Комментарии 27
После прочтения статьи остался вопрос: а что вы вообще проверяли?
Чтобы высказать тезис о том, что устройства без настройки могут не сработать, не нужны многодневные тестирования, тем более что речь идет об устройствах безопасности.
Вот если бы вы в нормально настроенном железе смогли показать преимущества одних систем над другими, это было бы интереснее.
Чтобы высказать тезис о том, что устройства без настройки могут не сработать, не нужны многодневные тестирования, тем более что речь идет об устройствах безопасности.
Вот если бы вы в нормально настроенном железе смогли показать преимущества одних систем над другими, это было бы интереснее.
Если бы мы попробовали сравнить настроенные IPS, то это было бы уже сравнение скорее не качеств IPS, а мастерства инженеров. Очень субъективно бы получилось. Да и в условиях, когда к большинству современных IPS можно писать свои сигнатуры, понятие «настроенной» IPS совсем расплывается.
В реальном мире в 80% организаций у нас в стране IPS работают именно в таком режиме, как описано в статье. Поэтому мы решили, что такое сравнение может пригодиться.
В реальном мире в 80% организаций у нас в стране IPS работают именно в таком режиме, как описано в статье. Поэтому мы решили, что такое сравнение может пригодиться.
>> В реальном мире в 80% организаций у нас в стране IPS работают именно в таком режиме
В вашей организации они работают в таком режиме?
В вашей организации они работают в таком режиме?
Интересно узнать, откуда у вас такая статистика?
В некоторых банках WiFi точки доступа без шифрования, а где-то WEP.
От переизбытка эффективных менеджеров, помноженного на пофигизм/некомпетентность персонала, отвечающего за ИБ, не спасет даже самая крутая IPS.
От переизбытка эффективных менеджеров, помноженного на пофигизм/некомпетентность персонала, отвечающего за ИБ, не спасет даже самая крутая IPS.
Хорошая попытка, StoneSoft!
Но я все равно тебя не куплю. Потому что видел тебя изнутри… то еще ощущение, знаете ли.
Вообще, все эти ынтырпрайзные IPS/IDS мало чем отличаются от своих открытых коллег.
Взять еще тот факт что suricata умеет разгоняться через видеокарту.
Вы знаете, я лучше за ящик хорошего пива найму студентов с матмеха и попрошу написать сигнатур, а возможно и протестировать за отдельную плату. Это гораздо лучше чем кормить финских менеджеров.
Возможно в каких-то конфигурациях IPS и работает в дефолтных условиях, но равняться на них не стоит, поверьте.
И нужно было, на мой взгляд, пригласить представителей вендоров и попросить настроить наикрутейшую конфигурацию.
И ровно так же настроить Snort/Suricata рядом. Это будет лучшее сравнение всех времен, только вендоры не пропустят результаты =)
А так это просто очередная дистрибьюторская реклама StoneSoft.
Но я все равно тебя не куплю. Потому что видел тебя изнутри… то еще ощущение, знаете ли.
Вообще, все эти ынтырпрайзные IPS/IDS мало чем отличаются от своих открытых коллег.
Взять еще тот факт что suricata умеет разгоняться через видеокарту.
Вы знаете, я лучше за ящик хорошего пива найму студентов с матмеха и попрошу написать сигнатур, а возможно и протестировать за отдельную плату. Это гораздо лучше чем кормить финских менеджеров.
Возможно в каких-то конфигурациях IPS и работает в дефолтных условиях, но равняться на них не стоит, поверьте.
И нужно было, на мой взгляд, пригласить представителей вендоров и попросить настроить наикрутейшую конфигурацию.
И ровно так же настроить Snort/Suricata рядом. Это будет лучшее сравнение всех времен, только вендоры не пропустят результаты =)
А так это просто очередная дистрибьюторская реклама StoneSoft.
Честно говоря комментарий школьника, который реально ни одной IPS не щупал.
