В очередной раз убеждаюсь на сколько сотрудники вендоров далеки от проблем людей, которые реально эксплуатируют системы.
То что пальто добавили десяток сайтов в дефолтный список исключений не решение проблемы. Или вы в режиме реального времени мониторите сайты, которые используют "неправильное" шифрование? Что вы хотите сказать, что используя пало альто не придется вручную прописывать хосты в исключение? Зачем чушь писать?
Минусуют когда публикуют однобокие "исследования". Продолжая вашу тему, сделали бы тест антивирусов на конкретном примере. Сгенерили вирус метасплойтом и таскайте через разные шлюзы по разным пртоколам. Вот это уже будет действительно ценно. Мне было бы интересно.
Идея для статьи хорошая, но вы не довели ее до конца. В чем ценность материала? Свой движок для ngfw это хорошо или плохо? Какие показатели у движков на том же virustotal? Какой вывод надо сделать из приведенной таблички?
План производительности показывает в какой момент времени СХД говорит хосту, что операция записи на диск завершена. Если стоит значение «Производительность», то как только данные попадают в кэш СХД дает ответ хосту, что данные записаны. Если стоит значение «Отказоустойчивость», то СХД ждет пока данные принудительно будут перемещены из кэша на диск и только тогда будет ответ в сторону хоста, что данные записаны.
Поставьте S-terra в DMZ. Внешний линк можно выпустить прямо в интернет, а внутренний в DMZ. Ну а вообще надо смотреть схему. Идеального варианта, который подходил бы всегда и везде — нет.
Что касается Fortigate, то да, у него действительно функционал роутинга более богат, чем Check Point-а. Но если рассматривать security, то на мой субъективный взгляд, Check Point будет получше.
Это были исключительно наши тесты (и реальные внедрения) с железками разных вендоров. К сожалению на тот момент не думали о документировании результатов.
По всему ФЗ или конкретно по межсетевым экранам?) Здесь можно посмотреть все лицензии и сертификаты — rrc.ru/manuf/CP/sert_cp (раздел «Сертификаты ФСТЭК» и «Нотификация ФСБ»).
Вы все верно описали. На текущий момент подключиться с Linux-машин можно только через ssl-exteder (на сколько мне известно). Чисто технически, Check Point поддерживает l2tp, поэтому вроде бы возможно с linux подключаться по l2tp (сам не пробовал).
ПО к сожалению не наше)
Касательно вашего вопроса. Признаться я не вникал так глубоко в эту тем. Могу лишь сказать, что для domain based vpn на менеджемент сервере есть файлик vpn_route.conf если необходима ручная настройка, у него следующая структура:
Destination, Next hop router, Install on Security Gateway
В качестве destination указывается имя объекта, определяющего сети за гейтвеем. Предположу, что внутри менеджемента для настроек из SmartConsole есть похожий файл и в случае full mesh для каждого гейтвея там условно будет список записей, какая сеть за каким гейтвеем и какой гейтвей должен об этом знать. Скорее всего это похоже на описываемое вами. Разница, как мне кажется, может быть именно во второй фазе построение IPSec туннеля, когда начинается согласование сетей. Check Point использует так называемый supernetting, когда объединяет несколько соседних сетей в одну и пытается установить SA сразу для одного супернета, а не двух разных подсетей, тем самым сокращая количество необходимых SA.
К сожалению прокси не является панацеей. Большая часть этих отчетов была получена как раз из сетей, где выход в Инет имеют только прокси и почтовый сервер.
Но в целом, безусловно отключение прямого доступа в интернет для пользователей существенно сужает круг возможностей.
Еще смешнее получается, когда видишь такой же результат при установленном Check Point-е на периметре сети. Тут все тесты абсолютно обычные, без какой либо магии (скачивание файла, перенаправление на другой сайт и так далее). Даже Check Point надо настраивать, чтобы в отчете CheckMe был результат получше.
Вот здесь можете почитать саму методику тестирования.
