• Huawei USG 6320. Первый взгляд цисковода
    0
    По поводу Packet Capture. Скорость записи вряд ли можно обозначить — зависит от многих факторов: какая функциональность включена на устройстве, какой тип трафика, размер пакетов и т. д. Утилиту нужно использовать с осторожностью — при большом трафике устройство может «просесть» по производительности. Максимальный размер захвата — 2000 пакетов. Формат — .cap.
    Утилита Packet Capture не предназначается для хранения информации о доступе в Интернет. Она полезна для траблшутинга локальной проблемы: доходит ли трафик вообще до устройства? проходит ли трафик устройство (т. е. появляется ли и на внутреннем, и на внешнем интерфейсе)? и т. д.
  • Huawei USG 6320. Первый взгляд цисковода
    0
    По поводу статистики по доступу в Инет. На более старших моделях (6330 и далее) данные могут храниться локально на устройстве. Для этого нужно установить дополнительный HDD. Сколько хранятся по времени — не могу сказать.
    Для младших устройств (6310, 6320) предлагается использовать систему мониторинга и управления LogCenter, модуль eSight. Само собой, никто не мешает использовать этот мониторинг и для старших моделей. С LogCenter не знакомились, по времени хранения пока ответить не готов.
  • Huawei USG 6320. Первый взгляд цисковода
    0
    Пока посмотрел Administration Guide на тему вашего последнего вопроса, касательно аутентификации. Доступны следующие варианты:
    • Local authentication — по локальной базе;
    • Server authentication — RADIUS, HWTACACS, AD, LDAP или SecurID;
    • Single Sign-On (SSO);
    • SMS.

    SecurID поддерживается, можно аутентифицировать по токенам.
  • Huawei USG 6320. Первый взгляд цисковода
    0
    Согласен, но блокироваться по URL-категории всё-таки должен. На циске, например, если добавить дешифрацию, то и EUN отобразится.
  • Huawei USG 6320. Первый взгляд цисковода
    +1
    Мы пока знакомимся с решением, на более глубокие вопросы не готовы ответить. Попробуем пригласить сюда
    Huawei_Russia
  • Huawei USG 6320. Первый взгляд цисковода
    0
    Прозрачная — либо клиент на сервер, либо зеркалировать LDAP-трафик на выделенный порт Huawei. Как я понял. На практике пока не проверял.
    Спасибо за идею с alias!
  • Check Point. Что это, с чем его едят или коротко о главном
    +2
    Спасибо за статью, но совсем не согласен с:
    Главная идея NGFW — глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control)
    .
    Как-то всё в одну кучу. DPI может иметь и обычный файрвол (не обязательно NGFW, та же инспекция на ASA, на маршрутизаторах). IPS — тоже не обязательный атрибут NGFW. Также, DPI не всегда равно IPS.
    Я для себя всегда считал, что NGFW — это когда к обычному FireWall добавлена фильтрация по категориям сайтов, репутациям сайтов и по приложениям (AVC). Также NGFW — наличие интеграции с корпоративным каталогом пользователей, чтобы можно было создавать правила по именам и группам.
  • Подделка писем. Как защищаться
    +1
    SPF и DKIM не помогают?
    Потом, никто не отменяет проверку тела письма. Это уже офтоп относительно материала статьи, но всё же… Например, у ESA есть возможность проверять ссылки в письме. URL проверяются по тем же базам, что и на web-proxy сервере WSA. Если URL ведёт на вредоносный сайт, можно карантинить такие письма, добавлять предупреждение в заголовок письма (если не ошибаюсь) или «портить»/вырезать URL из тела письма.
  • Аутентификация пользователей терминальных серверов на FirePOWER
    0
    Всё просто.
    Каждому пользователю по 200 портов. Всего пользователей максимум 199.
    200 портов умножить на 199 пользователей = 39800 портов
    39800 портов + 2024 (начальный порт) — 1 (так как порт 2024 тоже используется) = 41823 (конечный порт)
  • Аутентификация пользователей терминальных серверов на FirePOWER
    0
    Согласен, 5ая ветка стабильнее. 6.0 — не внедряли, не решились. 6.1 — есть внедрения, в принципе нормально. Была пара моментов, но не критично. Остались вопросы с активной аутентификацией. 6.2 — пока не внедряли/не обновлялись.
  • ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
    0
    Обычно пинги от Anyconnect клиентов проходят без проблем даже если не подменять шлюз (использовать split tunneling). Почему у вас не работает — сложно сказать. Может быть пришлёте show runn в ЛС?
  • ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
    0
    Кстати, к ассиметричному хождению может приводить правило NAT exception. Если в правиле чётко указаны ingress и egress интерфейсы, то для untranslated пакета egress интерфейс будет выбран в соответствии с правилом NAT, даже если маршрут смотрит на другой интерфейс. Если мы хотим этого избежать, в правиле NAT нужно использовать опцию route-lookup
  • ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
    0
    sysopt connection permit-vpn включён по умолчанию. В show runn не отображается, но можно проверить в show runn all. Это опция позволяет обходить списки доступа для VPN-payload трафика. Если эту опцию убрать, то придётся в acl на внешнем интерфейсе в явном виде прописывать permit для удалённых VPN подсетей. Это полезно, если мы подключаем по VPN недоверенную сеть (например, какого-нибудь контрагента) и хотим оградиться от неё правилами файрвола.

