Относительно недавно мы публиковали статью “Сетевой мониторинг и выявления аномальной сетевой активности с помощью решений Flowmon Networks”. Там мы кратко рассмотрели возможности этого продукта и процесс установки. Неожиданно для нас, после статьи и вебинара, поступило большое кол-во запросов на тестирование Flowmon. И первые же пилотные проекты выявили несколько типовых проблем с сетью, которые не увидишь без использования NetFlow. Сразу стоит отметить, что в рамках тестирования продукта наиболее интересные результаты получались благодаря модулю определения аномалий (ADS). После короткого “обучения” (хотя бы неделю) мы начинали фиксировать различные инциденты. В этой статье мы рассмотрим самые частые из них.

В прошлых двух статьях (первая, вторая) мы рассмотрели принцип работы Check Point Maestro, а также технические и экономические преимущества этого решения. Теперь хотелось бы перейти к конкретному примеру и описать возможный сценарий внедрения Check Point Maestro. Я покажу типовую спецификацию, а также сетевую топологию (L1, L2 и L3 схемы) с использованием Maestro. По сути, вы увидите готовый типовой проект.

Предположим, мы решили, что будем использовать масштабируемую платформу Check Point Maestro. Для этого возьмем бандл из трех шлюзов 6500 и двух оркестраторов (для полной отказоустойчивости) — CPAP-MHS-6503-TURBO + CPAP-MHO-140. Физическая схема подключений (L1) будет выглядеть следующим образом:

Совсем недавно компания Check Point презентовала новую масштабируемую платформу Maestro. Мы уже публиковали целую статью о том, что это такое и как оно работает. Если коротко — позволяет почти линейно увеличивать производительность шлюза безопасности путем объединения нескольких устройств и балансировки нагрузки между ними. Удивительно, но до сих пор сохраняется миф, что эта scalable платформа подходит только для больших датацентров или для гигантских сетей. Это совершенно не так.

Check Point Maestro разрабатывался сразу для нескольких категорий пользователей (мы рассмотрим их чуть позже), среди который есть и средний бизнес. В этом небольшом цикле статей я постараюсь отразить технические и экономические преимущества Check Point Maestro для организаций среднего размера (от 500 пользователей) и почему этот вариант может быть лучше классического кластера.

Введение

Друзья, добрый день. В предыдущей статье мы рассмотрели коммутаторы Extreme уровня Enterprise. Теперь я немного изменю порядок статей и сегодня продолжу цикл статьей про сервисные контракты и гарантийные обязательства Extreme. У Extreme, как и у всех остальных больших вендоров, есть 2 вида обязательств по поддержке своих продуктов:

• сервисные контракты
• гарантийное обслуживание

Всем кому интересно понять, что Extreme предлагает в своих сервисных контрактах поддержки и какие гарантийные обязательства берет на себя, добро пожаловать под

Приближается очередной релиз операционной системы Gaia R80.40. Несколько недель назад стартовала программа Early Access, по которой можно получить доступ для тестирования дистрибутива. Мы, как обычно публикуем информацию о том, что будет нового, а также выделим моменты, которые наиболее интересны с нашей точки зрения. Забегая вперед, могу сказать, что новшества действительно значимые. Поэтому стоит готовиться к скорой процедуре обновления. Ранее мы уже публиковали статью о том, как это делать (за дополнительной информацией можно обратиться сюда). Перейдем к теме…

Введение

Добрый день, друзья! С удивлением заметил, что на Хабре не очень много статей посвящено продуктам такого вендора как Extreme Networks. Чтобы это исправить и познакомить вас ближе с продуктовой линейкой Extreme, я планирую написать небольшой цикл из нескольких статей и начать хочу с коммутаторов для Enterprise.

Цикл будет включать в себя следующие статьи:

• Обзор коммутаторов Extreme Enterprise-уровня
• Дизайн сети Enterprise на коммутаторах Extreme
• Конфигурация настроек коммутаторов Extreme
• Обзорное сравнение коммутаторов Extreme с оборудованием других вендоров
• Обзор технической поддержки и гарантии Extreme
  

Приглашаю к прочтению цикла статей всех тех, кому интересен данный вендор, да и просто сетевых инженеров и администраторов сетей, которые столкнулись с выбором или настройкой данных коммутаторов.

В последнее время в Интернете можно найти огромное кол-во материалов по теме анализа трафика на периметре сети. При этом все почему-то совершенно забыли об анализе локального трафика, который является не менее важным. Данная статья как раз и посещена этой теме. На примере Flowmon Networks мы вспомним старый добрый Netflow (и его альтернативы), рассмотрим интересные кейсы, возможные аномалии в сети и узнаем преимущества решения, когда вся сеть работает как единый сенсор. И самое главное — провести подобный анализ локально трафика можно совершенно бесплатно, в рамках триальной лицензии (45 дней). Если тема вам интересна, добро пожаловать под кат. Если же читать лень, то, забегая вперед, можете зарегистрироваться на предстоящий вебинар, где мы все покажем и расскажем (там же можно будет узнать о предстоящем обучении продукту).

Здравствуйте, коллеги! Определившись с минимальными требованиями для развертывания StealthWatch в прошлой статье, мы можем начать развертывание продукта.

Ссылки на все статьи в цикле:
1) StealthWatch: базовые понятия и минимальные требования. Часть 1
2) StealthWatch: развертывание и настройка. Часть 2
3) StealthWatch: анализ и расследование инцидентов. Часть 3
4) StealthWatch: интеграция с Cisco ISE. Часть 4
5) Stealthwatch Cloud. Быстрое, удобное и эффективное решение для облачных и корпоративных инфраструктур. Часть 5

1. Способы развертывания StealthWatch

Существует несколько способов «потрогать» StealthWatch:

• dcloud – облачный сервис лабораторных работ;
• Cloud Based: Stealthwatch Cloud Free Trial – здесь Netflow с вашего устройства посыпется в облако и будет там анализироваться ПО StealthWatch;
• On-premise POV (GVE request) – способ, по которому пошел я, вам скинут 4 OVF файла виртуальных машин со встроенными лицензиями на 90 дней, которые можно развернуть на выделенном сервере в корпоративной сети.

Ниже представлена небольшая подборка полезных вебинаров по Check Point от компании RRC. Спикер — Захаренко Дмитрий (менеджер по продуктам RRC Security). Добавляйте в закладки! Так же прилагаем ссылку на большую подборку дополнительных материалов — Подборка полезных материалов от TS Solution.

Относительно недавно мы публиковали статью про Check Point Maestro, новую масштабируемую платформу, которая позволяет практически линейно наращивать “мощность” шлюзов Check Point. Однако это не единственная технология увеличения производительности. Еще в 2018 году были анонсированы новые карты акселерации трафика с выделенным сетевым процессором — Falcon Acceleration Cards. Смысл этих устройств простой — взять на себя часть нагрузки по обработке трафика. В этой статье мы рассмотрим:

• Варианты доступных карт;
• В какие модели шлюзов они могут быть установлены;
• Внешний вид и установка;
• Какую нагрузку могут на себя брать;
• На сколько они “ускоряют” SSL-инспекцию.

Если вам интересна данная тема — добро пожаловать под кат.

1. Введение
Данный цикл статей посвящен продукту для мониторинга сети Cisco StealthWatch.
Компания Cisco Systems активно продвигает его как продукт для улучшения безопасности сети, поэтому давайте разбираться.
В блоге TS Solution уже была статья на эту тему, в данном цикле статей я сосредоточусь на настройке и развертывании продукта. Тем не менее, для тех, кто первый раз слышит о StealthWatch определим базовые понятия.
”Система Stealthwatch обеспечивает лучшие в отрасли возможности мониторинга сети и анализа безопасности для ускорения и более точного обнаружения угроз, реагирования на инциденты и проведения расследований”, — говорит Cisco и приводит около 50-ти кейсов (success stories), с которыми вы можете ознакомиться здесь.

