Вы используете какие-либо IDS/IPS? Жду кулстори или критики.

Что ты понимаешь под «свободными»? Построенные с использованием СПО?

У нас стоит Stonagate IPS-1030. Кулстори внедрения не будет, т.к. оно происходило еще до меня. Нареканий в работе нет, правда, большая часть дропнутых сессий идет мимо лога, иначе у нас логово сломается, т.к. сканирования портов/брутфорс ssh идет по инету постоянно.

ЗЫ Посмотри еще на Fortigate, они, вроде как, тоже вкусные. Если у вас есть какие-то заморочки по комплайенсу - тоже будет хорошо. ЕМНИП, fw у них уже сертифицированный, сейчас пытаются получить сертификат для IPS и VPN-решений.

Ну проприетарщина не интересна. :) Особенно, учитывая, что это будет эксплуатироваться лично. Бекдоры от АНБ не нужны. :)

Бекдоры от АНБ не нужны. :)

А вокруг Солнца летает чайник Рассела, да-да.

Ну проприетарщина не интересна

Чем плоха проприетарщина, если она выполняет свои функции, и делает это хорошо?

Особенно, учитывая, что это будет эксплуатироваться лично

Для этих целей лучше бабу :)

Выбирай

Для этих целей лучше бабу :)

Баба может разносить малварь. Использовать её без файера не стоит, да и вообще стоит подумать, зачем тебе нужен нужен гвоздомет, если нужно один раз в день быстро забить один гвоздь.

А вокруг Солнца летает чайник Рассела, да-да.

А вокруг MS летают агенты АНБ со Сноуденом.

Чем плоха проприетарщина, если она выполняет свои функции, и делает это хорошо?

Тем, чтобы ты её пихаешь (интегрируешь) во всю инфраструктуру, выставляя голой жопой в Инет. При этом не можешь сказать, что там нет бекдоров или просто проблем переполнения буфера.Сколько внешних компаний у данного решения провели не формальный удит кода? Компании в США не считаются.

Ну OSSEC HIDS и ханипуты - это единственно интересно. Остальное - это морды или старый шлак.

У нас чувак как-то запускал snort. Я набрал что-то вроде ping -f на эту тачку и она отвалилась от сети т.к. у snort не успевал. А потом начали постоянно находить уязвимости в этом snort. В общем, нахрен такое счастье надо... Но военным нравится.

Моё мнение — в первую очередь о безопасности надо беспокоиться на уровне приложения, а не надеятся что кто-то закроет твои дыры на уровне snort.

Остальное - это морды или старый шлак.

Core Impact, Nessus, OpenVAS старьё? Лечись.

Баба может разносить малварь

Так попроси справку от Касперского, что ты, как маленький...

А вокруг MS летают агенты АНБ со Сноуденом.

Сноуден - ну 4.3 же! Да и потом - кто хоть слово сказал про MS?

Я даже занудничать не буду на тему фактов наличия/отсутствия бекдоров в продуктах MS/Oracle и т.д. - уже не интересно.

Сколько внешних компаний у данного решения провели не формальный удит кода? Компании в США не считаются.

Сколько внешних компаний производит аудит кода open-source продуктов и где можно ознакомиться с результатами аудита?

Если же говорить об эффективности тех или иных решений, то - Gartner, Virustotal.

Собственно, да. Если у тебя нет дырявых сервисов, которые торчат наружу - особой пользы от IPS не будет.

Увы, далеко не всегда это возможно.

Core Impact, Nessus, OpenVAS старьё? Лечись.

Это сканеры. Just google.

Сноуден - ну 4.3 же! Да и потом - кто хоть слово сказал про MS?

Вообще-то достоверно известно, что они сливают инфу по незакрытым уязвимостям (возможно, что и не все закрывают) в АНБ. И исходники своим им дают.

Я даже занудничать не буду на тему фактов наличия/отсутствия бекдоров в продуктах MS/Oracle и т.д. - уже не интересно.

Конечно. Давай закроем столь очевидную тему. Поскольку там есть автообновление и код небезопасной жопой писан (MS доказывает это фактами каждый день).

Сколько внешних компаний производит аудит кода open-source продуктов и где можно ознакомиться с результатами аудита?

RH, SUSE Inc, Canonical как минимум. При внедрении линукса в продакшен, особенно финансовый, проходит как минимум формальный аудит в нормальных организациях.

Это сканеры.

Я тебе именно поэтому и привёл. Всё по списку изучай.

Надо изучать подходы, методы, и инструменты вторжения которыми с вероятностью стремящейся к единице будут тебя атаковать.

А не уповать, что ты загуглишь хавтушку про снорт, запилишь конфиг и он за тебя всё сделает.

