Комментарии 5
отсюда мораль, покупатель должен брать железку фаервол у вендора на пилотное тестирование и смотреть ее поведение и загрузку на своем профиле трафика и наборе политик. Иначе - пальцем в небо.
По распознаванию приложений сейчас дело стало усложнятся повальным ssl-pinning, и боюсь эта тенденция будет только нарастать. Как выбираться из этой проблемы не понятно.
Конечно ssl-pining. Ну кто же хочет, чтобы всякие MITM вмешивались в их траффик, пусть и для анализа. Тем более там, где работают "российские приложения" некоторые органы делают все, чтобы так было.
Про мораль спасибо. Это и была цель статьи.
Для распознавания ssl-pinning, пожалуй, вносит определенные сложности, которые вполне преодолимы при разных подходах. Например, в PT NAD есть ML, который решает подобную задачу.
А вот с MITM прям согласен.
PT про NGFW: "API - это нужно, API - это важно, как вы будете изменения для тысяч клиентских устройств проводить?"
Так-же PT про VM: "API у нас есть, но менять таски, группы и вообще половину функционала гуя вы не сможете. А зачем? Пользуйтесь нашим гуём, он самый гуёвый и местами даже гуястый!"
Тестировали UserGate, Ideco NGFW, Traffic Inspector - самым вменяемым оказался UG, как по возможностям, так и по поддержке. Грустно другое, нормальной интеграции с AD нет, работа с терминальными пользователями тоже оставляет желать лучшего. И что самое весёлое MS TMG , которому сто лет в обед , по удобству работы превосходит все три "передовых" продукта. Самым забавным была попытка перекрыть для части пользователей возможность подключения к AnyDesk - с этим условно справился только UG.
Как не облажаться при выборе российского NGFW