Ссылки на все статьи в цикле:
1) StealthWatch: базовые понятия и минимальные требования. Часть 1
2) StealthWatch: развертывание и настройка. Часть 2
3) StealthWatch: анализ и расследование инцидентов. Часть 3
4) StealthWatch: интеграция с Cisco ISE. Часть 4
5) Stealthwatch Cloud. Быстрое, удобное и эффективное решение для облачных и корпоративных инфраструктур. Часть 5

Основываясь на данных телеметрии вашей инфраструктуры, StealthWatch позволяет:
· выявлять самые разные кибератаки (APTs, DDoS, 0-day, data leakage, ботнет)
· контролировать соблюдение политик безопасности
· обнаруживать аномалии в поведении пользователей и оборудования
· проводить криптоаудит трафика (технология ЕТА)

В основе работы StealthWatch лежит сбор NetFlow и IPFIX с маршрутизаторов, коммутаторов и других сетевых устройств. В результате сеть становится чувствительным сенсором и позволяет администратору заглянуть туда, куда не могут добраться традиционные методы защиты сети, например, NGFW. Собирать StealthWatch может следующие протоколы: NetFlow (начиная с версии 5), sFlow, jFlow, cFlow, Netstream, nvzFlow, IPFIX, Packeteer-2 и другие кастомные доработки.

Рано или поздно, в любой компании, которая задумывается об информационной безопасности, возникает вопрос: «Как своевременно обнаружить уязвимость в защищаемой системе, тем самым предотвратив возможные атаки с её использованием?» Согласитесь, отслеживать в ручном режиме, какие уязвимости появляются в публичном доступе, очень трудозатратная операция. Помимо этого, после обнаружения уязвимости, нужно её каким-то образом устранить. В итоге весь этот процесс выливается в большое количество человеко-часов, и у любого IT-специалиста сразу закономерно появляется еще один вопрос: «А можно ли автоматизировать процесс управления уязвимостями?»

Ранее мы уже писали, что все настройки Check Point можно разбить на две группы: Системные настройки и Настройки безопасности. Системными настройками мы можем управлять через WebUI, либо через CLI, либо через Gaia REST API (начиная с в 80.10). Настройки безопасности в основном правятся через SmartConsole, либо опять же, через API. В 95% случаев администратор использует именно SmartConsole. Однако, иногда есть необходимость получить доступ к более расширенным параметрам или функциям, что возможно только через CLI. Раньше приходилось для этого подключаться по SSH, затем вспоминать нужную команду (например cphaprob state для проверки состояния кластера). Это не очень удобно и не так быстро. Все изменилось с появлением Scripts Repository. Этой штуке мы и посвятим сегодняшнюю статью.

Приветствую, друзья! И мы наконец-то добрались до последнего, заключительного урока Check Point Getting Started. Сегодня мы поговорим об очень важной теме — Лицензирование. Спешу предупредить, что данный урок не является исчерпывающим руководством по выбору оборудования или лицензий. Это лишь краткое изложение ключевых моментов, которые должен знать любой администратор Check Point. Если вы действительно озадачены выбором лицензии или устройства, то лучше обратиться к профессионалам, т.е. к нам :). Очень много подводных камней, про которые весьма трудно рассказать в рамках курса, да и запомнить это тоже сразу не получится.

Урок у нас будет полностью теоретическим, так что можете выключать свои макетные сервера и расслабиться. В конце статьи вы найдете видео урок, где я рассказываю все более подробно

Добро пожаловать на 12-й урок. Сегодня мы поговорим о еще одной весьма важной теме, а именно о работе с логами и отчетами. Порой данная функциональность оказывается чуть ли не решающей при выборе средства защиты. Очень уж любят «безопасники» удобную систему отчетности и функциональный поиск по различным событиям. Трудно их в этом винить. По сути, логи и репорты это важнейший элемент оценки защищенности. Как понять текущий уровень безопасности если вы не видите, что происходит? К счастью, у Check Point в этом плане все в полном порядке и даже более. Check Point имеет одну из лучших систем отчетности, которая работает из коробки! При этом есть возможность кастомизации и созданиях собственных отчетов! Все это дополняется удобным и интуитивно понятным процессом работы с логами. Но давайте обо всем по порядку.

