А почему этот NGFW пишет в журнале событий, что не знает что за приложение ходит по UDP по 53 порту? Это видно на скриншоте - там написано Unknown. Что там еще у вас такое ходит, кроме DNS в корпоративной сети?
Все ушли в 22 году и никого официально не осталось
Привет, Игорь! Зато остались российские поставщики. К примеру, у компании Гарда остался и развивается анализ NetFlow и как раз для продукта класса NTA/NDR для анализа аномалий в трафике.
IPFIX поддерживает анализ трафика на уровне приложений
Генерация + экспорт потоков IPFIX с анализом приложений требует вычислительных ресурсов. Если включить IPFIX, то анализ трафика может привести к перегрузке CPU и памяти маршрутизаторов и коммутаторов.
Чтобы справиться с нагрузкой у тебя два варианта 1. Использовать мощные устройства с аппаратной поддержкой IPFIX (ASIC, FPGA). Есть ли в России такие? 2. Фильтровать или агрегировать потоки перед отправкой. Но такой путь не дает полной информации о всех потоках приложений .
Просьба дописать статью рассказом, где все-таки будет показано как метод обходит какой-то из реальных Firewall от Palo Alto Networks, Fortinet или других поставщиков.
Опыт с nftables не подходит, потому что этот firewall не проверяет трафик приложений идущих по порту. Такие типы firewall давно не используются в компаниях, где высокий уровень зрелости службы информационной безопасности.
Шикарный крик души! Спасибо! Объектное программирование мне нравится. Вообще, если провести аналогию, то с Delphi на Pascal я бы точно не перешел ) А вот то, что везде потом стало модно писать на СИ для меня стало проблемой. И помню как скрипя сердцем и другими частями тела перебирался на Microsoft Visual Studio. Да, перешел, конечно, однако это прямо было душевной травмой.
Оперативная память не резиновая. Если на роутере - вся память может быть задействована для маршрутизации, к таблицам FIB/RIB на NGFW еще добавляется 200 сложных таблиц в памяти для обеспечения работы контроля приложений, пользователей, IPS, антивируса, расшифрования SSL и других сложнейших функций. И поэтому сравнивать маршрутизацию на NGFW с маршрутизацией на роутере и говорить, что там мало памяти - странное занятие в принципе. Все равно что скорость загруженного грузовика сравнивать со скоростью спортивного автомобиля. У них явно разные функционально задачи в вашей сети.
Параллельно ставить две коробки - не надо, если вам нужна надежная работа приложений. В случае выхода из строя одной из них, или если вы будете просто обновлять ее операционку, то у вас умрет половина транзакций и на клиентах и серверах будет множество зависших сессий. Это могут быть финансовые транзакции или записи в базу данных. Что повлечет множество не очень хороших последствий и потерь важной информации.
Конечно, если вы настраиваете интернет для дома, то там, наверно, можно и пережить, что какой-то бэкап в облако умер и запустить заново. В серьезной инфраструктуре - так не надо делать. Используйтей High Availability, причем Active/Passive (Acive/Standby). Не надо Active/Active - не занимайтесь мазохизмом. Это не даст повышения производительности, зато создаст море проблем с troubleshootingом.
У меня даже дома парк ИТ средств меняется со скоростью, которая мне неподвластна. Представляете какая скорость изменений ИТ средств и программного обеспечения в организациях где 1000 и более человек?
Если кто-то принесет Windows в сеть, то вы сразу же сможете включить сигнатуры? А как вы узнаете, что кто-то принес Windows? ) Или какой у вас план на этот случай? )
Подход, который вы описываете, обычно рассказывают сотрудники Check Point и Cisco, потому что у них не получается включить все сигнатуры без кардинального падения производительности. Поэтому им приходится выключать все сигнатуры, которые повышают задержки для трафика, идущего через устройство с этими проверками.
А почему этот NGFW пишет в журнале событий, что не знает что за приложение ходит по UDP по 53 порту? Это видно на скриншоте - там написано Unknown. Что там еще у вас такое ходит, кроме DNS в корпоративной сети?
Потому что мне интересно с чем вы сравнивали настройку Palo Alto Networks NGFW, чтобы сделать свое умозаключение, что там "конфигурационный ад"
А какой NGFW вы еще настраивали, кроме Palo Alto?
Поиск событий в логах через SQL запросы - а зачем так сделали?
NDR/NTA рынок как видите?
