Pull to refresh

Comments 17

И вы реально сможете отфильтровать неавторизованный туннель внутри ssl-видеострима? И как? Поток байт с видеохостинга, завёрнут в ssl. По битрейту похож. И?
Это вот к чему комментарий? :-) Я же не пишу, что мы решаем абсолютно все задачи в области ИБ. Хотелось показать, что ориентироваться при решении ИБ-задач надо не на описание продуктов в рекламных листовках.
Ну вот вы говорите, что можете TOR отфильтровать. Включая бридж-ноды и pluggable transports? Очевидно, нет. Потому что сейчас TOR умудряется противостоять даже китайскому файрволу, не то, что мелкой железки от коммерческого вендора.

А человек пришёл с запросом класса кровавой гэбни — хочу блокировать тор. Хотеть-то он хочет, да кто ж ему даст…
Китайский файрвол — это множество заблуждений и фейков. И состоит он в массе своей из железок коммерческих вендоров :-) Что же касается фильтрации, то разумеется я не утверждаю, что мы фильтруем весь Тор во всех его проявлениях и т.п. Примерно тоже я написал в части про Skype — есть ограничения у технологий обнаружения и блокирования. Что-то мы можем (входные/выходные узлы), что-то нет. Бриджи мы, разумеется, не видим и не можем блокировать. Тут надо было бы дать пояснение, что речь о блокировании Тор шла в контексте корпоративной ИБ, где блокирования входных/выходных узлов достаточно для большинства случаев. Понятно, что пользователь может поднять VPN до внешнего шлюза и прокидывать соединение Тор уже через него. Но это тоже решаемо при определенных условиях. Все зависит от use case и его исходных данных, о чем и сама заметка.
тут нужен антивирус <имярек> (хотя заказчик столкнулся с безфайловыми атаками)

Занудства ради — антивирусы могут бесфайловое вирье находить

А вообще проблема, описанная в статье, очень актуальна — заказчики стараются закрыть потребность исходя из мифов, совершенно не пробуя разобраться с функционалом продуктов по альтернативным вариантам.
Самое паршивое, что когда пытаешься рассказать, что «то, что вы хотите вам не нужно» — это воспринимается, как оправдание и слабость позиции. «мы же прочитали, что технология… это круто!»
Прямо как будто не маркетинг этих самых вендоров (включая cisco) эти мифы и создает… А чтобы нормально разобраться в разнице между решениями и что реально мне как заказчику нужно придется отучиться на мягко скажем недешевых цисковских курсах. Ну и может быть и лично вы, Алексей, и пытаетесь понять что клиенту на самом деле нужно, да только большинство ваших коллег из продаж сразу норовить продать всю цисковскую линейку со всеми опциями в придачу :-).
Это не совсем так. Идею use case мы двигаем с конца 90-х годов, когда выпустили архитектуру SAFE с кучей как раз сценариев применения. И с тех пор эта архитектура только развивается. А то, что сейлы ее не всегда знают даже у нас, это да, проблема :-( И учиться SAFE не надо — он бесплатно на сайте выложен
Начнем с того, что у нас тех же самых межсетевых экранов семь

И в этом, конечно, нет проблемы?
Немного есть. Тот же VSG может быть заменен виртуальным Firepower или виртуальной ASAv. В остальным это ращные решения с разной идеологией. IOS Firewall бесплатная надстройка над IOS рутера. И она многим закрывает все проблемы. К слову, Cisco много лет защищала свой периметр именно IOS Firewall, а не ASA. Просто устраивал функционал и больше не надо было на тот момент. Железная ASA 5500-X отличается от вирутальной ASAv не функционалом, а форм-фактором. Софт один и тот же, но продукты позиционируются по-разному.
Вопрос: для фильтрации «не по IP» в Cisco ASA по-прежнему надо устанавливать на контролеры домена отдельное ПО?
Нет, не обязательно. Можно через ISE задачу решить, что позволит еще и сквозную политику на периметре и во внутренней сети (на каждом коммутаторе и точке доступа) обеспечить
Отлично, тогда вопрос N2:

Не появилась ли возможность сконвертировать набор правил MS TMG в формат Cisco ASA?
Жаль, впрочем, зафиксируйте Ж-) как бизнес-идею: миграция с TMG, возможно, ещё актуальна
Увы, мы не можем писать конверторы для всех МСЭ, с которых мигрируют на нас. Все-таки разные у всех подходы к описанию политик — не все можно конвертнуть
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
1984
Location
США
Website
cisco.ru
Employees
1,001–5,000 employees
Registered