Forum » Omrežja in internet » DIY: FW + IDS + IPS?
DIY: FW + IDS + IPS?
AnotherMe ::
Dobro jutro!
Za manjše podjetje bi rabil boljšo zaščito od vgrajene v routerju. Razmišljal sem o stari kišti, in neki namenski open source programski opremi, ki bi nadomestila razmeroma drage komponente.
1. Se to sploh splača delat?
2. Kaj bi predlagali?
3. V primeru, da to ni smiselno, kakšne so alternative prijazne podjetniku, ki povsod špara?
Hvala za nasvete!
Za manjše podjetje bi rabil boljšo zaščito od vgrajene v routerju. Razmišljal sem o stari kišti, in neki namenski open source programski opremi, ki bi nadomestila razmeroma drage komponente.
1. Se to sploh splača delat?
2. Kaj bi predlagali?
3. V primeru, da to ni smiselno, kakšne so alternative prijazne podjetniku, ki povsod špara?
Hvala za nasvete!
Ribič ::
Če te zanima DIY varianta, ti predlagam, da uporabiš malo boljšo oz. ne preveč staro mašino, pa gor inštaliraš požarni zid pfSense, zraven pa lahko dodaš še IDS/IPS, kot je Snort ali Suricata. Slednja bosta potrebovala malo več RAM-a za obratovanje (vsaj 1 giga). Sicer pa imajo na pfSense tudi komercialno podporo, sam požarni zid pa je zastonj.
http://www.pfsense.org
http://www.pfsense.org
AnotherMe ::
Hvala za odgovor.
Uporabit želim eno staro kišto z c2d in 4gb rama. Alternativa pa mi je tudi rPI...
Za na Pi sem našel neko zadevo, ki izgleda precej enostava: http://www.instructables.com/id/Raspber...
Mnenje?
Če pa bi uporabil kišto - je kaka "integrirana" zadeve, ki bi jo lahko uporabil, da naložim in večina dela out of the box - podobno kot freeNAS ipd...?
Uporabit želim eno staro kišto z c2d in 4gb rama. Alternativa pa mi je tudi rPI...
Za na Pi sem našel neko zadevo, ki izgleda precej enostava: http://www.instructables.com/id/Raspber...
Mnenje?
Če pa bi uporabil kišto - je kaka "integrirana" zadeve, ki bi jo lahko uporabil, da naložim in večina dela out of the box - podobno kot freeNAS ipd...?
SeMiNeSanja ::
Koliko 'malo' je to 'manjše' podjetje? Kakšen throughput potrebuje?
Boš pri roki, da boš redno skrbel za update sistema in signatur?
Delaš to vsak dan, da boš lahko dal roko v ogenj, da je 'vodotesna' zadeva? Najbrž ne, sicer nebi spraševal?
Saj se 'da' narest stvar, samo če mene vprašaš, je to 'hobby varianta' - več se ukvarjaš s samim vzpostavljanjem zadeve, kot pa z dejansko varnostjo, ki naj bi bila namen postavljanja take zadeve.
Kaj je cilj? Prišparat 500€? Ne vem, koliko stane tvoja ura, niti koliko bi stalo podjetje, če jim internet pade dol za en dan, ker bi se ti 'nekaj podrlo' (crkne matična, disk,...).
V večini primerov, te na koncu takšna 'doma spacana' zadeva pride dražje, kot če uporabiš spodobno komercialno rešitev.
Če pa kot 'serviser' to ponujaš podjetju, pa na koncu lahko še tvoj ugled utrpi večjo škodo, kot je podjetje kvazi prihranilo.
Seveda je to moje osebno mogoče tudi malo pristransko mnenje, ker sam prodajam in inštalaram komercialne rešitve na tem področju. Vendar kljub temu, bi rekel, da naj se takšnih DiY zadev lotevajo le tisti, ki hudo dobro vedo, kaj počno in zakaj to počno.
Boš pri roki, da boš redno skrbel za update sistema in signatur?
