GFI WebMonitor 2009 - Recensione di ISAserver.it

Fra i prodotti di protezione per ISA Server, GFI WebMonitor ha sempre ricoperto e ricopre un ruolo di primo piano, sia per la sua forte integrazione che per potenzialità, funzionalità e semplicità d’uso.  Il prodotto può essere installato sia sulla versione Standard che Enteprise di ISA Server ed è disponibile in lingua italiana.

Nota: se il vostro Array include più di un nodo ed avete attivato il CARP è necessario fare un piccolo aggiustamento, così come indicato nell’articolo How to configure GFI WebMonitor in a Microsoft ISA Array CARP environment.

GFI WebMonitor si è aggiuditato per il 2009 il premio di prodotto più votato dalla Community di ISAserver.it nella categoria Content-Security.

Le versioni disponibili
GFIWebmonitor 2009 è disponibile per ISA Server 2004/2006 in tre edizioni:
- WebFilter Edition - Filtraggio URL, Categorizzazione Siti, Black/White List
- WebSecurity Edition - Analisi Antivirus, Anti-Phishing, Anti-Spyware e Controllo Download
- Unified Protection Edition - Include le funzionalità presenti nella WebFilter e WebSecurity Edition

La versione provata è la Unified Protection in lingua inglese.

Requisiti di Sistema
La documentazione ufficiale riporta i seguenti requisiti minimi:

WebFilter Edition	WebSecurity Edition	UnifiedProtection Edition
CPU 1.8 GHz	CPU: 1.8 GHz	CPU: 1.8 GHz
RAM: 1 GB	RAM: 1 GB	RAM: 2 GB
HD: 2 GB di spazio libero	HD: 10 GB di spazio libero	HD: 12 GB di spazio libero

Adottando la soluzione UnifiedProtection vediamo che quest’ultima richiede almeno 2GB di RAM. Quindi se abbiamo dimensionato il nostro ISA Server 2006 con 2GB di RAM e vogliamo installarci sopra GFI WebMonitor dobbiamo prevedere un upgrade di memoria di almeno altri 2GB e portarlo a 4GB. Se necessario installiamo una maggior quantità di RAM.

Licensing
Il modello di licenza è diverso da quello di ISA Server; mentre ISA adotta un modello per CPU (socket), GFI WebMonitor utilizza un modello di licensing per client (o seat) rinnovabile di anno in anno. Il costo della singola licenza (abbonamento) si riduce al crescere del numero di licenze acquistate.
Per sapere come GFI WebMonitor conteggia gli utenti ai fini del licensing potete far riferimento al seguente articolo della Knowlegde base - How does GFI WebMonitor count users?

Integrazione con ISA Server
GFI WebMonitor si poggia interamente sul filtro Web Proxy di ISA Server, al termine dell’installazione possiamo vedere il nuovo GFI WebMonitor filter fra quelli normalmente presenti in ISA Server Management Console nella sezione Configuration | Add-ins | Web Filters.

Terminata l’installazione non è richiesto alcun tipo di attivazione del prodotto, il filtro GFI è immediatamente attivo e, aspetto importante, trasparente sia per l’utente che per l’amministratore ISA Server.
Non è richiesta nessuna modifica nella normale attività amministrativa di ISA Server quando è installato GFI WebMonitor.  L'integrazione con ISA Server fa si che tutte le volte l'amministratore crea una Access Rule che include il protocollo HTTP, entri in gioco il sistema di protezione di GFI WebMonitor. Il filtro GFI entra in azione prima del filtro HTTP (HTTP Filter) di ISA Server; non è quindi consigliabile operare su entrambi i filtri. Una volta installato GFI WebMonitor l''attività di protezione/configurazione del traffico HTTP andrà fatta da li e non piu' dalla Management Consolle di ISA Server. Questo non vuol dire che non è più possibile ma solo che Il risultato sarebbe solo quello di penalizzare inutilmente le performance di ISA Server.

Default Post Installazione
WebFilter Edition
É attiva la Web Filtering Policy che consente l’accesso a qualunque tipo di oggetto/sito web. Non è attivo nessun blocco.

