Думаю тут корректней будет использовать «Мониторинг событий»
Вы правы, так корректней будет. Поправил.
Можете назвать пример SIEM в которой правило корреляции выглядит как регулярное выражение? В моем понимание правило — это взаимосвязь нескольких событий, например: 10 попыток неудачно аутентификации за короткий промежуток времени, множественные события с одного IP адреса.
IBM Q1 Labs QRadar, например, может использовать в правилах регекспы. Правило может быть как собственно включать один регексп (выборку по чему-либо), так и как вы описали. Хотя, я согласен — не очень удачно у меня написано, поправлю. В любом случае, с использованием визуальных конструкторов правил (я имею ввиду, когда у вас происходит некий диалог с системой) использование регулярок сведено до минимума.
Если для ArcSight это еще можно сделать без больших затрат, то для таких систем как TSIEM, SSIM разработка может занять значительные сроки.
Вы правы, но всегда можно найти найти вендора, SIEM которого будет поддерживать нужное оборудование. Например, крупные организации используют, в общем-то, одно и то же оборудование, поддержка событий которых уже встроена в систему «из коробки». Пример — тот же QRadar. На крайний случай, можно принять сырой поток (RAW) и обработать его, причем сделать это самостоятельно — с тем же QRadar`ом идет неплохая дока, по которой написать обработчик сможет даже человек, далекий от программирования. Да собственно, там и программированием это сложно назвать.
Правила, это такая вещь которую ни один интегратор не доведет до ума(мое мнение) и все равно придется на протяжение всей эксплуатации системы создавать новые правила\новые шаблоны отчетов.
Согласен с вами на все сто. Я это самое и имел ввиду, когда писал кусок про поддержку. Только тут вопрос в том — кто ее будет осуществлять. Интегратор — по запросу от заказчика либо сам заказчик.
Мне кажется, для России на данный момент это не столь трагично. Потому что никто не помешает купить этот кинект по более низкой цене (если он по более низкой цене будет, естественно), а затем, как кто-то писал уже выше, скормить фейковые данные или каким-то ругим способом обмануть систему. Да, нарушение лицензии, но у нас пока еще не настолько жесткое законодательство.
Но, это, конечно, относится не ко всем пользователям, всегда найдется определенный процент тех, кто будет кричать «Вау!!! Да он умеет *подставьте нужное*!»
Короче, я б купил… на опыты.
Спасибо, я вообще маков того времени не видел. А вы можете пояснить
Но изображение на мониторе не появилось. Умер монитор — подумал Штирлиц, и пошел на форумы искать распайку переходника на VGA. Однако, выяснилось, что в отсутствии изображения на мониторе оказалась виновата севшая батарейка на 3,6 вольт.
при чем тут батарейка? Она не только для CMOS чтоли?
чтобы не по факту карать, а заранее предотвращать.
В большинстве случаев-таки именно по факту карать. С доказательной базой, которой не только в суде трясти, но и для внутренних документов. Ну или чтобы пользователю пальчиком погрозить «Вася, не надо так делать!» — но если инфидент есть в SIEM, то он уже произошел.
Другой вопрос, что, может быть инцидент не имел продолжения ввиду того, что сработала какая-то другая система ИБ
Плюс, нет этого дурацкого разделения на IAP/RAP/MOVE с разными архитектурами и ограничениями
я так понял, у Мото нет — но у Арубы это не архитектуры, а режимы работы. А MOVE — это их «технология». IAP = это точка с возможностью вирт. контроллера, легко превращается как в управляемую, так и в неуправляемую. Фактически, у них отдельно идут только роутеры для блэкхола (этот их Outdoor Mesh) — они централизованно неуправляемые.
Возможность запуска вирт. машин на мото — это здорово :) Как пощупаете основательно, пост напишите?
Да, Motorola несколько дешевле, а поддерживает точек и клиентов много больше, но вот итоговая стоимость внедрения? В данном случае (с Aruba) покупая контроллер, я покупаю весь функционал. С Моторолой такое возможно (не нужно докупать еще софт, ставить дополнительные сервера и т.д.)? Интересуюсь чисто для себя. Я с Моторолой не работал фактически, в основном смотрел Moto Mesh.
Все, что в Spectrum Analysis? RAP2 не поддерживает его. В случае применения только одной RAP-2 также не поддерживаются функции подавления (точнее, мы можем их использовать, но тогда потеряем возможность работы в режиме точки доступа). Таким образом, одиночная RAP2 никаких функций по защите радиоокружения при работе в режиме точки доступа не поддерживает.
Также позволю заметить, что все возможности данной железки, описываемые в этой статье, я спокойно обеспечу «стандартными» ТД — АР-105, например. Это, если вопрос в цене не стоит. Главное достоинство этой желязки для удаленных офисов — возможность подцепить 3G/4G/GPRS модем по USB, NAS, сетевого принтера.
Данные настройки не критичны именно для RAP-5. Я эти настройки могу применить для любых точек (в т.ч. и со сплит-разделением), которые настраиваю как «удаленные».
Хорошая статья.
Единственное что, стоит упомянуть, что без лицензии PEFNG это работать не будет
Ничего сложного там нет. Где-то с 2010-го года 5ггц стал равноправным с 2.4ггц.
Да, действительно, прощу прощения, ввел в заблуждение. Решение ГКРЧ от 15 июля 2010 г. № 10-07-02, пункт №2
Есть Catalyst 6500
Ничего про это пока сказать не могу, буду иметь ввиду, спасибо за наводку — завтра на работу приду, посмотрю на эту железку, вроде бы у нас где-то была
Только вот провод всяко лучше.
С точки зрения технаря, понимающего, как все работает — да. С точки зрения затрат (как финансовых, так и временных) — не всегда. Иногда — когда нужно покрыть большую территорию, вроде стадиона или стройплощадки — проще mesh использовать.
Cisco по GPL смотрите?
Нет, по закупочным ценам своей конторы, по «золотому» прайсу. По Aruba у нас не самый максимальный уровень.
А теперь касательно ваших вопросов по Арубе:
1) Да, это есть. Они во всю пиарят «Прозрачный BYOD» — в зависимости от типа устройств и логина (если пустой=гость), попадающих в сеть, мы определяем уровень доступа. Также для всех входящих (или выборочно — в зависимости от политики) можем запретить подключение к «чужим» сетям.
В принципе, я повторюсь, и Cisco, и Aruba — в целом, решения во многом похожи. Аруба точно также заточена на инфраструктуру, а не на что-то обособленное. В т.ч. и возможность развертывания в удаленных офисах сети под централизованным управлением через Интернет (VPN). Nfr;t есть возможность делать смешанную инфраструктуру из Cisco и Aruba, а также кучи других вендоров — под едиными политиками. Правда, по-максимуму используются в этом случае устройства Cisco и Motorola; остальные — более-менее поддерживаются.
2) По определению дополнительных источников — это используется Ekahau-подобное ПО. Чтобы определить на карте помещения только wi-fi источники — хватает возможностей Арубы. Некоторые девайсы поддерживаются «по умолчанию», например, поликомовские телефоны.
Спасибо за ваш комментарий.
По поводу стандарта 802.11ас — это отдельная тема. В оборудовании могут быть реализованы возможности — замечательно. Но могут ли они у нас (в России) работать? На данный момент в РФ в области 5ГГц достаточно сложная обстановка.
По поводу таблички с ценами — и железками — в ней сделана выборка по оборудованию, более-менее, как я понимаю, стоящему в одной нише — и, вероятно, на наиболее востребованное количество точек доступа. Согласитесь, 6000 точек далеко не везде нужны. К тому же на таких объемах можно притянуть и Motorola…
Виртуальные контроллеры присутствуют во всех точках доступа от Aruba Networks. У них это называется Instant. Добавление лицензии на 128 точек обойдется примерно в $4k. Как на виртуальный, так и на реальный контроллер.
Также Aruba делает упор на то, что у них физически все реализовано «в одной коробке» — весь функционал (Firewall, Wireless IPS, RTLS — система позиционирования, централизованная система управления) — уже есть, он активируется только докупкой соответствующих лицензий. Насколько я знаю, в Cisco требуется ставить дополнительные сервера.
Также, для функционирования сети Aruba не нужно физическое подключение каждой точки доступа в LAN — используется технология Mesh, т.е. создается еще одна «невидимая» служебная беспроводная сеть. И это при использовании точек доступа ценой около $900 — за эти деньги получаем одновременную работу диапазонов 2,4 и 5 ГГц, 300 мбит/с, систему WIPS, глушилку подключений, анализатор спектра (ну это, согласен, не всем далеко надо — но выглядит красиво). Этот функционал поддерживается всеми моделями контроллеров. Насколько я знаю, за эти же деньги аналогов у других вендоров нет. Но, я глубоко решениями от Cisco не занимался — знаю только в общих чертах, что там и как.
Да, по реальным проектам, конечно, не 50% экономии, но аналогичное решение на Aruba удавалось подобрать процентов на 20 дешевле, чем у Cisco. А заказчики, они еще и на затраты ориентируются.
Я не ставлю целью убеждать всех, что Aruba лучше Cisco, не маркетолог, и в Aruba Networks не работаю. Я вообще на это так смотрю: если сейчас конкуренты Cisco выпустили железку, которая выполняет те же функции, но стоит дешевле, то это будет стимул именно для Cisco разработать что-то в ответ, таким образом, увидим что-то новое. К тому же, хорошо, когда есть выбор, т.к. для каких-то задач лучше подойдет Cisco, а для каких-то — Aruba.
В целях обеспечения безусловного исполнения Закона Российской Федерации «О федеральных органах правительственной связи и информации», а также усиления борьбы с организованной преступностью и повышения защищенности информационно — телекоммуникационных систем органов государственной власти, российских кредитно — финансовых структур, предприятий и организаций постановляю:
— это выдержка из Указа. Точнее, его начало.
Упомянутый выше ФЗ — «Утратил силу с 1 июля 2003 года в связи с принятием Федерального закона от 30.06.2003 N 86-ФЗ.»
Следовательно, Пункт 4 Указа с его отменой потерял актуальность. А также, в 128-ФЗ ничего нет про эксплуатацию шифровальных средств. Зато есть постановление, если не ошибаюсь, 691 —
4. Настоящее Положение не распространяется на деятельность по техническому обслуживанию:
а) шифровальных (криптографических) средств, являющихся компонентами доступных для продажи без ограничений посредством розничной торговли, либо сделок по почтовым запросам, либо электронных сделок, либо сделок по телефонным заказам программных операционных систем, криптографические возможности которых не могут быть изменены пользователями, которые разработаны для установки пользователем самостоятельно без дальнейшей существенной поддержки поставщиком и техническая документация (описание алгоритмов криптографических преобразований, протоколы взаимодействия, описание интерфейсов и т.д.) на которые является доступной, в том числе для проверки;
TrueCrypt является компонентом свободного распространения. Соответственно, можно использовать в организациях — вполне законно.
Правда, насколько помню, ФСБ, кажется, в июле этого года выпустило приказ, по которому выходило, что устанавливать криптосредства может тот, у кого есть госаккредитация на проведение работ, связанных с ЗИ (т.е. диплом, где вам присудили квалификацию специалиста по ЗИ, свидетельство окончания курсов государственного образца (??) и т.д.). Но за это — не уверен.
Открытые университеты и всё дистанционное обучение даст толк, если человек сам хочет получить знания. В этом вы абсолютно правы. Но, если он хочет получить знания — он их и в универе получит: многие преподы, если видят, что студент хочет узнать больше, как правило идут ему навстречу и предоставляют такие возможности. А иной раз, и работу интересную подкинут.
А еще полезен тем, что где-то на задворках головы есть мысль — «ээ, вроде бы это нам милейший %teachername% говорил на втором курсе, что-то похожее» — в итоге, можно не помнить формулу, но знать, что она есть и, соответственно, затратить меньшее время на решение задачи. Потому что уже знаем, где искать. И таких знаний — масса.
Только следует еще добавить, что помимо выполнения задачи «научить думать» в некоторых областях очень желательно еще иметь и документ (диплом), что вы имеете право работать в этой области, пример — информационная безопасность.
Может быть, еще стоит рассмотреть аспект не только, так сказать, со внешней стороны — взаимодействие с заказчиком, но и с внутренней — взаимодействие маркетолога с «технарями»? Есть же, наверное, какие-то аспекты. Или добавлять еще роль «проводника» между технарями и маркетологом?
Потому что, на мой взгляд, в описанном Вами случае с MapsWithMe не последнюю роль играло и то, что сотрудники сами понимали, что им нужен был маркетолог, и пошли, со своей стороны с ним на контакт. А если бы не пошли — то, скорее всего, этого случая не было бы.
