hallo
ich habe gestern mit herrn walczak gesprochen und werde meine feature requests dann hier veröffentlichen...
1. ich denke das thema ist gegessen, aber dennoch erwähne ich es kurz... für it-dienstleister, die mehrere systeme unterschiedlicher versionen (von 3.x - 2007nx) betreuen wäre es sinnvoll mit der neusten clientversion auch ältere securepoints zu administrieren. weiterhin wäre es super (aus dienstleister sicht), wenn konfigurationsdaten zentral im netzwerk abgelegt werden könnten. es kommt sonst vor, das jeder mitarbeiter unterschiedliche vorstellungen von der deutschlandkarte hat und somit die map-daten auf jedem client definitv unterschiedlich sind. auf andere konfigurationsdaten oder konfigurationsbestände trifft das ebenfalls zu.
2. import älterer konfigurationsdaten in die 2007nx. wann wird es hierfür eine lösung geben?
3. ändern des syslog.db pfades ermöglichen. bei uns gibt es extra logserver (auch für andere produkte) mit eigenen log-partitionen. der vorteil ist, dass die systempartition nicht durch das viele schreiben und löschen fragmentiert. weiterhin kann man die log-partitionen komprimieren, um so mehr daten speichern zu können.
4. bei der 2007nx scheint das komplette interne netzwerk als manager client eingetragen zu sein. kann man das ändern?
5. herunterfahren der 2007nx ermöglichen. "halt" auf der konsole (wenn der befehl dafür gedacht ist) funktioniert nicht.
6. umbenennen von computer- und dienstgruppen ermöglichen. wenn man seit zeiten der 3.x immer wieder die konfiguration auf eine neue version übernimmt, fällt nach der zeit ein regelrechter datenwust an. die systeme werden größer, netzwerk topologien ändern sich und so werden immer wieder neue gruppen angelegt, anstatt sie umzubenennen und so wieder logisch benennen zu können.
7. einen assistenten, der einem anzeigt, welche computer, computergruppen, dienste, dienstgruppen nicht mehr benötigt werden (alle objekte - objekte im regelwerk = unbenutzte objekte), um sie anschließend bereinigen zu können. wie in 6. angeregt, fällt diese aufgabe zur zeit manuell an.
8. wenn man proxy blocking lists oder content filter categories verwendet, wäre es für den admin sehr sinnvoll, wenn auch der grund angegeben wird, warum geblockt wurde (also die liste die das blocken verursacht hat und der schwellenwert, der erreicht wurde). oder kann man das anhand der logs ausfindig machen?
9. z.B. das "&" im passwort erlauben
10. wie kann man als dienstleister sich die logs auf eigene log-server schicken lassen, um die auswertung inhouse vornehmen zu können? muss syslog dafür zwingend im internet veröffentlicht werden? oder kann man das über vpn realisieren?
11. wir bekommen von unseren kunden z.B. alarmmeldungen per email zugestellt. diese kommen bei älteren securepoint versionen von root@firewallname.kunde.de
unsere securepoint hat diese (auf grund unbekannter absenderdomäne (firewallname.kunde.de)) abgelehnt. die firewalls sind nicht im dns eingetragen, da man damit u.U. die platzierung seiner systeme verraten würde). bei der 2006nx konnte ich in der sendmail access folgenden eintrag hinzufügen: kunde.de OK
damit konnten wir wieder emails von den angegebenen kundendomänen empfangen, haben aber nicht auf das feature der ablehnung unbekannter domänen verzeichtet. in der 2007nx habe ich diese möglichkeit nicht mehr gefunden.
beste grüße
andré
- media-service -
einige wünsche
Moderator: Securepoint
-
Andre
- Beiträge: 20
- Registriert: Di 13.03.2007, 13:10
- Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
- Kontaktdaten:
...schön wäre es auch, wenn die manager clients standardmäßig mit ssh (22), securepoint (11112 falls noch existent) UND ping/pong auf die firewall zugreifen dürfen.
wir verweigern ping auf dem externen interface, möchten aber selbst (von unserer manager client ip) überwachungen (in diesem fall mit ping) laufen lassen.
grüße, andre
wir verweigern ping auf dem externen interface, möchten aber selbst (von unserer manager client ip) überwachungen (in diesem fall mit ping) laufen lassen.
grüße, andre
Sicher sind andere Punkte auch interessant, aber diese finde ich besonders wichtig:
Das ich keine ICMP-Replys bekomme, wenn die Appliance, wie bei hier in der "Test-Produktiv-Umgebung" (Dyn-ADSL) sogar alles von ANY -> FW-External und zurueck schicken darf, macht einen simplen Watchdog kompliziert und weiteres Monitoring kompliziert, da gehe voll konform. -> Jagd auf Roter Oktober "ich will nur ein PING Wassily"
Auch wenn fuer mich die VPN-Kontrolle wichtiger ist, kann ich nur schwer feststellen, ob die Appliance "schlaeft" und deswegen kein Tunnel aktiv ist, wenn die ICMP-Nachrichten am externen Interface "platzen".
Die Einschraenkungen fuer die Manager-IP's vom LAN wuerde ich auch gerne wiedersehen, denn das eine oder andere "Script-Kiddie" sitzt nicht immer im pazifischen Raum, sondern am Nachbarschreibtisch.
Bei einem Proxy-Fehler und "Securepoint-Label", muss man kein Sherlock Holmes sein, um an die Managing Software zu kommen.......Passwoerter sind und bleiben "Schall und Rauch", aber zu diesem Thema (Signature z.B. auf Stick etc. mache ich mir und sicher auch das Securepoint-Team sicher schon genug Gedanken).
mfg
M.Goeres
Das ich keine ICMP-Replys bekomme, wenn die Appliance, wie bei hier in der "Test-Produktiv-Umgebung" (Dyn-ADSL) sogar alles von ANY -> FW-External und zurueck schicken darf, macht einen simplen Watchdog kompliziert und weiteres Monitoring kompliziert, da gehe voll konform. -> Jagd auf Roter Oktober "ich will nur ein PING Wassily"
Auch wenn fuer mich die VPN-Kontrolle wichtiger ist, kann ich nur schwer feststellen, ob die Appliance "schlaeft" und deswegen kein Tunnel aktiv ist, wenn die ICMP-Nachrichten am externen Interface "platzen".
Die Einschraenkungen fuer die Manager-IP's vom LAN wuerde ich auch gerne wiedersehen, denn das eine oder andere "Script-Kiddie" sitzt nicht immer im pazifischen Raum, sondern am Nachbarschreibtisch.
Bei einem Proxy-Fehler und "Securepoint-Label", muss man kein Sherlock Holmes sein, um an die Managing Software zu kommen.......Passwoerter sind und bleiben "Schall und Rauch", aber zu diesem Thema (Signature z.B. auf Stick etc. mache ich mir und sicher auch das Securepoint-Team sicher schon genug Gedanken).
mfg
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -