Про Кукушку все понятно, а вот остальные продукты (thehive, MISP) вы действительно внедрили или все пока на уровне предположений и планов? Было бы интересно узнать: как ранжируются инциденты в thehive без данных об активах? Как интегрировали МЭ с MISP, а также антивирус, особенно если это KES.
Каких только костылей не напишешь, если в компании нет нормальных консольных серверов типа Avocent, Openger или Uplogix. Последнии два наиболее продвинутые, с их помощью даже софт локально можно заливать с консольника на железку (не считая стандартных алертов на конкретные паттерны в логах/автоматическая реакция на нихи буферезация всех логов с консолей, даже когда вы их не открываете). Можно даже вставить вместо сгоревшего свитча новый чистый свитч и консольник автоматически сам обновит софт до актуального, зальет последнюю версию конфига и т.п.
TMG прекрасно может работать в роли файрвола. Аппаратную железку можно ставить в виде грубого, но быстрого L3/L4 фильтра, отдав L7 на откуп TMG.
У вас сейчас так работает в эксплуатации? Исторически сложилось или потому что Cisco не поддерживала данный функционал? Сейчас удобнее поддерживать одну железку, которая умеет фильтровать быстро на всех уровнях.
Это нормально и отличает людей что-то эксплуатирующих и что-то интегрирующих. Как правило когда заказчик говорит о Proxy, он подразумевает что у него где-то стоит ISA (Squid, Kerio и т.п.) куда он средствами политик AD заворачивает трафик и фильтрует по категориями.
А отличие от расположения (не будет брать сюда обратное проксирование трафика к веб-сервисам) все таки существенно, согласитесь, поддерживать сеть где трафик маршрутизируется только на основе L3 маршрутизации удобнее и проще, чем выяснять куда там бразуер\PBR заворачивает какой-то трафик и что там с ним присходит, почему больше ничего не работает.
Впринципе называть проксей можете и дальше, просто я расстроился, подумав что вы используете классические прокси, хотя вроде бы в тематике подкованы.
Обычно Squid отваливается на стадии, когда обслуживать его становится дорого. Никому не интересно экономить 10 рублей на кешировании картинок, а для контроля WEB доступа есть более масштабируемые и централизованно управляемые средства.
Короче Squid обычно у контор с недостатком финансирования.
Ну вот видите, вы видимо обслуживая только 1 сеть, стали забывать что такое прокси и зачем изначально адреса прокси прописывались в браузерах :)
И наверно не можете себе представить то, что представляет себе любой консультант, когда заказчик начает говроить о proxy. Поэтому не нужно отождествлять и подменять данные термины между собой.
Именно потому, что все вендоры, встраивают поддержку DPI в свои устройства, отпадает необходимость в ответвлении трафика (а если еще требуется SSL, то прописывание браузерных политик). И proxy != firewall, фаерволы ничего не проксируют.
Все это красиво и замечательно. Но каменный цветок разрушается как только у Juniper EX отъедут мозги и кольцо развалится, пытался высмотреть в статье методы защиты от split-brain, но не нашел. Это замечание следует считать руководством к действию, коллеги :-).
Вы как-то не правы, мы все уже привыкли к такому интерфейсу, к это розовой полосочке =). Не надо нам ZXCZX-HTML сайта, с всплывающими машинами, звуками турбины в фоне и яркими цветами.
У вас сейчас так работает в эксплуатации? Исторически сложилось или потому что Cisco не поддерживала данный функционал? Сейчас удобнее поддерживать одну железку, которая умеет фильтровать быстро на всех уровнях.
Это нормально и отличает людей что-то эксплуатирующих и что-то интегрирующих. Как правило когда заказчик говорит о Proxy, он подразумевает что у него где-то стоит ISA (Squid, Kerio и т.п.) куда он средствами политик AD заворачивает трафик и фильтрует по категориями.
А отличие от расположения (не будет брать сюда обратное проксирование трафика к веб-сервисам) все таки существенно, согласитесь, поддерживать сеть где трафик маршрутизируется только на основе L3 маршрутизации удобнее и проще, чем выяснять куда там бразуер\PBR заворачивает какой-то трафик и что там с ним присходит, почему больше ничего не работает.
Впринципе называть проксей можете и дальше, просто я расстроился, подумав что вы используете классические прокси, хотя вроде бы в тематике подкованы.
Короче Squid обычно у контор с недостатком финансирования.
И наверно не можете себе представить то, что представляет себе любой консультант, когда заказчик начает говроить о proxy. Поэтому не нужно отождествлять и подменять данные термины между собой.
Именно потому, что все вендоры, встраивают поддержку DPI в свои устройства, отпадает необходимость в ответвлении трафика (а если еще требуется SSL, то прописывание браузерных политик). И proxy != firewall, фаерволы ничего не проксируют.
(Сейчас кстати вспомнил — годика два назад senetsy нам свитч по ошибке привезла с вашими конфигами :-) )