WebSecurity Edition
Virus Scanning Policy
Sono attivi i motori antivirus, BITDefender e Norman, ed il flitro Antiphising. Il motore antivirus Kaspersky è licenziato a parte. Durante il processo di download di file è presentata all’utente una finestra che lo informa che il file richiesto è sottoposto a scansione.
Se il file contiene un Virus è automaticamente eliminato (default). Questo comportamento è modificabile mediante la Virus Scanning Policy. I file che di default sono sottoposti a scansione sono: Eseguibili (EXE), Installazione(MSI), Office (Word, Excel, Powerpoint ecc.), Compressione (ZIP, RAR ecc.) ed altri ancora. L’elenco è modificale ed aggiornabile.

Per ogni tipo di file è possibile definire il comportamento che deve avere GFI WebMonitor (Block and Delete/Block and Quarantine/Warm and Allow):

Donwload Control Policy
É possibile controllare quali tipi di file gli utenti possono scaricare. I formati file sono identitificati come MIME Type. É inoltre possibile definire una azione che GFI WebMonitor deve intrapendere nel momento in cui l’utente richiede il download, queste sono: Allow, Block and Quarantine, Block and Delete.
Il comportamento di default è Allow. Quindi non è attivo nessun blocco.

Instant Messaging Control Policy
É abilitare/bloccare l’utilizzo di MSN/Live Messenger; il solo controllabile da questa policy.

Tutte le Policy di controllo/protezione hanno in comune la possibilità di essere applicate su base utente/gruppo/IP, così come attivare un sistema di notifica via posta elettronica di eventuali violazioni.


Consolle Amministrativa
La gestione e configurazione di GFI WebMonitor avviene mediante browser (Internet Explorer); non utilizza un client dedicato. Questo permette l’amministrazione di GFI WebMonitor anche da remoto – previa esplicita autorizzazione dell’utente o IP-.
 
La consolle è molto semplice ed intuitiva; nella parte sinistra sono organizzate, in maniera gerarchica, le varie sezioni di configurazione e controllo:

 
Mediante un semplice ed intuitivo cruscotto (Dashboard) è possibile tenere sotto controllo tutto il traffico HTTP con una chiara visione d’insieme.
Nella sezione Monitoring è possibile avere visibilità dei siti più consultati, utenti più attivi, consumo di banda/sito, tempo/sito ecc.
 
Non è presente una funzione di salvataggio e/o stampa dei report. E’ necessario utilizzare il Report Pack.

Nota: Se abbiamo SQL Server con i Reporting Services è possibile configurare GFI Web Monitor affinché vi trasferisca i dati raccolti. Poi, mediante il Report Pack (Gratuito) è possibile generare dei report stampabili. GFI WebMonitor raccoglie i dati di 365gg (default), modificabile nella sezione Configuration | General Settings.
 

Nella sezione White List/Black List è possibile definire le eccezioni alle regole di blocco definite nella Web Filtering Policy su GFI Web Monitor. Le White List posso anche essere temporanee (il default è di 52ore), modificabile nella sezione Configuration | General Settings. Le White List rappresentano delle eccezioni e come tali vanno usate.

WebFiltering Policy
Il processo di controllo avviene mediante la definizione di regole – WebFiltering Policy – . Queste sono create all’interno dell’ambiente di amministrazione di GFI WebMonitor. Questo ha il vantaggio di far concentrare l’amministratore su ciò che vuole permettere/non permettere ai propri utenti con uno strumento distinto da quello di amministrazione del firewall. Funzionalità importante è la possibilità di creare WebPolicy su base IP, Utente, Gruppo; particolamente utile quando ISA è membro del dominio consentendo così anche la creazione di Policy basate sui gruppi di Active Directory. Al termine dell’installazione è presente una WebFiltering Policy che consente tutto il traffico – nessun blocco -. Per bloccare l’accesso ad una categoria di siti ci basta creare una nuova WebFiltering Policy, decidere quale categoria bloccare, chi dovrà essere bloccato e quando. In alcune categorie possono essere presenti dei siti web a cui vogliamo aver accesso; in questo caso è possibile inserire nella nostra WebFiltering Policy delle eccezioni. Una volta salvata la nostra WebFiltering Policy la protezione è subito attiva!!
Nel momento in cui un utente tenterà di accedere ad un sito web bloccato, il proprio browser visualizzerà un messaggio di avviso.

