реверсишь?

?

g9.js по почте IPS резанул, надо кому поизучать? =) (ВНИМАНИЕ, ШИФРОВАЛЬЩИК, НЕ ЗАПУСКАТЬ)

А что за ips если не секрет?

А что за ips если не секрет?

Checkpoint

Т.е он в проходящеп смтп трафике увидел аномалию и зарубил сессию?

Т.е он в проходящеп смтп трафике увидел аномалию и зарубил сессию?

ну в смтп он стоит так, чтобы читать уже не шифрованные сообщения между шлюзом и почтовиком :)

Т.е он в проходящеп смтп трафике увидел аномалию и зарубил сессию?

не совсем, там было чуть сложнее, письмо было как бы от меня и мне же

оно все-таки упало ко мне, но с ошибкой, ибо шлюз не смог его доставиь

оттуда и архив, хотя хороший архив, под винду рабочий однозначно :)))))))

А ипс этот встроенный в нгфв?

А ипс этот встроенный в нгфв?

у них сложнее, там все за деньги и на подписке, и стоит дорого :)

Не совсем могу понять как сработал именно превеншн. Ипс в потоке сетевого трафика по сигнатурам может рубить соединения но внутрь архивп же не заглянет.

Значит она должна терминировать на себе сессию брать время на анализ и только потом пропускать траф

По аналогии как почтовые песочницы или антивирусы работают

Не совсем могу понять как сработал именно превеншн. Ипс в потоке сетевого трафика по сигнатурам может рубить соединения но внутрь архивп же не заглянет.

там комплекс мер, включая application filter, antivirus (который смотрит в архив), antispam по спискам адресов, по содержимому, есть еще threat prevetion в песочнице типа запускается все и т.п.

ну и у IPS правила включаются вручную, prevention многого требует хороших процов, что стоит бабла на лицензии

Это которые софтварные блейды? Вроде так называлось у чекпоинтов

эксплуатация уязвимостей адобе, винды и т.п. по сигнатуре прост отработает и пшик

Это которые софтварные блейды? Вроде так называлось у чекпоинтов

угу :)

Кстати а чекпоинт умеет вырезать из html флеш и прочий ембедед контент?

Например запретить всем кроме определенных групп

хмм, вопрос сложный, лучше консультироваться с поддержкой, прямая поддержка там очень ок, в принципе, можно свои сигнатуры писать для IPS или URL/application filter

преднастроенные правила можно править по группам юзеров/сетей/хостов, свои - отдельная история, но можно

ну и банальный Policy Based Routing тоже няшка

А категории сайтов в чекпоинте как отрабатывают?

А категории сайтов в чекпоинте как отрабатывают?

у него своя база, автоматом обновляемая. Включаешь для юзеров блокировку категорий: high risk, gambling, torrent и т.п. - и ок :)

а потом в исключения приложения: rsync, yum, dnf - очень небезопасны же :D

Например зарубить всем доступ к непрокатегоризованным сайтам и этотуже спасет от кучи зловредов располагающихся на вновь зареганных сайтах

Например зарубить всем доступ к непрокатегоризованным сайтам и этотуже спасет от кучи зловредов располагающихся на вновь зареганных сайтах

хммм, можно и так строить, НЕ перечисленные в правиле категории = alow

тот же TMG так мог, хоть база и скуднее, но убили проксю :(

а, ну и подписка нужна, или переустановка регулярная)())

Например зарубить всем доступ к непрокатегоризованным сайтам и этотуже спасет от кучи зловредов располагающихся на вновь зареганных сайтах

вариант блокировки торрента в моем случае - блокировать все НЕИЗВЕСТНЫЕ приложения на портах >1024

вариант блокировки торрента в моем случае - блокировать все НЕИЗВЕСТНЫЕ приложения на портах >1024

А почему из пользовательских сете в принципе не оставить только 80 и 443?

А почему из пользовательских сете в принципе не оставить только 80 и 443?

это идеальный вариант, на самом деле идеальный - 80, у меня было и такое

а хттпс оставить бы только через https inspection, он это на лету тоже умеет

то есть весь SSL трафик пускает через себя, проверяет и шлет дальше

а хттпс оставить бы только через https inspection, он это на лету тоже умеет

Это само собоц

В смысле что с инспекцией

главное, админских прав не давать, и все заявки отрабатывать не на отъебись, а изучать поведение приложений и писать исключения в ФС доменной политикой

божечки, ты меня довел до слез о прежней работе

надо прибухнуть:))))

В смысле что с инспекцией

это ты банк-клиентам потом расскажи :D

это ты банк-клиентам потом расскажи :D

Обычные пользовптели пусть дома банк клиентами пользуются. А штатные в отдельном сегменте и с исключениями

Обычные пользовптели пусть дома банк клиентами пользуются. А штатные в отдельном сегменте и с исключениями

