lunedì, marzo 14, 2011

GFI WebMonitor 2011 (Standalone vs ISAPI) – Recensione di ISAserver.it

GFI

GFI Software ha rilasciato da poco la nuova versione (ver. 5.0) del loro prodotto di Web filtering “WebMonitor” - http://www.gfi.com/internet-monitoring-software/webmonnew.htm - disponibile sia come soluzione Standalone sia come filtro ISAPI integrabile con Forefront TMG 2010 e ISA Server.

Rispetto alla 2009, la versione 2011 introduce alcune interessanti novità, vediamo quali:


Versione Standalone
- Web Caching*, HTTPS Inspection**, Quote utente (tempo e banda)

ISAPI Filter
-
Quote utente (tempo e banda)

(*) Funzionalità presenti in forma nativa in Forefront TMG 2010 e Microsoft ISA Server.
(**) Funzionalità presente in forma nativa in Forefront TMG 2010

Nota: É disponibile su ISAserver.it alla URL - http://www.isaserver.it/blog/2009/06/gfi-webmonitor-2009-recensione-di.html - la recensione completa della versione 2009 (ver. 4.0).

In questo breve articolo cercherò di mettere a confronto le due versioni di GFI WebMonitor (Standalone e ISAPI Filter). Per uniformità entrambi le versioni sono state confrontate utilizzando una installazione su server virtuale con singola scheda di rete. In questo caso il router/firewall di frontierà è stato configurato per consentire la navigazione web (HTTP/HTTPS) solo dall’indirizzo IP del proxy.

Schema

É comunque possibile installare GFI WebMonitor standalone anche in configurazione Gateway, in questo caso sono richieste due schede di rete, il resto della configurazione è demandato al programma di installazione.

Selezione fra Simple Proxy o Gateway mode 

Ho confrontato la versione standalone con la versione ISAPI in quattro aree:

  • Installazione
  • Prima configurazione
  • Creazione Policy
  • HTTPS Inspection e Web Caching

Nota: GFI fornisce due programmi di Setup distinti per le installazioni della versione standalone (GFIWebMonitor2011_net.exe) e la versione per Forefront TMG (GFIWebMonitor2011_x64.exe).

Installazione ( tempo medio ca. 5-10min):

GFI Webmonitor 2011 Standalone:
Il processo è estremamente semplice e veloce (in ca. 5-10min il prodotto è installato), l’unica operazione richiesta è fornire le credenziali di un utente di dominio con privilegi Amministrativi (basta che sia membro del gruppo locale Administrators del server su cui è installato GFI WebMonitor) e con password configurata per non scadere.

Gruppo locale Administrators

Per il resto il wizard è interamente autoesplicativo e semplice. Un utente con competenze tecniche medie può essere in grado di installare il prodotto senza difficoltà. All termine del processo di installazione non è stato richiesto il riavvio del server.

GFI WebMonitor 2011 ISAPI Filter:
Anche in questo caso il processo è semplice e veloce (in ca. 5-10min il prodotto è installato e configurato). Anche nella versione integrata è necessario utilizzare un account di dominio con privilegi amministrativi sul server TMG. La password di questo account non deve scadere in quanto è utilizzato per controllare lo stato del servizio WmonSrv (Worker service for GFI WebMonitor).

Gruppo locale Administrators

Per il resto il programma di setup è sufficientemente autoesplicativo e semplice. Al termine del processo di installazione NON è stato richiesto il riavvio del servizio Firewall di TMG così come il riavvio del server.

Una nota simpatica è che anche in GFI WebMonitor ISAPI Filter, così come a volte capita in Forefront TMG, troviamo ancora riferimenti a ISA Server:

Proprietà del filtro ISAPI di GFI WebMonitor

Prima Configurazione

GFI Webmonitor 2011 Standalone:
Al termine del processo di installazione GFI WebMonitor è già pronto per essere utilizzato, ponendosi immediatamente in ascolto sulla porta 8080. Come policy di accesso è attiva la Default Web Filtering Policy che consente la navigazione in maniera anonima a tutte le categorie di siti web. Di default GFI WebMonitor non richiede authenticazione; volendola attivare è possibile optare per una autenticazione Basic o Integrated.

Autenticazione

Da questo momento gran parte dell’attività amministrativa sarà rivolta alla creazione di regole per controllare l’accesso a categorie di siti web.

GFI WebMonitor 2011 ISAPI Filter:
Al termine della installazione sono create due regole che consentono la sola amministrazione di GFI WebMonitor ed il download degli aggiornamenti per il database Webgrade.

 WebPolicy
La navigazione web è quindi bloccata, è necessario creare su TMG una access rule che consenta il traffico web. Un esempio di regola è la seguente:

rule

Nel complesso la Web Policy sarà:

WebPolicy

La Default Web Filtering Policy attiva su GFI WebMonitor non effettua alcun filtraggio sui contenuti, quindi una volta completato il setup è necessario creare e definire le proprie politiche di accesso per le varie categorie di siti web. Comunque al termine del setup di GFI WebMonitor su una nuova installazione di TMG il traffico è bloccato. Da questo momento in poi potremmo quasi dimenticarci di TMG per ciò che riguarda il traffico web, in quanto tutta l’attvità amministrativa si sposta su GFI WebMonitor.


