По-моему, у вас в статье не сходятся описания с выполняемыми действиями. В частности принтер баг - это результат эксплуатации другой проблемы, и поэтому вы в конце получили доступ с правами службы печати, а не первоначального пользователя.
Мне кажется, тут истерия из-за ничего. У российский государственных компаний нет возможности (да и зачем платить на сторону) подписывать свои сертификаты иностранными CA. Логичный шаг сделать свой CA. А возможность mitm - ну очень притянута, итак все эти антивирусы интернета так и делают, чтобы искать угрозы в трафике у средне статистического человека и ничего, в браузере это прекрасно видно. Вот если бы был задокументированный факт использования самоподписанного минцифрой сертификата при соединении с каким-нибудь иностранным сайтом, тогда это бы уже было интересно.
Добрый вечер, интересная технология, никогда не работал с ней. Т.е. можно выключить RSTP на бридже Микротика и настроить как-то там MLAG и не бояться петель коммутации?
Очень интересный стенд, я давно любил позаниматься с openbts на Motorola мобильниках, о usrp приходилось только мечтать. Как показывает себя в работе китайский аналог, были ли танцы с бубном по его интеграции в проект? Насколько стенд можно непрерывно эксплуатировать хотя бы в лабораторных условиях ?
Спасибо за перевод. В статье не хватает информации от автора, касательно почему продолжается поиск файла по маскам .exe, .exe.exe, .com и т.д. Такое исследование мат части может привести к более углубленному подниманию материала и обнаружением новых возможностей для закрепления.
Может ли ваш продукт выявлять vpn и другие туннели, в том числе vless и shadowsocks? Это особенно интересно в контексте каналов C2 и внутренних нарушителей.
Согласен со всем. Однако повторюсь, NGFW стоящей именно в разрыве сети - это то, что является отличной точкой отказа. Может есть смысл архитектурно делать эти штуки так, что часть NGFW супер быстро разруливает трафик, а вторая его часть получает зеркальный трафик по span и уже занимается тем, о чем вы подробно описали в статье, и тогда высокая утилизация cpu не напрягает сеть и ее пользователей, этакий NGFW+ )
В моей практике связка Suricata классно детектит известные C2 адреса, на которые создаются соединения из защищаемой вами сети. Это не защитит от 0-days С2, однако защитит от много чего того, что уже известно. Другими словами, вам закинули на почту очередной evil-email с pdf, которые поднял канал до известного C2, и этот канал будет прибит. Со всем согласен, что это скорее система на коленках, а не enterprise. Однако перекладывать на плечи роутера (firewall этого задача роутера) фильтровать хорошенько трафик мне тоже не нравится, пусть даже назовем его NG. Задача роутера быстро разрулить все пакеты по соединениям и последующим шлюзам, особенно если там 10Gb, а не пытаться еще все это разобрать, поэтому установка полноценной IPS не в разрыв сети мне больше импонирует.
Предположу, что тут задействован conn track, который умеет прибивать конкретные соединения (в данном случае new). Старый conn track умел только flush все ))
Микротики ближе к сетевым инженерам, чем к безопасникам. А по поводу отражения атак, повторюсь, я парсю лог сурикаты, вытаскиваю от туда ip адреса врагов и через api перенастраиваю роутер. 4 года назад публиковал еще свой shell скрипт, который делает тоже самое (https://habr.com/ru/companies/ruvds/articles/576352).
У меня работает Suricata как IDS (которую, кстати через парсер логов я давно перекрутил в IPS еще на чистом shell-e) через span со switch микротика (это очень оптимально с точки зрения потребления ресурсов - переложить все на голову switch чипа, главное коммутацию по уму выполнить). Ну и соответственно CPU шлюза не перезагружается. Отказоустойчивость на высоте. Мне кажется, не плохой путь.
Понятно. Насколько я понял из статьи, вы хорошо знакомы с отечественными продуктами NGFW. Не подскажете, кто-то поддерживает ipv6 ?
Добрый день, решение работает с ipv6?
У издания есть книга Active Directory - глазами хакера. В чем разница от нее у новой книги?
