60Mbit çıkış, 1200 kullanıcı ve Url filtering amaçlı kullanım hakkında



  • Merhaba herkese,

    Uzun zamandır Url filtering olarak Websense kullanan bir firmada işe başladım fakat bir kaç ay içerisinde sözleşmeyi fesh edilip farklı bir ürüne yönelme isteği var ciddi olarak.Daha önce çok profesyonel olmasada kurup yönettiğim ağlarda pfSense url filtering kullanmıştım.Merak ettiğim, şirketin ana internet çıkışı için pfSense kullanarakyada 2 taneyle load balancing yaptırılarak 60Mbit civarı internet erişiminde Url filteringi yapabilirmiyiz ?
    Websense te Active directory entegrasyonu oldugundan kullanıcı seçip eklemek ve yetki vermek çok pratik.Ayrıca kategori bazlı yasaklamalar gibi esneklikler var.PfSense için Url filtering işlemleri bu denli detaylı değil ama yinede bu konuda fikirlerinize acil ihtiyaç duyuyorum.Çok detaylı filtering şu aşamada gerekli değil açıkcası.Yani download ı kısabileyim, sosyal medya, oyun siteleri, keyword filtreleme gibi işleri genel olarak bu hızdaki hatta 1200 kullanıcı seviyesinde yapabileyim yeterlidir.

    Daha önce deneyim etmiş arkadaşlar varsa bilgilerini rica ederim

    Saygılar



  • Url filtrelemede söyle bir sıkıntı var "http://www.facebook.com" sistesini yasaklayabilirsiniz ancak "https://www.facebook.com" sitesini yasaklayamazsınız. "Https" protokolu "443" portu üzerinde çalışmakta yani port engellemesi yapabilirsiniz ancak bu seferde bankaların https protokolu ile çalışan şubelerine giremezsiniz. Şu anda en büyük sorun bu.



  • filtering konusunda pfsense nin bütün sorunlarına çözüm olacağına inanıyorum. başlangıç için biraz ayar falan yaparken sıkıntı yaşayabilirsin ama genel olarak sorunsuz çalışır. bahsettiğiniz kategorilerin hemen hemen hepsi filtrelenebiliyor. yalnız kullanacak olduğunuz blacklist shallalist.de den alacağınız bir blacklist olursa türkçe siteler için biraz sıkıntılı bir durum çünkü birçok türk web sitesini listesinde bulundurmuyor. Bununla alakalı bir projemiz var http://forum.pfsense.org/index.php/topic,47945.0.html adresinde bu konudan bahsediyoruz gelişen bir altyapı mevcut sizinde desteklerinizle daha güzel olacak. Blasterreal arkadaşın dediği gibi https üzerinden çalışan sitelerde filtre engeline takılmama durumu söz konusu bunlarıda o sitelerin iplerini bloklayarak veya dns forwarder yardımıyla başka sitelere yönlendirebilirsin. dediğim gibi olmayacak bir iş değil



  • @Blasterreal:

    Url filtrelemede söyle bir sıkıntı var "http://www.facebook.com" sistesini yasaklayabilirsiniz ancak "https://www.facebook.com" sitesini yasaklayamazsınız. "Https" protokolu "443" portu üzerinde çalışmakta yani port engellemesi yapabilirsiniz ancak bu seferde bankaların https protokolu ile çalışan şubelerine giremezsiniz. Şu anda en büyük sorun bu.

    Pfsense her türlü ihtiyacı rahatlıkla karşıyor.

    http://forum.pfsense.org/index.php/topic,31483.0.html adresinde daha önce paylaşılmış bir döküman var bunun nasıl yapacağıyla ilgili. Sadece facebook'a ait iplere 443 nolu porttan çıkışı engelleyebilirsiniz.

    Aşağıda yazdıklarım yukardaki belirttiğim adresteki dökümandan alıntıdır . Facebook'a ait tespit ettiğim ipleri text olarak ekledim ancak yeterli olmadığını düşünüyorum daha iyi bir listeye sahip arkadaş varsa lütfen paylaşsın.

