Radosław
Maczuga
Penetration Tester /
Bug Bounty Hunter
Jarosław
Postawa
Właściciel,
Dorvin.Net
Stanisław P. Software designer
Damian
Ś.
Cyber Security Team
Leader
konto usunięte
Radek Maczuga:
Hi, pytanie tyczy się jakże popularnego ostatnio tematu, botnetów i przyporządkowanym nim komputerom zombie. Dokładniej rzecz ujmując o ruch generowany przez takowe ofiary w sieci LAN, jak go wyłapywać, identyfikować? Macie jakieś swoje strategie? Może autorskie reguły dla IDSów? Nie chodzi mi tu o wyjawianie tajemnic z czwartej szuflady Waszego biurka, jedynie przydatne tipsy.
Mariusz
Sucajtys
Wszyscy wiedzą, że
czegoś nie da się
zrobić, aż znajdzie
...
Tomasz Maciorowski Sap Basis
Mariusz
Sucajtys
Wszyscy wiedzą, że
czegoś nie da się
zrobić, aż znajdzie
...
Stanisław P. Software designer
Tomasz Maciorowski:Pewnie dlatego że NAT jest o kilka poziomów prostszy i stabilniejszy. W każdym środowisku które widziałem gdzie ktoś próbował wprowadzić proxy nagle ludzie zaczęli tracić godziny pracy na rozwiązywanie problemów z połączeniami.
Zgadzam się nie rozumiem po co userom robić NAT jak można ruch puścić przez proxy. A Https i inne nie standardowe porty używanych programów w firmie zawsze można zrobić regułkę src i dst.
Radosław
Maczuga
Penetration Tester /
Bug Bounty Hunter
Mariusz
Sucajtys
Wszyscy wiedzą, że
czegoś nie da się
zrobić, aż znajdzie
...
Stanisław P.:
Pewnie dlatego że NAT jest o kilka poziomów prostszy i stabilniejszy. W każdym środowisku które widziałem gdzie ktoś próbował wprowadzić proxy nagle ludzie zaczęli tracić godziny pracy na rozwiązywanie problemów z połączeniami.Przez proxy wychodziło ponad 20k użytkowników. Działało od dawna i nikt wcale nie chce go wyrzucać. Polityka firmy jest taka, że tylko określony ruch wychodzić na zewnątrz i tyle. Jeżeli jest potrzeba dostępu do specyficznej usługi, wówczas dla wybranych serwerów robi się DNAT i puszcza ruch przez firewall. Są to jednak jednostkowe, uzasadnione przypadki.
No i praktycznie: jaka jest zawodność proxy, a jaka jest zawodność hardware'owego nata?Tzn. sprzętowe firewalle firmware'u nie mają? Proxy też może jako appliance przyjechać.
Stanisław P. Software designer
Mariusz Sucajtys:Zależy o jakiej wielkości mówisz. Może trafiłeś w jakąś optymalną wielkość firmy do takich rozwiązań. Niestety w małej firmie wygląda to tak, że farmy ani loadbalancerów nie postawisz dla 20 osób - najwyżej dostaniesz jeden osobny serwer jeśli już.
Stanisław P.:Przez proxy wychodziło ponad 20k użytkowników. Działało od dawna i nikt wcale nie chce go wyrzucać. Polityka firmy jest taka, że tylko określony ruch wychodzić na zewnątrz i tyle. Jeżeli jest potrzeba dostępu do specyficznej usługi, wówczas dla wybranych serwerów robi się DNAT i puszcza ruch przez firewall. Są to jednak jednostkowe, uzasadnione przypadki.
Pewnie dlatego że NAT jest o kilka poziomów prostszy i stabilniejszy. W każdym środowisku które widziałem gdzie ktoś próbował wprowadzić proxy nagle ludzie zaczęli tracić godziny pracy na rozwiązywanie problemów z połączeniami.No i praktycznie: jaka jest zawodność proxy, a jaka jest zawodność hardware'owego nata?Tzn. sprzętowe firewalle firmware'u nie mają? Proxy też może jako appliance przyjechać.
Przy większych wdrożeniach stawia się farmę Proxy i loadbalancery w HA z przodu.
Dostępność rozwiązań porównywalna.
Mariusz
Sucajtys
Wszyscy wiedzą, że
czegoś nie da się
zrobić, aż znajdzie
...
Stanisław P.:Idąc analogiami: w firmie dla 20 osób nikt nie da kasy na 2 sprzętowe firewalle spięte w HA. A jeżeli mają kasę na takie zabawki, to mają też kasę na proxy i loadbalancery.
Zależy o jakiej wielkości mówisz. Może trafiłeś w jakąś optymalną wielkość firmy do takich rozwiązań. Niestety w małej firmie wygląda to tak, że farmy ani loadbalancerów nie postawisz dla 20 osób - najwyżej dostaniesz jeden osobny serwer jeśli już.
Przy większej ilości wyglądało to tak, że każdy tracił czas na zabawę z konfiguracją (tak co miesiąc kilka godzin), ale po prostu nie wypływało to wystarczająco wysoko, żeby ktoś rzeczywiście ten czas podliczył, więc pewnie dla managementu wyglądało jakby wszystko było ok.Przecież nikt nie konfiguruje każdej stacji roboczej oddzielnie. Albo robi się plik PAC i konfiguruje przeglądarki klientów przez GPO, albo ustawia WPAD.
Kwestia specyficznej usługi to ticket który będzie czekał tydzień na autoryzację przez management, network, security i potem jeszcze trochę na implementację. Ale to też było więcej niż 20k użytkowników. Tak o kilkaset k ;)W przypadku otwarcia ruchu przez firewall masz analogiczną ścieżkę, koszty i czas porównywalne.
Sprzętowe firewalle oczywiście mają firmware. Który jest znowu wielokrotnie mniej skomplikowany (jeśli chodzi o ilość możliwych interakcji) niż maszyna nawet z czystym systemem. Żadziej jest też aktualizowany.Co nie zmienia faktu, że dostępność farmy Proxy będzie na porównywalna z firewallami w HA.
Stanisław P. Software designer
Mariusz Sucajtys:Dla ogólnego usera to zadziała oczywiście. Nie do końca jeśli masz w firmie developerów przy ciekawszych projektach ;)
Przecież nikt nie konfiguruje każdej stacji roboczej oddzielnie. Albo robi się plik PAC i konfiguruje przeglądarki klientów przez GPO, albo ustawia WPAD.
Bartłomiej
Tabak
Administrator,
Specjalista,
Freelancer
konto usunięte
Bartłomiej Tabak:
Te wszystkie fikuśne systemy IDS i IDP, to wszystko i tak wywodzi się od jednego systemu: linux + iptables + dodatki.Wiesz co, lubię Linuxa, ale daleki jestem od takiego fanatyzmu. W momencie kiedy powstawał w pełni rozwinięty netfilter, już istniały sprzętowe rozwiązania.Marcin Bojko edytował(a) ten post dnia 28.09.11 o godzinie 19:30
Krzysztof Eugeniusz
Kotkowicz
Freelancer,
Administrator
systemów
teleinformatycznych
Te wszystkie fikuśne systemy IDS i IDP, to wszystko i tak wywodzi się od jednego systemu: linux + iptables + dodatki.
Następna dyskusja:
пропозиції роботи