Delaš to vsak dan, da boš lahko dal roko v ogenj, da je 'vodotesna' zadeva? Najbrž ne, sicer nebi spraševal?
Saj se 'da' narest stvar, samo če mene vprašaš, je to 'hobby varianta' - več se ukvarjaš s samim vzpostavljanjem zadeve, kot pa z dejansko varnostjo, ki naj bi bila namen postavljanja take zadeve.
Kaj je cilj? Prišparat 500€? Ne vem, koliko stane tvoja ura, niti koliko bi stalo podjetje, če jim internet pade dol za en dan, ker bi se ti 'nekaj podrlo' (crkne matična, disk,...).
V večini primerov, te na koncu takšna 'doma spacana' zadeva pride dražje, kot če uporabiš spodobno komercialno rešitev.
Če pa kot 'serviser' to ponujaš podjetju, pa na koncu lahko še tvoj ugled utrpi večjo škodo, kot je podjetje kvazi prihranilo.
Seveda je to moje osebno mogoče tudi malo pristransko mnenje, ker sam prodajam in inštalaram komercialne rešitve na tem področju. Vendar kljub temu, bi rekel, da naj se takšnih DiY zadev lotevajo le tisti, ki hudo dobro vedo, kaj počno in zakaj to počno.
AnotherMe ::
5 zaposlenih - 2-3 odvisni od interneta, če pade net za par ur lahko počnejo tudi kaj drugega :D
Smo v isti bajti, tako da načeloma bom pri roki. Moja ura je 30-60eur - odvisno kaj delam...
V starih časih sem tudi sam imel iptables na 386 kišti, skupaj z routerjem... Je delalo brez problema v doamčem podjetju z 6 zaposlenimi in 5 stanovalci;)
Zadeve so se seveda od takrat spremenile, zato pa sprašujem kako in kaj. Vprašal sem tudi za primerne ugodne alternative;)
Smo v isti bajti, tako da načeloma bom pri roki. Moja ura je 30-60eur - odvisno kaj delam...
V starih časih sem tudi sam imel iptables na 386 kišti, skupaj z routerjem... Je delalo brez problema v doamčem podjetju z 6 zaposlenimi in 5 stanovalci;)
Zadeve so se seveda od takrat spremenile, zato pa sprašujem kako in kaj. Vprašal sem tudi za primerne ugodne alternative;)
Zgodovina sprememb…
- spremenil: AnotherMe ()
GTX970 ::
Uporabit želim eno staro kišto z c2d in 4gb rama. Alternativa pa mi je tudi rPI...
Raje banana pi + switch
http://www.bananapi.org/p/product.html
Ali kakšno intel j1900 based (pasivno hlajeno) kombinacijo + 4 gb rama + 100W psu.
Zgodovina sprememb…
- spremenilo: GTX970 ()
SeMiNeSanja ::
Če realno gledaš, se da danes ny DiY osnovi zmetat skupaj kompletno UTM alternativo. Če to delaš vsakodnevno, si lahko celo že pripraviš kompleten image in ga samo še kopiraš.
Vprašanje pa je pri teh zadevah:
a) kako boš stvar upravljal
b) koliko časa vzame odkrivanje in odprava težav (kera komponenta jih ustvarja?)
c) kakovost signatur in posodabljanje
d) logiranje in analiza logov
Ker se te zadeve sestavljajo skupaj iz različnih komponent, moraš vsako posebej upravljat. Imaš niz konfiguracijskih datotek ali več spletnih vmesnikov, na koncu pa mora biti vse skupaj vigrano, drugače ne boš imel performans, ali pa še kakšne hujše težave (nezanesljivost delovanja)
Ker vsaka komponenta nekaj po svoje logira, moraš v primeru težav iskati po vrsti log datotek, ki imajo lahko še vsaka svoj format. Stvar lahko postane mazohistična, če s tem ne delaš vsakodnevno, da bi točno vedel v katerem grmu tiči zajec.
Signature in njihova kakovost so poseben problem. Imaš omejeno bazo AV signatur, kategorij Web strani, IPS signatur, za vse pa moraš še skrbeti, da se bodo samodejno posodabljale. Manjka pa ti potem še prepoznava aplikacij in povezava na AD, kar danes komercialni proizvodi že standarno nudijo.
Logiranje in analiza logov je lahko še pri komercialnih proizvodih težava - predvsem cenovne narave, ker mnogi proizvajalci kar zasolijo cene teh opcij.
Pri DiY pa imaš nekaj na Syslog, nekaj direktno v datotekah, v bistvi pa za vsak servis svoj lastni log. Pregleda skozi vse skupaj pa nimaš.
Če stvar ponujaš kot storitev, bi ti svetoval, da jim ponudiš eno ugodno komercialno rešitev, kjer se ne boš rabil ubadati s tem, kako vse skupaj sploh spraviti do delovanja, ampak se boš ubadal izključno s tem, kako stvar skonfigurirati za maksimalno možno varnost. Že s tem je lahko dosti dela, če stvar resno jemlješ, bodo pa tvoje ure bistveno bolj efektivno izkoriščene.
Ko pa bodo kakšne težave, jih boš veliko hitreje (ceneje) odpravil, kot bi jih na DiY rešitvi.
DiY je za nekam, kjer stvar postaviš in jo naslednjih nekaj let (razen posodabljanja) ne dotikaš. Problem pa je, čim zadevo skonfiguriraš do neke malo resnejše varnosti, da stvar ne moreš 'kar pustiti', ampak moraš stalno nekaj spreminjati na pravilih, čim se nekaj na mreži spremeni. Skratka te že sama zadeva zapelje, da pričneš sklepati neke kompromise na račun stopnje varnosti, da ti ne bo treba stalno nekaj 'čačkat', sploh ker to 'čačkanje' ni ravno pretirano elegantno.
Jasno pa da se te stvari vedno nekje zataknejo pri osnovni investiciji in kasnejšem vzdrževanju. Pri 5 uporabnikih, če so trije od tega 'odvisneži' (ne morejo brez - ali tako na veliko uporabljajo internet?), lahko dobiš 'kompletno rešitev' že za manj od 1100€, vključno z vsemi mogočimi servisi, naročninami na signature, logiranjem in analizo logov.
Če primerjaš s 'starim PC-jem', ki je vreden morda 200€, na katerem bi se zezal en teden po 4 ure dnevno, da bi upedenal polovico tistih storitev, ob uporabi manj kakovostnih javno razpoložljivih signatur, že ob tvoji najnižji urni postavki prideš na skupen znesek 800€ oz. 976€ z DDV. Vsega skupaj si potemtakem prihranil 100€ - ob znatno manj zmogljivi rešitvi
Seveda je treba tudi komercialno rešitev še skonfigurirati, tako da v končni fazi prideš na prihranek okoli 500€ - o katerem sem govoril na začetku, ki pa je za moje pojme hitro po vodi, če moraš na vse skupaj dati še nekakšno 'garancijo'.
Slaba stran komercialne rešitve je v bistvo kasneje, ko se pojavi strošek z obnavljanjem naročnine na signature. Ti so potem pri rešitvi tega ranga nekje okoli 400€ letno, kar pa v bistvu tudi ni konec sveta, če govorimo o kakovostnih signaturah.
Vprašanje pa je pri teh zadevah:
a) kako boš stvar upravljal
b) koliko časa vzame odkrivanje in odprava težav (kera komponenta jih ustvarja?)
c) kakovost signatur in posodabljanje
d) logiranje in analiza logov
Ker se te zadeve sestavljajo skupaj iz različnih komponent, moraš vsako posebej upravljat. Imaš niz konfiguracijskih datotek ali več spletnih vmesnikov, na koncu pa mora biti vse skupaj vigrano, drugače ne boš imel performans, ali pa še kakšne hujše težave (nezanesljivost delovanja)
Ker vsaka komponenta nekaj po svoje logira, moraš v primeru težav iskati po vrsti log datotek, ki imajo lahko še vsaka svoj format. Stvar lahko postane mazohistična, če s tem ne delaš vsakodnevno, da bi točno vedel v katerem grmu tiči zajec.
Signature in njihova kakovost so poseben problem. Imaš omejeno bazo AV signatur, kategorij Web strani, IPS signatur, za vse pa moraš še skrbeti, da se bodo samodejno posodabljale. Manjka pa ti potem še prepoznava aplikacij in povezava na AD, kar danes komercialni proizvodi že standarno nudijo.
Logiranje in analiza logov je lahko še pri komercialnih proizvodih težava - predvsem cenovne narave, ker mnogi proizvajalci kar zasolijo cene teh opcij.
Pri DiY pa imaš nekaj na Syslog, nekaj direktno v datotekah, v bistvi pa za vsak servis svoj lastni log. Pregleda skozi vse skupaj pa nimaš.
Če stvar ponujaš kot storitev, bi ti svetoval, da jim ponudiš eno ugodno komercialno rešitev, kjer se ne boš rabil ubadati s tem, kako vse skupaj sploh spraviti do delovanja, ampak se boš ubadal izključno s tem, kako stvar skonfigurirati za maksimalno možno varnost. Že s tem je lahko dosti dela, če stvar resno jemlješ, bodo pa tvoje ure bistveno bolj efektivno izkoriščene.
Ko pa bodo kakšne težave, jih boš veliko hitreje (ceneje) odpravil, kot bi jih na DiY rešitvi.
DiY je za nekam, kjer stvar postaviš in jo naslednjih nekaj let (razen posodabljanja) ne dotikaš. Problem pa je, čim zadevo skonfiguriraš do neke malo resnejše varnosti, da stvar ne moreš 'kar pustiti', ampak moraš stalno nekaj spreminjati na pravilih, čim se nekaj na mreži spremeni. Skratka te že sama zadeva zapelje, da pričneš sklepati neke kompromise na račun stopnje varnosti, da ti ne bo treba stalno nekaj 'čačkat', sploh ker to 'čačkanje' ni ravno pretirano elegantno.
Jasno pa da se te stvari vedno nekje zataknejo pri osnovni investiciji in kasnejšem vzdrževanju. Pri 5 uporabnikih, če so trije od tega 'odvisneži' (ne morejo brez - ali tako na veliko uporabljajo internet?), lahko dobiš 'kompletno rešitev' že za manj od 1100€, vključno z vsemi mogočimi servisi, naročninami na signature, logiranjem in analizo logov.
Če primerjaš s 'starim PC-jem', ki je vreden morda 200€, na katerem bi se zezal en teden po 4 ure dnevno, da bi upedenal polovico tistih storitev, ob uporabi manj kakovostnih javno razpoložljivih signatur, že ob tvoji najnižji urni postavki prideš na skupen znesek 800€ oz. 976€ z DDV. Vsega skupaj si potemtakem prihranil 100€ - ob znatno manj zmogljivi rešitvi
Seveda je treba tudi komercialno rešitev še skonfigurirati, tako da v končni fazi prideš na prihranek okoli 500€ - o katerem sem govoril na začetku, ki pa je za moje pojme hitro po vodi, če moraš na vse skupaj dati še nekakšno 'garancijo'.
Slaba stran komercialne rešitve je v bistvo kasneje, ko se pojavi strošek z obnavljanjem naročnine na signature. Ti so potem pri rešitvi tega ranga nekje okoli 400€ letno, kar pa v bistvu tudi ni konec sveta, če govorimo o kakovostnih signaturah.
SeMiNeSanja ::
Recimo nekaj takega se mi zdi zanimivo:
http://old.clearfoundation.com/Software...
Kvazi 'open source' - ampak na koncu, če sešteješ vse naročnine na signature, nisi nič profitiral, še vedno pride cifra v rangu tiste, ki sem jo jaz navajal za letno podaljševanje naročnin. Mar ni potem bolje takoj vzeti malo bolj resno rešitev?
AnotherMe ::
Zato pa vprašam, ane ;)
DIY je meni ljuba zadeva, ker se rad igram... Očitno tukaj se finančno pač nebi splačalo, plan je pač bil, da nekaj malega zaslužim ob mojem igranju :) Kako bi na to gleda stranka raje nebi vedel :D
Kaj od komercialne zadeve bi torej predlagal?
Hvala!
DIY je meni ljuba zadeva, ker se rad igram... Očitno tukaj se finančno pač nebi splačalo, plan je pač bil, da nekaj malega zaslužim ob mojem igranju :) Kako bi na to gleda stranka raje nebi vedel :D
Kaj od komercialne zadeve bi torej predlagal?
Hvala!
jukoz ::
Dobro jutro!
Za manjše podjetje bi rabil boljšo zaščito od vgrajene v routerju. Razmišljal sem o stari kišti, in neki namenski open source programski opremi, ki bi nadomestila razmeroma drage komponente.
1. Se to sploh splača delat?
2. Kaj bi predlagali?
3. V primeru, da to ni smiselno, kakšne so alternative prijazne podjetniku, ki povsod špara?
Hvala za nasvete!
A znaš definirati kaj naj bi pomenilo "bi rabil boljšo zaščito od vgrajene v routerju"?
Zgodovina sprememb…
- spremenilo: jukoz ()
SeMiNeSanja ::
Tipičen router zmore zgolj filtrirati promet glede na port, izvor in destinacijo povezave. Pogosto se tu že prične zatikati pri logiranju, saj mnogi 'routerji' niti syslog logiranja nimajo podprtega.
Torej OP išče nekaj, kaj je 'več' od tega.
Tradicionalno se je izza 'routerja' (ali stateful packet inspection požarne pregrade), postavljalo dodatne rešitve, kot npr. IPS/IDS sisteme, http proxy-je in podobno, da bi se prestreglo neželjen promet, ki je takšni požarni pregradi (ali routerju) 'ušel'.
Ker so procesorji danes zmogljivejši, kot pred desetletjem ali dvema, je šel razvoj v integracijo takšnih dodatnih 'filtrov' in varnostnih mehanizmov na same požarne pregrade.
To ima prednost nižje nabavne cene (nabaviš en sistem namesto dveh, treh,..), cenejši stroški vzdrževanja in predvsem enostavnejše konfigiriranje in nadzor vseh teh servisov.
Prvi tak servis je IPS, ki je na takšnih sistemih sicer bolj preprost, kot kakšen samostojen Snort - vsa stvar se poenostavlja do nivoja, kakršnega smo npr. vajeni pri antivirusu. Ponudnik vzdržuje signature, ti se pa rabiš zgolj naročiti na posodobitve.
Naslednji servis, ki požarnim pregradam dela največ preglavic (ubija prepustnost, če procesor ni dovolj zmogljiv) je antivirus. Ta nudi dodatno AV preverjanje k tistemu, ki ga že imaš na računalniku.
Nadalje imaš lahko antispam filter, web filter, prepoznavo aplikacij, prepoznavo uporabnikov iz MS domene in filtriranje na osnovi tega, integrirajo se wireless kontrollerji, traffic shaping, kvote za uporabnike in aplikacije, ....
Hkrati s tem pride potem v igro še logiranje in poročanje za vse to, kar 'nadziraš'.
Morda se malo trapasto sliši 'boljšo zaščito', ker vsa ta 'zaščita' je točno tako dobra, kot si jo sposoben pametno spraviti v igro, da uporabnika ne ovira, hkrati pa da kolikor se le da, onemogoči 'spodrsljaje', ki potem ogrozijo varnost omrežja.
Če npr. ne skonfiguriraš, da navaden uporabnik ne more prenesti .exe datoteke z interneta, potem se tudi ne smeš čuditi, če ti navlečejo vsa čuda na mrežo.
