Установка отличаться ничем не будет.
Как указано в начале статьи, FWBuilder использовали только для удобства настройки. Если кому-то ближе работать c чистым iptables, то пункт с установкой данного ПО можно просто пропустить.
«Основное» ПО (Suricata, FWBuilder и OpenVPN) можно обновить можно через apt-get. Snorby обновляется командой production bundle exec rake snorby:update. Проблемы могут возникнуть с обновлением libnfnetlink, yaml и barnyard2. Поэтому лучше тестировать на совместимость ПО в виртуальной среде перед обновлением «боевой» железки.
А под рукой всегда хорошо держать рабочие конфиги и бэкап всей системы на случай, если что-то пойдет не так.
новые версии ПО — это здорово. но лучше больше конкретики. подумайте о тех, кто будет читать эту статью через пол-года.
Cisco IPS 4240 уже не продается. остальные устройства в тесте точно так же залежались на складе?
На всех железках стояли последние версии прошивок и сигнатур, которые никак не привязываются к самой аппаратной платформе, т.е. прошивка для Cisco IPS 4240 и, например, более новой Cisco IPS 4345 одинаковая (в нашем тесте использовалась версия 7.1(7)E4).
Ну я же заранее не знаю какие виды атак будут осуществлятся атакующими? Естественно я включу все сигнатуры!
Вы знаете, что Вы защищаете, из этого и надо исходить. Например, если Вы защищаете веб-портал + почту, то сигнатуры атак на СУБД Oracle, VoIP и другие «лишние» сервисы можно отключить. За счет выбора только актуальных сигнатур можно существенно повысить производительность железки.
Вообще я думал что обновление базы сигнатур включая написание новых под новые атаки это задача производителя железа, я за это деньги и плачу.
Само собой все вендоры выпускают обновления сигнатур для своих продуктов с определенной периодичностью. Но никто не мешает Вам написать сигнатуру под новую атаку, зачастую это будет быстрее, чем ждать очередного обновления от вендора. Также в случае, если у Вас развернут какой-то самописный или очень редкий и экзотический сервис, то сигнатуру лучше написать самому.
Настройка IPS заключается в следующем:
1. Выбор актуальных дефолтных сигнатур под конкретную инфраструктуру.
2. Настройка параметров дефолтных сигнатур (трешхолды, счетчики срабатываний и т.п.).
3. Написание собственных сигнатур под конкретные атаки.
Мы интегратор. На вскидку, из последней сотни компаний разного размера, с которыми работали наши спецы и у которых был IPS, процентов 70-80 были в таком состоянии. Думаю, у всех интеграторов примерно такая статистика.
Если бы мы попробовали сравнить настроенные IPS, то это было бы уже сравнение скорее не качеств IPS, а мастерства инженеров. Очень субъективно бы получилось. Да и в условиях, когда к большинству современных IPS можно писать свои сигнатуры, понятие «настроенной» IPS совсем расплывается.
В реальном мире в 80% организаций у нас в стране IPS работают именно в таком режиме, как описано в статье. Поэтому мы решили, что такое сравнение может пригодиться.
Подскажите пожалуйста, какой тип топлива используется на «Волге»? Нашел информацию о том, что разработчики использовали наработки по двигателям для спутников. То есть это не керосин-кислород, надо полагать.
Спасибо за ссылку на презентацию. Добавлю в статью, как пример критики сертификации.
По сути дискуссии:
В США не случайно такое количество CISSP. Там эта сертификация является обязательной для многих позиций в области ИБ в коммерческом секторе и особенно в государственном. Как наши чиновники не могут занять определенную позицию без корочки о высшем образовании, так и у них с сертификатом CISSP. У меня лично это вызывает уважение к их гос. структурам.
Коллеги обсуждают в начале, что лучше сдать, чтобы иметь успех при поиске работы. Сравнивают Comptia Sec +, CISSP и т.п. Данная дискуссия практически не актуальна для России и СНГ. У нас требование по наличию сертификата CISSP, тем более обязательное, встретить в описании вакансии непросто, тем более для госов.
Графики и цифры анализа рынка труда, которые приводятся в презентации как аргументы против CISSP, — просто мечта для России. Если бы у нас было что-то подобное, то число сертифицированных спецов измерялось бы тысячами.
Все детали холливара в LinkdIn комментировать, думаю, смысла нет. О таких битвах я писал в статье. Их наличие лишний раз доказывает популярность сертификации.
Надеюсь, я ответил на ваш вопрос. Если вы хотите, чтобы я прокомментировал еще какие-то моменты данной дискуссии, — не проблема. Укажите, что именно вам интересно.