По-моему, у вас в статье не сходятся описания с выполняемыми действиями. В частности принтер баг - это результат эксплуатации другой проблемы, и поэтому вы в конце получили доступ с правами службы печати, а не первоначального пользователя.
Спасибо за представленный материал, всегда приятно смотреть графики. Подскажите, NGFW умеет работать с ipv6?
Заголовок, получается, вводит в заблуждение. STP никто не подсиживает выходит)
Мне кажется, тут истерия из-за ничего. У российский государственных компаний нет возможности (да и зачем платить на сторону) подписывать свои сертификаты иностранными CA. Логичный шаг сделать свой CA. А возможность mitm - ну очень притянута, итак все эти антивирусы интернета так и делают, чтобы искать угрозы в трафике у средне статистического человека и ничего, в браузере это прекрасно видно. Вот если бы был задокументированный факт использования самоподписанного минцифрой сертификата при соединении с каким-нибудь иностранным сайтом, тогда это бы уже было интересно.
Добрый вечер, интересная технология, никогда не работал с ней. Т.е. можно выключить RSTP на бридже Микротика и настроить как-то там MLAG и не бояться петель коммутации?
По-моему, у вас это роутер, а не модем.
Очень интересный стенд, я давно любил позаниматься с openbts на Motorola мобильниках, о usrp приходилось только мечтать. Как показывает себя в работе китайский аналог, были ли танцы с бубном по его интеграции в проект? Насколько стенд можно непрерывно эксплуатировать хотя бы в лабораторных условиях ?
Я не удивлен, для windows хорошо работает обвязка из самой windows инфраструктуры.
К сожалению иллюстрации совсем не читаемые. Ваше решение работает с ipv6?
Спасибо за перевод. В статье не хватает информации от автора, касательно почему продолжается поиск файла по маскам .exe, .exe.exe, .com и т.д. Такое исследование мат части может привести к более углубленному подниманию материала и обнаружением новых возможностей для закрепления.
Может ли ваш продукт выявлять vpn и другие туннели, в том числе vless и shadowsocks? Это особенно интересно в контексте каналов C2 и внутренних нарушителей.
Масштабирование не во всем хорошо)
Согласен со всем. Однако повторюсь, NGFW стоящей именно в разрыве сети - это то, что является отличной точкой отказа. Может есть смысл архитектурно делать эти штуки так, что часть NGFW супер быстро разруливает трафик, а вторая его часть получает зеркальный трафик по span и уже занимается тем, о чем вы подробно описали в статье, и тогда высокая утилизация cpu не напрягает сеть и ее пользователей, этакий NGFW+ )
В моей практике связка Suricata классно детектит известные C2 адреса, на которые создаются соединения из защищаемой вами сети. Это не защитит от 0-days С2, однако защитит от много чего того, что уже известно. Другими словами, вам закинули на почту очередной evil-email с pdf, которые поднял канал до известного C2, и этот канал будет прибит. Со всем согласен, что это скорее система на коленках, а не enterprise. Однако перекладывать на плечи роутера (firewall этого задача роутера) фильтровать хорошенько трафик мне тоже не нравится, пусть даже назовем его NG. Задача роутера быстро разрулить все пакеты по соединениям и последующим шлюзам, особенно если там 10Gb, а не пытаться еще все это разобрать, поэтому установка полноценной IPS не в разрыв сети мне больше импонирует.
Предположу, что тут задействован conn track, который умеет прибивать конкретные соединения (в данном случае new). Старый conn track умел только flush все ))
Микротики ближе к сетевым инженерам, чем к безопасникам. А по поводу отражения атак, повторюсь, я парсю лог сурикаты, вытаскиваю от туда ip адреса врагов и через api перенастраиваю роутер. 4 года назад публиковал еще свой shell скрипт, который делает тоже самое (https://habr.com/ru/companies/ruvds/articles/576352).
У меня работает Suricata как IDS (которую, кстати через парсер логов я давно перекрутил в IPS еще на чистом shell-e) через span со switch микротика (это очень оптимально с точки зрения потребления ресурсов - переложить все на голову switch чипа, главное коммутацию по уму выполнить). Ну и соответственно CPU шлюза не перезагружается. Отказоустойчивость на высоте. Мне кажется, не плохой путь.