В Path'е очень просто подделывать идентитет. Обзываешь себя именем друга, ставишь cover и picture этого же друга. И вуаля, теперь у твоего друга есть клон.
Bluecoat proxy умеет делеть пункт 7. Там есть большой список (около 100) сайтов/соцсетей и для каждого типа можно настраивать свои правила. Например на youtube можно смотреть смотреть видео, но нельзя логиниться или заливать их. Или в жж можно логиниться и постить, но нельзя заливать фотки-видео.
Я придерживаюсь мнения, что ИБшник всё таки должен иметь read-only доступ к сетевым устройствам (CP, Juniper, proxy etc), что бы быть в курсе правил, которые ИТшник создаёт. Не раз бывали грабли, когда «временное» правило становилось вечным, any-to-any вдруг страновилось allow и первым в списке или забывалось включить логирование.
Нет, так как создаётся 2 отдельных ССЛ соединения: клиент — прокси(или какой либо content switch) и прикси — запрашиваемый сервер. В таком случае прокси эмулирует сертификат запрашиваемого сервера, т.е выдаёт сторонний сертификать за свой (подписанный корпоративным CA).
Стоить отметить, что при использовании клиентского сертификата (например online банкинг итд), данный setup не будет работать.
Я вёл речь про такой вид: Клиент<->Прокси<->Интерент
В моём случае мне достаточно видеть что внутри трафика между клентом и прокси. Для проверки на вирусы или DLP.
Что там дальше уже не моё поле действий.
Во многих фирмах, имеющих свой внутренний CA (certificate authority), без особых проблем настраивается SSL-intercept на веб трафик. И тогда не проблема заглянуть в большинство HTTPS трафика.
На счёт невозможности негативных эмоций в деловой переписки — это у вас сарказм как я понял. Да?
GL2 я смотрел и старые версии, и последнюю 0.10.Rc3.
Вещь не плохая, но сейчас там беда со stream'ами и quicksearch. Если есть кастомные поля в логах, то в них не работают regex. Это совсем не то что надо.
Но зато сделали наконец-то Drools. Возможно там сделаю отсылку алертов. Хотя тоже вариант не удобный — надо рестартит сервер, после изменений в файле.
Мониторинг скорее постфактум — случилось-посмотрел. Алерты однозначно требуют доработки. Сейчас надо после каждого изменения перегружать программу.
Были найдены случаи отказа работы некоторых веб-серверов — нашли 20-40 секундные пустоты, хотя в это время должно было быть около 500 запросов в секунду.
Для относительно больших потоков (более 1000 запросов в секунду), я к LS прикручиваю rabbitmq или redis (он пошустрее будет), что бы более-менне быть уверенным, что какие-то логи не потерялись.
Ещё как вариант делать логи сразу в формате json, тогда отпадает надобность использовать grok-шаблоны, что прилично нагружает CPU.
Используя grep-awk можно тоже всё найти из логов, но меня не устраивает их скорость, ну и хочется немного визуализации — напрмер графики. Logstash+Elasticsearch+Кибана меня устраивают во всём — скорость, удобство.
Как пример — один наш webserver генерирует более 40 миллионов строк логов в сутки. И есть ещё и куча других устройств создающих кучу всевозможных логов. Вручную что-то искать в них я уже не хочу и не буду.
Да он нашёл уязвимость не спецом. Да он сообщил куда надо. Но после этого он «дважды запустил сканер веб-уязвимостей на сайте учебного заведения» — вот это и было начало его конца.
В его случае лучше было попросить разрешения, чем потом просить прощения.
p.s. Сорри, промахнулся веткой. Хотел написать в основную.
В добавок к антивирусу ещё можно DLP прикрутить. Что б не выносился «сор из избы».
Стоить отметить, что при использовании клиентского сертификата (например online банкинг итд), данный setup не будет работать.
В моём случае мне достаточно видеть что внутри трафика между клентом и прокси. Для проверки на вирусы или DLP.
Что там дальше уже не моё поле действий.
Я придерживаюсь принципа — используя средства (компьютер, сеть, помещения) работодателя, будь готов к полному сбору информации и твоих действиях.
На счёт невозможности негативных эмоций в деловой переписки — это у вас сарказм как я понял. Да?
Это wiki так говорит: http://en.wikipedia.org/wiki/Independent_contractor
Вещь не плохая, но сейчас там беда со stream'ами и quicksearch. Если есть кастомные поля в логах, то в них не работают regex. Это совсем не то что надо.
Но зато сделали наконец-то Drools. Возможно там сделаю отсылку алертов. Хотя тоже вариант не удобный — надо рестартит сервер, после изменений в файле.
Были найдены случаи отказа работы некоторых веб-серверов — нашли 20-40 секундные пустоты, хотя в это время должно было быть около 500 запросов в секунду.
RSS фиды можно настроить на определённые события.
Ещё как вариант делать логи сразу в формате json, тогда отпадает надобность использовать grok-шаблоны, что прилично нагружает CPU.
Используя grep-awk можно тоже всё найти из логов, но меня не устраивает их скорость, ну и хочется немного визуализации — напрмер графики. Logstash+Elasticsearch+Кибана меня устраивают во всём — скорость, удобство.
Как пример — один наш webserver генерирует более 40 миллионов строк логов в сутки. И есть ещё и куча других устройств создающих кучу всевозможных логов. Вручную что-то искать в них я уже не хочу и не буду.
<div class="b-header-main__fuck icons-sprite icons-fuck"></div>В его случае лучше было попросить разрешения, чем потом просить прощения.