1. Что вы такого увидели в Стоунсофт, если это x86 платформа? А система управления одна из лучших по скорости, гибкости и красивости.
2. Вы пробовали сурикату с видеокартой? то еще приключение к слову сказать.
3. Причем тут махмет и сигнатуры? Нужно быть хорошим сетевым инженером как минимум, а лучше безопасником с опытом, чтобы эти сигнатуры написать.
4. Наикрутейшей конфигурации не бывает, настройка идет под реальные условия, сервисы и сети.
5. Снорт неплохая штука, если бы не ряд архитектурных недостатков, которые ОЧЕНЬ существенно влияют на скорость и качество работы. Работа по его допиливанию до уровня займет очень много времени, сил и денег. К примеру органы работают на снорте, и как говориться, смотрят в книгу, а видят фигу. Реальное преимущество стоящего рядом стоуна даже не на несколько порядков.
1. Что вы такого увидели в Стоунсофт, если это x86 платформа? А система управления одна из лучших по скорости, гибкости и красивости.
2. Вы пробовали сурикату с видеокартой? то еще приключение к слову сказать.
3. Причем тут махмет и сигнатуры? Нужно быть хорошим сетевым инженером как минимум, а лучше безопасником с опытом, чтобы эти сигнатуры написать.
4. Наикрутейшей конфигурации не бывает, настройка идет под реальные условия, сервисы и сети.
5. Снорт неплохая штука, если бы не ряд архитектурных недостатков, которые ОЧЕНЬ существенно влияют на скорость и качество работы. Работа по его допиливанию до уровня займет очень много времени, сил и денег. К примеру органы работают на снорте, и как говориться, смотрят в книгу, а видят фигу. Реальное преимущество стоящего рядом стоуна даже не на несколько порядков.
Это коммментарий человека который щупал именно StoneSoft.
И, матерясь, в постоянной переписке с финским саппортом пытающегося обойти баги софта и настроить, наконец это чудо инженерной мысли. Кстати, когда мы открыли сам аппарат, минуту ржали вместе с инженерами))
Могу долго разбирать решения стоунсофта по косточким, хотите? =) Это тянет на целую хабрастатью =)
1) Это вы вообще к чему про x86? А система управления, бла бла бла, покупайте наших слонов. Она просто системма управления. Единственная. Если сервак с этим явоподелием падает, инженеры лишаются возможности конфигурировать ВСЕ устройства, потому что консольного управления у стоунсофтовых девайсов, будем считать, нет. Именно за это и критикуем.
2)Пробовал, работает. ЧЯДНТ?
3) Махмет при том что на нем есть специальность «информационная безопасность» и там достаточно сносно приподают программирование. И для написания нужно знать синтаксис, обладать знаниями сетевых технологий и знаниями по ИБ.
Так, на мой взгляд, точнее.
4) Тут принцип 80/20. Конфигурации, кстати, типовые можно рассмотреть. Веб сервер, VPN шлюз, WiFi доступ.
5) Да, снорт ре умеет параллелиться между разными ядрами. Для этого есть суриката. Про несколько порядков хочется подробнее, как вы меряли?
И, матерясь, в постоянной переписке с финским саппортом пытающегося обойти баги софта и настроить, наконец это чудо инженерной мысли. Кстати, когда мы открыли сам аппарат, минуту ржали вместе с инженерами))
Могу долго разбирать решения стоунсофта по косточким, хотите? =) Это тянет на целую хабрастатью =)
1) Это вы вообще к чему про x86? А система управления, бла бла бла, покупайте наших слонов. Она просто системма управления. Единственная. Если сервак с этим явоподелием падает, инженеры лишаются возможности конфигурировать ВСЕ устройства, потому что консольного управления у стоунсофтовых девайсов, будем считать, нет. Именно за это и критикуем.
2)Пробовал, работает. ЧЯДНТ?
3) Махмет при том что на нем есть специальность «информационная безопасность» и там достаточно сносно приподают программирование. И для написания нужно знать синтаксис, обладать знаниями сетевых технологий и знаниями по ИБ.
Так, на мой взгляд, точнее.
4) Тут принцип 80/20. Конфигурации, кстати, типовые можно рассмотреть. Веб сервер, VPN шлюз, WiFi доступ.
5) Да, снорт ре умеет параллелиться между разными ядрами. Для этого есть суриката. Про несколько порядков хочется подробнее, как вы меряли?
Тогда прошу прощения за школьника ) И все же…
Над чем Вы все-таки смеялись, если это чистая серверная, вернее сетевая платформа, я даже знаю завод в китае который ее делает наряду с платформами от других именитых вендоров.
1. Простите, а какие например действия Вы хотите выполнять из консоли? Может быть написать сигнатуру, просмотреть логи или графики статистики. ИМХО все гораздо удобней делать из системы управления, которая к слову сказать одна из лучших на рынке. Мы щупали порядка 5-10 IPS от разных вендоров, на первом месте по гибкости, скорости, информативности, возможности выполнить практически любые настройки «под себя» был стоун, к слову на втором месте HP TippingPoint. Аптайм системы управления у нас порядка 3х лет. За исключением перезагрузок в процессе обновления на новые версии.
2. Ну может сейчас все хорошо, а некоторое время назад эта функция была для галочки и не работала.
3. Ну специальность есть много где, но студентов способных к реальным действиям без должного опыта к сожалению единицы.
4. Не не не, какой веб сервер, это не HIPS, это штука на входе сети, в которой куча всего, причем много такого, о чем Вы даже не подозреваете.
5. Снорт уже по-моему несколько лет как умеет параллелиться. Меряли простите что? Скажем так у нас есть некий сенсор соответствующих органов, причем нескольких, у них всех есть куча людей и куча денег, которые ушли на допиливание и доработку данного снорта до хотя бы примерно удобоваримых результатов. И есть реальные системы защиты, в том числе и стоун. А дальше все очень просто, сравнивается кто и сколько ловит и отбивает на реальной большой сети. По производительности тоже полный швах, пока только обещают работу снорта на 10G и за дикие денги, а стоун у нас отрабатывал на 20Gbps.
Кстати Uptime сенсора тоже порядка 2х лет, за исключением 1 раза когда он посыпался из-за инспекции туннелей.
И еще кстати поддержка показала себя очень профессионально, быстро и глубоко копнув, указали на проблему и решение, уведомили о ликвидации бага в следующих версиях. К слову техподдержка другого известного вендора, по пустяковому поводу потребовала удаленную сессию, потом долго лазила по настройкам ища стандартные пункты, т.ч. пришлось перехватывать управление и делать все самому.
Такова реальность )
Над чем Вы все-таки смеялись, если это чистая серверная, вернее сетевая платформа, я даже знаю завод в китае который ее делает наряду с платформами от других именитых вендоров.
1. Простите, а какие например действия Вы хотите выполнять из консоли? Может быть написать сигнатуру, просмотреть логи или графики статистики. ИМХО все гораздо удобней делать из системы управления, которая к слову сказать одна из лучших на рынке. Мы щупали порядка 5-10 IPS от разных вендоров, на первом месте по гибкости, скорости, информативности, возможности выполнить практически любые настройки «под себя» был стоун, к слову на втором месте HP TippingPoint. Аптайм системы управления у нас порядка 3х лет. За исключением перезагрузок в процессе обновления на новые версии.
2. Ну может сейчас все хорошо, а некоторое время назад эта функция была для галочки и не работала.
3. Ну специальность есть много где, но студентов способных к реальным действиям без должного опыта к сожалению единицы.
4. Не не не, какой веб сервер, это не HIPS, это штука на входе сети, в которой куча всего, причем много такого, о чем Вы даже не подозреваете.
5. Снорт уже по-моему несколько лет как умеет параллелиться. Меряли простите что? Скажем так у нас есть некий сенсор соответствующих органов, причем нескольких, у них всех есть куча людей и куча денег, которые ушли на допиливание и доработку данного снорта до хотя бы примерно удобоваримых результатов. И есть реальные системы защиты, в том числе и стоун. А дальше все очень просто, сравнивается кто и сколько ловит и отбивает на реальной большой сети. По производительности тоже полный швах, пока только обещают работу снорта на 10G и за дикие денги, а стоун у нас отрабатывал на 20Gbps.
Кстати Uptime сенсора тоже порядка 2х лет, за исключением 1 раза когда он посыпался из-за инспекции туннелей.
И еще кстати поддержка показала себя очень профессионально, быстро и глубоко копнув, указали на проблему и решение, уведомили о ликвидации бага в следующих версиях. К слову техподдержка другого известного вендора, по пустяковому поводу потребовала удаленную сессию, потом долго лазила по настройкам ища стандартные пункты, т.ч. пришлось перехватывать управление и делать все самому.
Такова реальность )
Внутри была весьма слабенькая блейдовая ноунейм материнская плата.
Мне бы хотелось web интерфейс, а он есть только у SSLVPN.
HIPS и WEB сервер? Вы серьезно? И ставится IPS не на входе сети, стоять может хоть где. Как вне периметра, так и внутри. Все зависит от конфигурации и того что защищаем.
Очень интересно посмотреть на ваш сенсор и покрутить. Не всегда куча людей и куча денег способны что-то вменяемое запилить. Это не показатель. «К черту разговоры, покажите код!».
Давайте соберем стендик и потестим.
Чтобы ни у кого не осталось вопросов. =)
Мне бы хотелось web интерфейс, а он есть только у SSLVPN.
HIPS и WEB сервер? Вы серьезно? И ставится IPS не на входе сети, стоять может хоть где. Как вне периметра, так и внутри. Все зависит от конфигурации и того что защищаем.
Очень интересно посмотреть на ваш сенсор и покрутить. Не всегда куча людей и куча денег способны что-то вменяемое запилить. Это не показатель. «К черту разговоры, покажите код!».
Давайте соберем стендик и потестим.
Чтобы ни у кого не осталось вопросов. =)
Приведённая строчка — ерунда.
Вот эта строчка сносит огромное количество решений — juniper SRX, XenServer, OpenStack с версиями до havanna включительно, построенные на OVS <=1.10:
(скрипт-кидди просьба не беспокоиться).
Даже более новые версии в таких условиях живут, но ооочень хреново.
Вот эта строчка сносит огромное количество решений — juniper SRX, XenServer, OpenStack с версиями до havanna включительно, построенные на OVS <=1.10:
hping3 -i 1 -S -p +1 -s +1 -S --rand-source DEST(скрипт-кидди просьба не беспокоиться).
Даже более новые версии в таких условиях живут, но ооочень хреново.
Не совсем понял что вы имеете в виду под настройкой IPS. Там что-нужно специально настраивать защиту от каждого конкретного типа атак?
Настройка IPS заключается в следующем:
1. Выбор актуальных дефолтных сигнатур под конкретную инфраструктуру.
2. Настройка параметров дефолтных сигнатур (трешхолды, счетчики срабатываний и т.п.).
3. Написание собственных сигнатур под конкретные атаки.
1. Выбор актуальных дефолтных сигнатур под конкретную инфраструктуру.
2. Настройка параметров дефолтных сигнатур (трешхолды, счетчики срабатываний и т.п.).
3. Написание собственных сигнатур под конкретные атаки.
>1. Выбор актуальных дефолтных сигнатур под конкретную инфраструктуру.
Ну я же заранее не знаю какие виды атак будут осуществлятся атакующими? Естественно я включу все сигнатуры!
>2. Настройка параметров дефолтных сигнатур (трешхолды, счетчики срабатываний и т.п.).
Ну тут как раз придется видимо самому настраивать.
>3. Написание собственных сигнатур под конкретные атаки.