Creazione Policy

GFI Webmonitor 2011 Standalone e GFI WebMonitor 2011 ISAPI Filter:
Il processo di creazione delle Policy di accesso è praticamente identico su entrambe le versioni in quanto utilizzano la medesima interfaccia. Anche l’utilizzo delle nuove opzioni di controllo del traffico su base tempo e banda è identico in entrambe le installazioni, infatte in entrambe le installazioni la configurazione avviene nella sezione Web Browsing Policies dove è possibile definire mediante regole, le quote di tempo (Minuti/Ore) che un utente, gruppo o IP può consumare su base giornaliera, settimanale o mensile per aver accesso a determinati siti web (IP/URL) o categorie. Lo stesso avviene per le quote di banda (KB/MB) consentite sempre su base giornaliera, settimanale o mensile.

Quote


HTTPS Inspection e Web Caching

GFI Webmonitor 2011 Standalone:
HTTPS Inspection –
Il metodo adottato da GFI Software per effettuare la HTTPS inspection è lo stesso adottato da TMG 2010 e da altri software simili (es. ClearTunnel): Intercettare la richiesta HTTPS dell’utente, generare un certificato SSL al volo con FQDN uguale a quello richiesto dall’utente (es. https://login.live.com), creare un nuovo tunnell SSL con il sito web richiesto dall’utente. In questo caso l’utente è convito di creare un tunnell SSL con il sito Web mentre invece lo crea con GFI WebMonitor. É quest’ultimo che a sua volta crea il tunnel SSL con il sito web richiesto dall’utente. Il paradigma di tunnel point-to-point in questo modo viene violato permettendo a GFI WebMonitor di guardare dentro il tunnell SSL. Il processo per quanto semplice a parole è ovviamente tecnicamente complesso e richiede che una serie di condizioni a monte siano verificate.

É necessario installare su GFI WebMonitor un certificato digitale (Autogenerato o rilasciato da una CA interna) riconosciuto come valido dal browser utilizzato dall’utente.

HTTPSi Certificate
In caso contrario il browser riconoscerà come NON valido il certificato presentato da GFI Webmonitor generando un warning di certificato non valido a video.
Certificate
GFI WebMonitor genera un certificato digitale SSL al volo, uno per ciascun sito HTTPS visitato dall’utente.
Il processo di configurazione è abbastanza semplice e guidato da un wizard. L’unico passo delicato e la distribuzione con le Group Policy della Root CA utilizzata da GFI WebMonitor per la generazione al volo dei certificati digitali SSL. Ma questa ovviamente non può essere considerata una mancaza del prodotto.

 Certificate.Store 

Come in TMG troviamo anche la possibiltà di far validare da GFI WebMonitor il certificato presentato dal sito web HTTPS richiesto dall’utente.

HTTPSi
Questo con l’obiettivo di ridurre ulteriormente il rischio di phishing su siti SSL. In alcuni casi è possibile escludere siti web dal processo di HTTPS inspection, per farlo basta seguire le indicazioni del seguente articolo: http://kbase.gfi.com/showarticle.asp?id=KBID003942.

Web Caching – Di default il web caching non è attivato. Il processo di attivazione e configurazine è estremamente semplice, un flag ed il gioco è fatto.
Cache
Non ci sono molti paramentri da configurare ma solo da definire la dimensione massima del file di cache da utilizzare e la sua posizione (di default è creata nella sottocartella \HTTPCache nel percorso di installazione di GFIWebMonitor). La dimensione consigliata è di 500MB ma è possibile variarla (aumentarla o diminuirla).
Cache 
É inoltre possibile escludere dei siti web dalla cache seguendo le istruzioni indicate nel seguente articolo: http://kbase.gfi.com/showarticle.asp?id=KBID003954


GFI WebMonitor 2011 ISAPI Filter:
Nella versione integrata le funzionalità di HTTPS Inspection e Web Caching non sono gestite da GFI ma direttamente in forma nativa da TMG 2010 quindi un confronto fra TMG 2010 e WebMonitor va oltre l’obiettivo di questo articolo.

Nota: Per chi volesse vedere WebMonitor in azione è in programma per il prossimo 25 marzo un Webcast gratuito sulla versione 2011. Per partecipare basta registrarsi alla pagina web: https://www1.gotomeeting.com/register/330995520


Conclusioni
Anche nella versione 2011 GFI WebMonitor si conferma semplice da installare, configurare e gestire. Fra le due versioni: Standalone e Integrata non vi sono differenze degne di nota, essendo praticamente identiche, eccezzion fatta per l’HTTPS Inspection ed il Web Caching presenti nella sola versione standalone. Per un amministratore TMG/ISA la versione da preferire è indubbiamente quella integrata che mette a disposizione le nuove funzioni di controllo del traffico web mediante quote, di tempo e di banda, su base giornaliera, settimanale e mensile. Sinceramente mi sarei aspettato in questa versione di vedere in GFI WebMonitor, almeno nella versione standalone, anche il motore antivirus VIPRE invece che solo quello dei partner. Sicuramente avrebbe dato maggior valore all’investimento sulla versione standalone. L’esito finale è comunque più che positivo ed in linea con lo standard a cui ci ha abituato nel corso degli anni GFI Software. Vedremo come risponderanno gli amministratori TMG/ISA all’arrivo di questa nuova release di GFI WebMonitor specialmente alla luce dei costi di licensing per funzionalità, almeno per TMG, che si presentano sempre più equivalenti. Di seguito sono riportati i link dei costi “al pubblico” per postazione sia per GFI WebMonitor 2011 che per Forefront TMG 2010, così da poter fare un primo confronto “di massima”:
GFI WebMonitor 2011 costi/postazione – http://www.gfi-italia.com/products/gfi-webmonitor/pricing
Forefront TMG 2010 costi/postazione – http://www.microsoft.com/forefront/threat-management-gateway/en/us/pricing-licensing.aspx

Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP

Etichette: , ,

0 Comments:

Posta un commento

<< Home