Dodaten problem predstavlja procesor, ki mora vse to premleti, po možnosti poleg ostalega še https dekriptirati in furati nekaj VPN povezav. Če v osnovi nabaviš prešibko zadevo, ti lahko vse skupaj 'počepne', ko vključiš vse te servise. Zato se tovrstne rešitve kupuje prvenstveno glede na zahtevano AV+IPS prepustnost oz. glede na celokupno UTM prepustnost - sicer se ti lahko zgodi, da imaš firewall, ki kvazi 'zmore' 1Gbps, skozenj pa spraviš morda komaj 50Mbps http prometa.
Torej OP išče nekaj, kaj je 'več' od tega.
Tradicionalno se je izza 'routerja' (ali stateful packet inspection požarne pregrade), postavljalo dodatne rešitve, kot npr. IPS/IDS sisteme, http proxy-je in podobno, da bi se prestreglo neželjen promet, ki je takšni požarni pregradi (ali routerju) 'ušel'.
Ker so procesorji danes zmogljivejši, kot pred desetletjem ali dvema, je šel razvoj v integracijo takšnih dodatnih 'filtrov' in varnostnih mehanizmov na same požarne pregrade.
To ima prednost nižje nabavne cene (nabaviš en sistem namesto dveh, treh,..), cenejši stroški vzdrževanja in predvsem enostavnejše konfigiriranje in nadzor vseh teh servisov.
Prvi tak servis je IPS, ki je na takšnih sistemih sicer bolj preprost, kot kakšen samostojen Snort - vsa stvar se poenostavlja do nivoja, kakršnega smo npr. vajeni pri antivirusu. Ponudnik vzdržuje signature, ti se pa rabiš zgolj naročiti na posodobitve.
Naslednji servis, ki požarnim pregradam dela največ preglavic (ubija prepustnost, če procesor ni dovolj zmogljiv) je antivirus. Ta nudi dodatno AV preverjanje k tistemu, ki ga že imaš na računalniku.
Nadalje imaš lahko antispam filter, web filter, prepoznavo aplikacij, prepoznavo uporabnikov iz MS domene in filtriranje na osnovi tega, integrirajo se wireless kontrollerji, traffic shaping, kvote za uporabnike in aplikacije, ....
Hkrati s tem pride potem v igro še logiranje in poročanje za vse to, kar 'nadziraš'.
Morda se malo trapasto sliši 'boljšo zaščito', ker vsa ta 'zaščita' je točno tako dobra, kot si jo sposoben pametno spraviti v igro, da uporabnika ne ovira, hkrati pa da kolikor se le da, onemogoči 'spodrsljaje', ki potem ogrozijo varnost omrežja.
Če npr. ne skonfiguriraš, da navaden uporabnik ne more prenesti .exe datoteke z interneta, potem se tudi ne smeš čuditi, če ti navlečejo vsa čuda na mrežo.
Dodaten problem predstavlja procesor, ki mora vse to premleti, po možnosti poleg ostalega še https dekriptirati in furati nekaj VPN povezav. Če v osnovi nabaviš prešibko zadevo, ti lahko vse skupaj 'počepne', ko vključiš vse te servise. Zato se tovrstne rešitve kupuje prvenstveno glede na zahtevano AV+IPS prepustnost oz. glede na celokupno UTM prepustnost - sicer se ti lahko zgodi, da imaš firewall, ki kvazi 'zmore' 1Gbps, skozenj pa spraviš morda komaj 50Mbps http prometa.
AnotherMe ::
Podobno kot je napisal SeMiNeSanja;
Sosedje so "neumni" uporabniki, klikajo vse po vrsti in imam sedaj redne dvo do tritedenske obiske, ker je potrebno počisti računalnike ipd...
Pred kratkim je eden izmed njih fasal nek criptolocker na domači računalnik, ki ga je imel sinhroniziranega prek googledrive na služben računalnik - verjetno vam je jasno kako je bilo naprej? :)
Kakorkoli, zadevo smo uspešno rešili in je ostal samo brez parih fotk in nekih starih dokumentov, ki jih itak ne rabi več.
Je pa "incident" bil zadosti za motivacijo, da je zadevo treba v prihodnje preprečit.
