Как оценить эффективность настройки NGFW

Самая частая задача — проверить насколько эффективно настроен ваш межсетевой экран. Для этого существуют бесплатные утилиты и сервисы у компаний которые занимаются NGFW.

Например, ниже видно, что у компании Palo Alto Networks есть возможность прямо из портала поддержки запустить анализ статистики межсетевого экрана — SLR отчет или анализ соответствия лучшим практикам — BPA отчет. Это бесплатные онлайн утилиты, которыми можно воспользоваться ничего не устанавливая.

Сисадмины делятся на две категории — те, кто уже используют мониторинг, и те, кто ещё нет.
Шутка юмора.

К необходимости мониторинга приходят разными путями. Одним повезло и мониторинг пришёл из материнской компании. Тут все просто, за вас уже обо всем подумали — чем, что и как мониторить. И даже наверняка уже написали необходимые мануалы и объяснения. Другие приходят к этой необходимости сами и инициатива исходит, как правило, из ИТ-отдела. Минус в том, что собирать все шишки и проходить грабли придётся на собственном опыте. Плюсы тоже имеются — можно выбрать любую систему мониторинга и мониторить только необходимое, равно как и придумать свои принципы реагирования на проблемы. Я в разное время работал в разных компаниях, однако там, где я был близок к мониторингу, я шёл вторым путём.

Исследователями обнаружен новый клон всем известного ботнета Mirai, ориентированного на IoT-устройства. На этот раз, под угрозой оказались встраиваемые устройства, предназначенные для применения в бизнес-средах. Конечной целью злоумышленников является контроль над устройствами, обладающими пропускной способностью и проведение масштабных DDoS-атак.

1. Теория

1.1. Зачем?

Чтобы ответить на вопрос «Зачем?» сначала нужно понять, что же такое «Карта сети». Карта сети – (чаще всего) логико-графико-схематическое представление взаимодействия сетевых устройств и их связи, которое описывает их наиболее значимые параметры и свойства. В наше время часто применяется в связке с мониторингом состояния устройств и системой оповещения. Так вот: затем, чтобы иметь представление о расположении узлов сети, их взаимодействии и связях между ними. В связке с мониторингом мы получаем рабочий инструмент для диагностики поведения и прогнозирования поведения сети.

1.2. L1, L2, L3

Они же Layer 1, Layer 2 и Layer 3 в соответствии с моделью OSI. L1 – физический уровень (провода и коммутация), L2 – уровень физической адресации (mac-адреса), L3 – уровень логической адресации (IP-адреса).

IP-телефония — это не только очевидные и всем известные устройства, такие как АТС и подключённые к ней телефонные аппараты. В систему телефонной связи могут входить приборы, которые обеспечивают не общение абонентов, а совсем другое взаимодействие, с которым мы часто сталкиваемся и которое просто не замечаем. Вот в лифте торгового центра играет ненавязчивая музыка, в супермаркете объявляют о скидках и новинках, в отделении банка приятный голос произносит номер вашей электронной очереди, преподаватель ведёт семинар для большой аудитории, в театре звучит «третий звонок», диктор объявляет посадку на ваш самолет, на предприятии сотрудники слышат голосовое объявление. Наконец, ситуация, в которой я желаю вам никогда не оказаться: предупреждение посетителей и сотрудников о нештатной ситуации и требование покинуть здание.

Всё это возможно благодаря системам оповещения и громкой связи.

Сподвиг меня на этот пост вот этот вот комментарий.

Привожу его здесь:

kaleman сегодня в 18:53

Меня сегодня порадовал провайдер. Вместе с обновление системы блокирования сайтов, у него под бан попал почтовик mail.ru. С утра дергаю техподдержку, ничего сделать не могут. Провайдер маленький, и блокируют видимо вышестоящие провайдеры. Еще заметил замедление открытие всех сайтов, может какое-то кривое DLP навесили? Раньше никаких проблем с доступом не было. Уничтожение рунета идет прямо на моих глазах…

Дело в том, что, похоже, мы и есть тот самый провайдер :(

И действительно, kaleman почти угадал с причиной проблем с mail.ru (хотя мы долго отказывались верить в подобное).