И, если не затруднит, не могли бы Вы объяснить, кто такие «евангелисты»? Было бы интересно.
Вы правы, так корректней будет. Поправил.
IBM Q1 Labs QRadar, например, может использовать в правилах регекспы. Правило может быть как собственно включать один регексп (выборку по чему-либо), так и как вы описали. Хотя, я согласен — не очень удачно у меня написано, поправлю. В любом случае, с использованием визуальных конструкторов правил (я имею ввиду, когда у вас происходит некий диалог с системой) использование регулярок сведено до минимума.
Вы правы, но всегда можно найти найти вендора, SIEM которого будет поддерживать нужное оборудование. Например, крупные организации используют, в общем-то, одно и то же оборудование, поддержка событий которых уже встроена в систему «из коробки». Пример — тот же QRadar. На крайний случай, можно принять сырой поток (RAW) и обработать его, причем сделать это самостоятельно — с тем же QRadar`ом идет неплохая дока, по которой написать обработчик сможет даже человек, далекий от программирования. Да собственно, там и программированием это сложно назвать.
Согласен с вами на все сто. Я это самое и имел ввиду, когда писал кусок про поддержку. Только тут вопрос в том — кто ее будет осуществлять. Интегратор — по запросу от заказчика либо сам заказчик.
Но, это, конечно, относится не ко всем пользователям, всегда найдется определенный процент тех, кто будет кричать «Вау!!! Да он умеет *подставьте нужное*!»
Короче, я б купил… на опыты.
Спасибо за разъяснение!
при чем тут батарейка? Она не только для CMOS чтоли?
В большинстве случаев-таки именно по факту карать. С доказательной базой, которой не только в суде трясти, но и для внутренних документов. Ну или чтобы пользователю пальчиком погрозить «Вася, не надо так делать!» — но если инфидент есть в SIEM, то он уже произошел.
Другой вопрос, что, может быть инцидент не имел продолжения ввиду того, что сработала какая-то другая система ИБ
Это
Плюс, нет этого дурацкого разделения на IAP/RAP/MOVE с разными архитектурами и ограничениями
я так понял, у Мото нет — но у Арубы это не архитектуры, а режимы работы. А MOVE — это их «технология». IAP = это точка с возможностью вирт. контроллера, легко превращается как в управляемую, так и в неуправляемую. Фактически, у них отдельно идут только роутеры для блэкхола (этот их Outdoor Mesh) — они централизованно неуправляемые.
Возможность запуска вирт. машин на мото — это здорово :) Как пощупаете основательно, пост напишите?
Хорошая статья.
Единственное что, стоит упомянуть, что без лицензии PEFNG это работать не будет
Да, действительно, прощу прощения, ввел в заблуждение. Решение ГКРЧ от 15 июля 2010 г. № 10-07-02, пункт №2
Ничего про это пока сказать не могу, буду иметь ввиду, спасибо за наводку — завтра на работу приду, посмотрю на эту железку, вроде бы у нас где-то была
С точки зрения технаря, понимающего, как все работает — да. С точки зрения затрат (как финансовых, так и временных) — не всегда. Иногда — когда нужно покрыть большую территорию, вроде стадиона или стройплощадки — проще mesh использовать.
Нет, по закупочным ценам своей конторы, по «золотому» прайсу. По Aruba у нас не самый максимальный уровень.
А теперь касательно ваших вопросов по Арубе:
1) Да, это есть. Они во всю пиарят «Прозрачный BYOD» — в зависимости от типа устройств и логина (если пустой=гость), попадающих в сеть, мы определяем уровень доступа. Также для всех входящих (или выборочно — в зависимости от политики) можем запретить подключение к «чужим» сетям.
В принципе, я повторюсь, и Cisco, и Aruba — в целом, решения во многом похожи. Аруба точно также заточена на инфраструктуру, а не на что-то обособленное. В т.ч. и возможность развертывания в удаленных офисах сети под централизованным управлением через Интернет (VPN). Nfr;t есть возможность делать смешанную инфраструктуру из Cisco и Aruba, а также кучи других вендоров — под едиными политиками. Правда, по-максимуму используются в этом случае устройства Cisco и Motorola; остальные — более-менее поддерживаются.