ну я про бухгалтерию, в компании всегда масса исключений :) и всем нужно

и сетевые исключения же по адресам делаются, а адрес можно и подменить, а значит надо бы 802.1x, да? =)

и сетевые исключения же по адресам делаются, а адрес можно и подменить, а значит надо бы 802.1x, да? =)

По логинам на проксе

По логинам на проксе

не все приложения проксифицируются, так что очень много напрямую надо писать

И безопасник не должен забывать, что не он бабло зарабатывает, а тот сучий юзер, который вечно просит исключений

безопасник его тупо сливает :))))

Да но когда какойнить троян начнет уводить бабло натянут и безопасника и ит и аргумент будет такой: не обосновали впжность и необходимость ограничений

Тут все до первого инцидента хорошего )

СУИБ, модели угроз, риски и все такое, но зрелых до этой хуйни компаний днем согнем

ога, Петя был хорош

хотя до него Kido/conficker

правда он ничего не удалял, дрянь такая

Не обязательно петя. Достаточно и меньшего

Не обязательно петя. Достаточно и меньшего

если тебе достаточно меньшего, могу и тебе этот архив скинуть :D

Он зарубится)

карашо, ставлю 500 рублей, я шлю тебе архив на почту, ты открываешь и дабл кликаешь

готов поддержать? :)

Всмысле что этот архив не обнаружится?

Средсвами защиты?

ды просто, если ты выполнишь эти действия, я дам 500 рублей :) тут канеш вопрос средств контроля за тобой

наблюдение по тимвьюеру - пошло

ERROR: S client not available

если письмо не дойдет, я проиграл, если не запустится, я проиграл

на рабочую почту! в жопу твой домашний писи)

То что антивирусы можно обойти это понятно

Речь шла немного о другом: пример с доставкой в случае если постовый шлюз рубит исполняемые файлы, js и прочую хрень

нет файлов - нет опасности

Кстати, отдельная тема - канал доставки. Каспер в почте может быть и поймал бы, но телега ему оказалась неподвластна

вот вам и тема устаревших вкладок антивируса под названием POP/IMAP/OUTLOOK. А эти пидоры реально не торопятся за прогрессом, остались в этом сраном 2007 и им там збс, на первый взгляд

вот вам и тема устаревших вкладок антивируса под названием POP/IMAP/OUTLOOK. А эти пидоры реально не торопятся за прогрессом, остались в этом сраном 2007 и им там збс, на первый взгляд

файлы же сохраняются в локальную папку, можно настроить на активный мониторинг такой папки

файлы же сохраняются в локальную папку, можно настроить на активный мониторинг такой папки

Но Каспер этого не смог

Я уверен, он не пустил бы этот архив по почте. А тут слил

Я уверен, он не пустил бы этот архив по почте. А тут слил

В случае если на такой файл есть детект, тогда да. Если нет, то проактивная защита при запуске. По крайней мере, они так обещают)

http://support.kaspersky.ru/9101?cid=KES_10.2&utm_source=interceptor&utm_medium=product&utm_campaign=KES_10.2

В случае если на такой файл есть детект, тогда да. Если нет, то проактивная защита при запуске. По крайней мере, они так обещают)

Вот на эту тему я бы развел серьёзный срач с производителями, тупо от скуки. Потому как эти «антивирусы» задолбали

В случае если на такой файл есть детект, тогда да. Если нет, то проактивная защита при запуске. По крайней мере, они так обещают)

Мейлрушные сервера даже в двух архивах этот файл не берут. А тут локальный продукт даёт запустить js дабл кликом

Вот на эту тему я бы развел серьёзный срач с производителями, тупо от скуки. Потому как эти «антивирусы» задолбали

Все и так понимают, что антивирус это не "панацея от всех бед")

Все и так понимают, что антивирус это не "панацея от всех бед")

В этом и прикол задрючить их ведомствами

В этом и прикол задрючить их ведомствами

Что за ведомства?

Если не панацея, верни бабло

Что за ведомства?

Роспотреб, прокуратура

Каспер дрючить?

Каспер дрючить?

Угу, я это всегда любил

Они ко мне ездили на срач всей тусовкой техподдержки

Сглотнули и уехали. Ублюдки ленивые

Сглотнули и уехали. Ублюдки ленивые

Горишь ты сильно на них)

Я от имени 5к пользователей им говорил, что они говно. Прям в тикетах матом писал

Они напрасно возбудились, но факты приняли и уехали

Потому симантек, простите

Я от имени 5к пользователей им говорил, что они говно. Прям в тикетах матом писал

А симантек к тебе не приедет) Ему похер

А симантек к тебе не приедет) Ему похер

Мне звонит на мобилу и чекпоинт, и симантек

Панда звонила, но они фу