Вообще я думал что обновление базы сигнатур включая написание новых под новые атаки это задача производителя железа, я за это деньги и плачу.
Ну я же заранее не знаю какие виды атак будут осуществлятся атакующими? Естественно я включу все сигнатуры!
>2. Настройка параметров дефолтных сигнатур (трешхолды, счетчики срабатываний и т.п.).
Ну тут как раз придется видимо самому настраивать.
>3. Написание собственных сигнатур под конкретные атаки.
Вообще я думал что обновление базы сигнатур включая написание новых под новые атаки это задача производителя железа, я за это деньги и плачу.
Ну я же заранее не знаю какие виды атак будут осуществлятся атакующими? Естественно я включу все сигнатуры!
Вы знаете, что Вы защищаете, из этого и надо исходить. Например, если Вы защищаете веб-портал + почту, то сигнатуры атак на СУБД Oracle, VoIP и другие «лишние» сервисы можно отключить. За счет выбора только актуальных сигнатур можно существенно повысить производительность железки.
Вообще я думал что обновление базы сигнатур включая написание новых под новые атаки это задача производителя железа, я за это деньги и плачу.
Само собой все вендоры выпускают обновления сигнатур для своих продуктов с определенной периодичностью. Но никто не мешает Вам написать сигнатуру под новую атаку, зачастую это будет быстрее, чем ждать очередного обновления от вендора. Также в случае, если у Вас развернут какой-то самописный или очень редкий и экзотический сервис, то сигнатуру лучше написать самому.
На самом деле, не всегда.
Пассивные методы защиты (IPS) пытаются спасти ситуацию коггда уже все плохо, атакующий направил свой вектор на наш объект. А хорошо бы поставить honeypot и включить именно все сигнатуры. И если сработала серия атак на honeypot, то наша IDS об этом оповестит.
1) Реальный объект не пострадал;
2) Мы вычислили источник атаки;
3) Приняли меры.
4)выполнили rm -rf /* на машине хакера
5) Profit!!!
Пассивные методы защиты (IPS) пытаются спасти ситуацию коггда уже все плохо, атакующий направил свой вектор на наш объект. А хорошо бы поставить honeypot и включить именно все сигнатуры. И если сработала серия атак на honeypot, то наша IDS об этом оповестит.
1) Реальный объект не пострадал;
2) Мы вычислили источник атаки;
3) Приняли меры.
4)
5) Profit!!!
новые версии ПО — это здорово. но лучше больше конкретики. подумайте о тех, кто будет читать эту статью через пол-года.
Cisco IPS 4240 уже не продается. остальные устройства в тесте точно так же залежались на складе?
на 100% согласен с тем, что в большинстве предприятий сложные системы настроены лишь на 5-10%. и вообще находятся там лишь по причине успешной продажи.
но причиной такой плачевной ситуации я вижу как раз самих интеграторов, которым в первую очередь было важно именно продать, а потом на технический департамент свалилась задача побыстрее настроить.
Cisco IPS 4240 уже не продается. остальные устройства в тесте точно так же залежались на складе?
на 100% согласен с тем, что в большинстве предприятий сложные системы настроены лишь на 5-10%. и вообще находятся там лишь по причине успешной продажи.
но причиной такой плачевной ситуации я вижу как раз самих интеграторов, которым в первую очередь было важно именно продать, а потом на технический департамент свалилась задача побыстрее настроить.
новые версии ПО — это здорово. но лучше больше конкретики. подумайте о тех, кто будет читать эту статью через пол-года.
Cisco IPS 4240 уже не продается. остальные устройства в тесте точно так же залежались на складе?
На всех железках стояли последние версии прошивок и сигнатур, которые никак не привязываются к самой аппаратной платформе, т.е. прошивка для Cisco IPS 4240 и, например, более новой Cisco IPS 4345 одинаковая (в нашем тесте использовалась версия 7.1(7)E4).