Trenutno se postavlja backup, da v prihodnje vsaj brez datotek kdo ne ostane, naslednji korak pa je nek pametnejši sistem zaščite na sami mreži - tisti mali netgear routerček, ki jim ga je dal telemach ni nek presežek, predvsem manjka en pameten pregled nad tem kaj se dogaja na omrežju...
Sosedje so "neumni" uporabniki, klikajo vse po vrsti in imam sedaj redne dvo do tritedenske obiske, ker je potrebno počisti računalnike ipd...
Pred kratkim je eden izmed njih fasal nek criptolocker na domači računalnik, ki ga je imel sinhroniziranega prek googledrive na služben računalnik - verjetno vam je jasno kako je bilo naprej? :)
Kakorkoli, zadevo smo uspešno rešili in je ostal samo brez parih fotk in nekih starih dokumentov, ki jih itak ne rabi več.
Je pa "incident" bil zadosti za motivacijo, da je zadevo treba v prihodnje preprečit.
Trenutno se postavlja backup, da v prihodnje vsaj brez datotek kdo ne ostane, naslednji korak pa je nek pametnejši sistem zaščite na sami mreži - tisti mali netgear routerček, ki jim ga je dal telemach ni nek presežek, predvsem manjka en pameten pregled nad tem kaj se dogaja na omrežju...
jukoz ::
Zdejle sem malo zaseden tako da moram še prebrat katere rešitve ima SeMiNeSanja, ampak vseeno: opisan problem je bolj problem antivirusa kot pa FWja.
Smo imeli primer, ko so fasali neko superduper virozo ki jo F-Secure ni imel v bazi. Na FWju lahko vidiš da je ful nekega čudnega prometa, ampak če ga nima zabeleženega antivirus, potem ga tudi FW načeloma nima. In edino kar ti preostane je, da tak promet blokiraš, pa še to je odvisno od politike omrežja, koliko čudnega prometa se dopušča (skype in podobno, FB in njegove pritikline, ostale web zadeve, ....) ter koga se lahko blokira. In tudi če blokiraš tak promet, nisi ravno rešil zadeve, saj ti jo bo odstranil šele antivirus in poseg helpdeska. Če ga pa antivirus že pozna, potem pa tudi na FWju nimaš dela.
No, kakorkoli, moram prebrat rešitve od SeMiNeSanja.
Hvala in LP
Smo imeli primer, ko so fasali neko superduper virozo ki jo F-Secure ni imel v bazi. Na FWju lahko vidiš da je ful nekega čudnega prometa, ampak če ga nima zabeleženega antivirus, potem ga tudi FW načeloma nima. In edino kar ti preostane je, da tak promet blokiraš, pa še to je odvisno od politike omrežja, koliko čudnega prometa se dopušča (skype in podobno, FB in njegove pritikline, ostale web zadeve, ....) ter koga se lahko blokira. In tudi če blokiraš tak promet, nisi ravno rešil zadeve, saj ti jo bo odstranil šele antivirus in poseg helpdeska. Če ga pa antivirus že pozna, potem pa tudi na FWju nimaš dela.
No, kakorkoli, moram prebrat rešitve od SeMiNeSanja.
Hvala in LP
AnotherMe ::
Zgoraj opisan primer je samo to, kaj je ljudi vzpodbudilo k razmišljanju, da pa mogoče le ni vse tako enostavno...
SeMiNeSanja ::
@jukoz - kot sem zgoraj opisal, se različne zaščite dopolnjujejo in tako poskušaš že na FW poloviti čim več nesnage.
En tak tipični 'sistem' okužbe gre po principu, da uporabnik dobi mail s kakšnim 'vročim' linkom. Če rata, tega prestreže antispam in sploh ne pride do uporabnika.
V nasprotnem primeru uporabnik odpre tak mail in klikne na link.
Ker imaš web filter, ki med svojimi kategorijami ima tudi takšne kot 'malware sites' in podobne, se lahko tu zaustavi zadeva, če je tisti link na spisku sumljivih.
