DDoS движок включается после определённого количества реквестов
Возможно школоддос не достаёт до этих параметров по умолчанию и не триггерит движок
На бесплатном плане увы мало возможностей подкрутить это, разве что через security - settings - security level и поменять sensitivity для всего ddos ruleset по умолчанию
Как правило ускоряют его работу - кэширование, обработка информации на лету с workers, minify, Argo. Cloudflare также одна из самых хорошо соединённых сетей на планете и большинство провайдеров платит за подключение к ядру напрямую. Например если ваш бэкенд в Digital Ocean, то он будет максимально близко к Cloudflare. Бэкенд почувствует себя гораздо лучше, потому что атаки будут остановленны далеко от него, как можно раньше, и в стране происхождения. Например китайские или американские ботнеты даже не подойдут близко к стране бэкенда
Даркнет это наложенная сеть, а Magic Transit анонсирируют через себя подсети через BGP. Чтобы это работало собственник подсети должен подписать письмо авторизации, что не вяжется с анонимностью даркнета
Насколько мне известно сейчас основной упор на английский, так что ущемляют не только русский язык, но и другие локальные. Возможно в будущем ситуация изменится если появится больше ресурсов для поддержки переводов
Странно, в cloudflare хватает русскоязычных инженеров во всех департаментах. Возможно правила коммьюнити запрещают? Если поделитесь ссылкой на пост или номер кейса попробую уточнить
Кроулеры запускаются с разных источников и разными параметрами, чтобы атакующим посложнее было. Ну а для совсем таргетированных атак злодеи конечно разрешат отсылку вредоносного контента только для диапазонов адресов жертвы
Ссылки в письме проверяются в течение недели после получения и письма пост-фактум могут удаляться из инбокса если ссылка стала вести на вредоносный контент
Перепись ссылок конечно же есть, интереснее всего сценарий запуска browser isolation когда вместо контента вы получаете его отрендеренную картинку. С Area1 можно изолировать все внешние ссылки от адресатов за пределами компании
во многих ВНЖ требование пребывать не менее 183 дней в году на территории страны хоста, интересно как это мониториться. Как вам налоговая и бюрократия?
ПС плюсанул в карму и пост, а то пристаю тут с вопросами всякими
Если говорить про устройства FirePOWER, то схема лицензирования выглядит как на картинках ниже. Если говорить про Sourcefire on ASA, то чуть проще.
Варианты Awaraness only и AMP достаточно экзотичны, так что обратить внимание стоит на столбцы NGFW и NGIPS.
Добрый!
1) С WCCP + ASA согласен, есть ограничения. Классический же вариант прокси прекрасно будет работать в ДМЗ. Крайне полезно его туда вынести в случае если решение сделано на базе ОС, которую постоянно нужно патчить или если к этому прокси подключаются не внушающие доверия пользователи из филиалов/партнёров
2) WSA и другие proxy-like решения понимают микроприложения в протоколах, с которыми могут работать. К примеру вот материал про компоненты Facebook www.cisco.com/c/dam/en/us/td/docs/security/wsa/AVC/Controlling_Facebook_Activity.pdf
Функциональность перекрывается, это очевидно. По поводу «WSA = грубая фильтрация = только URL-категории» совершенно не согласен.
Старая брошюра по WSA на русском есть здесь, свежую информацию можно найти здесь
Не единственный, но наиболее верный, практически бесплатный и действительно трудоёмкий. Если говорить про ROI и TCO, то самый эффективный способ распространить слухи что внедрена система контроля всего и вся и все будут наказаны. Но естественно ничего не внедрять)
Только придётся очень гранулярно размеры квоты по отделам выбирать. Кто-то даташиты 30-меговые десятками качает, кто-то потоковое видео по работе смотрит, а кто-то просто окисляет углекислый газ и интернет ему не особо нужен
Забыли ещё про заражённые pdf, всякие макросы в офисных файлах и уязвимости во flash/java. Из своего опыта — я видел ооочень мало компаний где пользователь сидит не под локальным админом :(
0-day нечасты, да
DDoS движок включается после определённого количества реквестов
Возможно школоддос не достаёт до этих параметров по умолчанию и не триггерит движок
На бесплатном плане увы мало возможностей подкрутить это, разве что через security - settings - security level и поменять sensitivity для всего ddos ruleset по умолчанию
Как правило ускоряют его работу - кэширование, обработка информации на лету с workers, minify, Argo. Cloudflare также одна из самых хорошо соединённых сетей на планете и большинство провайдеров платит за подключение к ядру напрямую. Например если ваш бэкенд в Digital Ocean, то он будет максимально близко к Cloudflare. Бэкенд почувствует себя гораздо лучше, потому что атаки будут остановленны далеко от него, как можно раньше, и в стране происхождения. Например китайские или американские ботнеты даже не подойдут близко к стране бэкенда
Даркнет это наложенная сеть, а Magic Transit анонсирируют через себя подсети через BGP. Чтобы это работало собственник подсети должен подписать письмо авторизации, что не вяжется с анонимностью даркнета
Согласен, для веб-приложений core / L7 / app sec пакет. Если нужно совсем спрятать адреса, то бесплатный Cloudflare Tunnel.
Для них обычно managed challenge - проверка браузера и если надо, то капча.
Как обычно баланс между доступностью и ложными срабатываниями, который к счастью можно подкрутить
Насколько мне известно сейчас основной упор на английский, так что ущемляют не только русский язык, но и другие локальные. Возможно в будущем ситуация изменится если появится больше ресурсов для поддержки переводов
Странно, в cloudflare хватает русскоязычных инженеров во всех департаментах. Возможно правила коммьюнити запрещают? Если поделитесь ссылкой на пост или номер кейса попробую уточнить
Кроулеры запускаются с разных источников и разными параметрами, чтобы атакующим посложнее было. Ну а для совсем таргетированных атак злодеи конечно разрешат отсылку вредоносного контента только для диапазонов адресов жертвы
Ссылки в письме проверяются в течение недели после получения и письма пост-фактум могут удаляться из инбокса если ссылка стала вести на вредоносный контент
Перепись ссылок конечно же есть, интереснее всего сценарий запуска browser isolation когда вместо контента вы получаете его отрендеренную картинку. С Area1 можно изолировать все внешние ссылки от адресатов за пределами компании
ПС плюсанул в карму и пост, а то пристаю тут с вопросами всякими
Подскажите пж
Варианты Awaraness only и AMP достаточно экзотичны, так что обратить внимание стоит на столбцы NGFW и NGIPS.
1) С WCCP + ASA согласен, есть ограничения. Классический же вариант прокси прекрасно будет работать в ДМЗ. Крайне полезно его туда вынести в случае если решение сделано на базе ОС, которую постоянно нужно патчить или если к этому прокси подключаются не внушающие доверия пользователи из филиалов/партнёров
2) WSA и другие proxy-like решения понимают микроприложения в протоколах, с которыми могут работать. К примеру вот материал про компоненты Facebook www.cisco.com/c/dam/en/us/td/docs/security/wsa/AVC/Controlling_Facebook_Activity.pdf
Функциональность перекрывается, это очевидно. По поводу «WSA = грубая фильтрация = только URL-категории» совершенно не согласен.
Старая брошюра по WSA на русском есть здесь, свежую информацию можно найти здесь
en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol#References
0-day нечасты, да