Да, такого близко знакомства с ручающимся за вас CISSP не требуется:)
Например, мой босс, когда сдавал CISSP, попросил поручиться за него коллегу из Cisco (он как раз незадолго до этого сдавал CCIE Security да и вообще плотно общался с ребятами из этой компании). Это вполне нормальная практика.
Вы просто читаете мои мысли: как раз подумал о том, что надо было в статье это отметить.
Раньше сдача была на бумаге пару раз в год. Записывались заранее на случай нехватки мест. Поэтому тогда не успевать было легко: дата была четко определена.
Сейчас же реально зарегистрироваться в последний момент. Но мое мнение на этот счет следующее: первое, что вы должны сделать при подготовке, это прикинуть план работы и заказать экзамен. Конкретная дата очень бодрит и не дает расслабиться. Иначе подготовка может затянуться навечно. Пока повторяешь один домен, другой уже начинает забываться.
По поводу оценки CISSP:
Я и мои знакомые не пользовались услугами ISC2 по поиску CISSP для поручительства. Да и судя по форумам, большинство находят таких специалистов среди коллеги или знакомых. У вас совсем никого нет?
CISSP должен подтвердить данные, которые вы предоставили. То есть он должен уметь читать на русском, иметь возможность поговорить с вашим прошлым/нынешним работодателем и т.п.
Справедливо.
Вероятно, меня не напрягала Харрис, потому что ее я читал до подготовки совершенно расслабленно, просто как интересную книжку. Затем использовал ее последние издание для прояснения моментов, которые не до конца понял в официальном гайде.
Вопросы от Шон (в блоге Орлова) неплохие, но не так похожи на настоящие вопросы экзамена, как вопросы от cccure.org. Тем не менее, для того чтобы определить свой уровень подготовки по домену до прочтения, думаю, они вполне подходят.
Эрика Конрада часто хвалят именно за то, что он пишет «по делу». В противоположность Шон Харрис. Тут дело вкуса. Меня лично не очень напрягали ее лирические отступления, а какие-то главы я просто пробегал наискосок. Шон пытается объяснить подробно все для читателей разного уровня. Вас напрягло объяснение работы FTP-сервера, а для кого-то главы про датчики движения и огнетушители могут показаться очевидными и излишне подробными. Развернутые примеры помогают запоминать сухие концепции и классификации гораздо легче.
В защиту трудов Харрис можно сказать и то, что очень многие с первого раза сдают экзамен, прочитав только ее книгу и ничего более. Это хороший аргумент в ее пользу.
Ваш подход (Конрад + внеклассное чтение) кажется мне удачным. Налегайте на пробные вопросы и оставьте побольше времени на повторение в самом конце — и сертификация ваша.
Приятной подготовки и удачи на экзамене!
Когда писал статью, старался вспоминать, какую информацию сам искал при подготовке. Поэтому, надеюсь, она и вам пригодится.
Сертификация толковая, рекомендую:)
Как указано в начале статьи, FWBuilder использовали только для удобства настройки. Если кому-то ближе работать c чистым iptables, то пункт с установкой данного ПО можно просто пропустить.
apt-get. Snorby обновляется командойproduction bundle exec rake snorby:update. Проблемы могут возникнуть с обновлением libnfnetlink, yaml и barnyard2. Поэтому лучше тестировать на совместимость ПО в виртуальной среде перед обновлением «боевой» железки.А под рукой всегда хорошо держать рабочие конфиги и бэкап всей системы на случай, если что-то пойдет не так.
На всех железках стояли последние версии прошивок и сигнатур, которые никак не привязываются к самой аппаратной платформе, т.е. прошивка для Cisco IPS 4240 и, например, более новой Cisco IPS 4345 одинаковая (в нашем тесте использовалась версия 7.1(7)E4).
Вы знаете, что Вы защищаете, из этого и надо исходить. Например, если Вы защищаете веб-портал + почту, то сигнатуры атак на СУБД Oracle, VoIP и другие «лишние» сервисы можно отключить. За счет выбора только актуальных сигнатур можно существенно повысить производительность железки.
Само собой все вендоры выпускают обновления сигнатур для своих продуктов с определенной периодичностью. Но никто не мешает Вам написать сигнатуру под новую атаку, зачастую это будет быстрее, чем ждать очередного обновления от вендора. Также в случае, если у Вас развернут какой-то самописный или очень редкий и экзотический сервис, то сигнатуру лучше написать самому.
1. Выбор актуальных дефолтных сигнатур под конкретную инфраструктуру.
