основная цель этой статью — показать настройки NGFW на конкретном примере, ...
Статья называется «Демонстрация защиты от DDoS», а не «демонстрация настройки программы ххх на примере...». Далее в статье идёт: «Ниже представлен пример защиты от атак типа...» и «Для тестирования этой возможности межсетевого экрана был собран стенд...». Видно, что в статье декларируется цель продемонстрировать возможность межсетевого экрана защищать от некоторого типа атак, обобщённо названного в заголовке «DDoS». Теперь, в комментариях, после того как вам указали на неадекватность демонстрации, вы выдвигаете другую цель статьи.
… а не соревноваться в этом виде программы с конкурентами.
Я указал на конкурентов не ради соревнования. Я указал на то, что продемонстрированная в статье защита была в существующих решениях корпоративного класса задолго до того, как маркетологи изобрели термин NGFW. (Заметьте также, что комментатору выше вы указываете на то, что гибкость linux (в котором это всё тоже есть) не делает его решением корпоративного уровня по ряду свойств (утверждение сомнительное само по себе и требующее обоснования).)
но атака шла с нескольких разных хостов, хотя в статье об этом, согласен, не написано
Скриншот или этого не было. На приводимом в статье скриншоте атаки из wireshark пакеты идут с одного хоста 10.0.3.101.
За комментарий спасибо, на счет более сложных вариантов обязательно подумаем
Я всегда рад, если это приведёт к более проработанным статьям о сетях в будущем.
Запускаем сетевую атаку DDoS и смотрим в логи Wireshark и наблюдаем классическую DoS атаку с зараженной агентом виртуальной машины:
Простите, но DDoS — Distributed DoS. Т.е. атака идёт со множества станций, трафик каждой из которых в отдельности даже может быть не слишком существенным. А вы очень толсто перепрыгнули — запускаете, вроде как, DDoS, а видим DoS. Т.е. вы не показали защиту от распределённости.
То, что вы продемонстрировали, наверняка можно было сделать ещё, например, на сisco PIX в коде 7-ой версии (вроде-как сходный по структуре пример из 2008 года, возможно есть и другие). Думаю, у других МСЭ (checkpoint, fortigate, или palo alto, к примеру) — уже тогда было аналогично или лучше.
Пожалуйста, поставьте более сложный и интересный эксперимент, с какой-нибудь актуальной атакой.
А прорабатывали ли варианты с сетью спутников-ретрансляторов? Так ведь приёмник можно установить довольно далеко от большинства техногенных источников помех, вносящей свои искажения атмосферы и что там ещё есть.
Или это просто не рентабельно, учитывая малое число аппаратов, которым требуется дальняя связь?
Первым клиентом МГТС стал один из лидеров IT-рынка NVision Group. Компания занимается разработкой и поставкой информационно-коммуникационных решений, услуг и сервисов.
Это тот самый Энвижн, который в соседнем топике назван убыточным, да? У меня вызывает некоторый диссонанс связка «один из лидеров ИТ-рынка» И «убыточный». У нас всё так плохо с ИТ-рынком, что лидеры убыточны?
По сути, всё это перекладывание денег между своими карманами: МГТС, как и Энвижн, принадлежит Системе/МТС. «Покупают» у самих себя место в стойках.
Интересно, почему подобный процесс не произошёл раньше: в моём понимании, здания АТС довольно хорошо приспособлены для размещения сетевого и серверного оборудования; при этом, современные городские АТС (какие я видел лет 6-7 назад) занимают уже не всё здание, а один ряд стоек.
Их сдерживали только финансы или что-то ещё?
гендиректор «Мегафона» Иван Таврин… заявил, что мобильные мессенджеры… могут использовать террористы...
Связь от «Мегафона» могут использовать террористы.
Также, как и любую другую связь. Давайте отстреливать голубей, их могут использовать террористы для связи же.
название книги, скорее всего, означает Crime boss, поскольку в подзаголовке книги сказано «как один хакер захватил контроль над киберпреступным подпольем»
С IPv6 есть проблема малой распространённости: люди не спешат внедрять, потому что мало кто внедряет (да, замкнутый круг). Прирост числа префиксов меньше 5000 в год и только-только достигло 23000 (ок.9000 автономных систем). Для сравнения, IPv4 Интернет, до выделения последней /8, рос примерно на 40000 в год, сейчас достиг >550000 префиксов (ок.50000 автономных систем).
[источник цифр: http://bgp.potaroo.net/v6/v6rpt.html ]
Т.е. если вы хотите какой-то значительной связности с другими людьми, то кроме IPv6 всё ещё необходимо поддерживать и IPv4. А значит, (в большинстве случаев) поддерживать непубличные адреса на площадках.
Другой аспект — наличие legacy устройств и приложений. Таких которые не поддерживают и, вероятно, никогда уже не будут поддерживать IPv6. Но им, зачем-то, нужна связь с такими же устройствами/приложениями в других офисах. Можно, конечно, пробовать применять трансляторы адресов и какие-нибудь прокси на уровне приложений. Но это сложнее (и костыльнее), чем, скажем, пробросить GRE между площадками.
