Fra i prodotti di protezione per ISA Server, GFI WebMonitor ha sempre ricoperto e ricopre un ruolo di primo piano, sia per la sua forte integrazione che per potenzialità, funzionalità e semplicità d’uso. Il prodotto può essere installato sia sulla versione Standard che Enteprise di ISA Server ed è disponibile in lingua italiana.
Nota: se il vostro Array include più di un nodo ed avete attivato il CARP è necessario fare un piccolo aggiustamento, così come indicato nell’articolo How to configure GFI WebMonitor in a Microsoft ISA Array CARP environment.
GFI WebMonitor si è aggiuditato per il 2009 il premio di prodotto più votato dalla Community di ISAserver.it nella categoria Content-Security.
Le versioni disponibili
GFIWebmonitor 2009 è disponibile per ISA Server 2004/2006 in tre edizioni:
- WebFilter Edition - Filtraggio URL, Categorizzazione Siti, Black/White List
- WebSecurity Edition - Analisi Antivirus, Anti-Phishing, Anti-Spyware e Controllo Download
- Unified Protection Edition - Include le funzionalità presenti nella WebFilter e WebSecurity Edition
La versione provata è la Unified Protection in lingua inglese.
Requisiti di Sistema
La documentazione ufficiale riporta i seguenti requisiti minimi:
WebFilter Edition | WebSecurity Edition | UnifiedProtection Edition |
CPU 1.8 GHz | CPU: 1.8 GHz | CPU: 1.8 GHz |
RAM: 1 GB | RAM: 1 GB | RAM: 2 GB |
HD: 2 GB di spazio libero | HD: 10 GB di spazio libero | HD: 12 GB di spazio libero |
| | |
Adottando la soluzione UnifiedProtection vediamo che quest’ultima richiede almeno 2GB di RAM. Quindi se abbiamo dimensionato il nostro ISA Server 2006 con 2GB di RAM e vogliamo installarci sopra GFI WebMonitor dobbiamo prevedere un upgrade di memoria di almeno altri 2GB e portarlo a 4GB. Se necessario installiamo una maggior quantità di RAM.
Licensing
Il modello di licenza è diverso da quello di ISA Server; mentre ISA adotta un modello per CPU (socket), GFI WebMonitor utilizza un modello di licensing per client (o seat) rinnovabile di anno in anno. Il costo della singola licenza (abbonamento) si riduce al crescere del numero di licenze acquistate.
Per sapere come GFI WebMonitor conteggia gli utenti ai fini del licensing potete far riferimento al seguente articolo della Knowlegde base - How does GFI WebMonitor count users?
Integrazione con ISA Server
GFI WebMonitor si poggia interamente sul filtro Web Proxy di ISA Server, al termine dell’installazione possiamo vedere il nuovo GFI WebMonitor filter fra quelli normalmente presenti in ISA Server Management Console nella sezione Configuration | Add-ins | Web Filters.
Terminata l’installazione non è richiesto alcun tipo di attivazione del prodotto, il filtro GFI è immediatamente attivo e, aspetto importante, trasparente sia per l’utente che per l’amministratore ISA Server.
Non è richiesta nessuna modifica nella normale attività amministrativa di ISA Server quando è installato GFI WebMonitor. L'integrazione con ISA Server fa si che tutte le volte l'amministratore crea una Access Rule che include il protocollo HTTP, entri in gioco il sistema di protezione di GFI WebMonitor. Il filtro GFI entra in azione prima del filtro HTTP (HTTP Filter) di ISA Server; non è quindi consigliabile operare su entrambi i filtri. Una volta installato GFI WebMonitor l''attività di protezione/configurazione del traffico HTTP andrà fatta da li e non piu' dalla Management Consolle di ISA Server. Questo non vuol dire che non è più possibile ma solo che Il risultato sarebbe solo quello di penalizzare inutilmente le performance di ISA Server.
Default Post Installazione
WebFilter Edition
É attiva la Web Filtering Policy che consente l’accesso a qualunque tipo di oggetto/sito web. Non è attivo nessun blocco.
WebSecurity Edition
Virus Scanning Policy
Sono attivi i motori antivirus, BITDefender e Norman, ed il flitro Antiphising. Il motore antivirus Kaspersky è licenziato a parte. Durante il processo di download di file è presentata all’utente una finestra che lo informa che il file richiesto è sottoposto a scansione.
Se il file contiene un Virus è automaticamente eliminato (default). Questo comportamento è modificabile mediante la Virus Scanning Policy. I file che di default sono sottoposti a scansione sono: Eseguibili (EXE), Installazione(MSI), Office (Word, Excel, Powerpoint ecc.), Compressione (ZIP, RAR ecc.) ed altri ancora. L’elenco è modificale ed aggiornabile.
Per ogni tipo di file è possibile definire il comportamento che deve avere GFI WebMonitor (Block and Delete/Block and Quarantine/Warm and Allow):
Donwload Control Policy
É possibile controllare quali tipi di file gli utenti possono scaricare. I formati file sono identitificati come MIME Type. É inoltre possibile definire una azione che GFI WebMonitor deve intrapendere nel momento in cui l’utente richiede il download, queste sono: Allow, Block and Quarantine, Block and Delete.
Il comportamento di default è Allow. Quindi non è attivo nessun blocco.
Instant Messaging Control Policy
É abilitare/bloccare l’utilizzo di MSN/Live Messenger; il solo controllabile da questa policy.
Tutte le Policy di controllo/protezione hanno in comune la possibilità di essere applicate su base utente/gruppo/IP, così come attivare un sistema di notifica via posta elettronica di eventuali violazioni.
