Компания Cisco представила (http://newsroom.cisco.com/release/1354502) новую открытую платформу для разработки межсетевых экранов уровня приложений - OpenAppID, позволяющую определять использование протоколов уровня приложений и выявлять в трафике активность конкретных серверных, клиентских и web-приложений.Основу OpenAppID составляет специальный предметно-ориентированный язык, описывающий признаки использования протоколов или приложений, а также детекторы, которые на основании имеющихся правил сопоставляют трафик с идентификаторами приложений, и связанные с проектом инструменты для создания и публикации детекторов. Компания Cisco приветствует участие сообщества в развитии технологии OpenAppID, расширении базы детекторов и интеграции в сторонние открытые проекты функций фильтрации трафика уровня приложений.
Связанный с OpenAppID код открыт под лицензией GPLv2+ и уже включен (http://blog.snort.org/2014/02/snort-2970-alpha-release-now-a...) в альфа-выпуск системы обнаружения атак Snort 2.9.7.0. На сайте Snort (http://www.snort.org/) размещена библиотека, содержащая более тысячи детекторов OpenAppID. Опубликованный готовый препроцессор OpenAppID позволяет выявлять активность приложения в сети, накапливать статистику об использовании приложений и связанного с ними трафика, блокировать обращение к приложениям на основе правил доступа, создавать расширения для правил Snort для учёта параметров приложений, сообщать название программы наряду с IPS-событиями Snort.В качестве практического применения OpenAppID отмечается реализация и внедрение межсетевых экранов, позволяющих контролировать обращения к приложениям по сети и оперативно блокировать угрозы, связанные с задержкой выпуска для приложений обновлений с устранением уже эксплуатируемых уязвимостей. OpenAppID также может использоваться для построения отчётов об используемых в сети предприятия приложениях, для блокирования нежелательных приложений, для выявления нецелевого использования программ, для раннего выявления попыток взлома приложений, определение скрытого обращения к web-сервисам и т.п.
URL: http://blogs.cisco.com/security/cisco-announces-openappid-th.../
Новость: http://www.opennet.me/opennews/art.shtml?num=39194
Вот это поворот, а в чем подвох?
В стоимости подписки на обновления базы для IPS/IDS модулей.
> В стоимости подписки на обновления базы для IPS/IDS модулей.Для IPS/IDS акутальность базы действительно важна, а для детектора типа l7filter - не особо (кроме случаев с часто меняющимися протоколами, как ICQ и Skype несколько лет назад).
С такой штукой можно вполне сделать очередной Железный Занавес.
Но и польза есть для ынтерпрайзов, например, выявление в ЛВС предприятий скайпиков. Скайпики - это потенциальна утечка корпоративной информации.
А сколько в головах сотрудников храниЦЦа! И ведь может безконтрольно распространяться за пределали конторы. Непорядок! Надо между сотрудником и окружающей средой тоже модуль DLP поставить.
> DLPВы сделали три ошибки в слове "NDA".
А NDA на скайпики не распостраняется? Если ты идиот - тебя хоть со скайпом уволят , хоть без.
А прилада нужная. Именно выявлять и анализировать. Давить или поощрять пусть манагер думает, у него на то и репа шире :)
надёжнее после рабочего дня изымать у работника голову на проходной и выдавать её утром.
> С такой штукой можно вполне сделать очередной Железный Занавес.Да обычное противостояние брони и снаряда. Вопрос в том кто первый задолбается - програмер обфускатора или програмер детектора этого обфускатора.
интернетговнопровайдерам очень наверно понравится.можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).
ну или новые говнотарифы придумают.
всё это в итоге приведёт к тому что -- ВСЕ программу будут маскировать ЛЮБОЙ свой трафик -- как якобы это HTTP.
а дальше всё по кругу ---- новые детекторы способные распозновать внутри HTTP-трафика трафик от других программ (не web-браузеров), блаблабла
А дальше SSL и VPN по паспорту.
У интернетговнопровайдеров это и так уже есть, от той же сиськи (йоту например взять)... правда, платное. :-)
> интернетгoвнопровайдерам очень наверно понравится.
> можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).Сотовые операторы большой тройки уже давно так делают, чтобы не упускать прибыль из-за VoIP. Правда, обычно это делается достаточно тупо: все, что не по 80 порту - под рандомный дроп.
Откуда такая информация? у всех давно DPI стоит.
интернет провайдерам это скорее понравится только вот применить продукт на базе софта для обработки например 40 или 100 Gb трафика практически невозможно. Даже те продукты которые умеют обрабатывать до 9 мил. "flows" и более в железе сталкиваются с 3 проблемами:а) в момент когда происходит layer 1 "link down" link up" event все эти flows должны быть заново распознаны. А распознать flow можно обычно только в начале коммуникаций. это обычно первые несколько байт. Если исходит из того что трафик нельзя прервать то соответственно к огромной части трафика невозможно применит QOS.
b) когда на одном линке больше чем 9 мил. "flows" тогда главный процессор занимается только реконструкций "flows" и если OS не real time и под менеджмент plain не отделен отдельный чип (что дорого) то тогда вся система становится не отзывчивой.
