Комментарии 17
И вы реально сможете отфильтровать неавторизованный туннель внутри ssl-видеострима? И как? Поток байт с видеохостинга, завёрнут в ssl. По битрейту похож. И?
Это вот к чему комментарий? :-) Я же не пишу, что мы решаем абсолютно все задачи в области ИБ. Хотелось показать, что ориентироваться при решении ИБ-задач надо не на описание продуктов в рекламных листовках.
Ну вот вы говорите, что можете TOR отфильтровать. Включая бридж-ноды и pluggable transports? Очевидно, нет. Потому что сейчас TOR умудряется противостоять даже китайскому файрволу, не то, что мелкой железки от коммерческого вендора.
А человек пришёл с запросом класса кровавой гэбни — хочу блокировать тор. Хотеть-то он хочет, да кто ж ему даст…
А человек пришёл с запросом класса кровавой гэбни — хочу блокировать тор. Хотеть-то он хочет, да кто ж ему даст…
Китайский файрвол — это множество заблуждений и фейков. И состоит он в массе своей из железок коммерческих вендоров :-) Что же касается фильтрации, то разумеется я не утверждаю, что мы фильтруем весь Тор во всех его проявлениях и т.п. Примерно тоже я написал в части про Skype — есть ограничения у технологий обнаружения и блокирования. Что-то мы можем (входные/выходные узлы), что-то нет. Бриджи мы, разумеется, не видим и не можем блокировать. Тут надо было бы дать пояснение, что речь о блокировании Тор шла в контексте корпоративной ИБ, где блокирования входных/выходных узлов достаточно для большинства случаев. Понятно, что пользователь может поднять VPN до внешнего шлюза и прокидывать соединение Тор уже через него. Но это тоже решаемо при определенных условиях. Все зависит от use case и его исходных данных, о чем и сама заметка.
тут нужен антивирус <имярек> (хотя заказчик столкнулся с безфайловыми атаками)
Занудства ради — антивирусы могут бесфайловое вирье находить
А вообще проблема, описанная в статье, очень актуальна — заказчики стараются закрыть потребность исходя из мифов, совершенно не пробуя разобраться с функционалом продуктов по альтернативным вариантам.
Самое паршивое, что когда пытаешься рассказать, что «то, что вы хотите вам не нужно» — это воспринимается, как оправдание и слабость позиции. «мы же прочитали, что технология… это круто!»
Прямо как будто не маркетинг этих самых вендоров (включая cisco) эти мифы и создает… А чтобы нормально разобраться в разнице между решениями и что реально мне как заказчику нужно придется отучиться на мягко скажем недешевых цисковских курсах. Ну и может быть и лично вы, Алексей, и пытаетесь понять что клиенту на самом деле нужно, да только большинство ваших коллег из продаж сразу норовить продать всю цисковскую линейку со всеми опциями в придачу :-).
Это не совсем так. Идею use case мы двигаем с конца 90-х годов, когда выпустили архитектуру SAFE с кучей как раз сценариев применения. И с тех пор эта архитектура только развивается. А то, что сейлы ее не всегда знают даже у нас, это да, проблема :-( И учиться SAFE не надо — он бесплатно на сайте выложен
Начнем с того, что у нас тех же самых межсетевых экранов семь
И в этом, конечно, нет проблемы?
Немного есть. Тот же VSG может быть заменен виртуальным Firepower или виртуальной ASAv. В остальным это ращные решения с разной идеологией. IOS Firewall бесплатная надстройка над IOS рутера. И она многим закрывает все проблемы. К слову, Cisco много лет защищала свой периметр именно IOS Firewall, а не ASA. Просто устраивал функционал и больше не надо было на тот момент. Железная ASA 5500-X отличается от вирутальной ASAv не функционалом, а форм-фактором. Софт один и тот же, но продукты позиционируются по-разному.
Вопрос: для фильтрации «не по IP» в Cisco ASA по-прежнему надо устанавливать на контролеры домена отдельное ПО?
Алексей, спасибо за отличную статью!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Правильный выбор СрЗИ: от рекламных листовок к use case