• Splunk 7.0. Что нового?



      Месяц назад компания Splunk на своей 8-ой ежегодной конференции Splunk Conf 2017 презентовала выпуск нового мажорного релиза Splunk 7.0. В этой статье мы расскажем об основных нововведениях и улучшениях платформы, а также покажем пару примеров.
      Читать дальше →
      • +11
      • 2,8k
      • 3
    • Check Point R80.10 API. Управление через CLI, скрипты и не только

      • Tutorial


      Уверен, что у каждого, кто когда-либо работал с Check Point, возникала претензия по поводу невозможности правки конфигурации из командной строки. Это особенно дико для тех, кто до этого работал с Cisco ASA, где абсолютно все можно настроить в CLI. У Check Point-а все наоборот — все настройки безопасности выполнялись исключительно из графического интерфейса. Однако, некоторые вещи совершенно не удобно делать через GUI (даже такой удобный как у Check Point). К примеру задача по добавлению 100 новых хостов или сетей превращается в долгую и нудную процедуру. Для каждого объекта придется несколько раз кликать мышкой и вбивать ip-адрес. То же самое касается создания группы сайтов или массового включения/отключения IPS сигнатур. При этом велика вероятность допустить ошибку.

      Относительно недавно случилось “чудо”. С выходом новой версии Gaia R80 была анонсирована возможность использования API, что открывает широкие возможности по автоматизации настроек, администрированию, мониторингу и т.д. Теперь можно:

      • создавать объекты;
      • добавлять или править access-list-ы;
      • включать/отключать блейды;
      • настраивать сетевые интерфейсы;
      • инсталлировать политики;
      • и многое другое.

      Если честно, не понимаю как эта новость прошла мимо Хабра. В данной статье мы вкратце опишем как пользоваться API и приведем несколько практических примеров настройки CheckPoint с помощью скриптов.
      Читать дальше →
    • SMB решения Check Point. Новые модели для небольших компаний и филиалов

        Относительно недавно (в 2016 году) компания Check Point презентовала свои новые устройства (как шлюзы, так и сервера управления). Ключевое отличие от предыдущей линейки — значительно увеличенная производительность.



        В данной статье мы сосредоточимся исключительно на младших моделях. Опишем преимущества новых устройств и возможные подводные камни, о которых не всегда говорят. Также поделимся личными впечатлениями от их использования.

        Модельный ряд Check Point


        Как видно из картинки, Check Point делит свои устройства на три большие категории:


        При этом одной из главных характеристик является так называемый SPU — Security Power Units. Это собственная мера Check Point, которая характеризует реальную производительность устройства. Для примера давайте сравним традиционный метод измерения производительности Межсетевых экранов (Мбит/с), с “новой” методикой от Check Point (SPU).
        Читать дальше →
        • +12
        • 3,9k
        • 6
      • Бесплатный аудит безопасности сети с помощью Fortinet. Часть 2

        • Tutorial
        В предыдущей статье мы затронули тему аудита безопасности сети с помощью Fortinet (часть 1). Мы обсудили основные возможности и рассмотрели пример отчета. Теперь же мы рассмотрим непосредственно установку и настройку. Мы условились, что для аудита будем использовать виртуальные решения FortiGate VM и FortiAnalyzer. Т.е. для начала вам необходимо запросить эти образы и демо-лицензии. К сожалению не можем предоставить прямую ссылку на образы (лицензионные ограничения). Схема внедрения выглядит довольно просто:



        Т.е. на существующем сервере виртуализации «поднимаются» две виртуальные машины. В нашем случае мы будем использовать ESXi, но есть поддержка Hyper-V и KVM. FortiGate VM одним адаптером подключается к общей сети (vSwitch0). Этот линк будет использоваться для управления и для доступа в Интернет. Второй интерфейс подключается к другому vSwitch1, который в свою очередь подключен к свободному физическому порту сервера (eth2). Именно на этот порт должен зеркалироваться трафик для анализа. Обратите внимание, что для коммутатора vSwitch1 должен быть включен Promiscuous mode (Accept). Более подробно можно прочитать здесь.
        Читать дальше →
      • Бесплатный аудит безопасности сети с помощью Fortinet. Часть 1

        • Tutorial
        Относительно недавно мы опубликовали небольшой видео курс и несколько статей о том, как можно провести бесплатный аудит безопасности сети с помощью решений Check Point. В этот раз мы хотели бы описать подобную процедуру, но только с использованием решений Fortinet.