Но даже после полного перехода на IPv6, механизмы туннелирования, скорее всего, останутся на своём месте просто по тому, что они решают и другие задачи, кроме маскировки «серой» сети.
У дата-центра есть возможность обмена трафиком с другими сетями
— просто пушка. Написали бы ещё, что дата-центр работает от электричества.
Да, забавно вышло =). В оригинале всё чуть менее размыто — показанный на картинках ЦОД подключен к крупному обменнику Интернет-трафика (IX) и является важным звеном в перспективной (планируемой) сети этого сервиса.
Возможно, потому что публичных адресов (в IPv4) мало (в сравнении с числом устройств), поэтому внутри (корпоративных) сетей часто используют непубличные адреса RFC1918.
Если у организации достаточно публичных адресов для покрытия всех их нужд (в плане обмена данными между различными устройствами на разных площадках, в офисах, филиалах и что там ещё бывает), тогда действительно, такой задачи как сокрытие внутренней сети для техники туннелирования не стоит (хотя могут быть другие).
Возможно, кто-то именно так и поступает прямо сейчас.
Интересно, приведёт ли это в будущем к публикации патчей, разработанных по данному контракту?
Если предположить, что ВМС США финансируется в том числе из налогов граждан США, то публикация несекретных разработок, сделанных на эти деньги, не кажется противоестественной.
Возможно я ошибаюсь, но NASA ведь передаёт в public domain материалы, выполненные по их заказу (фотографии, например).
У меня на пылесосе (самсунг) есть маленькая малозаметная лицензионная наклеечка Windows CE. Это я к тому, что, возможно, они целятся в «интернет вещей/всего» и тут потребуется более плотная совместная работа. По этому, операционки и девайсы в одну группу — весьма логичный шаг.
«Печатные СМИ» тоже выглядят странно: газеты с 8.1 млрд имеют протяженность большую, чем журналы с 16.5 млрд и рекламные с 8.5 млрд, а в сумме должно бы быть 33.4, а не 33.0 млрд.
Общая длина столбцов некорректна: столбец «печатных» должен закончится около середины между 20 и 40 по горизонтальной шкале, столбец «наружная реклама» должен был быть на уровне 40, «интернет» — за 80, и как заметил Firsto — «телевидение» — у 160.
В настоящее время ФСТЭК сертифицированы следующие продукты Microsoft:
клиентская операционная система Microsoft Windows XP Professional, русская версия (включая ОЕМ-производство)
клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство)
клиентская операционная система Microsoft Windows Vista (Business, Enterprise, Ultimate), русская версия (включая ОЕМ производство)
серверная операционная система Microsoft Windows Server 2003 (Standard Edition и Enterprise Edition), русские версии
серверная операционная система Microsoft Windows Server 2003 R2 (Standard Edition и Enterprise Edition), русские версии
серверная операционная система Microsoft Windows Server 2008 (все издания), включая сервер виртуализации Hyper-V, русские версии
клиентская операционная система Windows 7 (все издания), русская и английская версии
серверная операционная система Windows Server 2008 R2 (все издания), русская и английская версии
и т.д.
остаётся вопросом — это действительно специальные версии (например, отдельно приобретаемый опечатанный дистрибутив), или просто любая версия из списка с любого дистрибутива, имеющего верную ЭЦП разработчика (например)
Однажды к нам приходили агенты из Секретной Службы США.
Я раньше думал, секретная служба занимается охраной безопасности президента и связанных сущностей.
Прочитав эту строчку у вас, полез на их сайт — уточнить. Действительно, в mission statement:
The mission of the Secret Service is to ensure the security of our President, our Vice President, their families, the White House, the Vice President’s Residence, national and visiting world leaders, former Presidents, and events of national significance.
Но там, как оказалось, есть и продолжение:
The Secret Service also protects the integrity of our currency and investigates crimes against our national financial system committed by criminals around the world and in cyberspace.
Я указал на конкурентов не ради соревнования. Я указал на то, что продемонстрированная в статье защита была в существующих решениях корпоративного класса задолго до того, как маркетологи изобрели термин NGFW. (Заметьте также, что комментатору выше вы указываете на то, что гибкость linux (в котором это всё тоже есть) не делает его решением корпоративного уровня по ряду свойств (утверждение сомнительное само по себе и требующее обоснования).)
Скриншот или этого не было. На приводимом в статье скриншоте атаки из wireshark пакеты идут с одного хоста 10.0.3.101.
Я всегда рад, если это приведёт к более проработанным статьям о сетях в будущем.
Простите, но DDoS — Distributed DoS. Т.е. атака идёт со множества станций, трафик каждой из которых в отдельности даже может быть не слишком существенным. А вы очень толсто перепрыгнули — запускаете, вроде как, DDoS, а видим DoS. Т.е. вы не показали защиту от распределённости.
