По размеру пакетов, по сессиям и тд Ратники, например дают специфическую активность по которой можно сказать что это ратник. Не расшифровывая трафик. Я так понял вопрос в этом

По размеру пакетов, по сессиям и тд Ратники, например дают специфическую активность по которой можно сказать что это ратник. Не расшифровывая трафик. Я так понял вопрос в этом

В этом тоже. Спасибо за коммент. Цель как бы настроить нормальный мониторинг. Сейчас потенциально готовимся смотреть bluecoat. Но это больше про шлюз, а-ля proxy. А вот коллеги выше говорят, что нужен ips.

В этом тоже. Спасибо за коммент. Цель как бы настроить нормальный мониторинг. Сейчас потенциально готовимся смотреть bluecoat. Но это больше про шлюз, а-ля proxy. А вот коллеги выше говорят, что нужен ips.

Такие сигнатуры сложно писать без опыта, если есть желание ковырять - круто А вообще у вендоров есть готовые уже сиги

В этом тоже. Спасибо за коммент. Цель как бы настроить нормальный мониторинг. Сейчас потенциально готовимся смотреть bluecoat. Но это больше про шлюз, а-ля proxy. А вот коллеги выше говорят, что нужен ips.

Эмм, существует ряд решений, включающих и шлюз, IPS, DLP и кучу всего в одном, но считать на нем трафик и мониторить кто куда - не очень ок, для статистики ресурсов все равно нужна прокся

всем питерским две шисот!

#питер 2600! Внимание, мы в другом месте: бар BeerHub, https://vk.com/beerhub_community, Биржевой переулок, 4 (https://goo.gl/maps/1zFxQX7bsJ32) Как всегда, в пятницу. 6 апреля, в 19:00 2600.spb.ru

#питер 2600! Внимание, мы в другом месте: бар BeerHub, https://vk.com/beerhub_community, Биржевой переулок, 4 (https://goo.gl/maps/1zFxQX7bsJ32) Как всегда, в пятницу. 6 апреля, в 19:00 2600.spb.ru

Сорри за может глупый вопрос - во время сходки вы просто общаетесь или какие-то штуки ещё делаете?

бывает, что и делаем

бывает кто-нибудь притащит какую-нибудь железку

всякое бывает))

Что самое запоминающееся было из всех встречь?)

Что самое запоминающееся было из всех встречь?)

https://t.me/meetings2600 лучше туда

можно тупой вопрос , почему у меня нет доступа к статьям ? :)

Коллеги, еще тупой может быть вопрос, но все ж. Может кто-то знает конкретные решения для задачи: контролировать трафик пользователей (ну чтобы в облака не лили, например, или еще как-то сливали контент) когда они ЗА периметром организации, т.е. например взяли ноут пошли домой, там работают. Или в коммандировке находятся и естесно подключаются абы как, абы откуда, к нам через впн, но дальше данные у них на машине.

Коллеги, еще тупой может быть вопрос, но все ж. Может кто-то знает конкретные решения для задачи: контролировать трафик пользователей (ну чтобы в облака не лили, например, или еще как-то сливали контент) когда они ЗА периметром организации, т.е. например взяли ноут пошли домой, там работают. Или в коммандировке находятся и естесно подключаются абы как, абы откуда, к нам через впн, но дальше данные у них на машине.

Дядь, вначале обозначай проблему, которую хочешь решить, потом твои идеи для решения этой проблемы. А там уж подскажем)

тебя напрягает то, что они могут слить КТ, которая находится у них на компе, в то время когда они не в офисе?

Анализ логов прокси не правильный путь?

Для тех целей, что ты написал - неправильный. Для части задач можно использовать логи прокси, но, как ты правильно заметил, специализированный софт затыкается на гигантских объемах. Поэтому либо ты, как все, уменьшишь объемы, либо напишешь сам что-то упрощённое, что очень быстро работает с гигантскими объемами, либо напишешь ещё одно полноценное специализированное средство через пару лет

Коллеги, еще тупой может быть вопрос, но все ж. Может кто-то знает конкретные решения для задачи: контролировать трафик пользователей (ну чтобы в облака не лили, например, или еще как-то сливали контент) когда они ЗА периметром организации, т.е. например взяли ноут пошли домой, там работают. Или в коммандировке находятся и естесно подключаются абы как, абы откуда, к нам через впн, но дальше данные у них на машине.

zScaler

У тебя в голове что-то между гречневой кашей и винегретом, который уже ели вместо постановки задач

Ты порядок наведи - это сэкономит кучу денег

тебя напрягает то, что они могут слить КТ, которая находится у них на компе, в то время когда они не в офисе?