        Fortinet



        Fortinet — яркий представитель постоянных лидеров среди UTM/NGFW решений. Ранее мы публиковали соответствующий отчет Гартнер за 2017 год. Пожалуй флагманским продуктом данной компании является FortiGate — шлюз безопасности (его мы и будем рассматривать далее). Однако продуктовый портфель компании значительно шире, как можно заметить по картинке выше. Вот краткий список:
        FortiGate — Межсетевой экран следующего поколения (NGFW);
        FortiManager — Централизованное управление устройствами Fortinet;
        FortiAnalyzer — Централизованный сбор данных о событиях (логи) со всех устройств Fortinet;
        FortiSandbox — Защита от таргетированных атак (песочница);
        FortiMail — Защищает от спама, вредоносного ПО во вложениях и прочих угроз электронной почты;
        FortiWeb — Межсетевой экран для ваших Web-приложений;
        FortiSIEM — Система сбора, анализа и корреляции событий;
        FortiSwitch — Коммутаторы Fortinet;
        FortiClient — Защита компьютеров пользователей;
        FortiADC — Контроллер доставки приложений;
        FortiDB — Защита баз даных;
        FortiAuthenticator — Двухфакторная аутентификация (2FA) и доступ SSO;
        FortiToken — Токены для двухфакторной аутентификации (2FA);
        FortiAP — Беспроводная точка доступа;
        FortiExtender — Усилитель сигнала 3G/LTE;
        FortiPresence — Анализ посещаемости;
        FortiCloud — Сохранение журналов в облаке;
        FortiDDoS — Предотвращение DDoS-атак.
        Читать дальше →
      • Гигабитный ГОСТ VPN. TSS Diamond

          VPN канал — необходимость практически для всех компаний, которые имеют удаленные филиалы или просто удаленных сотрудников. Для организации этих самых каналов существует довольное большое количество технологий и протоколов (IPSec, GRE. L2TP и т.д.), которые поддерживаются большинством современного оборудования. Однако существует определенная категория организаций, которые вынуждены (именно вынуждены) использовать решения поддерживающие отечественные криптоалгоритмы — ГОСТ VPN. При этом реализовать этот ГОСТ на Linux-подобных системах не составляет особого труда. Однако получить сертификат ФСБ (как средство СКЗИ) — практически невозможно для зарубежных решений (Cisco, Check Point, Fortinet и т.д.). В связи с этим, выбор оборудования резко сужается. До сих пор в подобных случаях рассматривали следующие варианты:

          • S-terra
          • АПКШ Континент
          • Ideco МагПро ГОСТ-VPN
          • Vipnet
          • Застава

          Однако, на текущий момент весьма трудно найти решение которое поддерживало бы Гигабитный ГОСТ VPN. Существуют различные «хитрые» способы обойти эту проблему, например поставить несколько устройств на каждой стороне и с помощью балансировки увеличить общую пропускную способность канала используя несколько VPN-туннелей.
          Пример от S-terra:
          Читать дальше →
        • 1.Check Point на максимум. Человеческий фактор в Информационной безопасности

          • Tutorial


          Ни для кого не секрет, что 2017 год выдался весьма “жарким” для всех специалистов по информационной безопасности. WannaCry, Petya, NotPetya, утечки данных и многое другое. На рынке ИБ сейчас небывалый ажиотаж и многие компании в ускоренном порядке ищут средства защиты. При этом многие забывают про самое главное — человеческий фактор.

          Согласно отчетам компании Gartner за 2016 год, 95% всех успешных атак можно было предотвратить при грамотной настройке существующих средств защиты. Т.е. компании уже обладали всеми средствами для отражения атак, однако серьезно пострадали из-за невнимательности или халатности сотрудников. В данном случае компания теряет деньги дважды:

          1. В результате атаки;
          2. Выброшены деньги на средства защиты, которые не используются даже на 50%.
          Читать дальше →
        • Какой firewall лучше всех? Лидеры среди UTM и Enterprise Firewalls (Gartner 2017)


            Любой, кто хоть раз задумывался над вопросом «какой firewall выбрать?», наверняка сталкивался с магическим квадратном Gartner (известное аналитическое агентство).

            В конце июня 2017г. вышел очередной отчет по состоянию рынка Unified Threat Management (UTM) — Magic Quadrant for Unified Threat Management (SMB Multifunction Firewalls) и в июле 2017г. Enterprise Firewalls — Magic Quadrant for Enterprise Network Firewalls. Если вам интересно узнать, кто оказался среди лидеров, как изменилась ситуация за последний год и какие тенденции наблюдаются, то добро пожаловать под кат…
            Читать дальше →
          • Анализ CDR Cisco и Asterisk телефонии с помощью Splunk

              На сегодняшний день существует классическая, с точки зрения аналитики, задача — анализ CDR телефонии. В рамках данной статьи мы расскажем о том, как две разные компании решали две совершенно разные задачи. Компания X анализировала CDR Cisco телефонии, а компания Y — CDR Asterisk телефонии. Почему мы пишем об этом в одной статье? Потому что в качестве инструмента для анализа обе компании используют Splunk, о котором мы много писали ранее.


              Под катом вы найдете подробное описание задач и их решения с картинками и запросами.
              Читать дальше →
            • Видео-инструкция по Check Point Security CheckUP R80.10. Аудит безопасности сети

              • Tutorial

              Как мы и обещали ранее, подготовлена подробная видео-инструкция по самостоятельному проведению аудита безопасности сети с помощью Check Point Security CheckUP R80.10. Ранее были опубликованы три части:


              Однако с помощью текста и картинок весьма трудно создать подробное описание. Специально для этого мы подготовили видео-инструкцию, которая также состоит из трех частей:
              Читать дальше →
            Самое читаемое