Привет, Игорь! Зато остались российские поставщики. К примеру, у компании Гарда остался и развивается анализ NetFlow и как раз для продукта класса NTA/NDR для анализа аномалий в трафике.
Генерация + экспорт потоков IPFIX с анализом приложений требует вычислительных ресурсов.
Если включить IPFIX, то анализ трафика может привести к перегрузке CPU и памяти маршрутизаторов и коммутаторов.
Чтобы справиться с нагрузкой у тебя два варианта
1. Использовать мощные устройства с аппаратной поддержкой IPFIX (ASIC, FPGA). Есть ли в России такие?
2. Фильтровать или агрегировать потоки перед отправкой. Но такой путь не дает полной информации о всех потоках приложений .
Просьба дописать статью рассказом, где все-таки будет показано как метод обходит какой-то из реальных Firewall от Palo Alto Networks, Fortinet или других поставщиков.
Опыт с nftables не подходит, потому что этот firewall не проверяет трафик приложений идущих по порту. Такие типы firewall давно не используются в компаниях, где высокий уровень зрелости службы информационной безопасности.
Хороший обзор!
Спасибо, очень интересные примеры, их можно на курсах программирования показывать даже.
Сейчас модный тренд - маскирование баз данных. Когда программисты работают на копии базы, где все имена, фамилии, адреса подменили на вымышленные.
Хорошая статья. Спасибо!
Шикарный крик души! Спасибо!
Объектное программирование мне нравится. Вообще, если провести аналогию, то с Delphi на Pascal я бы точно не перешел ) А вот то, что везде потом стало модно писать на СИ для меня стало проблемой. И помню как скрипя сердцем и другими частями тела перебирался на Microsoft Visual Studio. Да, перешел, конечно, однако это прямо было душевной травмой.
Спасибо за статьи, отличный материал!
https://habr.com/ru/articles/435138/#:~:text=TCAM (Ternary Content Addressable Memory)
Оперативная память не резиновая. Если на роутере - вся память может быть задействована для маршрутизации, к таблицам FIB/RIB на NGFW еще добавляется 200 сложных таблиц в памяти для обеспечения работы контроля приложений, пользователей, IPS, антивируса, расшифрования SSL и других сложнейших функций. И поэтому сравнивать маршрутизацию на NGFW с маршрутизацией на роутере и говорить, что там мало памяти - странное занятие в принципе. Все равно что скорость загруженного грузовика сравнивать со скоростью спортивного автомобиля. У них явно разные функционально задачи в вашей сети.
https://habr.com/ru/articles/435138/#:~:text=поставить «параллельно» две независимые коробки
Параллельно ставить две коробки - не надо, если вам нужна надежная работа приложений. В случае выхода из строя одной из них, или если вы будете просто обновлять ее операционку, то у вас умрет половина транзакций и на клиентах и серверах будет множество зависших сессий. Это могут быть финансовые транзакции или записи в базу данных. Что повлечет множество не очень хороших последствий и потерь важной информации.
Конечно, если вы настраиваете интернет для дома, то там, наверно, можно и пережить, что какой-то бэкап в облако умер и запустить заново. В серьезной инфраструктуре - так не надо делать. Используйтей High Availability, причем Active/Passive (Acive/Standby). Не надо Active/Active - не занимайтесь мазохизмом. Это не даст повышения производительности, зато создаст море проблем с troubleshootingом.
Спасибо! Отличный обзор!
Вот тут похожее объяснение https://www.youtube.com/watch?v=zhlMLRNY5-4
Крутая статья! Спасибо, DataLine!
а у слова bus - автобус? )
У меня даже дома парк ИТ средств меняется со скоростью, которая мне неподвластна. Представляете какая скорость изменений ИТ средств и программного обеспечения в организациях где 1000 и более человек?
Если кто-то принесет Windows в сеть, то вы сразу же сможете включить сигнатуры? А как вы узнаете, что кто-то принес Windows? ) Или какой у вас план на этот случай? )
Подход, который вы описываете, обычно рассказывают сотрудники Check Point и Cisco, потому что у них не получается включить все сигнатуры без кардинального падения производительности. Поэтому им приходится выключать все сигнатуры, которые повышают задержки для трафика, идущего через устройство с этими проверками.
Тогда почему вы не знаете скорость трафика в своей сети, который сейчас подается на устройство?
То есть вы еще этим продуктом реально не пользуетесь?