Мне кажется вы не до конца понимаете смысл теста CheckMe. Браузер тут абсолютно не причем. Ваш пример показывает дырявость вашего пограничного устройства (роутер, firewall), который даже eicar в архиве поймать не может.
По поводу 1000 ботов и других угроз, которые находит CheckUP. Вы же не получаете просто отчет где говорится «у вас боты». У вас абсолютно все логи под руками. Вы можете посмотреть какой именно трафик сгенерировал это событие (когда это было, куда он стучался, по каким портам и так далее).
По гигабайтам тоже самое. Можно посмотреть сессии каждого отдельного ПК и просуммировать, если не верите итоговому отчету.
В целом, если действительно есть интерес, просто разверните у себя в сети, если что, я даже помогу. Потом сможем уже предметно пообщаться.
Зачем это Check Point-у? Надеятся, что в ходе этого аудита вам понравится их продукт и вы захотите его купить. Тем более, что все угрозы которые Check Point находит, он же может и блокировать, в случае если он будет стоять «в разрыв» сети.
В очередной раз убеждаюсь на сколько сотрудники вендоров далеки от проблем людей, которые реально эксплуатируют системы.
То что пальто добавили десяток сайтов в дефолтный список исключений не решение проблемы. Или вы в режиме реального времени мониторите сайты, которые используют "неправильное" шифрование? Что вы хотите сказать, что используя пало альто не придется вручную прописывать хосты в исключение? Зачем чушь писать?
Минусуют когда публикуют однобокие "исследования". Продолжая вашу тему, сделали бы тест антивирусов на конкретном примере. Сгенерили вирус метасплойтом и таскайте через разные шлюзы по разным пртоколам. Вот это уже будет действительно ценно. Мне было бы интересно.
Я бы может и поверил, если бы не работал с palo alto :)
Идея для статьи хорошая, но вы не довели ее до конца. В чем ценность материала? Свой движок для ngfw это хорошо или плохо? Какие показатели у движков на том же virustotal? Какой вывод надо сделать из приведенной таблички?
По поводу 2-й и 3-й части. Постараемся)
Что касается Fortigate, то да, у него действительно функционал роутинга более богат, чем Check Point-а. Но если рассматривать security, то на мой субъективный взгляд, Check Point будет получше.
Касательно вашего вопроса. Признаться я не вникал так глубоко в эту тем. Могу лишь сказать, что для domain based vpn на менеджемент сервере есть файлик vpn_route.conf если необходима ручная настройка, у него следующая структура:
Destination, Next hop router, Install on Security Gateway
В качестве destination указывается имя объекта, определяющего сети за гейтвеем. Предположу, что внутри менеджемента для настроек из SmartConsole есть похожий файл и в случае full mesh для каждого гейтвея там условно будет список записей, какая сеть за каким гейтвеем и какой гейтвей должен об этом знать. Скорее всего это похоже на описываемое вами. Разница, как мне кажется, может быть именно во второй фазе построение IPSec туннеля, когда начинается согласование сетей. Check Point использует так называемый supernetting, когда объединяет несколько соседних сетей в одну и пытается установить SA сразу для одного супернета, а не двух разных подсетей, тем самым сокращая количество необходимых SA.
Но в целом, безусловно отключение прямого доступа в интернет для пользователей существенно сужает круг возможностей.
Вот здесь можете почитать саму методику тестирования.
По поводу 1000 ботов и других угроз, которые находит CheckUP. Вы же не получаете просто отчет где говорится «у вас боты». У вас абсолютно все логи под руками. Вы можете посмотреть какой именно трафик сгенерировал это событие (когда это было, куда он стучался, по каким портам и так далее).
По гигабайтам тоже самое. Можно посмотреть сессии каждого отдельного ПК и просуммировать, если не верите итоговому отчету.
В целом, если действительно есть интерес, просто разверните у себя в сети, если что, я даже помогу. Потом сможем уже предметно пообщаться.