Consolle Amministrativa
La gestione e configurazione di GFI WebMonitor avviene mediante browser (Internet Explorer); non utilizza un client dedicato. Questo permette l’amministrazione di GFI WebMonitor anche da remoto – previa esplicita autorizzazione dell’utente o IP-.
La consolle è molto semplice ed intuitiva; nella parte sinistra sono organizzate, in maniera gerarchica, le varie sezioni di configurazione e controllo:
Mediante un semplice ed intuitivo cruscotto (Dashboard) è possibile tenere sotto controllo tutto il traffico HTTP con una chiara visione d’insieme.
Nella sezione Monitoring è possibile avere visibilità dei siti più consultati, utenti più attivi, consumo di banda/sito, tempo/sito ecc.
Non è presente una funzione di salvataggio e/o stampa dei report. E’ necessario utilizzare il Report Pack.
Nota: Se abbiamo SQL Server con i Reporting Services è possibile configurare GFI Web Monitor affinché vi trasferisca i dati raccolti. Poi, mediante il Report Pack (Gratuito) è possibile generare dei report stampabili. GFI WebMonitor raccoglie i dati di 365gg (default), modificabile nella sezione Configuration | General Settings.
Nella sezione White List/Black List è possibile definire le eccezioni alle regole di blocco definite nella Web Filtering Policy su GFI Web Monitor. Le White List posso anche essere temporanee (il default è di 52ore), modificabile nella sezione Configuration | General Settings. Le White List rappresentano delle eccezioni e come tali vanno usate.
WebFiltering Policy
Il processo di controllo avviene mediante la definizione di regole – WebFiltering Policy – . Queste sono create all’interno dell’ambiente di amministrazione di GFI WebMonitor. Questo ha il vantaggio di far concentrare l’amministratore su ciò che vuole permettere/non permettere ai propri utenti con uno strumento distinto da quello di amministrazione del firewall. Funzionalità importante è la possibilità di creare WebPolicy su base IP, Utente, Gruppo; particolamente utile quando ISA è membro del dominio consentendo così anche la creazione di Policy basate sui gruppi di Active Directory. Al termine dell’installazione è presente una WebFiltering Policy che consente tutto il traffico – nessun blocco -. Per bloccare l’accesso ad una categoria di siti ci basta creare una nuova WebFiltering Policy, decidere quale categoria bloccare, chi dovrà essere bloccato e quando. In alcune categorie possono essere presenti dei siti web a cui vogliamo aver accesso; in questo caso è possibile inserire nella nostra WebFiltering Policy delle eccezioni. Una volta salvata la nostra WebFiltering Policy la protezione è subito attiva!!
Nel momento in cui un utente tenterà di accedere ad un sito web bloccato, il proprio browser visualizzerà un messaggio di avviso.
Come opera la GFI WebMonitor quando elabora una richiesta HTTP? Un diagramma è sicuramente più chiaro di tante parole, di seguito un chiaro schema esplicativo estratto direttamente dal sito GFI:
É possibile attivare anche un processo di notifica via posta elettronica all’amministratore di GFI WebMonitor per essere costantemente aggiornato in caso di violazione delle Policy di navigazione.
Tutto questo è efficace se e solo se le categorie sono aggiornate continuamente e costantemente. Il database locale si sincronizza ogni 9 ore con quello di GFI Software. Possiamo tranquillamente ridurre questa finestra temporale.
WebGrade Database
Questa è la principale novità della 2009. Un database sottoposto continuamente e costantemente ad aggiornamento e revisione dove sono censiti i le URL di siti web presenti su Internet ed organizzati per categoria. É possibile interrogare il WebGrade database per verificare l’esistenza di un sito web; se non è presente lo possiamo segnalare direttamente a GFI mediante una semplice interfaccia web. Cosa succede se un utente accede ad un sito web non presente nella copia locale del WebGrade Database? GFI WebMonitor interroga il database principale GFI, se anche li non è presente allora è applicata la WebFiltering policy di default – consenti -. In caso di “dubbio” il traffico non è bloccato.
Possiamo comunque segnalare la URL a GFI, oppure proporre correzioni sull’assegnazione di categoria per delle URL. Una volta segnalato, nell’arco di poco tempo il sito web è sottoposto a revisione e, se supera i test di verifica, automaticamente inserito nel WebGrade e distribuito alle varie installazioni WebMontior presenti a livello globale. Nel seguente articolo della KB GFI è presente una descrizione dell’uso del modulo di feedback per il database WebGrade - GFI WebMonitor WebGrade customer feedback form.
Conclusioni
Questa nuova versione di GFI WebMonitor si presenta ricca e completa; una soluzione semplice da installare e gestire. L’amministratore ISA Server è rapidamente produttivo una volta installato. La consolle di amministrazione è semplice ed autoesplicativa. La documentazione, anche se presente, non è quasi necessario consultarla. La versione provata e consigliata è la UnifiedProtection in quanto include sia il sistema di filtraggio WEB che il motore di scansione antivirus/antiphishing e blocco download. Dei tre motori di scansione disponibili con GFI WebMonitor solo due sono licenziati (BitDefender e Norman) ed inclusi nel pacchetto, Kaspersky invece richiede una licenza a parte.
Per domande e commenti potete scrivere sul forum di ISAserver.it.
Luca
Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com
Riferimenti
Sito Web GFI Software
GFI WebMonitor 2009
Premio 2009 come prodotto più votato dalla Community di ISAserver.it
Etichette: GFI, Recensione, Webmonitor