с) в момент когда происходит layer 1 "link down" link up" event если нет failover route и cвитч является aggregation point + количество "flows" которые может обрабатывать железо oversubscribed то огромное количество "flows" должны быть распознаны в одну и туже секунду соответственно тут опять пункт а и б.
Все эти flow based системы очень дорогие а большинство сервис провайдеров заинтересованы только в дешевых решениях.
существуют решения всех этих проблем тока продукт уже становится не просто дорогой а супер дорогой и тогда возникает вопрос а кто готов вообще платить за все это. Плюс е тому на данный момент переход на WebSockets и их шифрование по умолчанию ставят под вопрос нужны ли l7 switches eсли все ровно выше 4 уровня ничего де видно.
Такое впечатление что я читаю текст переведенный промптом.
Просто у автора каша в голове. Не все умеют связно излагать свои мысли.
> Просто у автора каша в голове. Не все умеют связно излагать свои
> мысли.ответ полный аргументов. Все так легко и просто.
Это были вообще не аргументы, а констатация того очевидного факта, что мысли у Вас, кажется, какие-то есть, только вот изложить их Вы неспособны по-человечески, в формате сколь-нибудь отличном от "потока сознания". Чего как бы несколько жаль.
> Это были вообще не аргументы, а констатация того очевидного факта, что мысли
> у Вас, кажется, какие-то есть, только вот изложить их Вы неспособны
> по-человечески, в формате сколь-нибудь отличном от "потока сознания". Чего как бы
> несколько жаль.почитайте мои комментарий чуть ниже может там понятнее написано о чем я
А как это, переводить промПтом? http://en.wikipedia.org/wiki/List_of_DOS_commands#PROMPT
ответ полный аргументов. Все так легко и просто.
Эх, молодежь... Истории не знаете. Была такая прога-переводчик (чуть ли еще не под ДОС). Переводила так, что и Комеди-клаба с КВНом не нужно было после прочтения переведенного текста :)
> Эх, молодежь… Истории не знаете. Была такая прога-переводчиквот только называлась она не «промПт», а «промт», от «project MT» — «project Machine Translation».
таблеточки какие попей от склероза, что ли. и в дополнение — от желания «поучить молодёжь» таблеток не помешает.
> интернетгoвнoпровайдерам очень наверно понравится.
> можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).
> ну или новые гoвнoтарифы придумают.
> всё это в итоге приведёт к тому что -- ВСЕ программу будут
> маскировать ЛЮБОЙ свой трафик -- как якобы это HTTP.
> а дальше всё по кругу ---- новые детекторы способные распозновать внутри HTTP-трафика
> трафик от других программ (не web-браузеров), блаблаблаДля этого уже есть DPI и приоритезация трафика.
> можно будет тайком замдлять скорость различных видов трафика (например всех кроме HTTP).Отсюда мораль: начем арбузить HTTP. Даже VoIP в него завернем. А будет мало - добавим.
Все это хорошо только вот проблема что это только софт на мой взгляд Cisco проспала последние 5-6 лет в смысле разработки своих ASIC -ов которые могли бы распознавать различные отпечатки программ в железе. На данный момент на западе(европа + US) существует только 3 компании у которых боле или мене работающий продуктa) paloaltonetworks ( у них ASIC от broadcom-a они просто делают мирроринг всего трафика это не совсем правильно и очен дорого)
b) extreme / enterasys (Purview) - ( у них свой собственнй ASIC не от broadcom-a который был разработан последние 7 лет именно для выявления layer 7 в железе не в софте!!! )
с) Одной конторы которая просто напросто не продает свои разработки (custome ASIC).Cisco и Huawei работаю активно над layer 7 ASIC тока вот проедет как минимум года 3-4 года пока появится продукт которы способен на то что другие уже умеют. А софт это конечно хорошо но по пока это только PR.
>[оверквотинг удален]
> b) extreme / enterasys (Purview) - ( у них свой
> собственнй ASIC не от broadcom-a который был разработан последние
> 7 лет именно для выявления layer 7 в железе не
> в софте!!! )
> с) Одной конторы которая просто напросто не продает свои разработки (custome
> ASIC).
> Cisco и Huawei работаю активно над layer 7 ASIC тока вот
> проедет как минимум года 3-4 года пока появится продукт которы способен
> на то что другие уже умеют. А софт это конечно хорошо
> но по пока это только PR.Эмм..а SCE как же работает?
это силикон которые не "flow based" a packet based!!!. Все ето packet "Merchant" силикон которые делают мирроринг.
Отличить "flow based" от packet based очент просто. Когда у вас "flow base" у вас все порты способны делать layer7 flow based!!! DPI . В таких продуктов в одном шасси могут быт более 400 потов.
