• Анализ сетевого трафика и базовый траблшутинг (бесплатный видео курс)

    • Tutorial

    Прошло уже почти два года с момента публикации моего последнего курса и наконец я опять в деле! Как и прежде, весь контент на ресурсе NetSkills предназначен для подготовки начинающих инженеров. Этот курс не стал исключением и посвящен основам анализа трафика и базовому траблшутингу с помощью таких популярнейших инструментов как tcpdump и wireshark! Одна из важнейших тем, которая совершенно точно пригодится любому сетевику, админу или даже безопаснику. Я бы рекомендовал приступать к этому курсу только после окончания Курса молодого бойца, т.к. данный материал предполагает, что вы понимаете базовые принципы работы компьютерных сетей. В этом же курсе мы погрузимся в детальное изучение работы стэка TCP/IP - тема, которую многие старательно избегают. Однако, по завершению курса вы получите знания и навыки, которые выведут ваше понимание сетей на принципиально новый уровень. Вы поймете саму суть работы сетей и что важнее - научитесь видеть проблемы в ее работе.

    Повторюсь, мы будем анализировать трафик с помощью утилит tcpdump и wireshark, которые уже давно являются стандартом в мире анализа и траблшутинга. Вы просто обязаны уметь ими пользоваться! При этом большинство использует их от силы на 10% от возможностей (если вообще используют). Я же постараюсь научить вас это делать, как профессионалы.

    Читать далее
  • Multifactor — российская система многофакторной аутентификации

      Долгое время считалось, что классический метод аутентификации, основанный на комбинации логина и пароля, весьма надёжен. Однако сейчас утверждать такое уже не представляется возможным. Всё дело — в человеческом факторе и наличии у злоумышленников больших возможностей по «угону» пароля. Не секрет, что люди редко используют сложные пароли, не говоря уже о том, чтобы регулярно их менять. К сожалению, является типичной ситуация, когда для различных сервисов и ресурсов применяется один и тот же пароль. Таким образом, если последний будет подобран посредством брутфорса или украден с помощью фишинговой атаки, то у злоумышленника появится доступ ко всем ресурсам, для которых применялся этот пароль. Для решения описанной проблемы можно использовать дополнительный фактор проверки личности. Решения, основанные на таком методе, называются системами двухфакторной аутентификации (two-factor authentication, 2FA) или многофакторной аутентификации (multi-factor authentication, MFA). Одним из таких решений является Multifactor от компании «Мультифактор». Эта система позволяет выбрать в качестве второго фактора один из следующих инструментов: аппаратный токен, SMS-сообщения, звонки, биометрию, UTF, Google Authenticator, «Яндекс.Ключ», Telegram или мобильное приложение. Необходимо добавить, что данное решение предлагается только в качестве сервиса, когда у заказчика устанавливаются лишь программные агенты, а ядро системы размещается на стороне вендора, избавляя таким образом специалистов заказчика от проблем с внесением изменений в инфраструктуру и решением вопросов по организации канала связи с провайдерами для приёма звонков и SMS-сообщений.

      Читать далее
    • Honeypot vs Deception на примере Xello

        На Хабре уже есть несколько статей про технологии Honeypot и Deception (1 статья, 2 статья). Однако, до сих пор мы сталкиваемся с непониманием разницы между этими классами средств защиты. Для этого наши коллеги из Xello Deception (первый российский разработчик Deception платформы) решили подробно описать отличия, преимущества и архитектурные особенности этих решений.

        Разберемся что же такое ханипоты и десепшены:

        Читать далее
        • +18
        • 4.3k
        • 1
      • Check Point Gaia R81 теперь EA. Первый взгляд



          Новая версии Gaia R81 была опубликована в ранний доступ (EA). Ранее можно было ознакомиться с планируемыми новшествами в release notes. Теперь же у нас появилась возможность посмотреть на это в реальной жизни. Для этого была собрана стандартная схема с выделенным сервером управления и шлюзом. Естественно мы не успели провести все полноценные тесты, но зато готовы поделиться тем, что сразу же бросается в глаза при знакомстве с новой системой. Под катом основные моменты которые мы выделили при первом знакомстве с системой (много картинок).
          Читать дальше →
        • SIGRed — новая критическая уязвимость в Windows Server. Как защититься?



