3Com TippingPoint IPS TOS

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

3Com TippingPoint IPS TOS

Непрочитанное сообщение ~>cerber<~ » 2007-07-21 0:16:20

Может кто юзал 3Com TippingPoint, поделитесь.

Притянули к нам его, 13тыс. баксов стоит, поставили нам на тест, за неделю наловил в сети с ~500 машинами до 50 критических пакетов. Вобщем толку мало с него.

Кто что скажет?
;aka coolchevy
live free or die;

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

spmn
сержант
Сообщения: 175
Зарегистрирован: 2007-04-06 13:58:33

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение spmn » 2007-07-21 6:46:23

скажу вот что:
а че это?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Alex Keda » 2007-07-21 8:37:19

и правда - а что это?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение ~>cerber<~ » 2007-07-22 10:47:12

IPS – это специализированные системы для предотвращения вторжений через сеть (Intrusion Prevention System). Это продукт от 3Com, по сути смесь межсетевого экрана, VPN концентратора и фильтра пакетов. Обещают типа защиту от хакерских атак и всякой лабуды, сканиурет пакеты и сравнивает со своими сигнатурами, должен ловить вирусов и всякую дрянь, распознвавать експолйты. Обновляется с оф. сайта. Кажды день есть новый апдейты. Втыкается просто в разрыв, как перемычка. Но у нас он себя довольно слабо зарекомендовал, может потому что у нас OpenBSD на шлюзе :D

Вот к примеру их cnews хвалит
3Com TippingPoint IPS — это удостоенная многих наград система предотвращения вторжений, которая позволяет проводить полный анализ потока пакетов и осуществлять непрерывную очистку внутрисетевого и интернет-трафика от вирусов, червей, троянских программ, DoS и DDoS-атак, программ-шпионов, фишинга, атак на VoIP-системы и т.д. Решение 3Com TippingPoint предназначено для комплексной защиты сети от кибер-угроз и блокирует атаки на рабочие станции, серверы приложений, маршрутизаторы, коммутаторы, DNS серверы и другое инфраструктурное оборудование. В дополнение, устройства TippingPoint IPS позволяют осуществлять ограничение трафика для поддержки критических приложений и инфраструктуры, а также обеспечивают изоляцию атак и выявление уязвимых сетевых устройств.
http://www.cnews.ru/reviews/free/securi ... pingpoint/
Имхо: 13 тыс. баксов оно не стоит.
;aka coolchevy
live free or die;

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Alex Keda » 2007-07-22 10:49:22

чё-то софтверное в портах видел на эту тему...
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Гость » 2007-07-23 11:33:21

я использую в работе. классная вещичка. работает прозрачно в сети и позволяет мониторить весь проходящий трафик на наличие уязвимостей и атак. регулярно обновляются вакцины. показывает в реальном времени

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение ~>cerber<~ » 2007-07-23 23:42:12

я использую в работе. классная вещичка. работает прозрачно в сети и позволяет мониторить весь проходящий трафик на наличие уязвимостей и атак. регулярно обновляются вакцины. показывает в реальном времени
видеть, что пользователи ходят в интернет можно и дешевле, чем за 13штук, плиз лог ваших уязвимостей и атак в студию, очень бы хотел взглянуть на него :)
;aka coolchevy
live free or die;

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Alex Keda » 2007-07-23 23:47:26

толи меня глючит, толи на твоей аватаре не было кружка в серёдке...
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Гость » 2007-07-24 10:19:29

видеть, что пользователи ходят в интернет можно и дешевле, чем за 13штук, плиз лог ваших уязвимостей и атак в студию, очень бы хотел взглянуть на него :)
тут дело не в "видеть что пользователи ходят в инет" - это мощное средство предотвращения вторжений которое анализирует проходящий через себя трафик и выявляет (и блокирует если нужно) атаки, уязвимости различного ПО, ДОС атаки и так далее.

13 штук - это наверное с пропускной способностью около 100 мегабит/сек. Мы взяли себе за 6 000 уе - пропускная способность 50 мегабит/сек

логи могу показать, только не сейчас, я работаю под FreeBSD а к железяке можно подключиться через ВЕБ используя только Интернет Эксплорер (можно и по ssh но там все очень натяжно)

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение ~>cerber<~ » 2007-07-24 16:37:53

Гость, ок, скажи, какие виды атак вы предотвратили с помощью этой железки за последнее время? Я ж рассказываю свой релальный пример, сетка ~500 машин, все нарявт лицезреть порево и шароварный софт, среда довольно опасная. И что? а ничего, в логах пару критиков на счет незначительных эксплойтов, а нод-контрол центр разрывает жо.. по поводу клиентского мусора, что им приходиться чистить. далее, почему эта хрень, как обещено в манах не ловит сигнатуры червей, пропустили через него не один десяток, результат, как понимаешь,никакой. Согласен, по описанием оф.разработчиков, вещь очень нужная и полезная, поставил бы во всех офисах где работаю, но пока, увы, не вижу смысла... ищу конкретные поводы. Может OpenBSD+squid просто не оставляет шансов?
Относительно експлорера- обнови билд софта.


lissyara, да, небыло, но то не кружок, присмотрись))
;aka coolchevy
live free or die;

Гость
проходил мимо

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Гость » 2007-07-24 17:13:12

По поводу червей или еще там всякой муры - нужно настраивать соответствующие фильтры, и все будет ловить. А фильтров там немеренно.

