Архитектура защищенных сетей. Типовой дизайн сети с NGFW

 *фрагмент из книги "Архитектура защищенных сетей. Perimeter Layer"

Прежде чем перейти к обзору основных игроков рынка NGFW давайте рассмотрим типовой дизайн корпоративной сети с применением межсетевого экрана. Ниже представлена примерная структурная схема:

Как видно из картинки, NGFW (выделен красной пунктирной линией), как правило, применяют именно на границе сети (тот самый периметр) и формируют, как минимум, 3 логических зоны (линии синего цвета):

Cisco Packet Tracer 8.2 - доступен для скачивания

 

Меж тем, в августе вышел новый релиз Cisco Packet Tracer 8.2. С недавнего времени скачать дистрибутив стало проблематично... поэтому выкладываю здесь. Доступны варианты для Windows, Ubuntu, MacOS.

Выдержка с официального сайта о новшествах: 

Cisco Packet Tracer 8.2 повышает эффективность обучения. В новой версии улучшена поддержка специальных возможностей и безопасность, а также исправлены ошибки для повышения качества программного обеспечения. Версия Cisco Packet Tracer 8.2 основана на Packet Tracer 8.0 и 8.1 и включает следующие обновления.

- Обучающие задания Cisco Packet Tracer (PTTA) ― новый тип упражнений, которые предлагают учащимся подсказки по ходу занятия (если выбран этот режим). Обучающие задания Packet Tracer (PTTA) созданы для поддержки персонализированного и справедливого подхода к обучению.

- Благодаря расширенному режиму симуляции физического оборудования можно войти в виртуальную лабораторию и своими глазами увидеть, как выглядят устройства и кабели в стойках. Это помогает развить и закрепить важнейшие навыки, в частности умение правильно размещать устройства (функция «Стойка и размещение модулей»), подавать питание на них, подключать их друг к другу кабелями через порты (в том числе выбирать подходящие кабели и схему их прокладки), находить и устранять неполадки и не только.

- Также добавлен новый инструмент Сетевой контроллер, интерфейс которого напоминает существующие контроллеры для программно-определяемых сетей, например Cisco DNA Center и APIC-EM. Модель «Сетевой контроллер» позволяет на практике изучить принципы централизованного управления сетью. С помощью графического веб-интерфейса или API-интерфейсов в «Сетевом контроллере» можно создать единую панель управления для контроля состояния сети, быстрого выявления и устранения неполадок и передачи новых параметров конфигурации на все управляемые устройства. Кроме того, если необходимо запустить собственный сценарий для автоматизации инфраструктуры, доступ к инструменту «Сетевой контроллер» возможен из реальных приложений, запущенных на компьютере (например, браузер, среда Python или Postman).

На мой взгляд ничего "революционного" и можно продолжать использовать старую добрую версию 6.2  :)

LifeSkills - Как строить карьеру в IT

 Очередной урок из рубрики LifeSkills:

6.Network traffic analysis and troubleshooting. Network Discovery

 

Шестой урок уже доступен на YouTube канале! В этот раз мы вкратце познакомимся с интерфейсом Wireshark, поработаем с готовым дампом трафика, а также попытаемся отразить схему сети, где был собран этот дамп.

5.Network traffic analysis and troubleshooting. Basics of traffic capturing

 

Пятый урок уже доступен на YouTube канале! Мы наконец начнем работу с Wireshark и изучим тонкости сбора трафика.

4.Network traffic analysis and troubleshooting. Frame, Packet and Segment

 

Четвертый урок уже доступен на YouTube канале! Прежде чем приступить к обсуждению Wireshark-а, мне хотелось бы поговорить о более примитивных вещах, но понимание которых критически важно для умения анализировать трафик или траблшутить. Если точнее, мы обсудим основные единицы трафика - фреймы, пакеты, сегменты. Что они делают и самое главное - чем отличаются?

3.Network traffic analysis and troubleshooting. Tcpdump

 

Третий урок уже доступен на YouTube канале! В этом уроке мы обсудим основы работы с утилитой Tcpdump, и рассмотрим несколько реальных кейсов. Один из важнейших уроков курса. Чуть чуть теории и много практики!

2.Network traffic analysis and troubleshooting. Three ways

 

Второй урок уже доступен на YouTube канале! В этом уроке мы обсудим, что такое "прослушка", а также рассмотрим три основных способа сбора трафика для последующего анализа:

- Host Based

- Network Based

- Flow Based

Обсудим преимущества и недостатки каждого способа.