            Буквально на днях эксперты Check Point обнаружили новую уязвимость в DNS серверах на базе Windows. Т.е. в опасности практически каждая корпоративная сеть. Имя этой уязвимости — CVE-2020-1350 | Windows DNS Server Remote Code Execution Vulnerability. CVSS Score — 10.0. По утверждению Microsoft уязвимости подвержены абсолютно все версии Windows Server.
            Уязвимость нацелена на переполнение буфера и практически не требует участия юзера. Под катом вы найдете видео с реализацией этой атаки, ее подробное описание, а самое главное, как обезопасить себя прямо сейчас.
            Читать дальше →
            • +13
            • 9.3k
            • 3
          • Как проверить IPS? Infection Monkey vs Check Point



              Три года назад мы публиковали статью “Online инструменты для простейшего Pentest-а”. Там мы рассказали про доступные и быстрые способы проверки защиты вашего периметра сети с помощью таких инструментов как Check Point CheckMe, Fortinet Test Your Metal и т.д. Но иногда требуется более серьезный тест, когда хочется “пошуметь” уже внутри сети (и желательно безопасно для инфраструктуры). Для этой цели может быть весьма полезным такой бесплатный инструмент как Infection Monkey. Для примера, мы решили просканировать сеть через шлюз Check Point и посмотреть, что увидит IPS. Хотя ничто не мешает вам провести аналогичный опыт и с другими решениями, чтобы проверить, как отрабатывает ваша IPS система или NGFW. Результаты под катом.
              Читать дальше →
            • Check Point SandBlast Agent. Что нового?



                Мы уже опубликовали огромное кол-во обучающих материалов по Check Point. Однако, тема защиты рабочих станций с помощью Check Point SandBlast Agent пока освещена крайне плохо. Мы планируем исправиться и в ближайшее время создать обучающие курсы по этому продукту, который является одним из лидеров сегмента EDR несколько лет подряд. А пока, делимся информацией о новых возможностях агента, которые появились в версии E83.10. Спойлер — появилась бета версия под LINUX и новая облачная “управлялка”.
                Читать дальше →
              • Check Point Learning Path. Бесплатные ресурсы для самостоятельного обучения

                • Tutorial


                Мы уже опубликовали довольно много материалов по Check Point, есть даже специальная статья, где собраны все публикации “Check Point. Подборка полезных материалов от TS Solution”. Однако, как это часто бывает при наличии большого кол-ва информации, почти всегда встает вопрос: “А с чего начинать изучение, если ты начал осваивать Check Point с нуля?”. Мы регулярно слышим подобное от наших клиентов. Кроме того, у нас регулярно проходят стажировку молодые специалисты, которых мы обучаем по уже “накатанному” сценарию. Мы решили поделиться этой методикой и рассказать, как можно довольно быстро, а главное последовательно освоить азы работы с Check Point. Кому это может понадобиться? Я выделил 3 категории “студентов”:

                1. Получение новых навыков для смены работы (или первой работы);
                2. Продвижение по карьерной лестнице на текущем рабочем месте;
                3. Администрирование решений Check Point, которые были установлены в вашу сеть (при этом средств на обучение не выделили или их не хватило).

                Если вы относите себя к одной из этих категорий, то добро пожаловать под кат!
                Читать дальше →
              • 6. Масштабируемая платформа Check Point Maestro стала еще доступнее. Новые шлюзы Check Point



                  Ранее мы уже писали, что с появлением Check Point Maestro, уровень входа (в денежном выражении) в масштабируемые платформы значительно снизился. Больше нет необходимости в приобретении шасси-решений. Берете ровно столько, сколько вам нужно и добавляете по необходимости без больших первоначальных затрат (как в случае с шасси). Как это делается можно посмотреть здесь. Долгое время к заказу были доступны всего несколько бандлов — 6500, 6800 и 23800. И вот, в этом году, Check Point презентовал новые и более производительные модели шлюзов — Quantum. В результате новый минимальный бандл с одним оркестратором (MHO140) и двумя шлюзами (6200 Plus) подешевел более чем в два раза! Это позволяет компаниям практически любых размеров использовать масштабируемые решения без завышенных первоначальных затрат. Давайте рассмотрим новые модели чуть подробнее.
                  Читать дальше →
                • Имитация целенаправленных кибератак, Red Team, Pentest, сканирование уязвимостей. Плюсы и минусы различных методов



                    В данной статье мы попытаемся сделать небольшое сравнение различных способов тестирования безопасности вашей сети и понять, есть ли какие-то преимущества у относительно новых BAS (Breach & Attack Simulations) систем, которые имитируют взлом и кибератаки. Для примера, в качестве BAS системы мы возьмем Cymulate, один из лидеров рынка. А сравним мы ее с обычным сканированием уязвимостей, ручным Pentest-ом и сервисом Red Team. Эти инструменты в последнее время набирают все большую популярность и свидетельствуют о массовом переходе «безопасников» от пассивной защиты к активной, что так же свидетельствует в зрелом уровне ИБ.
                    Читать дальше →
                  • Check Point Remote Access VPN — бесплатный курс по настройке удаленного доступа