Добро пожаловать на 11 урок! Если помните, то еще в 7 уроке мы упомянули, что у Check Point существует три типа Security Policy. Это:

1. Access Control;
2. Threat Prevention;
3. Desktop Security.

Мы уже рассмотрели большинство блейдов из политики Access Control, главная задача которых — контроль трафика или контента. Блейды Firewall, Application Control, URL Filtering и Content Awareness позволяют уменьшить площадь атаки, отсекая все лишнее. В данном же уроке мы рассмотрим политику Threat Prevention, задача которой — проверка контента, который уже прошел через Access Control.

Добро пожаловать на юбилейный — 10-й урок. И сегодня мы поговорим о еще одном блейде Check Point — Identity Awareness. Еще в самом начале, при описании NGFW, мы определили, что для него обязательна возможность регулирования доступа на основе учетных записей, а не IP-адресов. Связано это в первую очередь с повышенной мобильностью пользователей и повсеместным распространением модели BYOD — bring your own device. В компании может быть куча народу, которые подключаются по WiFi, получают динамический IP, да еще и из разных сегментов сети. Попробуй тут создай аксес-листы на основе ip-шников. Здесь уже без идентификации пользователей не обойтись. И вот именно блейд Identity Awareness поможет нам в этом деле.

Добро пожаловать на 9-й урок! После небольшого перерыва на майские праздники мы продолжаем наши публикации. Сегодня мы обсудим не менее интересную тему, а именно — Application Control и URL Filtering. То, ради чего иногда Check Point и покупают. Нужно заблокировать Telegram, TeamViewer или Tor? Для этого и нужен Application Control. К тому же мы затронем еще один интересный блейд — Content Awareness, а также обсудим важность HTTPS-инспекции. Но обо всем по порядку!

Добро пожаловать на 8-й урок. Урок очень важный, т.к. по его завершению вы уже сможете настроить выход в интернет для ваших пользователей! Надо признать, что многие на этом настройку и заканчивают :) Но мы не из их числа! И у нас еще много интересного впереди. А теперь к теме нашего урока.

Как вы уже наверно догадались, говорить мы сегодня будем про NAT. Уверен, что все, кто смотрит этот урок, знают, что такое NAT. Поэтому мы не будем подробно расписывать как это работает. Я лишь еще раз повторю, что NAT это технология трансляции адресов, которая была придумана с целью экономии “белых”, т.е. публичных ip-шников (тех адресов, которые маршрутизируются в сети Интернет).

В предыдущем уроке вы наверно уже успели заметить, что NAT входит в состав политики Access Control. Это весьма логично. В SmartConsole настройки NAT вынесены в отдельную вкладку. Мы сегодня туда обязательно заглянем. В целом, в данном уроке мы обсудим типы NAT, настроим выход в Интернет и рассмотрим классический пример с port forwarding. Т.е. тот функционал, который чаще всего используется в компаниях. Приступим.

Добро пожаловать на 7-й урок, где мы уже начнем работу с политиками безопасности. Сегодня мы первый раз установим политику на наш шлюз, т.е. наконец сделаем «install policy». После этого через шлюз уже сможет ходить трафик!

Вообще, политики, с точки зрения Check Point, довольно обширное понятие. Security Policies можно разделить на 3 типа:

1. Access Control. Сюда входят такие блейды как: Firewall, Application Control, URL Filtering, Content Awareness, Mobile Access, VPN. Т.е. всё, что касается разрешения или ограничения трафика.
2. Threat Prevention. Тут используются Блейды: IPS, Anti-Virus, Anti-Bot, Threat Emulation, Threat Extraction. Т.е. функции, которые проверяют содержимое трафика или контента, уже прошедшего через Access Control.
3. Desktop Security. Это уже политики управления Endpoint агентами (т.е. защита рабочих станций). Эту тему мы в принципе не будем затрагивать в рамках курса.

В данном же уроке мы начнем говорить про политики Access Control.