То, что вы продемонстрировали, наверняка можно было сделать ещё, например, на сisco PIX в коде 7-ой версии (вроде-как сходный по структуре пример из 2008 года, возможно есть и другие). Думаю, у других МСЭ (checkpoint, fortigate, или palo alto, к примеру) — уже тогда было аналогично или лучше.
Пожалуйста, поставьте более сложный и интересный эксперимент, с какой-нибудь актуальной атакой.
«О, у меня такая же кофемолка!», — подумал я.
Спасибо за статью, «наискосок» выглядит интересно; как-нибудь вечерком в нерабочее время осилю полностью)
Или это просто не рентабельно, учитывая малое число аппаратов, которым требуется дальняя связь?
Это тот самый Энвижн, который в соседнем топике назван убыточным, да? У меня вызывает некоторый диссонанс связка «один из лидеров ИТ-рынка» И «убыточный». У нас всё так плохо с ИТ-рынком, что лидеры убыточны?
По сути, всё это перекладывание денег между своими карманами: МГТС, как и Энвижн, принадлежит Системе/МТС. «Покупают» у самих себя место в стойках.
Интересно, почему подобный процесс не произошёл раньше: в моём понимании, здания АТС довольно хорошо приспособлены для размещения сетевого и серверного оборудования; при этом, современные городские АТС (какие я видел лет 6-7 назад) занимают уже не всё здание, а один ряд стоек.
Их сдерживали только финансы или что-то ещё?
Связь от «Мегафона» могут использовать террористы.
Также, как и любую другую связь. Давайте отстреливать голубей, их могут использовать террористы для связи же.
название книги, скорее всего, означает Crime boss, поскольку в подзаголовке книги сказано «как один хакер захватил контроль над киберпреступным подпольем»
Интересно, какое число автономных систем в IPv6 станет критическим, после чего лавинообразно в него включится большинство существующих сетей?
С IPv6 есть проблема малой распространённости: люди не спешат внедрять, потому что мало кто внедряет (да, замкнутый круг). Прирост числа префиксов меньше 5000 в год и только-только достигло 23000 (ок.9000 автономных систем). Для сравнения, IPv4 Интернет, до выделения последней /8, рос примерно на 40000 в год, сейчас достиг >550000 префиксов (ок.50000 автономных систем).
[источник цифр: http://bgp.potaroo.net/v6/v6rpt.html ]
Т.е. если вы хотите какой-то значительной связности с другими людьми, то кроме IPv6 всё ещё необходимо поддерживать и IPv4. А значит, (в большинстве случаев) поддерживать непубличные адреса на площадках.
Другой аспект — наличие legacy устройств и приложений. Таких которые не поддерживают и, вероятно, никогда уже не будут поддерживать IPv6. Но им, зачем-то, нужна связь с такими же устройствами/приложениями в других офисах. Можно, конечно, пробовать применять трансляторы адресов и какие-нибудь прокси на уровне приложений. Но это сложнее (и костыльнее), чем, скажем, пробросить GRE между площадками.
Но даже после полного перехода на IPv6, механизмы туннелирования, скорее всего, останутся на своём месте просто по тому, что они решают и другие задачи, кроме маскировки «серой» сети.
Если у организации достаточно публичных адресов для покрытия всех их нужд (в плане обмена данными между различными устройствами на разных площадках, в офисах, филиалах и что там ещё бывает), тогда действительно, такой задачи как сокрытие внутренней сети для техники туннелирования не стоит (хотя могут быть другие).
Возможно, кто-то именно так и поступает прямо сейчас.
Если предположить, что ВМС США финансируется в том числе из налогов граждан США, то публикация несекретных разработок, сделанных на эти деньги, не кажется противоестественной.
Возможно я ошибаюсь, но NASA ведь передаёт в public domain материалы, выполненные по их заказу (фотографии, например).
Общая длина столбцов некорректна: столбец «печатных» должен закончится около середины между 20 и 40 по горизонтальной шкале, столбец «наружная реклама» должен был быть на уровне 40, «интернет» — за 80, и как заметил Firsto — «телевидение» — у 160.
Возможно, вам поможет сервис ororo.tv
Там, по крайней мере для некоторых сериалов, можно видеть одновременно русские и английские субтитры.
и т.д.
остаётся вопросом — это действительно специальные версии (например, отдельно приобретаемый опечатанный дистрибутив), или просто любая версия из списка с любого дистрибутива, имеющего верную ЭЦП разработчика (например)
Я раньше думал, секретная служба занимается охраной безопасности президента и связанных сущностей.
Прочитав эту строчку у вас, полез на их сайт — уточнить. Действительно, в mission statement:
Но там, как оказалось, есть и продолжение:
Они действительно занимаются, в том числе, антифродом с картами (есть даже страница с рекомендациями что делать, если вы стали жертвой и листовка с рекомендациями для продавцов).
Век живи, век учись)
Спасибо за статью, было интересно.
Есть неплохая книга Network Warrior, в которой автор рассказывает о том, что ему пригодилось и в чём потребовалось разбираться. Сильно рекомендую=)