                    • Tutorial


                    Приветствую, друзья! Добро пожаловать на наш очередной новый курс! Как я и обещал, курс Getting Started был не последним. На этот раз мы будем обсуждать не менее важную тему — Remote Access VPN (т.е. удаленный доступ). С помощью этого курса вы сможете быстро познакомиться с технологиями Check Point в плане организации защищенного удаленного доступа сотрудников. В рамках курса мы, как обычно, будем совмещать теоретическую часть с практической в виде лабораторных работ. Кроме демонстрации настройки Check Point мы рассмотрим различные способы подключения удаленных пользователей.
                    Читать дальше →
                    • +12
                    • 11.5k
                    • 4
                  • Защищенный удаленный доступ с помощью решений Check Point + бесплатные лицензии



                      Про организацию удаленного доступа за последние пару недель не написал только ленивый. Многие производители предоставили бесплатные лицензии для Remote Access VPN. Check Point не остался в стороне и предоставляет возможность в течение 2-х месяцев бесплатно использовать их продукты для:

                      1. организации удаленного доступа;
                      2. защиты рабочих станций удаленных пользователей;
                      3. защиты смартфонов.

                      В этой небольшой статье вы найдете всю необходимую информацию об этих продуктах и как получить бесплатные лицензии.
                      Читать дальше →
                    • 5. Часто задаваемые вопросы по Check Point Maestro (FAQ)



                        Мы опубликовали уже 4 статьи (1, 2, 3 и 4) по Check Point Maestro, где довольно подробно расписали предназначение и различные сценарии использования этого продукта. В связи с этим, нас довольно часто и много спрашивают по поводу данного решения. Большинство задает примерно те же вопросы. Поэтому мы решили оформить небольшой список наиболее часто задаваемых вопросов — FAQ. Надеюсь кому-то это поможет сэкономить время.

                        В первую очередь, стоит отметить, что есть официальный sk147853 — Maestro Frequently Asked Questions (FAQs), где все довольно подробно. Это основной ресурс, которым точно стоит пользоваться. Мы же приведем свой топ вопросов, со своими, не столь лаконичными, комментариями.
                        Читать дальше →
                      • Check Point WatchTower — управляем NGFW со смартфона

                        • Tutorial


                        Добрый день, сегодня хотелось бы затронуть тему оборудования для малого бизнеса и офисов до 150-300 пользователей. Современные угрозы безопасности требуют осуществлять защиту периметра сети вне зависимости от масштаба предприятия. компания CheckPoint предлагает целый ряд продуктов серии именно под эти задачи: 1400 cерия, 1500 серия. Оборудование (SMB) поставляется со специально разработанной версией Gaia Embedded (для ARM архитектуры), имеет свои особенности в настройке и взаимодействии с администратором. Управление может осуществляться как локально, то есть непосредственно через сам Security Gateway (с помощью Web-интерфейса), так и централизованно — с помощью отдельного Management Server (через SmartConsole).

                        Возможно, для вас станет новостью появление третьего варианта по управлению вашим шлюзом, с помощью смартфона. CheckPoint WatchTower позволяет подключаться к вашему Security Gateway с помощью специального мобильного приложения.
                        Читать дальше →
                      • Применение Flowmon Networks для контроля производительности распределенных приложений и баз данных



                          Статью подготовил Dmitriy Andrichenko | Sales Executive, Russia & CIS | Flowmon Networks

                          Приветствуем Вас на странице нашей новой статьи, посвященной решению задач контроля производительности распределенных сетевых приложений и баз данных. Данная статья является продолжением цикла публикаций, посвященных решениям компании Flowmon Networks и, в частности, продолжением обзора «Сетевой мониторинг и выявление аномальной сетевой активности» с применением технологий безсигнатурного анализа.
                          Итак, начнем, но в начале скажем пару слов о компании Flowmon Networks и проблематике вопроса.