да, и не вижу нормальных решений для противодействия этому, кроме может быть технологии IRM (управление правами на документы)

Это тоже не панацея

Ты порядок наведи - это сэкономит кучу денег

так для того и советуюсь, а не бежим покупать что увидим на полках

Гайз, привет. Наша дружба с Докером с утра подверглась серьезному испытанию: ➜ ~ docker ps -a CONTAINER ID COMMAND ... 4a3d5e940819 Exited (255) 13 minutes ago ➜ ~ docker start 4a3d5e940819 Error response from daemon: container "4a3d5e940819131b604ddf8d9c72cc91b056c7b273db1c8c2964be78090dea1c": already exists Error: failed to start containers: 4a3d5e940819 Нашел такой issue: https://github.com/docker/for-linux/issues/211 Assuming it gets merged before 18.03 is cut, it'll be in 18.03 and 17.12.1 Говорят, баг в 18.02, и надо обновляться. А никто не чинил без обновления ядра? Спасибо заранее.

так для того и советуюсь, а не бежим покупать что увидим на полках

Ты так и не понял ничего

Это тоже не панацея

знаешь волшебную таблетку?

Её не существует

да, и не вижу нормальных решений для противодействия этому, кроме может быть технологии IRM (управление правами на документы)

ну смотри, для этого нужен комплекс решений. В первую очередь - какой-нить Варонис для несистематизированных данных, который будет ставить на документы метки. После этого - DLP с возможностью чтения меток и блокировки и логирования действий с файлами, например Dozor

можно попытаться решить это одним Dozor-ом

ну смотри, для этого нужен комплекс решений. В первую очередь - какой-нить Варонис для несистематизированных данных, который будет ставить на документы метки. После этого - DLP с возможностью чтения меток и блокировки и логирования действий с файлами, например Dozor

Ты понимаешь, что это у автора почти тоже самое, что логи прокси? Он хочет целиком, сразу и чтобы мы угадали все, что он не может сформулировать (в крайнем случае, чтобы эта одна железка просто сама умела все, что он не может выразить)

Решения от Microsoft не надо озвучивать? ?

Что-то на них отлично работает между прочим

zScaler

спасибо, за наводку. сами пробовали? не стремно в облака данные отдавать?

От компании зависит Тут нет

Это мегамасштабируемое mitm решение

Ты понимаешь, что это у автора почти тоже самое, что логи прокси? Он хочет целиком, сразу и чтобы мы угадали все, что он не может сформулировать (в крайнем случае, чтобы эта одна железка просто сама умела все, что он не может выразить)

не совсем так. я же описал выше задачи с логами, которые хочу решить. мне ответили, что так решать не правильно все и сразу, надо решать разными способами. поэтому дискуссия и появилась. не обязательно в итоге должна быть одна мега умная железка, но помоему это нормально хотеть одно простое решение. вдруг оно уже есть. выяснилось что все еще нет.

Решения от Microsoft не надо озвучивать? ?

у них все что ни решение теперь, то azure. а мы с ними не дружим, так как они данные раскрывают. но ad rms их смотрим. тот что on-premise

у них все что ни решение теперь, то azure. а мы с ними не дружим, так как они данные раскрывают. но ad rms их смотрим. тот что on-premise

Просто у вас EA нет и доступа ко всему софт у ?

Именно про rms и говорил

Именно про rms и говорил

я когда про irm писал, сначала rms написал) но подумал что irm это более широко) и это я озвучил понятное мне решение проблемы, но может что-то еще есть. вот SF на zscaler подсказал, за что ему спасибо. надо смотреть на сколько оно нам применимо

не совсем так. я же описал выше задачи с логами, которые хочу решить. мне ответили, что так решать не правильно все и сразу, надо решать разными способами. поэтому дискуссия и появилась. не обязательно в итоге должна быть одна мега умная железка, но помоему это нормально хотеть одно простое решение. вдруг оно уже есть. выяснилось что все еще нет.

