|
EXPERT ZONE - PORADY, RECEPTURY, ROZWIĄZANIA
  Wszystko co nie jest dozwolone jest zabronione! Każdy interfejs urządzenia jakoś się nazywa i nie jest to nigdy nazwa ANY! Każda podsieć ma jakąś adresację i nie jest to nigdy adres ANY! Bądź czujny! :) |
| ZAPEWNIENIE BEZPIECZNEJ KOMUNIKACJI DLA CZYNNOŚCI ADMINISTRACYJNYCH |
| UMOŻLIWIENIE KORZYSTANIA Z SERWISU GG DLA CZĘŚCI UŻYTKOWNIKÓW (wersja SerwiTECH) |
Firma NETASQ stosując dewizę maksymalnej ochrony w domyślnych ustawieniach urządzeń UTM, w ramach tej filozofii blokuje, w oparciu o mechanizm ASQ (IPS), większość protokołów nie standardowych. Wykrywany i blokowany jest również protokół wykorzystywany przez komunikator GG. W niektórych przypadkach zachodzi jednak potrzeba udostępnienia możliwości korzystania z tego komunikatora dla wybranych użytkowników. Poniżej opisujemy w jaki sposób utworzyć konfigurację realizującą to zadanie. Odniesiemy się do kilku sytuacji w zależności od sposobu identyfikacji użytkowników.
| DOSTĘP Z LAN DO PRZEKIEROWANEGO PORTU PO ADRESIE PUBLICZNYM |
 Często zachodzi potrzeba takiego skonfigurowania firewall-a aby dostęp do zasobów udostępnianych publicznie odbywał się w taki sam sposób również z sieci LAN (poprzez publiczny adres IP), np. tak aby użytkownik mobilny nie musiał korzystać z innych ustawień klienta programu pocztowego będąc zarówno w biurze jak i poza nim.
| KONFIGURACJA TUNELU SITE-TO-SITE POMIĘDZY CISCO a NETASQ UTM |
Z uwagi na fakt, że w NETASQ-u protokół IPSec oparty jest w 100% o implementację FreeBSD IPSec, nie ma problemu z budowaniem tuneli z innymi zgodnymi z RFC systemami. Przedstawiamy konfigurację tunelu łączącego dwie lokalizacje, gdzie z jednej strony występuje NETASQ UTM a z drugiej router CISCO z funkcjonalnością IPSec.
| ZABEZPIECZENIE KONFIGURACJI NETASQ-a PRZY UŻYCIU KLUCZA USB |
Urządzenia NETASQ posiadają możliwość zaszyfrowania plików konfiguracyjnych i umieszczenia klucza szyfrującego na pamięci flash podłączonej do portu USB. W takiej konfiguracji każdorazowo przy starcie urządzenia pamięć usb z kluczem musi być podłączona do portu USB. Po restarcie można ją odłączyć. Funkcjonalność ta zabezpiecza m.in. przed nie autoryzowanym restartem urządzenia.
| JAK SKONFIGUROWAĆ AUTORYZACJĘ DO VPN POPRZEZ eTOKEN |
| AUTORYZACJA UŻYTKOWNIKA NA NETASQ UTM POPRZEZ INTERFEJS ZEWNĘTRZNY (step-by-step) |
| KONFIGURACJA SSL VPN w NETASQ-u |
Przykład realizacji tunelu SSL VPN. Opisujemy w jaki sposób zapewnić użytkownikom zewnętrznym bezpieczny dostęp do lokalnych zasobów WWW z poziomu przeglądarki internetowej.
Przykład realizacji tunelu SSL VPN. Opisujemy w jaki sposób zapewnić użytkownikom zewnętrznym bezpieczny dostęp do usługi RDP (zdalny pulpit) z poziomu przeglądarki internetowej.
| KONFIGURACJA SLOT SCHEDULERA - HARMONOGRAMU SLOTÓW |
Oprócz typowego zastosowania slot scheduler może pełnić pomocną rolę przy zdalnym administrowaniu NETASQ-kiem. Niektóre zmiany konfiguracji w ramach firewall-a, nat-a czy vpn-a mogą doprowadzić do zerwania zdalnego połączenia z urządzeniem i koniecznością naprawy konfiguracji np. z poziomu konsoli. Możemy uchronić się przed taką sytuacją poprzez zadanie działania zmodyfikowanej konfiguracji tylko na krótki czas (np. 10 min) a następnie powrót do slotu z konfiguracją dotychczasową. Poniżej prezentujemy sposób konfiguracji funkcjonalności Slot scheduler.
| KOMPLETNE ROZWIĄZANIE ANTYSPAMOWE WRAZ Z PEŁNĄ ARCHIWIZACJĄ POCZTY W OPARCIU O MPP I NETASQ UTM |
Urządzenia UTM (niezależnie od producenta) choć mają funkcjonalność antyspamową nie mają funkcjonalności kwarantanny dla przesyłek sklasyfikowanych jako SPAM. Jest to duża niedogodność dla administratora bo przecież klasyfikacja antyspamowa nie jest wiarygodna w 100% i zdarza się że klasyfikowane są jako SPAM przesyłki pożądane dla danej organizacji. Pokazujemy jak poradzić sobie z tym problemem.
| PEŁNA INTEGRACJA NETASQ UTM z ACTIVE DIRECTORY |
Urządzenia NETASQ UTM posiadają możliwość założenia wewnętrznej bazy użytkowników LDAP. Istnieje również możliwość dokonania integracji z zewnętrznymi usługami katalogowymi np. Acitive Directory. Prezentujemy w jaki sposób dokonać pełnej integracji urządzenia NETASQ UTM z Active Directory na serwerze Windows 2003 Server SP2.
Opis przeznaczony jest dla zaawansowanych administratorów NETASQ.
| KONFIGURACJA MECHANIZMU SPNEGO W URZĄDZENIU NETASQ UTM |
 Urządzenia NETASQ UTM posiadają możliwość wykorzystania mechanizmu SPNEGO. Mechanizm ten pozwala na "automatyczne" logowanie do urządzenia NETASQ UTM przez użytkownika zalogowanego wcześniej do sieci Microsoft Networks w ramach autentykacji opartej o Active Directory. Prezentowany przykład jest dość skomplikowany w realizacji i wymaga wcześniejszego skonfigurowania kilku elementów. Scenariusz zakłada, że wybrany użytkownik ma mieć możliwość, korzystając z sieci lokalnej, przeglądania serwisu w domenie goldenline.pl, pozostali użytkownicy nie mogą przeglądać tego serwisu. Jednocześnie użytkownik loguje się tylko raz tj. loguje się tylko do hosta:
 .....
Opis przeznaczony jest dla zaawansowanych administratorów NETASQ.
| 