Вы не правы, разница в аппаратных платформах есть. Более новые серии, например Cisco IPS 4300 и 4500 выполняют инспекцию с аппаратным ускорением, чего не скажешь о серии 4200. Использование 4345 изменило бы результаты Ваших тестов.
Кстати, в тест-драйве не было сравнения HA связок IPS, а также режимов bypass, на enterprise уровне этим вопросам нужно уделять внимание.
Кстати, в тест-драйве не было сравнения HA связок IPS, а также режимов bypass, на enterprise уровне этим вопросам нужно уделять внимание.
Честно, меня очень интересует, почему такой «странный» набор жертв.
Не могу и не буду говорить за нормальный «ентерпрайз» мир, это понятие у всех своё
Почему-то нет ничего про веб (не, извините, Apache «it works» и дефолтная страничка IIS'а тут не катит, реальные сайты, внутренние, внешние, а не «Apache версии такой, то, голый, без модулей», как у вас извините, получается), почту (зоопарк систем, в том числе пачка кроссплатформенных), технологии удалённого управления — iLO, SSH, RDP, IPMI, Intel AMT, про iSCI, SNMP, Active Directory, сервера совместной работы вроде SharePoint, сообщений, сервера печати, управляемые и неуправляемые коммутаторы, голосовая телефония вроде Asterisk-based платформ, так же не хочу забывать про виртуализации — Xen, Hyper-V, VMWare.
Сто процентов я забыл с пару десятков, если не сотен популярных и используемых сейчас технологий.
Например, за последние года 3-4 во время работы в интеграторе я видел аж целых 2 2003 сервера, стоящих для очень хитрых железок и нафиг закрытых в влане и сети, где во всю развлекается скада система и куда остальные устройства доступа не имеют,
Остальные клиенты уже давно перешли на 2008R2 как и сервер, так и sql. где-то треть тестирует уже уровень 2012R2 и некоторые уже на него перевели свои инфраструктуры AD и SQL.
Дальше — где популярные юникс дистрибутивы? debian, gentoo, FreeBSD, openbsd, centos, rhel. Хотя бы с дефолтной неоптимизированной конфигурацией под высокие нагрузки…
Не могу и не буду говорить за нормальный «ентерпрайз» мир, это понятие у всех своё
Почему-то нет ничего про веб (не, извините, Apache «it works» и дефолтная страничка IIS'а тут не катит, реальные сайты, внутренние, внешние, а не «Apache версии такой, то, голый, без модулей», как у вас извините, получается), почту (зоопарк систем, в том числе пачка кроссплатформенных), технологии удалённого управления — iLO, SSH, RDP, IPMI, Intel AMT, про iSCI, SNMP, Active Directory, сервера совместной работы вроде SharePoint, сообщений, сервера печати, управляемые и неуправляемые коммутаторы, голосовая телефония вроде Asterisk-based платформ, так же не хочу забывать про виртуализации — Xen, Hyper-V, VMWare.
Сто процентов я забыл с пару десятков, если не сотен популярных и используемых сейчас технологий.
Например, за последние года 3-4 во время работы в интеграторе я видел аж целых 2 2003 сервера, стоящих для очень хитрых железок и нафиг закрытых в влане и сети, где во всю развлекается скада система и куда остальные устройства доступа не имеют,
Остальные клиенты уже давно перешли на 2008R2 как и сервер, так и sql. где-то треть тестирует уже уровень 2012R2 и некоторые уже на него перевели свои инфраструктуры AD и SQL.
Дальше — где популярные юникс дистрибутивы? debian, gentoo, FreeBSD, openbsd, centos, rhel. Хотя бы с дефолтной неоптимизированной конфигурацией под высокие нагрузки…
Полностью поддерживаю!
Тестирование весьма скудное и мало что показывает.
Все сценарии можно не рассматривать, но типовые столоило бы.
Тестирование весьма скудное и мало что показывает.
Все сценарии можно не рассматривать, но типовые столоило бы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Системы предотвращения вторжений «из коробки». Тест-драйв