Перейти к содержанию

Recommended Posts

Ego1st
Если нужно защищать в первую очередь периметр от Интернета - то здесь однозначно нужны железные решения, софт здесь не справляется

при 4 мегабитном внешнем канале софтверный справляется на ура=)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
при 4 мегабитном внешнем канале софтверный справляется на ура=)

Я тут больше не про пропускную способность, а про "стойкость к ударам"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Я тут больше не про пропускную способность, а про "стойкость к ударам"

ну как сказать, в большинстве своем это удобней но на таком канале я бы не стал выкладывать 6500к за железку аналог которой я сам смогу поднять за вразы меньшие деньги, а уверенности в том что железка будет лучше в защите у меня нету, если у ips есть обновляймые сигнатуры то вообще преимущество железки только в удобстве управления и железе которое будет все в одном=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Кирилл Керценбаум

все же я поддерживаю мнение Ego1st_а. какая раница между железным IPS и каком небудь компом, на котором стоит IPS. ?

ведь на железном IPS в конечном итоге софт "решает" как быть !

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
какая раница между железным IPS и каком небудь компом, на котором стоит IPS. ?

Скажем так: если организация, которую нужно защитить никогда не попадет в список целевой аудитории для интереса хакеров - то и софтовый IPS на слабом канале справится, однако если это не так и есть ценная информация, потеря которой может дорого стоить, то я бы задумался о "железном" решении, которое более устойчиво к взлому и обходу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RSB
какая раница между железным IPS и каком небудь компом, на котором стоит IPS. ?

ведь на железном IPS в конечном итоге софт "решает" как быть !

Какая разница между железным рутером или серверным? Можно же по старинке - вставит парочку сетевух в сервак и рутер готов :)

И на железном IPS софт решает. Но здесь решает специализированный софт, на специализированной ОС, который заточен под специальную задачу! Для чего?

1) для безопасности! Такое железное решение намного труднее хакнуть, чем софт крутящийся на стандартной платформе, в нем меньше уязвимостей. И людей умеющих подобраться к такой системе намного меньше.

2) Надёжность - кол-во апдейтов, патчей и др. Время простоя и обслуживания.

3) Пропускная способность у железных решений намного выше! Я имею ввиду производительность системы при полной нагрузке. Например McAfee IPS M-8000 получил сертификат NSS Group на производительность 10 Gbps.

4) Совокупная стоимость владения такой системы получаеться меньше, учитывая все вышеперечисленное + время админа на сопровождение.

уверенности в том что железка будет лучше в защите у меня нету, если у ips есть обновляймые сигнатуры то вообще преимущество железки только в удобстве управления и железе которое будет все в одном=)

Есть не только обновляемые сигнатуры, но и поведенческий анализ, анализ аномалий трафика и сообщения с Global Threat Intellegenсe (McAfee Labs) для проактивной защиты от аттак, и многое другое.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

т.е. IPS тоже качает сигнатуры себе!?

А как насчет аномальных сканрований? нормально работает или как у SNORT_а, оно есть но ХЗ как точно работает?

я заметил, что есть производители, которые ради + что то делают, а потом когда возникают проблемы, техподдержка отводит руками, типа оно пока в тестовом режиме или не доработан.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RSB
.е. IPS тоже качает сигнатуры себе!?

А как насчет аномальных сканрований? нормально работает или как у SNORT_а, оно есть но ХЗ как точно работает?

я заметил, что есть производители, которые ради + что то делают, а потом когда возникают проблемы, техподдержка отводит руками, типа оно пока в тестовом режиме или не доработан.

Для известных аттак используют сигнатуры, для новых другие методы (сканирование аномалий) или комбинации методов. Все это увеличивает безопастность. Все, что заявленно работает.

Согласно Gartner мы находимся в лидерах по IPS решениям:

"Its high throughput, low replacement rate, and good scores in client performance testing are directly a result of the hardware investments in purpose-built appliances. Its IPS console scores well in competitive selections. Gartner has observed an increase in the visibility of the McAfee NSP on shortlists

NSP can make a good shortlist contender for enterprises using other McAfee security products — such as NAC, vulnerability management, ePolicy Orchestrator (ePO) or host IPS. It is one of the top five vendors for specialized IPS appliance market share in 2008, according to Gartner Dataquest."

