaak complexe- netwerken van openbare besturen heeft Untangle te weinig mogelijkheden naar routering, firewalling, policies en zo verder. Je plaatst Untangle dus beter tussen je firewall en het netwerk of op buitendiensten. * Anti-spam doet zijn werk vrij goed. Je kan berichten in de quarantaine steken, Untangle stuurt dagelijks een mail naar de gebruikers met een link naar hun quarantaine als die iets bevat, ze kunnen zelf selecteren wat ze alsnog willen krijgen én een persoonlijke whitelist aanleggen. * Webfiltering doet goed zijn werk maar is vaak te streng. Zo zitten zo ongeveer alle users.pandora.be-adressen in de pornofilter, alsook de website van bvb. Schoten. Vraag mij niet hoe die daar terecht in komen, maar zeker in het begin ga je een serieuze whitelist mogen aanleggen. * Phish blocker doet zijn werk zeer goed en blokkeert zelfs een hele reeks banners, scheelt weer op bandbreedte. * Er kunnen dagelijks, wekelijks en maandelijks rapporten gemaakt worden, die zijn vrij uitgebreid tot op IP-adres niveau. Gefilterde rapporten zijn echter niet mogelijk, het is of alles of niets. * Je kan ook koppelen aan active directory en policys aanmaken (bvb. bepaalde sites filteren voor de ene gebruiker en voor de andere niet) maar die dingen zijn betalende modules. * Je kan bepaalde adressen, protocollen en zo verder bypassen maar ook hier is het opnieuw volledig bypassen of volledig laten scannen, je kan dus niet zeggen 'IP-adres X geen webfilter maar wel anti-virus', kan mogelijk wel als je de policy manager aankoopt. Binnenkort schakelen we een Untangle-machine in als filter tussen ons netwerk en de bibcatalogussen. Hierop draait enkel de firewall-module die alles blokkeert behalve het toegelaten webverkeer (dus de bibcatalogussen en mediargus en zo). Conclusie: OK product als extra beveiligingslaag, niet als enige beveiligingslaag. Instellingen zijn alles of niets voor iedereen, anders moet je modules gaan aankopen. Untangle is vooral aan te raden als goedkope oplossing voor minder complexe installaties (buitendiensten, publiek netwerk scheiden van gemeentenetwerk, ...). Het grote voordeel is dat je een hoop open-source software op één makkelijk te bedienen platform hebt. |
|
|
Even een praktische vraag:
op welke manier heb je je untangle server geconfigureerd? In welke ip-range moet je ip-adres van de untangle server liggen? Ik heb een domaincontroller die ook als DHCP server fungeert. Deze is via de switch gekoppeld aan een firewall dewelk een adres heeft in de range van het intern netwerk (10.0.0.x) en ééntje in de range van het externe netwerk (192.168.0.x). Ik zou denken in de interne range, maar blijkbaar kunnen de clients dan niet meer surfen op het internet. Of moet deze geplaatst worden tussen de router en de firewall, maar dan zie ik geen interne ip-adressen meer om te zien wie probeert te surfen naar geblokkeerde sites. |
|
|
|
|
Untangleserver staat in bridge-mode en heeft een intern IP-adres. Untangle staat tussen de firewall en het interne netwerk, op dat interne netwerk zit de domeincontroller/dhcp-server. Op die manier is de Untangleserver intern te bereiken en zie je bvb. op firewallniveau of andere filters nog de IP-adressen van de interne machines in de rapportering.
|
|
|
Ik heb het aan de praat gekregen.
Untangle monitort voorlopig het http verkeer. Maar vanuit het interne netwerk kan ik deze echter niet bereiken. Pingen ernaar lukt wel. Enig idee wat hiervan de oorzaak kan zijn? |
|
|
|
|
Check eens via tabblad Config > Administration of uw instellingen daar wel correct staan (al geprobeerd via https ?).
Als het wel werkt wanneer enable external administartion aangevinkt staat heb je misschien interne en externe netwerkaansluiting omgewisseld. |
|
|
bedankt. Het werkt
Eens kijken welke sites de bandbreedte zoal kunnen opslorpen ;-) |
|
|
|
De webfilter werkt, maar wat hij niet correct weergeeft is de block-page.
Hij toont een tekstversie van de webpagina, hetgeen niet zo moo overkomt. Ik weet dat bij een vorige testcase hij deze pagina wel weergaf in een mooie layout (met untangle logo, verbodsteken, ...) Ik heb getracht te zoeken naar een locatie van de layout van deze pagina via de terminal console, maar heb dit toch niet direct kunnen vinden. Enig idee hoe ik de block-page in een correcte weergave kan krijgen? |
|
|
|
|
Normaal zou hij idd de "mooie versie" moeten geven, al geeft de adblocker hier in uitzonderlijke gevallen ook alleen wat tekst. Waar die pagina's zitten zou ik echter niet weten, ze hebben zelf een add-on waarbij je de layout van die pagina's kan aanpassen maar die is betalend dus ik veronderstel dat het ergens diep in het systeem weg zit.
|
|
|
Het is inderdaad opgelost.
Het is effectief de interfaces verwisselen in Untangle. De kabeltjes verwisselen heeft mij niet geholpen. Maar nu krijg ik toch al een betere weergave. Alweer bedankt. |
|
|
|
|
Ter info: Met de nieuwe versie 7 hadden wij hier problemen met inkomende mail. Untangle brak de SMTP-sessie telkens af op het EHLO-commando. Na een beetje zoekwerk bleek het probleem aan de protocolfilter te liggen, daar moet de blokkering van Xunlei en KuGoo (P2P software) uitgeschakeld worden. Blijkbaar is die filter veel te strikt, dat ding blokkeerde vanalles zonder reden.
|
|