Дальнейшее будет разделено на две части:

1. причины наших сегодняшних проблем с mail.ru и увлекательный квест по их поиску
2. существование ISP в сегодняшних реалиях, стабильность суверенного рунета.

0. Интро

Я не нашел на Хабре ни одной статьи по NetXMS, хотя очень искал. И только по этой причине решил написать сие творение, дабы уделить внимание данной системе.

Это и tutorial, и how to, и поверхностный обзор возможностей системы.

Данная статья содержит поверхностный анализ и описание возможностей системы. Глубоко в возможности я не закапывался по ряду причин. Да и описание всего функционала заняло бы далеко не одну статью.

Так как более-менее я работал только с Zabbix'ом — в статье будет часто упоминаться именно эта система для сравнения с сабжем. К тому же как-то так повелось, что все сравнивается с чем-то общепризнанным.

1. Что и зачем?

Система мониторинга, как видно из определения, — система, позволяющая в любой момент времени получить актуальную информацию по какому-либо узлу сети\машине\маршрутизатору\вписать нужное.

Зачем это нужно — так же очевидно. Чтобы быть в курсе происходящего.

Зачастую, система мониторинга может дать весьма исчерпывающую информацию о состоянии как инфраструктуры в целом, так и отдельных ее частей. Плюс к тому, если настроить оповещения (а без нее грош цена любому мониторингу), то на выходе мы получаем серьезный инструмент, который позволяет не только своевременно реагировать на уже возникшие аварийные ситуации, но и, в большинстве случаев, дает возможность эти аварии предотвратить.

Добрый день!

Мне бы хотелось поделиться с сообществом интересными мыслями о создании автономной децентрализованной электронной почты и продемонстрировать на практике работу одной уже существующей реализации.

Изначально «Телеграф» разрабатывался как любительское средство связи между членами нашего небольшого студенческого сообщества, так или иначе свою деятельность посвятившего вычислительной технике и коммуникациям.

Nota Bene: «Телеграф» — любительское средство коммуникации; практическую выгоду извлечь в промышленных масштабах представляется довольно проблематичным, однако проблему эту едва ли хоть в какой-либо степени можно назвать существенной — преимущественно главной нашей целью мы считаем непосредственно привлечение внимания к разработке подобного рода коммуникационных систем.

Мы склонны считать, что повышение общей заинтересованности в сфере разработки различных систем коммуникаций — дело нужное и достаточно важное, потому как понимание основополагающих принципов того, как работают и на чём держатся эти системы — основной ключ к повышению осведомлённости граждан в вопросах информационной безопасности.

Добро пожаловать на первый урок! И начнем мы c Введения. Прежде чем начать разговор о Check Point мне хотелось бы сначала настроиться с вами «на одну волну». Для этого я постараюсь объяснить несколько концептуальных вещей:

• Что такое UTM решения и почему они появились?
• Что такое Next Generation Firewall или Enterprise Firewall, чем они отличаются от UTM?
• Лидеры этого рынка.
• В чем преимущество UTM/NGFW перед классическими средствами защиты?

Если эта тема вам неинтересна, то можете смело пропускать этот урок. Это никак не скажется на вашем понимании следующих уроков, которые будут посвящены исключительно решениям Check Point.
Если же эта тема вас заинтересовала, то, как обычно, под катом вы найдете видео урок!

Рассмотрим на практике использование Windows Active Directory + NPS (2 сервера для обеспечения отказоустойчивости) + стандарт 802.1x для контроля доступа и аутентификации пользователей – доменных компьютеров – устройств. Ознакомиться с теорией по стандарту можно в Wikipedia, по ссылке: IEEE 802.1X

Так как “лаборатория” у меня ограничена по ресурсам, совместим роли NPS и контроллера домена, но вам я рекомендую такие критичные сервисы все же разделять.

Стандартных способов синхронизации конфигураций (политик) Windows NPS я не знаю, поэтому будем использовать скрипты PowerShell, запускаемые планировщиком заданий (автор мой бывший коллега). Для аутентификации компьютеров домена и для устройств, не умеющих в 802.1x (телефоны, принтеры и пр), будет настроена групповая политика и созданы группы безопасности.

В конце статьи расскажу о некоторых тонкостях работы с 802.1x – как можно использовать неуправляемые коммутаторы, dynamic ACL и пр. Поделюсь информацией об отловленных “глюках”…