1.Network traffic analysis and troubleshooting. Overview

 

Всем привет! Рад сообщить о запуске нового курса. На этот раз мы поговорим об основах анализа трафика и базовых навыках траблшутинга. Подробнее о содержании курса можно посмотреть в первом уроке или на сайте NetSkills.

VyOS - идеальный роутер для лабораторных работ

У меня довольно часто бывает задача развернуть лабораторный стенд для макетирования тех или иных решений. Последнее время это чаще какие-то security решения (ngfw, ips, vpn и т.д.). Но почти всегда для схемы требуется какой-то простой роутер и желательно чтобы потреблял минимум ресурсов. Раньше я часто использовал проект freesco. Но иногда его возможностей все же не хватает. Тогда я наткнулся на отличную альтернативу - VyOS. Ниже я расскажу, где и как он может пригодиться, а главное сколько ресурсов потребляет.

Чем заняться IT-шнику на карантине?

Небольшая подборка курсов, книг и ресурсов, которые я бы рекомендовал изучить в свободное время (конечно, если вы это еще не изучили). Следующая неделя объявлена выходной, так что весьма актуально. Можно провести карантин с пользой.

LifeSkills. Настойчивость - главный критерий вашего будущего профессионального успеха

Сегодня мне хотелось бы затронуть очень важную тему, которая наверняка будет интересна новичкам в IT сфере. Хотя, по сути, тезис который мы будем рассматривать, наверно справедлив для любой сферы. И начну я с реальной истории. Каждый год (точнее каждое лето) мы, компания TS Solution, проводим стажировку для молодых студентов. Суть стажировки проста. На первом этапе мы даем необходимые материалы для самостоятельного обучения, затем тестируем кандидатов по пройденному материалу. Ничего сложного, тест исключительно на понимание сетевых технологий (Курс молодого бойца). На втором этапе мы уже выдаем более профилированные вещи с виртуальным макетом и заданиями очень близкими к реальной жизни. Вся работа уже идет у нас в офисе. По окончанию стажировки мы обязательно выдаем студентам сертификат о прохождении профильных курсов. Т.е. уже большой плюс, т.к. можно получить опыт работы с реальным оборудованием по реальным задачам. Наиболее талантливых мы оставляем себе. Это оказалось довольно эффективной схемой. Каждый год мы отбираем одного-двух студентов. Сейчас они совмещают работу и учебу, а по окончанию университета будут уже востребованными специалистами с хорошим опытом работы.

New CCNA in 2020

Важная новость! Cisco запускает в 2020 году новую версию CCNA (200-301 exam), которая объединяет в себе сразу несколько направлений. Вот список экзаменов, которые будут заменены одним единственным экзаменом CCNA:

- CCNA Cloud
- CCNA Collaboration
- CCNA Cyber Ops
- CCNA Data Center
- CCDA
- CCNA Industrial
- CCNA Routing and Switching
- CCNA Security
- CCNA Service Provider
- CCNA Wireless

Если честно, пока трудно понять, как они собираются объединить все эти "ветки" в рамках одного курса/экзамена. Слишком большой пласт информации. В целом эта новость больше похоже на первоапрельскую шутку. Будем ждать новостей.

CPX360 Vienna - презентация "Check Point для нового администратора ИБ в компании"

В феврале мне посчастливилось побывать на ежегодной конференции Check Point, которая проходила в Вене. Также мне предоставился шанс выступить с небольшой презентацией на тему, как Check Point может помочь новому администратору ИБ в компании, при этом сэкономить деньги и показать ваш профессионализм. Возможно название слишком "громкое", но все же, у Check Point действительно есть возможность осуществления бесплатных тестов и проверок безопасности вашей сети. В презентации описаны возможные способы аудита текущей защищенности вашей сети, а также вариант упрощения архитектуры сети, с точки зрения безопасности.

Решил, что данная презентация может быть кому-то интересна (не пропадать же добру):

Демонстрация BlueKeep Exploit (CVE-2019-0708)

Буквально на днях опубликовали эксплойт по нашумевшей уязвимости RDP, а именно BlueKeep (CVE-2019-0708). Вообще ресурс exploit-db весьма полезный для тестировщиков безопасности, но вернемся к теме. Я решил вспомнить свои навыки CEH и скачал данный скрипт на Kali-Linux машину (хотя подойдет любая ОС с phyton на борту). Испытуемой системой была Windows 7 SP1. Результат можно видеть на gif-ке ниже:

Это к вопросу, на сколько просто сегодня воспользоваться вашими уязвимостями. Не нужно быть гениальным хакером.