    Facebook'a https://.. üzerinden Erişimi Engelleme Buraya kadar yapageldiğimiz tüm ayarlar http protokolü (80 nolu PORT) üzerinden yapılan istekleri bloke etmek içindi. Oysa her yerel ağda olması muhtemel uyanık kullanıcılarımız bu şekilde erişemediği facebook'a http://…'nin hemen yanına s ekleyerek erişebiliyorlar. Dikkat ederseniz https://... şeklinde yapılan istekler sorunsuz çalıştırılmakta. Çünkü "Secure Hypertext Transfer Protocol" demek olan https:// sayesinde sunumcu ve istemci arasında kurulan bağlantıda veriler şifrelenir. Bunun için yüksek güvenlik isteyen bankacılık siteleri gibi siteler erişim için bu protokolü kullanır. Ancak sadece bankacılık siteleri değil bu güvenlik seçeneğini sunan sitelere de bu şekilde erişmek mümkün. Hal böyle olunca facebook'un https://... erişimini de engelleyebilmek için birkaç ayar daha yapmamız gerekecek. Şöyle ki: Eğer https:// çıkış portu olan 443 portunu tamamen bloke etsek bu kez bankacılık siteleri de devre dışı kalacak, o sitelere de bağlanılamayacak. O zaman öyle bir ayar yapmalıyız ki hem bankacılık sitesi işlemlerimiz engellenmesin hem de facebook'a blok koysun.

    Bu işlem için öncelikle bir Alias tanımlamamız gerekecek. Firewall menüsünde yer alan Alias komutunu çalıştıralım.

    Bu pencere üzerinde yer alan + simgesine tıklayarak bir sonraki adıma geçelim. Bu adımda facebook'un kullandığı ve bizim tespit ettiğimiz ne kadar
    IP adresi varsa bunları aşağıdaki resimde de göründüğü gibi yazarak Save yapalım.

    Bir sonraki adımda tanımlamış olduğumuz bu Alias'ı yine Firewall menüsü altmda yer alan Rules komutunu kullanarak tanımlayalım. Rules penceresi
    açıldıktan sonra LAN sekmesine tıklayalım. Burada + simgesine tıklayarak yukarıda tanımladığımız Alias'e https://'yi (443 portunu) kapatalım.

    Destination alanının Type: kısmı "Single host or alias', Address kısmına Alias kısmında oluşturduğumuz kuralın adını (örneğimizde Facebook)
    Destination port range: kısmı ise "HTTPS" olmalı.
    Bu işlemlerden sonra Firewall / Rules altındaki LAN sekmesinin görünümü aşağıdaki gibi olacaktır.

    Bundan sonra facebook'a https:// protokolü kullanılarak girilmek istendiğinde girilemeyecek, ekranda aşağıdaki gibi bir sonuç görünecektir.



  • @Sysinternal:

    Merhaba herkese,

    Uzun zamandır Url filtering olarak Websense kullanan bir firmada işe başladım fakat bir kaç ay içerisinde sözleşmeyi fesh edilip farklı bir ürüne yönelme isteği var ciddi olarak.Daha önce çok profesyonel olmasada kurup yönettiğim ağlarda pfSense url filtering kullanmıştım.Merak ettiğim, şirketin ana internet çıkışı için pfSense kullanarakyada 2 taneyle load balancing yaptırılarak 60Mbit civarı internet erişiminde Url filteringi yapabilirmiyiz ?
    Websense te Active directory entegrasyonu oldugundan kullanıcı seçip eklemek ve yetki vermek çok pratik.Ayrıca kategori bazlı yasaklamalar gibi esneklikler var.PfSense için Url filtering işlemleri bu denli detaylı değil ama yinede bu konuda fikirlerinize acil ihtiyaç duyuyorum.Çok detaylı filtering şu aşamada gerekli değil açıkcası.Yani download ı kısabileyim, sosyal medya, oyun siteleri, keyword filtreleme gibi işleri genel olarak bu hızdaki hatta 1200 kullanıcı seviyesinde yapabileyim yeterlidir.

    Daha önce deneyim etmiş arkadaşlar varsa bilgilerini rica ederim

    Saygılar

    Öncelikle merhabalar,
    1200 kişilik bir network üzerinde pfsense yapılandırmasında, sistem admin'i kendine şunu sormalı,

    • internet an itibari ile kesilip, çözüm üretemediğim takdirde kullanıcıların zararı ne olacak ?
    • kurumsal bir yapıda ise 1200 kişi, kurumsal uygulamalar ile web tarafında sorgulama yapıyor ve kesinti oluşur ise ne olur ?
    • Bugün kuruma sistem admin'i kar ettirdiğini düşünürken, yöneticilerden herhangi bir ses çıkmamakla birlikte, en ufak sorunda top admin'de olacaktır.

    İsim vermemek koşulu ile tr tarafında şuanda 2000 kullanıcısı olan bir üniversite firewall olarak sadece pf tercih etmekte.
    Utm dediğimiz, içerik filtreleme tarafına geçtiğimizde, pfsense geliştirici grubu birebir bu paketleri destekleyip yazmıyorlar. Gönüllüklük esasısına dayandığından dolayı kimsede şu sorunumu hemen çöz diyemiyor.