2. Настройка параметров дефолтных сигнатур (трешхолды, счетчики срабатываний и т.п.).
3. Написание собственных сигнатур под конкретные атаки.
В реальном мире в 80% организаций у нас в стране IPS работают именно в таком режиме, как описано в статье. Поэтому мы решили, что такое сравнение может пригодиться.
Если есть какие-то мысли/советы по теме материала, рад буду добавить в статью.
По сути дискуссии:
В США не случайно такое количество CISSP. Там эта сертификация является обязательной для многих позиций в области ИБ в коммерческом секторе и особенно в государственном. Как наши чиновники не могут занять определенную позицию без корочки о высшем образовании, так и у них с сертификатом CISSP. У меня лично это вызывает уважение к их гос. структурам.
Коллеги обсуждают в начале, что лучше сдать, чтобы иметь успех при поиске работы. Сравнивают Comptia Sec +, CISSP и т.п. Данная дискуссия практически не актуальна для России и СНГ. У нас требование по наличию сертификата CISSP, тем более обязательное, встретить в описании вакансии непросто, тем более для госов.
Графики и цифры анализа рынка труда, которые приводятся в презентации как аргументы против CISSP, — просто мечта для России. Если бы у нас было что-то подобное, то число сертифицированных спецов измерялось бы тысячами.
Все детали холливара в LinkdIn комментировать, думаю, смысла нет. О таких битвах я писал в статье. Их наличие лишний раз доказывает популярность сертификации.
Надеюсь, я ответил на ваш вопрос. Если вы хотите, чтобы я прокомментировал еще какие-то моменты данной дискуссии, — не проблема. Укажите, что именно вам интересно.
По моему мнению, Дмитрию за этот труд надо поставить памятник.
Например, мой босс, когда сдавал CISSP, попросил поручиться за него коллегу из Cisco (он как раз незадолго до этого сдавал CCIE Security да и вообще плотно общался с ребятами из этой компании). Это вполне нормальная практика.
Вы используете cccure.org, диск Харрис или что-то еще?
Раньше сдача была на бумаге пару раз в год. Записывались заранее на случай нехватки мест. Поэтому тогда не успевать было легко: дата была четко определена.
Сейчас же реально зарегистрироваться в последний момент. Но мое мнение на этот счет следующее: первое, что вы должны сделать при подготовке, это прикинуть план работы и заказать экзамен. Конкретная дата очень бодрит и не дает расслабиться. Иначе подготовка может затянуться навечно. Пока повторяешь один домен, другой уже начинает забываться.
По поводу оценки CISSP:
Я и мои знакомые не пользовались услугами ISC2 по поиску CISSP для поручительства. Да и судя по форумам, большинство находят таких специалистов среди коллеги или знакомых. У вас совсем никого нет?
CISSP должен подтвердить данные, которые вы предоставили. То есть он должен уметь читать на русском, иметь возможность поговорить с вашим прошлым/нынешним работодателем и т.п.
Вероятно, меня не напрягала Харрис, потому что ее я читал до подготовки совершенно расслабленно, просто как интересную книжку. Затем использовал ее последние издание для прояснения моментов, которые не до конца понял в официальном гайде.
Вопросы от Шон (в блоге Орлова) неплохие, но не так похожи на настоящие вопросы экзамена, как вопросы от cccure.org. Тем не менее, для того чтобы определить свой уровень подготовки по домену до прочтения, думаю, они вполне подходят.
Эрика Конрада часто хвалят именно за то, что он пишет «по делу». В противоположность Шон Харрис. Тут дело вкуса. Меня лично не очень напрягали ее лирические отступления, а какие-то главы я просто пробегал наискосок. Шон пытается объяснить подробно все для читателей разного уровня. Вас напрягло объяснение работы FTP-сервера, а для кого-то главы про датчики движения и огнетушители могут показаться очевидными и излишне подробными. Развернутые примеры помогают запоминать сухие концепции и классификации гораздо легче.
В защиту трудов Харрис можно сказать и то, что очень многие с первого раза сдают экзамен, прочитав только ее книгу и ничего более. Это хороший аргумент в ее пользу.
Ваш подход (Конрад + внеклассное чтение) кажется мне удачным. Налегайте на пробные вопросы и оставьте побольше времени на повторение в самом конце — и сертификация ваша.
Приятной подготовки и удачи на экзамене!
Когда писал статью, старался вспоминать, какую информацию сам искал при подготовке. Поэтому, надеюсь, она и вам пригодится.
Сертификация толковая, рекомендую:)