Come opera la GFI WebMonitor quando elabora una richiesta HTTP? Un diagramma è sicuramente più chiaro di tante parole, di seguito un chiaro schema esplicativo estratto direttamente dal sito GFI:

É possibile attivare anche un processo di notifica via posta elettronica all’amministratore di GFI WebMonitor per essere costantemente aggiornato in caso di violazione delle Policy di navigazione.
Tutto questo è efficace se e solo se le categorie sono aggiornate continuamente e costantemente. Il database locale si sincronizza ogni 9 ore con quello di GFI Software. Possiamo tranquillamente ridurre questa finestra temporale.

WebGrade Database
Questa è la principale novità della 2009. Un database sottoposto continuamente e costantemente ad aggiornamento e revisione dove sono censiti i le URL di siti web presenti su Internet ed organizzati per categoria. É possibile interrogare il WebGrade database per verificare l’esistenza di un sito web; se non è presente lo possiamo segnalare direttamente a GFI mediante una semplice interfaccia web. Cosa succede se un utente accede ad un sito web non presente nella copia locale del WebGrade Database? GFI WebMonitor interroga il database principale GFI, se anche li non è presente allora è applicata la WebFiltering policy di default – consenti -. In caso di “dubbio” il traffico non è bloccato.
Possiamo comunque segnalare la URL a GFI, oppure proporre correzioni sull’assegnazione di categoria per delle URL. Una volta segnalato,  nell’arco di poco tempo il sito web è sottoposto a revisione e, se supera i test di verifica, automaticamente inserito nel WebGrade e distribuito alle varie installazioni WebMontior presenti a livello globale. Nel seguente articolo della KB GFI è presente una descrizione dell’uso del modulo di feedback per il database WebGrade - GFI WebMonitor WebGrade customer feedback form.

Conclusioni
Questa nuova versione di GFI WebMonitor si presenta ricca e completa; una soluzione semplice da installare e gestire. L’amministratore ISA Server è rapidamente produttivo una volta installato. La consolle di amministrazione è semplice ed autoesplicativa. La documentazione, anche se presente, non è quasi necessario consultarla. La versione provata e consigliata è la UnifiedProtection in quanto include sia il sistema di filtraggio WEB che il motore di scansione antivirus/antiphishing e blocco download. Dei tre motori di scansione disponibili con GFI WebMonitor solo due sono licenziati (BitDefender e Norman) ed inclusi nel pacchetto, Kaspersky invece richiede una licenza a parte.

Per domande e commenti potete scrivere sul forum di ISAserver.it.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti
Sito Web GFI Software
GFI WebMonitor 2009
Premio 2009 come prodotto più votato dalla Community di ISAserver.it

GFI WebMonitor 2009 - Disponibile per il download

E' disponbile la nuova versione di GFI WebMonitor, la nota suite di protezione per Microsoft ISA Server, della software house GFI Software.

Maggiori info sui costi e funzionalità: http://www.gfi.com/webmon

Un interessante Whitepaper sugli effetti del webmonitoring sulla produttività aziendale:
http://www.gfi.com/whitepapers/web_monitoring_for%20employee_productivity_enhancement.pdf

E' possibile scaricare la trial 30gg direttamente da qui

A completamento del post vi riporto le principali novità introdotte in questa release:

"...
Un database WebGrade aggiornato che offre la copertura di oltre 165 milioni d URL
Il database WebGrade è stato notevolmente migliorato in modo da aumentare la copertura di indirizzi URL in più lingue. La dimensione del database è aumentata passando da 10 a 165 milioni di TLD (Top Level Domains - Domini di primo livello).
Ricerche on line nel database WebGrade
A causa della natura in costante mutazione del web, GFI WebMonitor interroga i server GFI in merito alla classificazione di URL non presenti nel database contenuto nella cache locale. Se una URL non risulta classificata, viene elaborata dal server e aggiunta al database.
Monitoraggio della larghezza di banda dell'utente o del sito
Grazie alle funzioni di monitoraggio della larghezza di banda dell'utente e del sito, l'amministratore ha la facoltà di rintracciare il traffico scaricato e caricato e le visite ai siti web per utente oppure per sito web. Anche i rapporti illustrano la quantità di larghezza di banda utilizzata da ogni categoria di siti web.
Principali trasgressori dei criteri aziendali
WebMonitor riporta ora informazioni dettagliate su tutti gli utenti ai quali ha impedito la violazione di criteri aziendali. Tali violazioni possono includere la navigazione in siti ad accesso limitato oppure lo scaricamento di file infetti da malware o ancora di tipi di file bloccati da criteri di controllo dei download.
Eccezioni per criteri aziendali da parte di WebFilter
Oltre a blacklist o whitelist generiche, l'amministratore può definire eccezioni di sito web per ogni dato criterio. Un esempio tipico è rappresentato dal blocco o dall'autorizzazione di "tutti i siti tranne cnn.com"
Controllo di MSN
Monitoraggio e blocco di messaggi in entrata e uscita e di trasferimenti di file tramite MSN e MS Live Messenger, grazie ai criteri di controllo dei download (Download Control Policies) di web Monitor.
Protezione da siti di phishing
Tutti i siti web che gli utenti tentano di accedere sono controllati e confrontati con un database aggiornabile automaticamente. Se un sito web compare nell'elenco di URL di phishing, viene bloccato e all'utente viene visualizzato un opportuno messaggio.
Criteri di controllo dei download basati sugli utenti, gruppi o IP
L'amministratore ha la facoltà di creare più criteri basati su utenti, gruppi o IP per riflettere i criteri di protezione dell'organizzazione. Per esempio, può creare un criterio in base al quale nessun dipendente può scaricare video e file mp3.
..."
fonte: GFI Software

A breve seguirà anche una review sul prodotto.

Luca Conte, MCSE/MCSA:Security, MCT, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

GFI WebMonitor 4.1 (Beta)

Leggo e riporto dal blog di Tom Shinder, la disponibilità di GFI WebMonitor 4.1 (Beta) build 20081016.

E' possibile scaricare la Beta direttamente da qui

Di seguito la dashboard di questa nuova versione:

GFI Software Ltd. sponsor di ISA Server Jumpstart 2008 - 29/30 Ott - Milano

Sono orgoglioso di annunciare che uno sponsor di primo piano si è affiancato a Microsoft Italia nel sostenere questa edizione di ISA Server Jumpstart 2008.

GFI Software Ltd. leader a livello mondiale nella realizzazione di software di protezione per sistemi Microsoft è sponsor ufficiale di questa edizione di ISA Server Jumpstart 2008. GFI Software Ltd. ha realizzato per ISA Server il noto prodotto WebMonitor.  

Microsoft Italia e GFI Software Ltd. sono i due sponsor ufficiali di ISA Server Jumpstart 2008 - Milano.

Per sapere cosa fare per iscriverti e partecipare al Workshop ISA Server Jumpstart 2008 che si terrà dal 29 al 30 Ottobre a Milano c/o UNA Hotel Malpensa, collegati alla pagina http://www.isaserver.it/training.

IMPORTANTE: Oggi termina la promozione, Workbook gratuito che ti consente un risparmio di quasi 200€!!

Ottobre record per ISAServer.it

Il mese di Ottobre è stato un mese importante per due motivi, il primo, per la realizzazione del primo evento tecnico italiano interamente dedicato a ISA Server - ISA Server JumpStart -, che ha avuto in Reggio Emilia - 30/31 Ottobre - la prima tappa e la seconda sara' a Roma il 18/19 Dicembre prossimo; un vero successo.
E di questo non posso che ringraziare la Community di ISAServer.it. Grazie!

Il secondo motivo e' l'incremento consistente degli accessi ad ISAServer.it.

ISAServer.it è passata dai 50.000 page view del mese di Settembre agli oltre 80.000 page view di Ottobre; un incremento di oltre il 60% a conferma del trend di crescita e del processo di consolidamento della Community di ISAServer.it.

Da dopo l'estate le iniziative finalizzate alla Community si sono fatte piu' consistenti e continue, vedi: The Great ISA Opportunity con GFI Software Ltd, ISA Server JumpStart con la sponsorizzazione di Microsoft Corp e GFI Software Ltd, Windows Security Essentials, che si concluderà Mercoledì prossimo...e per il 2008 altre novita' sono in programma.

GFI Software Ltd è sponsor ufficiale di ISAServer.it e delle sue iniziative in presenza, a cui si aggiunge Microsoft Corp per la sponsorizzazione di ISA Server JumpStart.

Un grazie di cuore a tutti i professionisti e appassionati di ISA Server che quotidianamente rinnovano la loro fiducia visitando ISAServer.it, partecipando agli eventi, scrivendo articoli e postando sul forum...Grazie!