3Com TippingPoint IPS TOS

[~>cerber<~]

Может кто юзал 3Com TippingPoint, поделитесь.

Притянули к нам его, 13тыс. баксов стоит, поставили нам на тест, за неделю наловил в сети с ~500 машинами до 50 критических пакетов. Вобщем толку мало с него.

Кто что скажет?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[spmn]

скажу вот что:
а че это?

[Alex Keda]

и правда - а что это?

[~>cerber<~]

IPS – это специализированные системы для предотвращения вторжений через сеть (Intrusion Prevention System). Это продукт от 3Com, по сути смесь межсетевого экрана, VPN концентратора и фильтра пакетов. Обещают типа защиту от хакерских атак и всякой лабуды, сканиурет пакеты и сравнивает со своими сигнатурами, должен ловить вирусов и всякую дрянь, распознвавать експолйты. Обновляется с оф. сайта. Кажды день есть новый апдейты. Втыкается просто в разрыв, как перемычка. Но у нас он себя довольно слабо зарекомендовал, может потому что у нас OpenBSD на шлюзе

Вот к примеру их cnews хвалит

3Com TippingPoint IPS — это удостоенная многих наград система предотвращения вторжений, которая позволяет проводить полный анализ потока пакетов и осуществлять непрерывную очистку внутрисетевого и интернет-трафика от вирусов, червей, троянских программ, DoS и DDoS-атак, программ-шпионов, фишинга, атак на VoIP-системы и т.д. Решение 3Com TippingPoint предназначено для комплексной защиты сети от кибер-угроз и блокирует атаки на рабочие станции, серверы приложений, маршрутизаторы, коммутаторы, DNS серверы и другое инфраструктурное оборудование. В дополнение, устройства TippingPoint IPS позволяют осуществлять ограничение трафика для поддержки критических приложений и инфраструктуры, а также обеспечивают изоляцию атак и выявление уязвимых сетевых устройств.
http://www.cnews.ru/reviews/free/securi ... pingpoint/

Имхо: 13 тыс. баксов оно не стоит.

[Alex Keda]

чё-то софтверное в портах видел на эту тему...

[Гость]

я использую в работе. классная вещичка. работает прозрачно в сети и позволяет мониторить весь проходящий трафик на наличие уязвимостей и атак. регулярно обновляются вакцины. показывает в реальном времени

[~>cerber<~]

я использую в работе. классная вещичка. работает прозрачно в сети и позволяет мониторить весь проходящий трафик на наличие уязвимостей и атак. регулярно обновляются вакцины. показывает в реальном времени

видеть, что пользователи ходят в интернет можно и дешевле, чем за 13штук, плиз лог ваших уязвимостей и атак в студию, очень бы хотел взглянуть на него

[Alex Keda]

толи меня глючит, толи на твоей аватаре не было кружка в серёдке...

[Гость]

видеть, что пользователи ходят в интернет можно и дешевле, чем за 13штук, плиз лог ваших уязвимостей и атак в студию, очень бы хотел взглянуть на него

тут дело не в "видеть что пользователи ходят в инет" - это мощное средство предотвращения вторжений которое анализирует проходящий через себя трафик и выявляет (и блокирует если нужно) атаки, уязвимости различного ПО, ДОС атаки и так далее.

13 штук - это наверное с пропускной способностью около 100 мегабит/сек. Мы взяли себе за 6 000 уе - пропускная способность 50 мегабит/сек

логи могу показать, только не сейчас, я работаю под FreeBSD а к железяке можно подключиться через ВЕБ используя только Интернет Эксплорер (можно и по ssh но там все очень натяжно)

[~>cerber<~]

Гость, ок, скажи, какие виды атак вы предотвратили с помощью этой железки за последнее время? Я ж рассказываю свой релальный пример, сетка ~500 машин, все нарявт лицезреть порево и шароварный софт, среда довольно опасная. И что? а ничего, в логах пару критиков на счет незначительных эксплойтов, а нод-контрол центр разрывает жо.. по поводу клиентского мусора, что им приходиться чистить. далее, почему эта хрень, как обещено в манах не ловит сигнатуры червей, пропустили через него не один десяток, результат, как понимаешь,никакой. Согласен, по описанием оф.разработчиков, вещь очень нужная и полезная, поставил бы во всех офисах где работаю, но пока, увы, не вижу смысла... ищу конкретные поводы. Может OpenBSD+squid просто не оставляет шансов?
Относительно експлорера- обнови билд софта.


lissyara, да, небыло, но то не кружок, присмотрись))

[Гость]

По поводу червей или еще там всякой муры - нужно настраивать соответствующие фильтры, и все будет ловить. А фильтров там немеренно.

