Comments 8
Сертификация в РФ и NGFW — это несколько не взаимосвязанные вещи и такое лучше пояснять. Сертифицируется отдельный «функционал», в основном это функционал МЭ, СОВ и Криптография.
Не каждая компания может позволить себе проверять каждую железку в рамках пилотных проектов, учитывая, что во многих случаях пилотный проект такой железки фактически полноценное внедрение. Да и пилотный проект не всегда даст «честный» результат — не любая компания решится пропускать весь свой трафик через тестовый агрегат, а без всего трафика «честного» результата по производительности вы не получите.
Не совсем прослеживается связь между территориальным нахождением техподдержки и качеством ее обслуживания (за исключением выездов ественно). Или акцент идет на знание английского языка у обладателя нового продукта?
А можете привести примеры уже санкционных NGFW?
Очень странный критерий конечно, но да ладно. Вашими бы устами да года полтора-два назад, когда ngfw уже были, а для дешифрации рекомендовали использовать отдельные аппаратные платформы. Как вы и сказали, тонкостей хватает и в большинстве случаев, по итогу, дешифрацию необходимо делать только для части специфического трафика.
Вот как нигде не могу с вами не согласится. Но к середине статьи уже складывается впечатление, что все решается только через пилот)
Рядовому заказчику, честного и однозначного ответа на столь абстрактный вопрос, к сожалению, не получить. Все врут.
Разве, в основном, это не функционал IPS и, от части, url фильтрации?
У нас сейчас кто то делает ngfw? Прям вот ngfw? Помню, года полтора назад задавал подобный вопрос одному из именитых российских производителей криптошлюзов — там ближайшие лет 5 не планировалось ничего)
Что касается первого варианта с продажей железки (или виртуальной машины), не верьте даташитам… Только пилотный проект даст честный результат.
Не каждая компания может позволить себе проверять каждую железку в рамках пилотных проектов, учитывая, что во многих случаях пилотный проект такой железки фактически полноценное внедрение. Да и пилотный проект не всегда даст «честный» результат — не любая компания решится пропускать весь свой трафик через тестовый агрегат, а без всего трафика «честного» результата по производительности вы не получите.
Рекомендация, если вендор не имеет поддержки в РФ (или количество инженеров меньше 10 человек), вы с гарантией будете сами и уединенно решать свои проблемы.
Не совсем прослеживается связь между территориальным нахождением техподдержки и качеством ее обслуживания (за исключением выездов ественно). Или акцент идет на знание английского языка у обладателя нового продукта?
Списки компаний под санкциями ширятся...
А можете привести примеры уже санкционных NGFW?
Почти у всех HTTPS разбор трафика с подменой сертификата есть, если нет – это уже не NGFW решение.
Очень странный критерий конечно, но да ладно. Вашими бы устами да года полтора-два назад, когда ngfw уже были, а для дешифрации рекомендовали использовать отдельные аппаратные платформы. Как вы и сказали, тонкостей хватает и в большинстве случаев, по итогу, дешифрацию необходимо делать только для части специфического трафика.
11. Интеграция с MS AD и другими службами. Совет: пилот и решение кейсов на местах.
Вот как нигде не могу с вами не согласится. Но к середине статьи уже складывается впечатление, что все решается только через пилот)
12. IPS/IDS. Какая периодичность обновления? Скорость обновления и реакции на инциденты ИБ вендором. Есть примеры когда на самые критичные уязвимости вендор пишет сигнатуры месяцами и годами…
Рядовому заказчику, честного и однозначного ответа на столь абстрактный вопрос, к сожалению, не получить. Все врут.
14. Блокирование ботнет трафика
Разве, в основном, это не функционал IPS и, от части, url фильтрации?
18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское решение
У нас сейчас кто то делает ngfw? Прям вот ngfw? Помню, года полтора назад задавал подобный вопрос одному из именитых российских производителей криптошлюзов — там ближайшие лет 5 не планировалось ничего)
Сертификация в РФ и NGFW — это несколько не взаимосвязанные вещи и такое лучше пояснять. Сертифицируется отдельный «функционал», в основном это функционал МЭ, СОВ и Криптография.
Все верно, но этот функционал на конкретной модели сертифицируется конкретного производителя. Приведу пример, выходит у производителя новая модель, ее не будет с сертификате ФСТЭК. А ведь ее могут продать, а уже потом окажется, что сертифицированное решение на ней не реализовать. Придется ждать новый сертификат.