И функциональнасть:

Protect your enterprise from known, zero-day, denial of service (DoS), distributed denial of service (DDoS), SYN flood (which sends TCP connections requests faster than a machine can process them), and encrypted attacks, and threats like spyware, Voice over IP (VoIP) vulnerabilities, botnets, alware, worms, Trojans, phishing, and peer-to-peer tunneling

• Improve accuracy through use of multiple advanced detection methods, including signature, application, and protocol anomaly; shell-code detection algorithms; and nextgeneration DoS and DDoS prevention

• Parse more than 100 protocols and review more than 3,000 high-quality, multi-token, multitrigger signatures with stateful traffic inspection

• Get proactive blocking for hundreds of attacks straight out of the box with preconfigured policies

• Receive continuous threat updates 24/7 from the global research team at McAfee Avert Labs

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Какая разница между железным рутером или серверным?

гемора меньше на начальных этапах не более того=))

Но здесь решает специализированный софт, на специализированной ОС, который заточен под специальную задачу! Для чего?

Линукс порезанный со своими драйверами, со спец софтом?=) или прям натуральная своя ось?=)

3) Пропускная способность у железных решений намного выше! Я имею ввиду производительность системы при полной нагрузке. Например McAfee IPS M-8000 получил сертификат NSS Group на производительность 10 Gbps.

вы считаете что нельзя поднять сервак с такой пропускной способностью?=)

2) Надёжность - кол-во апдейтов, патчей и др. Время простоя и обслуживания.

это все решает только при большом канале=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

ИМХО, у железки от "голубого гиганта" и сам хард стоит весьма того... дорого

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

RSB

Мне очень сомнительно кажеться:

Protect your enterprise from known, zero-day, denial of service (DoS)

И каким образом предотвращает zero-day ? Я не прикалываюсь и в полном серьезе хотел бы узнать каким образом..

А чтоксоаеться DDoS устойкости... вы пробовали?

я могу на себя брать тест на DDoS :P Есть сайт у ваших клиентов, которые защищены от DDoS вашим аппаратом? могу ботнет направить на него и посмотрим как себя ведет ! если выдержит - просто молоджы разработчикам :))

alexgr

когда то на убитом компе поднял роутер IPCOP, очень даже удачно получился. в начале правда немного настраивал, но в конце все получился. На аппаратном думаю не получился бы растроить так, как хочется + поставить то, что хочешь :)) всякие плагины (при желании сам можешь править код в chroot окружений).

Да, я согласен, может железный трудно ломать (там типа все readonly) , но все же из за цены....приходиться искать альтернативы.

вы считаете что нельзя поднять сервак с такой пропускной способностью?=)

кстати, как так можно делать? ведь ethernet пропускает 10/100/1000мбит/с ?

или это зависит от настройки системы?

Отредактировал Kopeicev
Убрана нецензурная формулировка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
кстати, как так можно делать? ведь ethernet пропускает 10/100/1000мбит/с ?

или это зависит от настройки системы?

а как по вашему делают такие железки с такой пропускной способностью, если ethernet пропускает не больше 1Gb?=)))

http://www.verba.ru/cgi/price/price.pl?id=...=show_tech_info

И каким образом предотвращает zero-day ? Я не прикалываюсь и в полном серьезе хотел бы узнать каким образом..

вот так =))

но и поведенческий анализ, анализ аномалий трафика и сообщения с Global Threat Intellegenсe (McAfee Labs) для проактивной защиты от аттак, и многое другое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Ego1st

мда, круто. но там как бе не RJ-45 разьем, да ? че то не похож на обычный разьем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
мда, круто. но там как бе не RJ-45 разьем, да ? че то не похож на обычный разьем.

да там не RJ-45 =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

а какой ?