Ты все же сформулируй цели. Потому что если цель анализировать логи, то любой анализатор подходит. А если цель, чтобы документ не стал известен кому не надо, то это ни логи ни rms в чистом виде не может обеспечить

Ты все же сформулируй цели. Потому что если цель анализировать логи, то любой анализатор подходит. А если цель, чтобы документ не стал известен кому не надо, то это ни логи ни rms в чистом виде не может обеспечить

ну он целей уже минимум 3 перечислил

и все это разные решения

Ты тоже просто не особо понимаешь о чем я написал выше

Ну и вообще, решать выход документов за пределы компании с помощью логов прокси - не правильное решение, имхо. Что мешает пользователю скачав документ, отключиться от вашего ВПН и слить их через свой уютный интернет?

Нет там связных целей решения

ну он целей уже минимум 3 перечислил

да) за меня ответил. мне разные для разных целей и нужны.

Сфоткать его?

Ну и вообще, решать выход документов за пределы компании с помощью логов прокси - не правильное решение, имхо. Что мешает пользователю скачав документ, отключиться от вашего ВПН и слить их через свой уютный интернет?

да про логи прокси он другое писал вчера и сегодня, чо вы доебались

ааааааа.. народ. цели разные. я просто хочу о вашем опыте узнать в разных направлениях. понятно что выход документов через прокси никто не планирует решать, потому что это не решается так.

Тогда я нихуя не понял

попробую более емко написать, не факт что получится. но попробую

Это мне напоминает один мультфильм " -ты что, вчера родился? -нет, сегодня! -аа, это другое дело!"

Ты формулируй не задачи, ведь ты не знаешь вариантов, ты формулируй цели и требования

Под это потом надо будет решения подбирать, комбинируя варианты разные

Гайз, привет. Наша дружба с Докером с утра подверглась серьезному испытанию: ➜ ~ docker ps -a CONTAINER ID COMMAND ... 4a3d5e940819 Exited (255) 13 minutes ago ➜ ~ docker start 4a3d5e940819 Error response from daemon: container "4a3d5e940819131b604ddf8d9c72cc91b056c7b273db1c8c2964be78090dea1c": already exists Error: failed to start containers: 4a3d5e940819 Нашел такой issue: https://github.com/docker/for-linux/issues/211 Assuming it gets merged before 18.03 is cut, it'll be in 18.03 and 17.12.1 Говорят, баг в 18.02, и надо обновляться. А никто не чинил без обновления ядра? Спасибо заранее.

Думал кастовать тебя в чат для ответа. А это от тебя аск. XD

Хочу решить несколько целей: 1. чтобы пользователи не сливали просто большие объемы корпоративных данных в облако, в телеграм или еще куда. просто контроль объема, т.к. распространение не критичных данных в большом объеме может быть критичным. 2. чтобы не могли слить реально критичные данные 3. я хочу обезопасить своих пользователей, когда они вирусню на тачку посадят и не хочу чтобы мы были донором для ботоводов, либо таргетированной атаки со сливом данных. При следующих условиях: А. пользователи часто бывают за периметром и прокси/шлюзы и прочий ips+dpi внутри не решает эти задачи (но не значит что их внутри решать не надо) Б. при этом топы очень не доверяют облачным решениям (особенно от тех кто сотрудничает с силовиками) и по старой вере хотят чтобы все хранилось и обрабатывалось максимально у нас, поэтому мы консервативно настроены по отношению к azure — ps. я в целом конечно имею представление как все эти задачи решить и с помощью каких технологий, но есть сомнения (например из-за опыта с DLP, когда вендоры говорят одно, а по факту все это работает не совсем так), поэтому и хочу понять, может кто-то уже решает подобные задачи успешно.

Не напомните название сервиса который не сливал инфу антивирусам и можно было на нем проверить свой софт

Не напомните название сервиса который не сливал инфу антивирусам и можно было на нем проверить свой софт

если не приватный, то имхо фантастика.

:(

1 -Checkpoint Firewall, Palo alto (это то, с чем реально работал, и то что реально решало эту проблему)

2 - DLP решение, иначе это не решить. Делайте пилоты, смотрите на решения. Моя рекомендация - начать с Solar Dozor, если не подойдет - посмотреть SearchInform

3 - корпоративный антивирус, зависит от обьемов организации

*потирает руки от слова Checkpoint*

*потирает руки от слова Checkpoint*

почему?