Če je vendarle prišel skozi, filtriraš katere tipe datotek (.pdf, .doc,...) sploh dovoliš prenašati navadnemu uporabniku.
Če je dovoljen tip, gre zadeva na AntiVirus, ki ga imaš na FW, potem pa še enkrat zadevo preveri drugi AV, ki ga imaš na računalniku.
Če posežeš dodatno v žep, si privoščiš še tzv. 'Sandbox', kjer se za datoteko, ki jo prenašaš (v kolikor pride skozi AV check) kreira checksum in preveru v oblaku, če je točno ta datoteka že kdaj bila analizirana glede na svoje obnašanje. Če se je pri analizi v virtualnem okolju obnašala kot malware, se jo tu blokira. V nasprotnem primeru pa se jo pošlje v analizo. Ti 'Sandbox-i' šele v zadnjem času pridobivajo na popularnosti, so pa namenjeni ravno lovljenju tistega, kar AntiVirus danes ne uspeva več poloviti.
Skratka AV je samo ena od ovir, skozi katere mora malware, več ko imaš teh ovir in bolj kakovostne so, manjša je možnost, da ti uporabnik nekaj navleče na mrežo.
Seveda pa se ne da izključiti te možnosti, saj nobena zaščita ni 100%, poleg tega pa tudi internet ni edini izvor okužb. Zato backup ni popolnoma nič manj pomemben, kakor tudi ni nič manj pomembno ozaveščanje uporabnikov o tem, kam ni pametno klikati.
En tak tipični 'sistem' okužbe gre po principu, da uporabnik dobi mail s kakšnim 'vročim' linkom. Če rata, tega prestreže antispam in sploh ne pride do uporabnika.
V nasprotnem primeru uporabnik odpre tak mail in klikne na link.
Ker imaš web filter, ki med svojimi kategorijami ima tudi takšne kot 'malware sites' in podobne, se lahko tu zaustavi zadeva, če je tisti link na spisku sumljivih.
Če je vendarle prišel skozi, filtriraš katere tipe datotek (.pdf, .doc,...) sploh dovoliš prenašati navadnemu uporabniku.
Če je dovoljen tip, gre zadeva na AntiVirus, ki ga imaš na FW, potem pa še enkrat zadevo preveri drugi AV, ki ga imaš na računalniku.
Če posežeš dodatno v žep, si privoščiš še tzv. 'Sandbox', kjer se za datoteko, ki jo prenašaš (v kolikor pride skozi AV check) kreira checksum in preveru v oblaku, če je točno ta datoteka že kdaj bila analizirana glede na svoje obnašanje. Če se je pri analizi v virtualnem okolju obnašala kot malware, se jo tu blokira. V nasprotnem primeru pa se jo pošlje v analizo. Ti 'Sandbox-i' šele v zadnjem času pridobivajo na popularnosti, so pa namenjeni ravno lovljenju tistega, kar AntiVirus danes ne uspeva več poloviti.
Skratka AV je samo ena od ovir, skozi katere mora malware, več ko imaš teh ovir in bolj kakovostne so, manjša je možnost, da ti uporabnik nekaj navleče na mrežo.
Seveda pa se ne da izključiti te možnosti, saj nobena zaščita ni 100%, poleg tega pa tudi internet ni edini izvor okužb. Zato backup ni popolnoma nič manj pomemben, kakor tudi ni nič manj pomembno ozaveščanje uporabnikov o tem, kam ni pametno klikati.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | FirewallaOddelek: Omrežja in internet | 7290 (2481) | somebody16 |
» | PFsense vs Sonic Wall (strani: 1 2 )Oddelek: Informacijska varnost | 18332 (14983) | Blisk |
» | Zamenjava za Cisco 1600 routerOddelek: Omrežja in internet | 6075 (5342) | deadbeef |
» | Locky Virus (strani: 1 2 )Oddelek: Informacijska varnost | 27788 (24804) | Manna |
» | NSA avtomatizirano vdira v milijone računalnikov (strani: 1 2 )Oddelek: Novice / Varnost | 25420 (20653) | link_up |