Реальные примеры - поймал сканилку Nmap-ом, логи не сохранил
и еще реальные примеры (на английсом, но все понятно, это примеры из разных категорий фильтров какие я использую)

*******************************
This filter detects the instantiation of certain DLLs as ActiveX objects via HTTP. Internet Explorer may contain heap memory corruption issues during such instantiations which could be exploited by a malicious web server to execute arbitrary code.
References:

*******************************
This filter detects an attempt to access PHP Proxy. PHP Proxy is a free PHP-based HTTP proxy which is designed to allow users to bypass traditional firewall rules that block access to certain websites by acting as a go-between for the blocked site and the user. Enabling this filter will block all access to PHP-proxy installations on the Internet.
*********************************
This filter detects an exploit to common web browsers, such as Microsoft Internet Explorer, Mozilla Firefox, and others. When executing heap buffer overflow attacks against such browsers, attackers often need to ensure the heap is in a controlled state. This is typically achieved by running specific malicious Javascript code immediately prior to exercising the vulnerability.
If successful, heap buffer overflows allow attackers to gain control of the victim's browser, usually with the intent of installing keystroke loggers, spyware, or other malicious software.
*********************************
This filter detects data tunneling over port 80 using the httptunnel tool. The httptunnel tool exploits the fact that port 80 is open through the firewall in almost all the networks. This GNU-licensed tool consists of a client(htc) and server(hts). The htc(client) process runs inside the protected network. The hts(server) process is run outside the protected network. The IP address and the port number of the machine the client wishes to connect to are passed as arguments to the hts(server) program. A user in the protected network forwards all the requests for the external machine the user wishes to connect to the htc client. The htc client forwards the user's request encapsulated in a HTTP format to the hts server outside the firewall. The hts server connects to the intended machine on the user's behalf and sends the response back to the htc client over port 80. This allows the user to bypass any firewall restrictions. The use of HTTP tunneling tools can allow sensitive information masqueraded as HTTP traffic to be communicated outside the protected network.
*********************************
This filter detects the information transfer by MyWaySearch Bar Spyware.
MyWaySearch Bar is a search tool bar that hijacks the IE web browser home page and directs users to sites run by MyWay.
*********************************
This filter detects an attempt to access YouTube. - и Рапидшару рубит и все что захочеш
*********************************
This filter detects a zip file, which includes a file with a ".scr" extension, attached to an email message being sent to a SMTP server. Many viruses are known to use malicious files with a ".scr" extension to infect other victims. Hence, a zip file containing a ".scr" file attached to an email message should be treated with suspicion. The Mimail virus is known to use a readnow.zip file which contains the malicious readnow.doc.scr file.

Гость
проходил мимо

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Гость » 2007-07-24 17:18:01

И еще добавлю что Типпинг классно защищает от кибер атак, ДОС атак, не разрешает работу приложениям типа Peer to Peer

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение ~>cerber<~ » 2007-07-24 19:51:11

1. где он у тебя стоит, на каком интерфейсе?
2. что у тебя за такой шлюз, который не защищен от дос-атак, и каким образом у тебя открыт доступ Peer to Peer, это все должно резаться на уровре файрволла.

да уж.. фильтров точно немеряно... лол :lol:

П.С.многим со стороны может показаться, что я пытаюсь обругать данную прекрасную продукцию высококвалифицированного производителя, но это не так, идея у них супер, вроде как-бы классно все задумано, слушал презентации, видел ролики, но не видел конкретных результатов, а очень хотел бы, чтоб эта железка стоила того.

пока вижу единственное приминение этой железки - защита открытых веб- файл- и почт. серверов.
;aka coolchevy
live free or die;

Гость
проходил мимо

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение Гость » 2007-07-25 9:24:10

1. где он у тебя стоит, на каком интерфейсе?

сейчас он у меня стоит за циской (шлюзом) перед прокси сервером. Циска настроена отлдично - проходила тест на взлом европейских аудиторов - оценка 5. И при этом Типпинг Поинт ловит кучу всякого дерьма. Сечас в основном это попытки использовать эксплойты через HTTP на рабочие станции.

2. что у тебя за такой шлюз, который не защищен от дос-атак, и каким образом у тебя открыт доступ Peer to Peer, это все должно резаться на уровре файрволла.

да, канешно это все режется и на уровне файрволла, и шлюз канешно же защищен от ДОС атак. Но нужно проверять админов, ведь они могут говорить одно а делать другое :lol: В моей ситуации мы его используем (благо компания у нас серьезная):
как подстраховку (ведь и шлюзы ломают ...)
периодически перемещаем по сетевым сегментам для изучения сетевой активности
ставим перед веб серваками (очень даже интересные результаты показывает)
перед шлюзом
и т.д. и т. п.

Аватара пользователя
~>cerber<~
мл. сержант
Сообщения: 112
Зарегистрирован: 2007-06-23 0:58:32
Откуда: [UKRAINE]
Контактная информация:

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение ~>cerber<~ » 2007-07-25 10:31:21

очень даже интересные результаты показывает
ясно, вообщем у вас основная его задача - сборщик статистики...
а то никто не знает, в какой опасной среде мы все обитаем :lol:
;aka coolchevy
live free or die;

a_pri
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-07-25 9:28:49

Re: 3Com TippingPoint IPS TOS

Непрочитанное сообщение a_pri » 2007-07-25 10:57:52

~>cerber<~ писал(а):
очень даже интересные результаты показывает
ясно, вообщем у вас основная его задача - сборщик статистики...
а то никто не знает, в какой опасной среде мы все обитаем :lol:

ну не совсем сборщик, в принципе занимается он тем, чем и должен заниматься