Некоторые производители NGFW реализуют режим fail-open. Этот режим подразумевает отключение модулей безопасности, в нашем случае IPS, при достижении пороговых значений производительности. Вырос трафик до 400Гбит/с, CPU уперся в полку, ips отключился. Снизился трафик до 350Гбит/с, CPU опустился до определенного значения, ips снова включился (числа взяты из головы просто для примера).
Обеспечивает ли это стабильность при доступности сервиса? - да. Безопасность? - нет!
IPS отбивает удаленные попытки эксплуатации. Если удаленный хацкер со своего ПК использует хактулы для эксплуатации уязвимости на серваке за IPS, то да, IPS помогает. А если эксплоит пробрался на сервак и начинает локально эксплуатировать уязвимости, то IPS не помощник. Эксплоит выдаст себя, если попробует проэксплуатировать уязвимость на сервере из другой подсети (с учетом того, что ips активирован для внутреннего трафика) или если обратится на внешний С2.
Шифровальщик и IPS в NGFW не факт, что отловит. Чтоб не допустить проникновение эксплойта через загрузку по сети нужно использовать потоковый антивирус или интеграцию NGFW с песочницей. Тогда загрузка ВПО будет заблокирована на МСЭ. Ну а если Exploit пойдет за шифровальщиком на адрес или домен, который есть в репутационных списках, то тут даже загрузка не начнется. Сессия дропнется при наличии политики.
Ваш подход и статья прекрасны для трушных сетевых инженеров в компаниях, где функции по безопасности сети возложены на сетевиков. Сейчас многие компании стремятся к четкому разграничению зон ответственности между сетевыми инженерами и инженерами по сетевой безопасности. Другими словами: сетевик - настройка сети, безопасник - применение механизмов безопасности (политики, IPS). Отсутствие на рынке необходимого количества специалистов формирует понятные задачи для вендоров и заказчиков. Вендоры стремятся к облегчению настройки и администрирования своих продуктов, заказчики стремятся к снижению затрат на обеспечение ИБ, лавируя между количеством сотрудников и сложностью эксплуатации СЗИ.
Настройка и администрирование предложенного вами решения, скорей всего, будет финансово более дорогим для компании, в сравнении с использованием межсетевого экрана следующего поколения.
Путь не плохой. В некоторых случаях хороший и единственный реализуемый. Аплодирую стоя реализованной связке Микротик+Суриката. Правда у нее есть свои минусы: сложность администрирования в сравнении с NGFW, ограниченность применения (микротики это для любителей сетевых технологий 😏) и главный минус - отсутствие возможности отражения атак. «А вы атаки отражаете? - нет, только показываем (с) 😀
В дата-центрах, часто возникают "тяжелые" сессии между двумя хостами (пример - бэкап данных). Из-за этого возникает эффект "поляризации" трафика внутри NGFW и производительность всего устройства упирается в производительность одного ядра. Подскажите, как вы проводите такого рода тестирование и как вы боретесь с этим эффектом в вашем решении?
Ну что за ссылка на ютуб... Захотел посмотреть и не смог(
А так, увы, драйвер к развитию получают разработки, которые имеют должное финансирование, как правило, от государства или военных. (вспомните трудные времена для Илона Маска, а потом заказ от Пентагона).
Как бы выглядело наше время, если бы ЛК-1 не ушел небытие...
Из инструментов используем Trex с различным набором тестов, в том числе с кастомным трафиком по желанию клиента. Клиенты на пилотных проектах, помимо trex, используют IXIA, Xinertel.
Мы формируем документацию, "выдерживая средние по больнице" данные со своих тестов, с тестов партнеров и клиентов на реальном трафике.
Безусловно, проверка работоспособности решения в своей инфраструктуре снимает все предрассудки, но нужна она не всегда.
Спасибо, поправили
У злоумышленников поменялись приоритеты
Все, что стоит в разрыве сети является точкой отказа)
Как правило, такие переживания уходят после разработки архитектуры с резервированием каналов и оборудования.
Можно поставить не один NGFW, а кластер. Не один кластер, а два :)
Публичных ссылок нет(
Расскажу подробнее тут
Некоторые производители NGFW реализуют режим fail-open. Этот режим подразумевает отключение модулей безопасности, в нашем случае IPS, при достижении пороговых значений производительности. Вырос трафик до 400Гбит/с, CPU уперся в полку, ips отключился. Снизился трафик до 350Гбит/с, CPU опустился до определенного значения, ips снова включился (числа взяты из головы просто для примера).