    По поводу ICMP появилась не плохая идея. Нет ли у вас ассиметричной маршрутизации? Может быть ICMP echo отправляются в сторону LAN через один интерфейс, а возвращаются через другой?

    Используется ли у вас выделенный Management-интерфейс на ASA?
  • ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
    0
    Про HSRP очень странно. Ведь у виртуального адреса mac-адрес должен быть формата 00-00-0c-07-ac-xx… Можно как-то проверить mac-таблицы на коммутаторах? Откуда берутся mac-адреса 70ca.xxe5.dd4a и 70ca.xxe5.d16a??

    Про ICMP, пока задам банальные вопросы: включены ли inspect icmp, inspect icmp error и sysopt connection permit-vpn?
  • ARP: Нюансы работы оборудования Cisco и интересные случаи. Часть 2
    0
    Добрый день. По первому вопросу пока нет идей, подумаем, если что-то появится — сообщим. Объясните, пожалуйста, поподробнее: так у вас VRRP или HSRP? Адрес 10.x.181.4 — это что за адрес? Виртуальный группы VRRP/HSRP или адрес физического интерфейса устройства?

    По второму вопросу весьма странная ситуация. Получается, сервер 10.xx.111.15 шлёт DNS ответ клиенту 10.xx.32.52 (UDP порт 53 -> на порт 54874). На это клиент 10.xx.32.52 отвечает ICMP error message типа icmp port unreachable. Я думаю, нужно искать саму причину, почему DNS-сервер шлёт ответ клиенту, а клиент говорит, что ему это не нужно. Я бы посмотрел с помощью packet capture на ASA всё общение между 10.xx.32.52 и 10.xx.111.15 по порту udp 53…
  • Отличия Lan Lite и Lan Base для коммутаторов Cisco 2960
    0
    Спасибо за информацию.
  • Скучно о работе дешифрации NGFW
    0
    Теоретически, да, можно резать заголовок. Но у меня есть чёткое подозрение, что в большинстве случаев это банально не требуется. Локальный CA перебивает политику HPKP и на этом всё заканчивается. На практике при внедрении FirePOWER мы пробовали включать дешифрацию, проблем с HPKP не встречали.
  • Скучно о работе дешифрации NGFW
    0
    Отключение HPKP для приватных CA как раз обсуждали в коментах выше.
  • Скучно о работе дешифрации NGFW
    0
    Спасибо!
  • Скучно о работе дешифрации NGFW
    0
    Супер, спасибо за пояснения!
  • Скучно о работе дешифрации NGFW
    0
    То есть HPKP тоже не спасёт от подмены сертификата?
  • Скучно о работе дешифрации NGFW
    0
    Не совсем понял, что вы имеете в виду?
  • Скучно о работе дешифрации NGFW
    0
    Рискну предположить, что никак. От подмены сертификата поможет техника Certificate pinning. Я кратко упоминал этот момент в тексте. Думаю, по вашего вопросу имеет смысл смотреть в этом направлении.
  • Скучно о работе дешифрации NGFW
    0
    По производительности cisco тоже не даёт точных цифр. Объясняют тем, что цифры очень зависят от дополнительных включенных сервисов: используется ли IPS, файловые политики и AMP и т.д.
    В любом случае, вендор предупреждает, что не стоит использовать дешифрацию для всего подряд. Включайте дешифрацию только тогда, когда она действительно нужна.

    Как раз в предыдущем материале я попробовал разобраться, для чего именно требуется дешифрация.

    Ранее устройства-сенсоры SourceFIRE вообще не поддерживали дешифрацию. Для дешифрации нужно было покупать дополнительную железку — SSL Appliance. Это было связано именно с производительностью.