Реальные примеры - поймал сканилку Nmap-ом, логи не сохранил
и еще реальные примеры (на английсом, но все понятно, это примеры из разных категорий фильтров какие я использую)

*******************************
This filter detects the instantiation of certain DLLs as ActiveX objects via HTTP. Internet Explorer may contain heap memory corruption issues during such instantiations which could be exploited by a malicious web server to execute arbitrary code.
References:

*******************************
This filter detects an attempt to access PHP Proxy. PHP Proxy is a free PHP-based HTTP proxy which is designed to allow users to bypass traditional firewall rules that block access to certain websites by acting as a go-between for the blocked site and the user. Enabling this filter will block all access to PHP-proxy installations on the Internet.
*********************************
This filter detects an exploit to common web browsers, such as Microsoft Internet Explorer, Mozilla Firefox, and others. When executing heap buffer overflow attacks against such browsers, attackers often need to ensure the heap is in a controlled state. This is typically achieved by running specific malicious Javascript code immediately prior to exercising the vulnerability.
If successful, heap buffer overflows allow attackers to gain control of the victim's browser, usually with the intent of installing keystroke loggers, spyware, or other malicious software.
*********************************
This filter detects data tunneling over port 80 using the httptunnel tool. The httptunnel tool exploits the fact that port 80 is open through the firewall in almost all the networks. This GNU-licensed tool consists of a client(htc) and server(hts). The htc(client) process runs inside the protected network. The hts(server) process is run outside the protected network. The IP address and the port number of the machine the client wishes to connect to are passed as arguments to the hts(server) program. A user in the protected network forwards all the requests for the external machine the user wishes to connect to the htc client. The htc client forwards the user's request encapsulated in a HTTP format to the hts server outside the firewall. The hts server connects to the intended machine on the user's behalf and sends the response back to the htc client over port 80. This allows the user to bypass any firewall restrictions. The use of HTTP tunneling tools can allow sensitive information masqueraded as HTTP traffic to be communicated outside the protected network.
*********************************
This filter detects the information transfer by MyWaySearch Bar Spyware.
MyWaySearch Bar is a search tool bar that hijacks the IE web browser home page and directs users to sites run by MyWay.
*********************************
This filter detects an attempt to access YouTube. - и Рапидшару рубит и все что захочеш
*********************************
This filter detects a zip file, which includes a file with a ".scr" extension, attached to an email message being sent to a SMTP server. Many viruses are known to use malicious files with a ".scr" extension to infect other victims. Hence, a zip file containing a ".scr" file attached to an email message should be treated with suspicion. The Mimail virus is known to use a readnow.zip file which contains the malicious readnow.doc.scr file.

[Гость]

И еще добавлю что Типпинг классно защищает от кибер атак, ДОС атак, не разрешает работу приложениям типа Peer to Peer

[~>cerber<~]

1. где он у тебя стоит, на каком интерфейсе?
2. что у тебя за такой шлюз, который не защищен от дос-атак, и каким образом у тебя открыт доступ Peer to Peer, это все должно резаться на уровре файрволла.

да уж.. фильтров точно немеряно... лол

П.С.многим со стороны может показаться, что я пытаюсь обругать данную прекрасную продукцию высококвалифицированного производителя, но это не так, идея у них супер, вроде как-бы классно все задумано, слушал презентации, видел ролики, но не видел конкретных результатов, а очень хотел бы, чтоб эта железка стоила того.

пока вижу единственное приминение этой железки - защита открытых веб- файл- и почт. серверов.

[Гость]

1. где он у тебя стоит, на каком интерфейсе?

сейчас он у меня стоит за циской (шлюзом) перед прокси сервером. Циска настроена отлдично - проходила тест на взлом европейских аудиторов - оценка 5. И при этом Типпинг Поинт ловит кучу всякого дерьма. Сечас в основном это попытки использовать эксплойты через HTTP на рабочие станции.

2. что у тебя за такой шлюз, который не защищен от дос-атак, и каким образом у тебя открыт доступ Peer to Peer, это все должно резаться на уровре файрволла.

да, канешно это все режется и на уровне файрволла, и шлюз канешно же защищен от ДОС атак. Но нужно проверять админов, ведь они могут говорить одно а делать другое В моей ситуации мы его используем (благо компания у нас серьезная):
как подстраховку (ведь и шлюзы ломают ...)
периодически перемещаем по сетевым сегментам для изучения сетевой активности
ставим перед веб серваками (очень даже интересные результаты показывает)
перед шлюзом
и т.д. и т. п.

[~>cerber<~]

очень даже интересные результаты показывает

ясно, вообщем у вас основная его задача - сборщик статистики...
а то никто не знает, в какой опасной среде мы все обитаем

[a_pri]

очень даже интересные результаты показывает

ясно, вообщем у вас основная его задача - сборщик статистики...
а то никто не знает, в какой опасной среде мы все обитаем

ну не совсем сборщик, в принципе занимается он тем, чем и должен заниматься