2) По определению дополнительных источников — это используется Ekahau-подобное ПО. Чтобы определить на карте помещения только wi-fi источники — хватает возможностей Арубы. Некоторые девайсы поддерживаются «по умолчанию», например, поликомовские телефоны.
По поводу стандарта 802.11ас — это отдельная тема. В оборудовании могут быть реализованы возможности — замечательно. Но могут ли они у нас (в России) работать? На данный момент в РФ в области 5ГГц достаточно сложная обстановка.
По поводу таблички с ценами — и железками — в ней сделана выборка по оборудованию, более-менее, как я понимаю, стоящему в одной нише — и, вероятно, на наиболее востребованное количество точек доступа. Согласитесь, 6000 точек далеко не везде нужны. К тому же на таких объемах можно притянуть и Motorola…
Виртуальные контроллеры присутствуют во всех точках доступа от Aruba Networks. У них это называется Instant. Добавление лицензии на 128 точек обойдется примерно в $4k. Как на виртуальный, так и на реальный контроллер.
Также Aruba делает упор на то, что у них физически все реализовано «в одной коробке» — весь функционал (Firewall, Wireless IPS, RTLS — система позиционирования, централизованная система управления) — уже есть, он активируется только докупкой соответствующих лицензий. Насколько я знаю, в Cisco требуется ставить дополнительные сервера.
Также, для функционирования сети Aruba не нужно физическое подключение каждой точки доступа в LAN — используется технология Mesh, т.е. создается еще одна «невидимая» служебная беспроводная сеть. И это при использовании точек доступа ценой около $900 — за эти деньги получаем одновременную работу диапазонов 2,4 и 5 ГГц, 300 мбит/с, систему WIPS, глушилку подключений, анализатор спектра (ну это, согласен, не всем далеко надо — но выглядит красиво). Этот функционал поддерживается всеми моделями контроллеров. Насколько я знаю, за эти же деньги аналогов у других вендоров нет. Но, я глубоко решениями от Cisco не занимался — знаю только в общих чертах, что там и как.
Да, по реальным проектам, конечно, не 50% экономии, но аналогичное решение на Aruba удавалось подобрать процентов на 20 дешевле, чем у Cisco. А заказчики, они еще и на затраты ориентируются.
Я не ставлю целью убеждать всех, что Aruba лучше Cisco, не маркетолог, и в Aruba Networks не работаю. Я вообще на это так смотрю: если сейчас конкуренты Cisco выпустили железку, которая выполняет те же функции, но стоит дешевле, то это будет стимул именно для Cisco разработать что-то в ответ, таким образом, увидим что-то новое. К тому же, хорошо, когда есть выбор, т.к. для каких-то задач лучше подойдет Cisco, а для каких-то — Aruba.
— это выдержка из Указа. Точнее, его начало.
Упомянутый выше ФЗ — «Утратил силу с 1 июля 2003 года в связи с принятием Федерального закона от 30.06.2003 N 86-ФЗ.»
Следовательно, Пункт 4 Указа с его отменой потерял актуальность. А также, в 128-ФЗ ничего нет про эксплуатацию шифровальных средств. Зато есть постановление, если не ошибаюсь, 691 —
TrueCrypt является компонентом свободного распространения. Соответственно, можно использовать в организациях — вполне законно.
Правда, насколько помню, ФСБ, кажется, в июле этого года выпустило приказ, по которому выходило, что устанавливать криптосредства может тот, у кого есть госаккредитация на проведение работ, связанных с ЗИ (т.е. диплом, где вам присудили квалификацию специалиста по ЗИ, свидетельство окончания курсов государственного образца (??) и т.д.). Но за это — не уверен.
Только следует еще добавить, что помимо выполнения задачи «научить думать» в некоторых областях очень желательно еще иметь и документ (диплом), что вы имеете право работать в этой области, пример — информационная безопасность.
Потому что, на мой взгляд, в описанном Вами случае с MapsWithMe не последнюю роль играло и то, что сотрудники сами понимали, что им нужен был маркетолог, и пошли, со своей стороны с ним на контакт. А если бы не пошли — то, скорее всего, этого случая не было бы.
И, если не затруднит, не могли бы Вы объяснить, кто такие «евангелисты»? Было бы интересно.