Модель будет обучаться только для вашего инстанса. Если критично, чтобы логи не сливались в облако - можно не подключать агенты к облаку, а собирать события на свой сервер для анализа.
1) Как дополнение к FW система IDPS может быть очень полезна даже для веб-сервера, т.к. позволит выявлять скан, брутфорс и, например, применение эксплойтов на границе и отбрасывать нежелательные пакеты.
2) Спасибо за идею темы для статьи. Возможно, в скором времени появится :)
Веб-консоль в pfsesne по умолчанию на 443/TCP, на 80/TCP предлагает переключить в процессе настройки wan-интерфейса. Лучшим вариантом будет перевесить админку на нестандартный порт.
В регулярках хороший вариант - описывать подробно шаблон выражения. Слишком широкое выражение допускает намного больший разброс совпадающих значений. В случае с большим количеством логов могут быть пересечения в найденных логах.
В конкретно этом случае соглашусь, допустимо указать Ваш вариант.
На данный момент скорость ограничивает только пропускная способность интерфейса. В будущем у нас будут 10G-интерфейсы, которые обеспечат еще большую скорость в VPN. Производительности выбранного конфига точно хватит.
Давайте по порядку: - Хороший сетевик будет брать другое решение. Да, но в текущей ситуации покупка лицензий может быть невозможна либо очень затруднена, то же самое про поддержку от вендора. К тому же, как показано в сценариях использования, предлагаемое решение можно использовать на железном сервере, что в случае использования виртуального FW, вынуждало бы разворачивать гипервизор на выделенном сервере для разворачивания одной VM, если потребуется защищать сервисы, развернутые на выделенных серверах (усложнение сетевой схемы). - Рядовой пользователь. Для очень маленькой инфраструктуры настроек хостового межсетевого экрана может быть достаточно, но при появлении доп сетевых сервисов - лучше делать что-то отдельное. - Какой-то опытный пользователь. Цель статьи - не очередной мануал по pfsense)
Основная цель - предложить доступную и достойную альтернативу существующим межсетевым экранам. Понятно, что бессмысленно сравнивать предлагаемое решение с мировыми лидерами на топовом железе. Но рассмотрите решение как доступный межсетевой экран на выделенном железе с функционалом pfsense, его стабильностью работы, количеством доступной документации и возможностью масштабирования.
В рамках статьи рассматривается качественное сканирование малого количества IP-адресов с выявлением версий ОС и ПО. Также мы используем дополнительные скрипты для более глубокого анализа защищённости.
В случае быстрого сканирования большого количества хостов лучше zmap, а ещё лучше — masscan.
Спасибо за комментарий, поправил ссылку на архив.
default.conf находится в корне архива.
Модель будет обучаться только для вашего инстанса. Если критично, чтобы логи не сливались в облако - можно не подключать агенты к облаку, а собирать события на свой сервер для анализа.
Отличная формулировка!)
Всё же считаю, что WAF (не конкретно тот, что рассмотрен в статье) должен быть скорее дополнением к работе с безопасностью самого приложения.
Файл тут:
https://disk.yandex.ru/d/FPeSwAeu95DJTA
1) Как дополнение к FW система IDPS может быть очень полезна даже для веб-сервера, т.к. позволит выявлять скан, брутфорс и, например, применение эксплойтов на границе и отбрасывать нежелательные пакеты.
2) Спасибо за идею темы для статьи. Возможно, в скором времени появится :)
Смысл статьи скорее в первоначальной подготовке к использованию. Тонкая настройка и оптимизация безусловно понадобятся в реальном кейсе.
Спасибо за замечание!
Веб-консоль в pfsesne по умолчанию на 443/TCP, на 80/TCP предлагает переключить в процессе настройки wan-интерфейса. Лучшим вариантом будет перевесить админку на нестандартный порт.
Crowdsec - действительно хорошее open source 'продолжение' fail2ban. А bitninja только в полных платных тарифах даёт защиту от Dos.
Несомненно, стоит оценивать критичность защищаемого сервиса и использовать более эффективные распределенные системы очистки трафика
В регулярках хороший вариант - описывать подробно шаблон выражения. Слишком широкое выражение допускает намного больший разброс совпадающих значений. В случае с большим количеством логов могут быть пересечения в найденных логах.
В конкретно этом случае соглашусь, допустимо указать Ваш вариант.
На данный момент скорость ограничивает только пропускная способность интерфейса. В будущем у нас будут 10G-интерфейсы, которые обеспечат еще большую скорость в VPN. Производительности выбранного конфига точно хватит.
Спасибо за комментарий.
Давайте по порядку:
- Хороший сетевик будет брать другое решение.
Да, но в текущей ситуации покупка лицензий может быть невозможна либо очень затруднена, то же самое про поддержку от вендора. К тому же, как показано в сценариях использования, предлагаемое решение можно использовать на железном сервере, что в случае использования виртуального FW, вынуждало бы разворачивать гипервизор на выделенном сервере для разворачивания одной VM, если потребуется защищать сервисы, развернутые на выделенных серверах (усложнение сетевой схемы).
- Рядовой пользователь.
Для очень маленькой инфраструктуры настроек хостового межсетевого экрана может быть достаточно, но при появлении доп сетевых сервисов - лучше делать что-то отдельное.
- Какой-то опытный пользователь.
Цель статьи - не очередной мануал по pfsense)
Основная цель - предложить доступную и достойную альтернативу существующим межсетевым экранам. Понятно, что бессмысленно сравнивать предлагаемое решение с мировыми лидерами на топовом железе. Но рассмотрите решение как доступный межсетевой экран на выделенном железе с функционалом pfsense, его стабильностью работы, количеством доступной документации и возможностью масштабирования.
Для старого nginx как обратного прокси для Apache и без настроенного кэширования очень актуальная ситуация)
В рамках статьи рассматривается качественное сканирование малого количества IP-адресов с выявлением версий ОС и ПО. Также мы используем дополнительные скрипты для более глубокого анализа защищённости.
В случае быстрого сканирования большого количества хостов лучше zmap, а ещё лучше — masscan.