Не каждая компания может позволить себе проверять каждую железку в рамках пилотных проектов, учитывая, что во многих случаях пилотный проект такой железки фактически полноценное внедрение. Да и пилотный проект не всегда даст «честный» результат — не любая компания решится пропускать весь свой трафик через тестовый агрегат, а без всего трафика «честного» результата по производительности вы не получите.
Это чистая правда. В основном, по этой причине и была написана статья. Чтобы можно было сперва определиться с задачей и критериями, отобрать 1-2 решения и провести тест. Можно и без теста купить, но тогда вы полностью полагаетесь на честность, квалификацию и компетентность партнера и вендора. И в случае проблем, потом винить себя, партнера, вендора. Часто это приводит к неоправданной критике вендора. Приведу пример, партнер халатно сделал сайзинг(подбор модели по требованиям) или же заказчик решил уменьшить расходы и купил модель из младшей серии или указал меньшие требования, чем есть на самом деле. В итоге, решение под нагрузкой тормозит и плохо работает. Часто в таких ситуациях винят вендора, вроде, как у них медленное решение и непроизводительное. По факту, это будет неверное утверждение.
Если вернуться к пилоту, часто достаточно весь трафик запустить на оборудование через SPAN порт. Это не 100% чистый тест, но достаточный для первичной оценки.
Еще один стоп-фактор, сроки выполнения работ по подготовки пилота. Мы можем наши решения за часы настроить в простых случаях и день-два в тяжелых. Но порой к заказчику приходят люди и на месте учаться настройке, тратя на внедрение недели. Этот опыт многих отпугивает от пилота.
Не совсем прослеживается связь между территориальным нахождением техподдержки и качеством ее обслуживания (за исключением выездов естественно). Или акцент идет на знание английского языка у обладателя нового продукта?
Да, части народонаселения РФ, особенно в регионах, не всегда комфортно общаться на английском. Во-вторых, если в РФ инженеров нет, то почти не приходится рассчитывать на поддержку в особо тяжелых случаях, в виде волшебных пинков инженеров ТП заграницей. А такая помощь, порой, очень востребована.
Все-таки, мы emerging market, и часто на уровне ТП это можно ощутить.
А можете привести примеры уже санкционных NGFW?
В данном пункте, я писал про компании, кто попал в санкционный список, и закупки оборудования из Европы и США для них стали проблемой.
В компании из списка поставить Cisco или Palo Alto, на пример, будет сложностью (решаемой\нерешаемой вопрос отдельный)
Очень странный критерий конечно, но да ладно. Вашими бы устами да года полтора-два назад, когда ngfw уже были, а для дешифрации рекомендовали использовать отдельные аппаратные платформы. Как вы и сказали, тонкостей хватает и в большинстве случаев, по итогу, дешифрацию необходимо делать только для части специфического трафика.
Тут вопрос не в наличие данного функционала, Вы правы, он есть сейчас у всех. А в тонкостях настройки, работы и производительности решения, после активации данной фичи. Плюс сертификаты, рано или поздно, придется перевыпускать, а значит их надо менять и не пропустить этот момент. В общем, нюансы и детали…
11. Интеграция с MS AD и другими службами. Совет: пилот и решение кейсов на местах.
Вот как нигде не могу с вами не согласится. Но к середине статьи уже складывается впечатление, что все решается только через пилот)
Тут мы часто сталкиваемся с индивидуальными особенностями заказчиков. Кто-то принципиально не хочет ставить агентов (ни на контроллеры AD, ни на ПК пользователей), а в некоторых решениях это мешает нормальной работе аутентификации пользователей. Или заказчика смущают требуемые права доступа (типа domain admin) для настройки и работы решения.
Чтобы не писать справочник по работе всех решений, я и предлагаю выбрать 1-2 решения и в рамках пилота понять особенности работы данной фичи у конкурентных решений. Можно и без пилота обойтись, задать вопросы специалистам и получить полный ответ с уточнением всех сценариев и особенностей работы аутентификации между шлюзом и AD.
12. IPS/IDS. Какая периодичность обновления? Скорость обновления и реакции на инциденты ИБ вендором. Есть примеры когда на самые критичные уязвимости вендор пишет сигнатуры месяцами и годами…
Рядовому заказчику, честного и однозначного ответа на столь абстрактный вопрос, к сожалению, не получить. Все врут.