                          Для тех, кому лень читать, в ближайшее время состоится вебинар по решениям Flowmon Networks.
                          Читать дальше →
                        • 1. CheckFlow — быстрый и бесплатный комплексный аудит внутреннего сетевого трафика с помощью Flowmon

                          • Tutorial


                          Добро пожаловать на наш очередной мини курс. На этот раз мы поговорим о нашей новой услуге — CheckFlow. Что это такое? По сути, это просто маркетинговое название бесплатного аудита сетевого трафика (как внутреннего, так и внешнего). Сам аудит производится с помощью такого замечательного инструмента как Flowmon, которым может воспользоваться абсолютно любая компания, бесплатно, в течении 30 дней. Но, я уверяю, что уже после первых часов тестирования, вы начнете получать ценную информацию о своей сети. Причем эта информация будет ценной как для сетевых администраторов, так и для «безопасников». Что ж, давайте обсудим, что это за информация и в чем ее ценность (В конце статьи как обычно видеоурок).
                          Читать дальше →
                        • 4. Анализ зловредов с помощью форензики Check Point. CloudGuard SaaS



                            Мы добрались до последнего продукта из нашего цикла статей по форензике от Check Point. На этот раз речь пойдет об облачной защите. Трудно представить компанию, которая не использует облачные сервисы (так называемый SaaS). Office 365, GSuite, Slack, Dropbox и т.д. И наибольший интерес здесь представляет облачная электронная почта и облачное файловое хранилище. То, чем каждый день пользуются наши сотрудники. Однако, облачные сервисы находятся вне нашей сети и периметр для них отсутствует, как таковой. Это, в свою очередь, очень сильно повышает вероятность атаки на наших пользователей. Вариантов защиты для облачных приложений не так уж и много. Ниже мы рассмотрим решение Check Point CloudGuard SaaS, от чего он защищает и, самое главное, какую форензику и отчетность предоставляет. Это может быть интересно тем, кто хочет провести аудит безопасности своих облачных сервисов.
                            Читать дальше →
                          • 3. Анализ зловредов с помощью форензики Check Point. SandBlast Mobile



                              Добро пожаловать в третью статью нашего цикла по форезнике от Check Point. На этот раз мы рассмотрим SandBlast Mobile. Мобильные устройства уже давно стали частью нашей жизни. В смартфонах наша работа, наш досуг, развлечения, личные данные. Про это знают и злоумышленники. Согласно отчету Check Point за 2019 год, три самых распространенных вектора атаки на пользователей:

                              • Email (вредоносные вложения, ссылки);
                              • Web (вирусное ПО, фишинг);
                              • Smartphones (вредоносные приложения, поддельные WiFi сети, фишинг).

                              Первые два вектора мы можем закрыть уже рассмотренными SandBlast Network и SandBlast Agent. Остаются смартфоны, угрозы для которых все чаще фигурируют в новостях. Для защиты этого вектора атаки у Check Point есть специализированное решение — SandBlast Mobile. Ниже мы рассмотрим форензику, которую мы можем получить при расследовании инцидентов на мобильных устройствах.
                              Читать дальше →
                            • 2. Анализ зловредов с помощью форензики Check Point. SandBlast Agent



                                Продолжаем наш цикл статей по форензике от Check Point. В предыдущей статье мы рассмотрели новый отчет сетевой песочницы, которая помогает ловить 0-day атаки на периметре сети. К сожалению (для “безопасников”), периметр уже давно потерял четкие границы. Мобильные устройства, BYOD, “флешки”, облачные сервисы — все это создает дополнительные “дыры” в защите корпоративной сети. Именно поэтому форензика важна не только на периметре, но и на рабочих станциях ваших пользователей. Данная форензика даже важнее, т.к. вы будете исследовать зловреды, которые уже проникли к вам в сеть. Хочется понимать, через какой канал они проникли (интернет, “флешка”, файловый обменник, электронная почта, корпоративный чат), уязвимость в каком ПО использовали, какие данные могли пострадать и т.д. Это и многое другое позволяет увидеть Check Point SandBlast Agent. О нем и пойдет речь.
                                Читать дальше →
                              • 1. Анализ зловредов с помощью форензики Check Point. SandBlast Network



                                  Добро пожаловать на новый цикл статей, на этот раз по теме расследования инцидентов, а именно — анализу зловредов с помощью форензики Check Point. Ранее мы публиковали несколько видео уроков по работе в Smart Event, но на этот раз мы рассмотрим отчеты форензики по конкретным событиям в разных продуктах Check Point:


                                  Почему важна форензика предотвращенных инцидентов? Казалось бы, поймал вирус, уже хорошо, зачем с ним разбираться? Как показывает практика, атаку желательно не просто блокировать, но и понимать, как именно она работает: какая была точка входа, какая использовалась уязвимость, какие процессы задействованы, затрагивается ли реестр и файловая система, какое семейство вирусов, какой потенциальный ущерб и т.д. Эти и другие полезные данные можно получить в исчерпывающих отчетах форензики Check Point (как в текстовом, так и графическом виде). Получить такой отчет вручную очень трудно. Затем эти данные могут помочь принять нужные меры и исключить возможность успеха подобных атак в будущем. Сегодня мы рассмотрим отчет форензики Check Point SandBlast Network.
                                  Читать дальше →