Обеспечивает ли это стабильность при доступности сервиса? - да. Безопасность? - нет!
Роутить должен роутер
NGFW это межсетевой экран! То, что в нем есть функции роутинга не говорит о том, что он должен роутить весь трафик в инфре.
IPS отбивает удаленные попытки эксплуатации. Если удаленный хацкер со своего ПК использует хактулы для эксплуатации уязвимости на серваке за IPS, то да, IPS помогает.
А если эксплоит пробрался на сервак и начинает локально эксплуатировать уязвимости, то IPS не помощник. Эксплоит выдаст себя, если попробует проэксплуатировать уязвимость на сервере из другой подсети (с учетом того, что ips активирован для внутреннего трафика) или если обратится на внешний С2.
Шифровальщик и IPS в NGFW не факт, что отловит.
Чтоб не допустить проникновение эксплойта через загрузку по сети нужно использовать потоковый антивирус или интеграцию NGFW с песочницей. Тогда загрузка ВПО будет заблокирована на МСЭ.
Ну а если Exploit пойдет за шифровальщиком на адрес или домен, который есть в репутационных списках, то тут даже загрузка не начнется. Сессия дропнется при наличии политики.
Ваш подход и статья прекрасны для трушных сетевых инженеров в компаниях, где функции по безопасности сети возложены на сетевиков. Сейчас многие компании стремятся к четкому разграничению зон ответственности между сетевыми инженерами и инженерами по сетевой безопасности. Другими словами: сетевик - настройка сети, безопасник - применение механизмов безопасности (политики, IPS).
Отсутствие на рынке необходимого количества специалистов формирует понятные задачи для вендоров и заказчиков. Вендоры стремятся к облегчению настройки и администрирования своих продуктов, заказчики стремятся к снижению затрат на обеспечение ИБ, лавируя между количеством сотрудников и сложностью эксплуатации СЗИ.
Настройка и администрирование предложенного вами решения, скорей всего, будет финансово более дорогим для компании, в сравнении с использованием межсетевого экрана следующего поколения.
Путь не плохой. В некоторых случаях хороший и единственный реализуемый. Аплодирую стоя реализованной связке Микротик+Суриката. Правда у нее есть свои минусы: сложность администрирования в сравнении с NGFW, ограниченность применения (микротики это для любителей сетевых технологий 😏) и главный минус - отсутствие возможности отражения атак. «А вы атаки отражаете? - нет, только показываем (с) 😀
Спасибо!
Спасибо)
Статья все же не про методику тестирования, а про настройку генератора и описание распространенных тестов производительности.
Методика у всех разная.
нужно настраивать исключения
этим отличается полноценное использование системы от состояния "просто греет воздух"
Интересная статья.
Расскажите про взаимосвязь с полигоном и пасхалки, пожалуйста
почему тогда на демонстрации тестов производительности в режиме L4 так сильно нагружается процессор?
В дата-центрах, часто возникают "тяжелые" сессии между двумя хостами (пример - бэкап данных). Из-за этого возникает эффект "поляризации" трафика внутри NGFW и производительность всего устройства упирается в производительность одного ядра. Подскажите, как вы проводите такого рода тестирование и как вы боретесь с этим эффектом в вашем решении?
См последний пункт Чек-листа 😏
Ждем на пилот 🫡
Ну что за ссылка на ютуб...
Захотел посмотреть и не смог(
А так, увы, драйвер к развитию получают разработки, которые имеют должное финансирование, как правило, от государства или военных. (вспомните трудные времена для Илона Маска, а потом заказ от Пентагона).
Как бы выглядело наше время, если бы ЛК-1 не ушел небытие...
Из инструментов используем Trex с различным набором тестов, в том числе с кастомным трафиком по желанию клиента.
Клиенты на пилотных проектах, помимо trex, используют IXIA, Xinertel.
Мы формируем документацию, "выдерживая средние по больнице" данные со своих тестов, с тестов партнеров и клиентов на реальном трафике.
Безусловно, проверка работоспособности решения в своей инфраструктуре снимает все предрассудки, но нужна она не всегда.