    Возможно нам удастся протестировать в каком-либо виде устройство Cisco на предмет производительности при дешифрации. Если получится, обязательно поделимся результатами.
  • Интеграция Cisco FirePOWER и ISE
    0
    Коллеги, у нас тут была дискуссия про дешифрацию. Мы попробовали подробнее разобраться и описать, зачем она вообще нужна на NGFW — тут, и как она работает — тут. Посмотрите, надеюсь будет информативно.
  • Скучно о дешифрации
    +2
    Про Алису и Боба, да, Вы правы, как-то не подумал про них :). Если ещё поделитесь историей про спец-службы, будет вообще круто!
  • Отличия Lan Lite и Lan Base для коммутаторов Cisco 2960
    0
    Пока нет информации. Как появится, дам знать.
  • Отличия Lan Lite и Lan Base для коммутаторов Cisco 2960
    +2
    Появилась новая линейка коммутаторов: 2960-L. По этому поводу, небольшой update в конце статьи.
  • Подделка писем. Как защищаться
    0
    Слать письма во вне через дополнительный хоп можно по разным причинам. Например, внешние релеи предоставляют услугу DLP.
  • Подделка писем. Как защищаться
    +1
    Да, одно и то же. Но часто бывает так: у вас есть свой сервер отправитель, тот же MS Exchange, который прописан в настройках почтового клиента. Но у него в настройках прописано слать все письма во вне через провайдерские релеи или какие-либо другие внешние почтовые релеи (в send connector настройка smart host, если не ошибаюсь). А уже провайдерские релеи отправляют письма дальше в Интернет. И именно IP-адреса или A-записи провайдерских серверов фигурируют в SPF. Если эти провайдерские MTA оказываются скомпрометированными, злоумышленник также получает возможность слать через них поддельные письма, а SPF-проверка на стороне получателя будет проходить успешно.

    В этом случае, если ваш exchange будет формировать DKIM-отпечаток до отправки писем на провайдерские релеи, получатель сможет отличить ваше письмо от письма злоумышленника.
  • Подделка писем. Как защищаться
    +1
    Вот как раз, если отбросить «cousin domain» и «free mail account», то мы вполне хорошо могли бы защититься с помощью SPF, DKIM, DMARC. Но проблема в том, что далеко не все это используют. В комментарии ниже очень верно подметили про ключевого партнёра с кривыми записями в SPF.

    То же самое касается цифровой подписи PGP. Многие ли готовы её внедрять?

    Именно поэтому я выделил в статье отдельный метод — создание гранулярных правил «вручную».
  • Подделка писем. Как защищаться
    0
    Согласен. Я рассматривал вариант сравнения mail from и заголовка From, безусловно, можно доработать и также сравнивать с Reply-To.
  • Подделка писем. Как защищаться
    +2
    Метод 7. Создание гранулярных фильтров «вручную». В данном примере помогло бы либо сравнение mail from с заголовком From, либо, в случае в ESA, функциональность Forged Email Detection.
  • Подделка писем. Как защищаться
    0
    del
  • Интеграция Cisco FirePOWER и ISE
    0
    Поподробнее можно почитать прямо в User Guide по FirePOWER. Ссылочку сделал именно на раздел дешифрации.
  • Интеграция Cisco FirePOWER и ISE
    +1
    Корпоративный сертификат «вклинивается» перед сертификатом конечного ресурса. Сертификат конечного ресурса также остаётся со всеми его атрибутами, поэтому по этой причине браузер ругаться не будет.
  • Интеграция Cisco FirePOWER и ISE
    0
    Не сталкивались. Не расскажете поподробнее?
  • Интеграция Cisco FirePOWER и ISE
    0
    FirePOWER — корпоративный фаервол, сертификат подменяется корпоративным сертификатом. При этом сертификат ресурса также остаётся. Поэтому security exception не появляется, и проблем с доступом к ресурсам в 99% случаев не возникает.
  • Интеграция Cisco FirePOWER и ISE
    0
    Ну FirePOWER умеет дешифровать ssl. Как обычно, с подменой сертификата. А далее, в прошивке FirePOWER зашиты сигнатуры различный приложений. По этим сигнатурам FirePOWER хитро распознаёт, трафик какого приложения проходит через сенсор. Соответственно, политиками можно блокировать тот или иной трафик.
  • Интеграция Cisco FirePOWER и ISE
    +1
    FirePOWER — и как более продвинутый фаервол, и как контроль периметра. SGACL/DACL — контроль только по IP-адресам и меткам. FirePOWER даёт распознавание приложений (например, facebook можно разбить на facebook games, facebook comment, facebook like, facebook message и т.д.) URL-фильтрация по категориям и репутациям. Плюс FirePOWER предлагает NG IPS и AMP (AMP — это своего рода антивирусная проверка проходящих через сенсор файлов).