почему?

стыдно говорить =))

Хочу решить несколько целей: 1. чтобы пользователи не сливали просто большие объемы корпоративных данных в облако, в телеграм или еще куда. просто контроль объема, т.к. распространение не критичных данных в большом объеме может быть критичным. 2. чтобы не могли слить реально критичные данные 3. я хочу обезопасить своих пользователей, когда они вирусню на тачку посадят и не хочу чтобы мы были донором для ботоводов, либо таргетированной атаки со сливом данных. При следующих условиях: А. пользователи часто бывают за периметром и прокси/шлюзы и прочий ips+dpi внутри не решает эти задачи (но не значит что их внутри решать не надо) Б. при этом топы очень не доверяют облачным решениям (особенно от тех кто сотрудничает с силовиками) и по старой вере хотят чтобы все хранилось и обрабатывалось максимально у нас, поэтому мы консервативно настроены по отношению к azure — ps. я в целом конечно имею представление как все эти задачи решить и с помощью каких технологий, но есть сомнения (например из-за опыта с DLP, когда вендоры говорят одно, а по факту все это работает не совсем так), поэтому и хочу понять, может кто-то уже решает подобные задачи успешно.

Я все же за zscaler - он не российский. Там нет погонов и их понятий наглых. Отлично это работает и безопасно до тех пор, пока нет судебного решения на открытие данных, причем не в России

ну давай, все свои же)

И мне очень нравится, что ничего, кроме понятного заранее количества денег не надо для того, чтобы оно хорошо работало. Никаких косяков админов, багов, серваков - ничего. Просто понятный счёт.

почему?

скорее всего он или компания их продает или типа того)

Везёт, я о штрафах вообще не знал, ну точне слышал истории но думал сказки

У меня другу в Баварии пришло письмо счастье на 1500 за скачанный ролик, он про него уже и думать забыл и тут здоасьте

скорее всего он или компания их продает или типа того)

Уютные партнёрки никто не отменял, не обязательно что-то продавать

Товарищь Жаров, перелогиньтесь

кто это?

Есть еще люди, которые не жаловались в этот орган и не получали отписки?

Есть

Где можно найти список подсетей по странам?

Где можно найти список подсетей по странам?

stat.ripe.net

stat.ripe.net

спасибо

спасибо

Но, конечно, соответствие подсети стране — это очень большая условность.

спасибо

у них можно db качнуть и запились себе, у них ограничение по кол-ву запросов.

у них можно db качнуть и запились себе, у них ограничение по кол-ву запросов.

как? зарегиться?

как? зарегиться?

сек. найду манул.

сек. найду манул.

спс жду

спс жду

https://github.com/RIPE-NCC/whois/wiki/Installation-instructions

Стран 200 штук. Если на один раз, то, IMHO, проще 200 раз спросить ручку https://stat.ripe.net/data/country-resource-list/data.json?resource=${iso_country_code} , чем разворачивать что-то у себя. Пару лет назад rate-limit был в духе "1 запрос в секунду".

https://github.com/RIPE-NCC/whois/wiki/Installation-instructions

я ак понял проще вот ссылка? ftp://ftp.ripe.net/ripe/dbase/ripe.db.gz

я ак понял проще вот ссылка? ftp://ftp.ripe.net/ripe/dbase/ripe.db.gz

проще? я кинул сразу всю инфу, где скачать, что содержит итд.

таки хто чем виндовые системные диски нынче шифрует? :)

Wanna Cry

отличный вариант, но работать неудобно с документами

проще? я кинул сразу всю инфу, где скачать, что содержит итд.

спасибо, я не про то) разбираюсь)

Хммм, а что может еще влиять на то, что древняя ХР неправильно резолвит имя? nslookup от сервера дает правильный внешний IP а трасерт, пинг, открытие в браузере - локальный адрес, непонятно где спрятанный, чот не помню как так можно еще. hosts говорят пустой

Блин, там вероятно ipx протокол ещё, а я о нем ничего не помню. ?

Всем привет, у кого то есть ссылка на трансляцию с митапа mail.ru?

Привет, https://www.youtube.com/watch?v=Qw7pvsCTank (надеюсь можно кидать?)

Спасиб