    Firewall olarak donanımsal olarak destekleyip, doğru network yapılandırması ile kesinlikle doğru çözüm.
    Ancak içerik filtreleme için bağlantı hızı ve kullanıcı sayısı arttıkça sorununuz çogalacaktır.

    ek bir yön olarak, eğer  freebsd sistemlere hakim iseniz, paylaşımlı kodlar ile kendi çözümünüzü üretebilirsiniz.
    TR tarafında bildiğim kadarı ile 'Coslat' pf ile çözümler üretmekte. isterseniz göreşebilirsiniz.

    Nacizane kendi fikirlerimi açıklamaya çalıştım. Portal üzerindeki diğer arkadaşlarında farklı tecrübe ve yorumları olacaktır.
    Keyifli çalışmalar



  • 60Mbit, firewall ve routing için pfsense'in çok rahatlıkla kullanılabileceği bir hız.
    Filtreleme tarafında ise yazdıklarınızın hemen hepsini hayata geçirmek mümkün.
    Websense'i derinlemesine bilmediğim için karşılaştırma yapamayacağım ama muhtemelen arayüzü ve konfigüre edilmesi pfsense'e göre biraz daha pratik olabilir.
    Velhasıl vakit ayırırsanız böyle bir sistemi rahatlıkla kurarsınız, bir kere kurduktan sonra ayakta tutmakta çok zahmetli ve maliyetli değil.

    Ben sizin yerinizde olsam, bir kenarda tüm bu istediklerinizi gerçekleştirecek şekilde sistemi kurar ve test ederim.
    Problem yoksa yavaş yavaş devreye alırım.
    1200 kullanıcının trafiğini route ve filtrelemek için orta düzey donanımlı, stabil bir makine yetecektir.



  • @optimum:

    @Blasterreal:

    Url filtrelemede söyle bir sıkıntı var "http://www.facebook.com" sistesini yasaklayabilirsiniz ancak "https://www.facebook.com" sitesini yasaklayamazsınız. "Https" protokolu "443" portu üzerinde çalışmakta yani port engellemesi yapabilirsiniz ancak bu seferde bankaların https protokolu ile çalışan şubelerine giremezsiniz. Şu anda en büyük sorun bu.

    Pfsense her türlü ihtiyacı rahatlıkla karşıyor.

    http://forum.pfsense.org/index.php/topic,31483.0.html adresinde daha önce paylaşılmış bir döküman var bunun nasıl yapacağıyla ilgili. Sadece facebook'a ait iplere 443 nolu porttan çıkışı engelleyebilirsiniz.

    Aşağıda yazdıklarım yukardaki belirttiğim adresteki dökümandan alıntıdır . Facebook'a ait tespit ettiğim ipleri text olarak ekledim ancak yeterli olmadığını düşünüyorum daha iyi bir listeye sahip arkadaş varsa lütfen paylaşsın.

    Facebook'a https://.. üzerinden Erişimi Engelleme Buraya kadar yapageldiğimiz tüm ayarlar http protokolü (80 nolu PORT) üzerinden yapılan istekleri bloke etmek içindi. Oysa her yerel ağda olması muhtemel uyanık kullanıcılarımız bu şekilde erişemediği facebook'a http://…'nin hemen yanına s ekleyerek erişebiliyorlar. Dikkat ederseniz https://... şeklinde yapılan istekler sorunsuz çalıştırılmakta. Çünkü "Secure Hypertext Transfer Protocol" demek olan https:// sayesinde sunumcu ve istemci arasında kurulan bağlantıda veriler şifrelenir. Bunun için yüksek güvenlik isteyen bankacılık siteleri gibi siteler erişim için bu protokolü kullanır. Ancak sadece bankacılık siteleri değil bu güvenlik seçeneğini sunan sitelere de bu şekilde erişmek mümkün. Hal böyle olunca facebook'un https://... erişimini de engelleyebilmek için birkaç ayar daha yapmamız gerekecek. Şöyle ki: Eğer https:// çıkış portu olan 443 portunu tamamen bloke etsek bu kez bankacılık siteleri de devre dışı kalacak, o sitelere de bağlanılamayacak. O zaman öyle bir ayar yapmalıyız ki hem bankacılık sitesi işlemlerimiz engellenmesin hem de facebook'a blok koysun.

    Bu işlem için öncelikle bir Alias tanımlamamız gerekecek. Firewall menüsünde yer alan Alias komutunu çalıştıralım.