Не хочешь - скачай троян касперского.

Собственно, да. Если у тебя нет дырявых сервисов, которые торчат наружу - особой пользы от IPS не будет.

А с чего ты взял, что внутреннее заражение не возможно? Переполнили буфер, и вуаля: уже внутри сети.

Надо изучать подходы, методы, и инструменты вторжения которыми с вероятностью стремящейся к единице будут тебя атаковать.

А ты думал, что я до текущего существования не знал о продуктах, о которых ты пишешь? Или я, по твоему, не знал, что нужно делать скан сети (и далеко не только на открытые порты смотреть). Или про выяснение векторов атак через ханипуты? Нессус юзал ни раз. И метасплойтом баловался.

Вообще-то достоверно известно, что они сливают инфу по незакрытым уязвимостям (возможно, что и не все закрывают) в АНБ. И исходники своим им дают.

Инфа по незакрытым уязвимостям != бекдор. Сюрприз?

Поскольку там есть автообновление и код небезопасной жопой писан (MS доказывает это фактами каждый день).

Что ты считаешь доказательством? Обнаружение уязвимостей?

RH, SUSE Inc, Canonical как минимум.

Все компании ангажированы и не могут считаться независимыми.

Кстати, забыл спросить сразу - а при чем тут вообще MS?

Сценарий заражения в студию. Чей буфер переполнили?

Да, это отличное замечание. Надо выделить когда это уместно использовать.

Ещё момент. Я видел ложные срабатывания когда IDS блокировало легальные запросы. Как результат, приложение становилось неработоспособным. В общем, есть грабли.

У нас просто возможности нет от них отказаться - комплаенс + у нас хостится 100500 заказчиков с самописными сервисами, всех проверять, что бы у них все было железное - нереально, сам понимаешь. Так что, выход один.

Так грабли везде есть. Ну и как настроишь, опять же.

IDS блокировало легальные запросы

Можем, таки IPS? IDS - это Intrusion Detect System, они ток мониторят и спамят в почту.

Просто IPS часто настраивают так, что даже просто неправильно сформированные пакеты (нарушение RFC на tcp) - уже повод для блокировки пакетов. Иногда бывает так, что трафик идет http, но по левому порту - тоже может лочить.

Обычно внедрение IPS идет в два/три этапа:

• На span-порт, для набора статистики
• in-line, но без блокировки - проверяем правила, смотрим, что бы все легальные сессии проходили
• Ну и на боевую, с блокировкой. Но все-равно первые несколько недель стоит смотреть, что происходит и быть готовым оперативно все чинить.

PS Я сейчас говорю про хардверные решения.

Для веб-приложений рекомендую mod-security. Это конечно не совсем IPS/IDS в том виде в котором все привыкли его видеть, но своё дело он делает на отлично - видит, логирует, дропает, запрещает и т.д. Кстати не стоит забывать что многие IDS/IPS бессильны перед зашифрованным трафиком (тот же банальный HTTPS). Кулстори сами найдете.

Кривоват он как-то, мне показалось: mod_security Остановился на naxsi. Вроде, стабильнее работает.

Хотя то, что я выше написал, только к nginx относится, естественно.

аудит? нет, его проводят специалисты, по аудиту, обычно нанимаемые софт-фирмами, и аудит этот нацелен на получение определенной сертификации, например CCC. когда сертификация на дистр получена, клиент может ориентироваться на то какой уровень безопасности дает данная сертификация.

А где можно нарыть инфу по уровню сертификации?

А тебе чья сертификация нужна? Наша или буржуйская?

все намного проще. например вам надо работать с Visa, для того чтоб они дали вам доступ к API они сами говорят какая сертификация у вас должна быть (там вроде PCI/DSS емнип, я не слишком много в это вдавался). Для федеральных и высокоуровневых безопасников, например, требуют обычно CCC. Все зависит от того что требуется делать в данном конкретном случае, и есть немало очень дорогих консультантов которые только этими сертификациями и аудитами занимаются

Можно и то и то. Но желательно обе. :)

Наша сертификация по безопасности - это ФСТЭК и ФСБ. ФСБ занимается межсетевыми экранами и криптухой, IPS под это не ходит - там идет защищенность СВТ (средства вычислительной техники) и отсутствие НДВ (недекларированных возможностей) + функции защиты по ТУ, которое пишет заявитель. В сертификате пишут, в каких АС/ИСПДн могут применяться - чем меньше цифра, тем выше требования по защите. Подробнее смотри 17 и 21 приказ ФСТЭК.

Вражеская сертификация выполняется по другому принципу - ЕМНИП, там подтверждается соответствие определенному стандарту, который в Буржуинии - овердофига. Но могу и ошибаться.