Можно протестировать и за месяц примерно понять. Хотя бы определить тех, кто врет)) и перестать им верить))
14. Блокирование ботнет трафика
Разве, в основном, это не функционал IPS и, от части, url фильтрации?
Всё это, можно сказать, звенья одной цепи, но в часто anti-bot выделяют в отдельный функциональный модуль. Хотя, конечно, IPS и, от части, url фильтрации дополняют этот функционал.
18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское решение
У нас сейчас кто то делает ngfw? Прям вот ngfw? Помню, года полтора назад задавал подобный вопрос одному из именитых российских производителей криптошлюзов — там ближайшие лет 5 не планировалось ничего)
Соглашусь с Вами. Действительно отечественных производителей к полноценным решениям NGFW отнести нельзя. Поправлюсь:
18. ГОСТ VPN. Если вам нужен ГОСТ VPN, скорее всего вы купите российское каналообразующее решение с поддержкой ГОСТ VPN))
Я, искренне, не хочу затевать спор про Statefull Inspection и пакетные фильтры))
epicf4il Спасибо за интересный комментарий.
Интересная статья, но складывается ощущение что намешано все в одну кучу, а критерии сравнения выбраны из всех существующих железок. Сложно представить ГОСТ VPN + DLP в одном флаконе, ибо нафига? Поэтому было бы более корректно убрать NGWF из названия а говорить о просто о выборе устройств сетевой безопасности. В остальном практически все правда.
Хотел бы поделиться собственным опытом внедрения IPS.
В реальности ожидания и возможности существующих IPS разнятся как небо и земля.
Заказчики воспринимают IPS как некий сетевой антивирус, который поставил забыл, а он тебе хакеров гоняет, но это далеко не так, с IPS-сом нужно реально постоянно возится более того, существующие системы ловят довольно мало атак,
На пилоте (для себя) проводил следующий тест. Взял железку за несколько десятков килобаксов (импортную с сертификатом ФСТЭК) и подключил ее в разрыв между компом-жертвой и остальной сетью. Обновил сигнатуры и все их активировал. На жертве поставил Windows XP без обновлений + Damn Vulnerable Web App + WireShark (для того, чтобы смотреть что получится), дальше были следующие тесты
1. ARP poioning жертвы — атака прошла
2. SQL-inj и другие типовые атаки DVWA — все атаки прошли
3. TCP Syn flood (атака прошла)
4. HTTP Slow lories (атака прошла)
5. metasplote MS08_067 эксплойт (атака не прошла).
В результате тестов обнаружились следующие ложные срабатывания:
1. Авторизация с жертвы в домне проходила только с 6 раза
2. Печать на сетевых принтерах стала полностью невозможной.
Наверно, железку и правила можно было запилить так, чтоб все было хорошо, но этим надо заниматься и заниматься постоянно. Для небольших компаний более предпочтительными будет качественный аутсорс подобных услуг нежели покупка девайса. Для тех кто хочет все сам к каждой такой железке нужно будет брать на работу инженера.
Мы же для себя решили отказать от коммерческих IPS в пользу open source. Ведь если и с тем и с другим надо одинаково возится то зачем тогда отдавать килобаксы?
Хотел бы поделиться собственным опытом внедрения IPS.
В реальности ожидания и возможности существующих IPS разнятся как небо и земля.
Заказчики воспринимают IPS как некий сетевой антивирус, который поставил забыл, а он тебе хакеров гоняет, но это далеко не так, с IPS-сом нужно реально постоянно возится более того, существующие системы ловят довольно мало атак,
На пилоте (для себя) проводил следующий тест. Взял железку за несколько десятков килобаксов (импортную с сертификатом ФСТЭК) и подключил ее в разрыв между компом-жертвой и остальной сетью. Обновил сигнатуры и все их активировал. На жертве поставил Windows XP без обновлений + Damn Vulnerable Web App + WireShark (для того, чтобы смотреть что получится), дальше были следующие тесты
1. ARP poioning жертвы — атака прошла
2. SQL-inj и другие типовые атаки DVWA — все атаки прошли
3. TCP Syn flood (атака прошла)
4. HTTP Slow lories (атака прошла)
5. metasplote MS08_067 эксплойт (атака не прошла).
В результате тестов обнаружились следующие ложные срабатывания:
1. Авторизация с жертвы в домне проходила только с 6 раза
2. Печать на сетевых принтерах стала полностью невозможной.