Мои рекомендации:

1) Регулярно следите за обновлениями системы;

2) Используйте сканеры уязвимостей;

3) Используйте IPS системы.

Возможно чуть позже покажу, как IPS блокирует данные атаки.

Большой бюджет не всегда гарантирует высокий уровень защищенности

Весьма интересная статья появилась на SecurityLab - "Эксперты подсчитали, во сколько компаниям обходится обеспечение ИБ". Там приводятся средние цифры, которые скорее больше ориентированы на европейский рынок (я уверен, что в России цифры значительно меньше). Не вижу смысла их дублировать, кому интересно, можете пройти по ссылке выше. Для меня больше интересен другой тезис из статьи:

По словам авторов исследования, размер суммы, выделяемой на обеспечение кибербезопасности, необязательно пропорционален уровню защищенности. То есть, большой бюджет не всегда гарантирует высокий уровень кибербезопасности.

И я об этом уже писал в своей книге "Практическая безопасность сетей". Также в статье описываются основные критерии способствующие более высокой степени защиты:

Наиболее успешные программы по ИБ характеризуются несколькими основными чертами. Во-первых, заинтересованность в них проявляется на уровне правления. Во-вторых, информация о кибербезопасности не сосредотачивается исключительно у сотрудников IT-отдела, а распространяется по всей организации, благодаря чему ей уделяется больше внимания. Третья основная черта – согласование программы компании по ИБ с ее бизнес-стратегией.

Однако, я считаю, что забыли упомянуть не менее важный фактор - человеческий фактор. Могу с уверенностью сказать, что ИБ в компании начинается с хорошего специалиста, который заинтересован своей работой. Без этого все бюджеты - пустая трата денег. Более того, сами бюджеты зависят от специалиста и его способности обосновать их необходимость. Нужно понимать, что бизнес существует ради прибыли. ИБ это элемент, который должен помогать сохранять и защищать прибыль компании. Безопасность ради безопасности никому не нужна.

С Наступающим 2019 Годом!

Ну вот и прошел еще один год. Для меня он был очень насыщенным. Большие, амбициозные и самое главное интересные проекты. Слабая активность в блоге это не показатель моей лени :) Думаю, что скоро весь мой новый накопленный опыт "выплеснется" на страницы этого сайта. Искренне надеюсь, что уходящий год был удачным и для вас. Если это не так, то в следующем обязательно повезет. Не забывайте, что мы представители одной из лучших профессий мира! 

Отличного вам отдыха, Друзья! Набирайтесь сил для новых свершений уже в следующем году!

Лучший SSH-клиент для Windows (альтернативы Putty). Топ-5

Уверен, что любому админу приходилось пользоваться SSH-клиентом. И если ваша основная операционная система Linux (или unix подобная), то доступ к этой функции получить довольно просто - открыл терминал и готов. С Windows не все так просто. Чаще всего принято использовать Putty. Лично я именно им и пользуюсь уже лет 7 (работа обязывает иметь Windows как основную операционку). Но мне вдруг стало интересно, какие еще альтернативы есть. Немного погуглив и опробовав большую часть софта, я выдели следующие достойные (бесплатные) альтернативы:

7. Cisco ASA Administrator. Security Level

Седьмой урок из курса Cisco ASA Administrator. На этот раз мы обсудим Security Level. Очень важно понять, как работает эта функция, прежде чем переходить к более сложным темам (особенно access-list-ам). Урок включает как теорию, так и практику. Лабораторная работа выполнялась в EVE NG, но и GNS3 здесь отлично подойдет.

Видео урок:

Тест по уроку

<-- 6 урок 8 урок -->

Cisco Packet Tracer 7.2 доступен для скачивания!

Отличная новость, друзья! Оказывается вышел новый релиз Cisco Packet Tracer 7.2. Каким-то образом я чуть не пропустил эту новость. Скачать дистрибутивы можно как всегда либо из своего аккаунта Netacad, либо здесь (download cisco packet tracer 7.2). Новшеств довольно много. Не буду копипастить все особенности релиза, подробно можно почитать здесь. Могу лишь поделиться впечатлениями. Для меня самая главная фича, которая появилась - Cisco ASA 5506-X. Это уже что-то! В целом же, кто бы что не говорил, а Cisco Packet Tracer до сих пор является самой лучшей программой для начинающих сетевых инженеров. Продукт развивается и это хорошо.