мне кажется под отптический кабель там. да и UTP cat5E не сможет поддерживать 10тб/с :))))))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
а какой ?

мне кажется под отптический кабель там. да и UTP cat5E не сможет поддерживать 10тб/с :))))))))

начиная от UTP cat6E, 10тб/с это я вообще не знаю что поддерживать может)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

Ego1st

:D блин.

имел ввиду 10Гбит/с.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Krec

вот тут как я понял- есть представители разных вендоров.

можете предоставить инфо - каким образом IPS (именно ваш) защищает от DDoS атак ? на с чем это связано (т.е. что вличает )

и еще хотел бы узнать о работе аномальных сканеров.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
можете предоставить инфо - каким образом IPS (именно ваш) защищает от DDoS атак ? на с чем это связано (т.е. что вличает )

http://www.anti-malware.ru/node/2931

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EvgeniCh

А на пилот провенту можно взять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
А на пилот провенту можно взять?

На пилот Вы можете попробовать Виртуальную версию Network Intrusion Prevention System Virtual Appliance или вам именно принципиально попробовать "железную" версию? В любом случае через партнера и то и другое сделать возможно, тестовую версию Virtual Appliance вообще без проблем сможете попробовать

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EvgeniCh

да если брать то наверное железку с сайтпротектором, у меня одна стоит другого вендора, что бы просто их подмахнуть и сравнить. А партнеры это которые "Дистрибуторы IBM по продуктам Internet Security Systems" на вашем сайте?

PS А у вас есть какие нибудь сравнения с продуктами других вендоров? вроде как есть отчет Q42009 на nss labs но он денег стоит;/

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
да если брать то наверное железку с сайтпротектором

SiteProtector также доступен как софт, не обязательно "железка". Если IPS будет один то в принципе можно обойтись и его собственной Веб консолью

А партнеры это которые "Дистрибуторы IBM по продуктам Internet Security Systems" на вашем сайте?

Нет, партнеры - это именно партнеры, примерный список такой: ИнформЗащита, Поликом Про, Софтлайн, Лета ИТ, Крок, Инфосистемы Джет, Астерос и т.д., можете уточнить у компании с которой ваша организация уже работает - возможно и они партнер IBM ISS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
EvgeniCh
SiteProtector также доступен как софт, не обязательно "железка". Если IPS будет один то в принципе можно обойтись и его собственной Веб консолью

SS понятно, что как софт, но не совсе понятно, вебинтерфейс железки обеспечивает полный функционал в управлении? те без сервера статистики и управления я получаю полный набор функций генераций отчетов итп, а SS нужен только для консолидации при крупных внедрениях?

Может быть я не нашел, но я как то не обнаружил технической документации на решения, лишь какие-то "агитлистовки". Где можно скачать?

Нет, партнеры - это именно партнеры, примерный список такой: ИнформЗащита, Поликом Про, Софтлайн, Лета ИТ, Крок, Инфосистемы Джет, Астерос и т.д., можете уточнить у компании с которой ваша организация уже работает - возможно и они партнер IBM ISS

Спасибо, а то я посмотрел по сайтам не марвел ни rrc даже не в курсе что вашими ips занимаются, да и вообще ibm как вендором. Да то что нужно, в списке есть компания с кем я взаимодействую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
    • PR55.RP55
      Недостатки uVS:
      1) Невозможно задать временный критерий. После поиска созданный критерий нужно удалять... Решение: При создании критерия добавить чек бокс:  НЕ вносить изменений в snms [ V ] 2) В Инфо. нет подсветки по типу поиска в браузере ( подсветить всё найденное ) 3) Поиск идёт по всем критериям -  по старым и по новым. Когда критериев много ( а их много ) такой поиск теряет смысл. Разве ? Нет смысла искать в других полях по: каталог; имя производителя; цифровой подписи; хэш. Напомню:  " Пока что вижу эти: wmic.exe, vssadmin.exe, cmd.exe, svchost.exe + powershell.exe+ netsh.exe конечно, остальные можно по мере поступления добавить.  "      
×