    Bu pencere üzerinde yer alan + simgesine tıklayarak bir sonraki adıma geçelim. Bu adımda facebook'un kullandığı ve bizim tespit ettiğimiz ne kadar
    IP adresi varsa bunları aşağıdaki resimde de göründüğü gibi yazarak Save yapalım.

    Bir sonraki adımda tanımlamış olduğumuz bu Alias'ı yine Firewall menüsü altmda yer alan Rules komutunu kullanarak tanımlayalım. Rules penceresi
    açıldıktan sonra LAN sekmesine tıklayalım. Burada + simgesine tıklayarak yukarıda tanımladığımız Alias'e https://'yi (443 portunu) kapatalım.

    Destination alanının Type: kısmı "Single host or alias', Address kısmına Alias kısmında oluşturduğumuz kuralın adını (örneğimizde Facebook)
    Destination port range: kısmı ise "HTTPS" olmalı.
    Bu işlemlerden sonra Firewall / Rules altındaki LAN sekmesinin görünümü aşağıdaki gibi olacaktır.

    Bundan sonra facebook'a https:// protokolü kullanılarak girilmek istendiğinde girilemeyecek, ekranda aşağıdaki gibi bir sonuç görünecektir.

    http://forum.pfsense.org/index.php/topic,41995.msg216969.html#msg216969 https ile izin verilmesi gereken url listesi.. bu aliaslar haricinde tamamen https yani 443 portunu kapatabilirsiniz.



  • Öncelikle cevaplarınız için teşekkür ederim.

    Bir yıl kadar önce pfsense url filtering tarafını kısa süre kullanmıştım ve sonuçlarını görmüştüm.Ama ne test çok derinlemesineydi ne de gerçek ortamdaki yogunluk vardı.Websense ile ilgilide gün içerisinde o kadar sorun yaşanıyorki, bu sistemi kullananlar bilirler.Neredeyse bir kişiyi bu işlere ayırma derecesine bile gelebiliyor bazen.

    Öncelikle ilk aklıma gelenler şu şekilde ;

    Kurulumu wm üzerinde yapmayı planlıyorum ve son iyi çalışan ayarların snapshotını alıp olası senaryolara karşı hızlı dönüş için tutmak istiyorum.
    Kural hatası yada sistemsel bir problem olma durumunda en hızlı dönüş için bu var aklımda.yinede fikirlerinize açığım
    ikinci olarak sistemin çalışmaması durumunda ki websensete yaşıyoruz bunu çok sık.lisans aşımı yada yazılımsal sıkıntılar yüzünden arada çıkışlar açık kalabiliyor.malesefki filtreleme yapılamıyor (kullanıcıların bayram ettiği anlar), böyle durumlarda aynı confige sahip ikinci makinayı ayağa kaldırabilirim ki süreç devam etsin.
    AD entegrasyonu tam nasıl çalışıyor bu konuda pek fikir sahibi değilim.Kullanıcıları security gruplara alıp remote accessten allow verme işlemleri ne derece sağlıklı bunlarıda bilmiyorum test etmem gerek.Görebildiğim yöntem bu.Daha iyi bir öneriniz varsa bunuda rica ederim.Çünkü IP bazlı yapmam olanaksız, radius gerek sisteme.

    bu hafta test için kurulum yapıp denemelere başlayacağım.Zaten fw olarak iyi cihazlarımız var.Sadece Url filtreleme kısmını pfsense üzerine bırakacağım.Eğer tecrübelerinize dayanarak gerekli derseniz load balancing yaptırıp bu tragiği ikiyede bölebilirim.

    tekrar cevaplar için teşekkür ederim



  • Merhabalar,

    Öncelikle URL filter yapmak istiyorsanız Websensele PFsensi karşılaştırmanız biraz absürt olacaktır. Nedeniyse PFsense tarafında kullanacağınız blacklist 2-3 Milyon kayıt barındırırken Websensete bu rakam 50 milyon ve artmaktadır. Çünkü Websense üzerinden geçirdiği trafiğin %90 ını kategorize etmiş durumdadır. Uncategorize websiteleri anında izlenip uygun kategorilere yerleştirilir. Bu yüzden adamlar webfiltering işinde en iyiyiz diyebiliyorlar. Websense rakip birkaç firma vardı şimdi aklıma gelmedi biraz araştırısanız ulaşırsınız.
    Burada önemli olan sizin işiniz için hangisinin önemli olduğunu analiz etmeniz. Toplamda Pfsense ile Websense farklı kulvardaki ürünler. Elmalar ile elmaları karşılaştırmak lazım.
    Saygılar.


Log in to reply