Наверно, железку и правила можно было запилить так, чтоб все было хорошо, но этим надо заниматься и заниматься постоянно. Для небольших компаний более предпочтительными будет качественный аутсорс подобных услуг нежели покупка девайса. Для тех кто хочет все сам к каждой такой железке нужно будет брать на работу инженера.
Мы же для себя решили отказать от коммерческих IPS в пользу open source. Ведь если и с тем и с другим надо одинаково возится то зачем тогда отдавать килобаксы?
imbasoft спасибо за комментарий
Постараюсь прокомментировать и пояснить ход моих мыслей
Да, согласен. ГОСТ VPN + DLP редкая экзотика, хотя встречаются такие инсталляции, соорудить можно.) Суть в другом, что если нужен ГОСТ VPN, скорее всего это будут одни решения, если нужна DLP на борту или интеграция с существующей DLP системы, то тут уже будут другие решения и вендора. Основная цель статьи, составить максимально исчерпывающие критерии(вопросы для подумать), чтобы конечный заказчик смог сформулировать свои желания и требования к системы и обратил бы свое внимание на тонкие места, которые часто не очевидны.
По второй части комментария про IPS, готов подписаться под каждым словом. Многие думают, вернее их маркетинговым булшитом заставляют так думать, что поставил IPS, обновил и в полной безопасности. Это не так.
Абсолютная правда. IPS надо заниматься, понимать где какие сервисы, отчего их надо защищать, а какие сигнатуры надо просто выключить. Пример, если у вас нет Citrix, то смысл проверять трафик сигнатурами для защиты атак через уязвимость в Citrix.
Это прекрасный пример. Спасибо. Всё так и есть. Почти все эти сигнатуры в большинстве NGFW выключены по умолчанию или в DETECT режиме работают.
Тут на хабре мы писали, как проверить свой FW. И к нам реально пришли люди с вопросами, мол у нас стоит СР, а проверка в лучшем случае показывает защищенность по 2 параметрам. Потратили килобаксы, а защиты как бы нет. Ровно потому, что партнер им не помог и не объяснил, как эту систему настроить, чтобы она реально защищала, а не просто пропускала через себя трафик. Есть отдельная история, когда заказчик покупает часть функционала, и даже ее не активирует, хотя исправно платит годовые продления(((
Тут повторюсь, очень важно иметь понятный и наглядный интерфейс при работе с IPS политиками и сигнатурами. Иначе это адовая работа по правильной и эффективной настройке безопасности.
С уважением отношусь к вашему решению, но хотел бы высказать личное мнение про такой подход.
open source может быть хорош, при наличие гипер-экспертизы, умении писать свои сигнатуры, и наличие ресурсов и времени для поддержки и настройке-обновлении. Все-таки вендоры предлагающие свои коммерческие продукты имеют тысячные штаты программистов, инженеров плюс ИИ, машинное обучение и тучу технологий, которые изо дня в день находят дыры, пишут сигнатуры и т.д.
Своими силами повторить нечто подобно очень сложно. А большинству конечных потребителей просто не под силу, да и не оправданно это, если честно.
Одно дело правильно настроить существующие сигнатуры и прописать грамотно политики, а другое дело заниматься разработкой и допилкой всей собственной СОВ.
Постараюсь прокомментировать и пояснить ход моих мыслей
Интересная статья, но складывается ощущение что намешано все в одну кучу, а критерии сравнения выбраны из всех существующих железок. Сложно представить ГОСТ VPN + DLP в одном флаконе, ибо нафига? Поэтому было бы более корректно убрать NGWF из названия а говорить о просто о выборе устройств сетевой безопасности. В остальном практически все правда.
Да, согласен. ГОСТ VPN + DLP редкая экзотика, хотя встречаются такие инсталляции, соорудить можно.) Суть в другом, что если нужен ГОСТ VPN, скорее всего это будут одни решения, если нужна DLP на борту или интеграция с существующей DLP системы, то тут уже будут другие решения и вендора. Основная цель статьи, составить максимально исчерпывающие критерии(вопросы для подумать), чтобы конечный заказчик смог сформулировать свои желания и требования к системы и обратил бы свое внимание на тонкие места, которые часто не очевидны.
По второй части комментария про IPS, готов подписаться под каждым словом. Многие думают, вернее их маркетинговым булшитом заставляют так думать, что поставил IPS, обновил и в полной безопасности. Это не так.
