Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 18587 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Security and Logs

Zach100
Hi all,

After a turbulent few decades with Checkpoint, Cisco, Sonicwall and similar I thought I would checkout something else...

So here I am!  And it seems people are quite happy with Sophos UTM / Astaro - however, I would like to ask two basic questions; if they have been answered before please excuse me.

Firstly: Why would any forum in this day and age not allow (indeed: insist upon!) user registration and login (at the very least) to be via SSL. Especially, many would argue, one dedicated to security.

Secondly: What do people use for analysing logs; I can't seem to find something basic built into the product - does the manager have something ?  

Cheers[:S]


This thread was automatically locked due to age.
  • 0
    Hi Zach,

    re SSL: you could post a request in the 'About the Board' topic.

    Logs: personally, I use the Reporting and Executive Reports features, but for realtime investigation, I use 'tail' and 'grep' on the shell (via SSH).

    If you are looking for web activity analytics on the proxy logs specifically, there have been some discussions, e.g.
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/63/t/57569

    Otherwise, please let us know what you are looking for.

    SUM (Sophos UTM Manager) has less reporting than the UTM, afaict; it just seems to show some basic graphs.

    There used to be a reporting tool, but it seems to be discontinued.

    Also note that the UTM can copy the logs off to another system via RSysLog, or nightly via FTP, SMB/CIFS, ...

    Barry
  • 0
    Hi, Zach, and welcome to the User BB!

    Your first question is a good one. I guess I had just assumed that that password was sent encrypted. Did you watch the traffic and confirm that it was passed in clear text?

    You can export the logs to a log analyzer, but have you taken a look at the reporting features?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0

    Firstly: Why would any forum in this day and age not allow (indeed: insist upon!) user registration and login (at the very least) to be via SSL. Especially, many would argue, one dedicated to security.
    Don't confuse this user bulletin board (which by the way is moderated by users like yourself) as any indication of the product. As far as I am concerned, any communication on the bulletin boards like this one, SSL or otherwise should be considered open communication. If the back-end is not secure the front-end security is moot. Heck, ask adobe how their ssl is working for their customers 
    Adobe hacked, 3 million accounts compromised | Security & Privacy - CNET News [8-)]
  • 0
    (See attachment below.)

    ^  For sure it's plain text! 

    Hi, chaps thanks for the replies...

    Checkpoint logging allows you to filter the real time log so that you can watch specific hosts and/protocols which is very useful indeed.

    I would like some form of real time and after the event filtering of logs so that I can gain better network visibility.

    Essentially, I have had it with the never-ending quest to upgrade and maintain proprietary boxes - so want to return to the simpler life of choosing my hardware, number of NICs etc and heing able to upgrade whilst maintaining the same base platform - with many sites now getting multiple 100mbit and beyond connections this will save money and heartache.  I also like the idea of using the same platform for the inter-virtual-machine monitoring and de-militarising...

    I'm still in early days of testing, but so far I very much like this product!

    Cheers

    Zach

    PS - I appreciate there is a limit to BB security, but I do not believe the stance that no aspects should be secured because all aspects cannot be guaranteed!  For the sake of a few dollars you drastically cut the chances of credentials being harvested.
    I operate several honeypot systems, like weak SSH password linux, FTP and RDP servers - the sheer number of multi-megabyte txt files containing thousands of  username / password combo's I see is frightening; indeed, such txt files can be found on the more nefarious  free sharing sites too!  Not everybody is using 20 digit random character passwords for every internet resource!
    Non-SSL-Login-1024x524.zip
  • 0
    Thanks, Zach.  In the interest of security, we don't like to have links to sites that aren't well-known, so I opened your link in a sandbox.  I then saved the picture and took the liberty of replacing your link with an attachment.  I also posted https://community.sophos.com/products/unified-threat-management/astaroorg/f/73/t/63847.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Cheers bob, apols for the fopar.

    What log analyzer(s) do you recommend, if any ?  I see plenty around, but they cost $k's and I am not too sure of the licensing implications when used on a decentralised client base...
  • 0
    After folloing the link Barry provided in #2, I also. would google site:astaro.org log analysis for what others are using.  I don't have any customers using anything other than the reporting tools built into WebAdmin.  What is it that you want to track/analyze?

    All of the Live Logs allow you to specify a filter using a Regular Expression.  On the 'Search Log Files' tab, you also can use Regular Expressions.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Cheers bob, apols for the fopar.

    What log analyzer(s) do you recommend, if any ?  I see plenty around, but they cost $k's and I am not too sure of the licensing implications when used on a decentralised client base...


    Hi, Splunk is free up to certain capacities, and if you Google for "splunk alternatives" you will find several free systems.

    But try the live log filters first, as Bob mentions.

    Barry
  • 0
    cheers guys will look at the regex
Unfiltered HTML