Заказчики воспринимают IPS как некий сетевой антивирус, который поставил забыл, а он тебе хакеров гоняет, но это далеко не так, с IPS-сом нужно реально постоянно возится более того, существующие системы ловят довольно мало атак,
Абсолютная правда. IPS надо заниматься, понимать где какие сервисы, отчего их надо защищать, а какие сигнатуры надо просто выключить. Пример, если у вас нет Citrix, то смысл проверять трафик сигнатурами для защиты атак через уязвимость в Citrix.
1. ARP poioning жертвы — атака прошла
2. SQL-inj и другие типовые атаки DVWA — все атаки прошли
3. TCP Syn flood (атака прошла)
4. HTTP Slow lories (атака прошла)
5. metasplote MS08_067 эксплойт (атака не прошла).
Это прекрасный пример. Спасибо. Всё так и есть. Почти все эти сигнатуры в большинстве NGFW выключены по умолчанию или в DETECT режиме работают.
Тут на хабре мы писали, как проверить свой FW. И к нам реально пришли люди с вопросами, мол у нас стоит СР, а проверка в лучшем случае показывает защищенность по 2 параметрам. Потратили килобаксы, а защиты как бы нет. Ровно потому, что партнер им не помог и не объяснил, как эту систему настроить, чтобы она реально защищала, а не просто пропускала через себя трафик. Есть отдельная история, когда заказчик покупает часть функционала, и даже ее не активирует, хотя исправно платит годовые продления(((
Тут повторюсь, очень важно иметь понятный и наглядный интерфейс при работе с IPS политиками и сигнатурами. Иначе это адовая работа по правильной и эффективной настройке безопасности.
Мы же для себя решили отказать от коммерческих IPS в пользу open source. Ведь если и с тем и с другим надо одинаково возится то зачем тогда отдавать килобаксы?
С уважением отношусь к вашему решению, но хотел бы высказать личное мнение про такой подход.
open source может быть хорош, при наличие гипер-экспертизы, умении писать свои сигнатуры, и наличие ресурсов и времени для поддержки и настройке-обновлении. Все-таки вендоры предлагающие свои коммерческие продукты имеют тысячные штаты программистов, инженеров плюс ИИ, машинное обучение и тучу технологий, которые изо дня в день находят дыры, пишут сигнатуры и т.д.
Своими силами повторить нечто подобно очень сложно. А большинству конечных потребителей просто не под силу, да и не оправданно это, если честно.
Одно дело правильно настроить существующие сигнатуры и прописать грамотно политики, а другое дело заниматься разработкой и допилкой всей собственной СОВ.
MBZimin Занятно… я так и не полез в гугл узнать расшифровку «NGFW», но сохранил статью в закладки как пример/памятку/критерии по выбору ПО. Спасибо и удачи! ;)
Отличный обзор! Спасибо!
По поводу производительности. Когда смотрите в datasheet производителя, то смотрите на пакетах какой длины была измерена производительность: ведь скорость работы даже обычного роутера будет отличаться на пакетах 64 байта и 64 000 байт. Что уж тут говорить про NGFW, в нем отличия тоже будут… в 100-1000 раз для одного и того же устройства. Вам продали дорогую железку мирового вендора на 10Гбит/сек? А она тянет максимум 100Мбит/сек антивируса в вашем банке? А вы тестировать пробовали перед покупкой на именно вашем трафике?
Пример: если в datasheet написано, что скорость устройства измерена на UDP пакетах длиной 1514 байт, то если вы уговорите всех своих сотрудников в компании посылать только такие пакеты, то скорость этого межсетевого экрана для вас ясна. ;-)
По поводу производительности. Когда смотрите в datasheet производителя, то смотрите на пакетах какой длины была измерена производительность: ведь скорость работы даже обычного роутера будет отличаться на пакетах 64 байта и 64 000 байт. Что уж тут говорить про NGFW, в нем отличия тоже будут… в 100-1000 раз для одного и того же устройства. Вам продали дорогую железку мирового вендора на 10Гбит/сек? А она тянет максимум 100Мбит/сек антивируса в вашем банке? А вы тестировать пробовали перед покупкой на именно вашем трафике?
Пример: если в datasheet написано, что скорость устройства измерена на UDP пакетах длиной 1514 байт, то если вы уговорите всех своих сотрудников в компании посылать только такие пакеты, то скорость этого межсетевого экрана для вас ясна. ;-)
Sign up to leave a comment.
Как выбрать NGFW или о чем недоговаривают производители?