Когда у вам "packet based"/merchant asic то там обычно не боле 24-х портов которые способны рекоструировать flow и все ето мирроринг а именно нагрузка на main cpu огромная.существуют гибридные решения все это все примочки к за-е.
Открою большой секрет, циски и всякие вендоры сами не разрабатывают АСИКи, они просто покупают IP-core у других. Не кажется странным, что у всех вендров примерно один и тот же функционал железа?
это было секретом для кого то?
Наивные люди всегда найдутся.
это не совсем так. Практически все компании Cisco HP, Broacade, juniper, Extreme /Enterasys , Huaway , Avaya пользуют "Merchant" ASIC на базе Broadcom или Marvell в большинство продуктов, но некоторы из них также начали свой собственные разработки силикона которые выполняет специфические функций. Сisсо начали RD недавно, у ниx до сих пор нет ни одного продукта который flow based в железе. Первые которые начал работать над сustome flow based asic (за исключении правительственных организаций) были cabletron и это было 10 лет назад. Сегодня тот самы ASIC интегрирован в S и K series продуктов enetrasys/extreme.
>[оверквотинг удален]
> b) extreme / enterasys (Purview) - ( у них свой
> собственнй ASIC не от broadcom-a который был разработан последние
> 7 лет именно для выявления layer 7 в железе не
> в софте!!! )
> с) Одной конторы которая просто напросто не продает свои разработки (custome
> ASIC).
> Cisco и Huawei работаю активно над layer 7 ASIC тока вот
> проедет как минимум года 3-4 года пока появится продукт которы способен
> на то что другие уже умеют. А софт это конечно хорошо
> но по пока это только PR.У Fortinet свои ASIC
Ну сколько осталось тем ASIC'ам - год, два? Всем же понятно что SDN всех пожрёт.По поводу мирроринга трафика - ASIC'ами что угодно дорого кроме майнинга биткойнов, ну вон хоть на тот же ntop посмотрите - чисто софт, убогая стандартная 1U коробка за копейки пишет на диск 10-12 Mpps совершенно спокойно безо всяких ASIC'ов. А SolarFlare'овский WAF так и вообще на Lua.
Есть интересные и комбинированные решения - у Аристы например. Только там ПЛИС в качестве ускорителя отдельных частей софта, а в базе - тот же софт.
Так что гранды "сетевого оборудования"(устаревш.) могут пилить свои ASIC'и в последнем приступе агонии, конечно, но осталось им недолго уже.
Интересно, а как SDN связан с ASIC? Мне казалось, что SDN лишь оркестратор, саму работу по передачи трафика выполняет устройство.
ASIC были последние 12 лет и они останутся очень долго с нами. Сам факт что (копирую так как выражение понравилось) {гранды "сетевого оборудования"} придумали те самые ASIC также как SDN производной тех же грандов. Причины из за которых те самые ASIC останутся надолго по большому счету 5:a) скорость - скорость - скорость. Ни одно решение на базе софта не может до сих пор превысить скорость в 45 GB/s. Учтите что тогда был тоже использован merchant silicon. На данный момент на западе порты скоростью 40 и 100 Gb/s является стандартной конфигурацией для предприятий сектора Enterprise.
b) Если у вас свой ASIC копировать ваши продукты становится очень сложно. Я тут ссылаюсь на Cisco и Huawei. Huawei в самом начале настолько наглел что не только брал тот самы merchant silicon , да еще в бинарных сборках присутствовали атрибуты Cisco. Теперь им нужно самим отдавать 10 процетав бюджета на RD. Не то что у них нет денег на это, но все-таки.
c) если у вас маленькая (generic) сеть до 1000 портов да вы можете взять какая нибудь 1U коробка которая сможет справится с маленьким количеством трафика. Но если у вас сеть на 600 000 портов тогда вам нужен aggregation point. В этом случае в можете хоть обставляется такими коробками тока пользы от этого не будет.
d) Если вам нужно определять тип трафика и его количество наиболее близком к реальному времени то единственный способ этого сделать это железо!!!. Тут самое важно слово "если". Я уж не говорю об распознавания и блокировки аномалиях например всяких туннелях в DNS и прочие производные.
e) Тут приходит тот самый пресловутый SDN. Простой пример у вас есть APP который занимается мониторингом сети (snmp, http/rest/soap/websockets на данный момент не важно). Но у вас понаставлено только куча 1U pizza box. Предположим вам этот умный APP говорит что на каком то порту происходит аномалия которая определена на базе Heuristic(никаких dynamic access list, policys, racl, pacl, vacl, signatures) Вот просто интересно сколько пакетов пройдут (если исходит из того что default policy is FORWARD) пока SDN отдаст команду обратно через тот самы умный APP что бы остановить трафик. Если сессия установлена 3 (пакета) то тогда идите гоняйтесь теперь за сессий потому что сессия то сначала была HTTP a потом оказывается произошел "upgrade" на другом протоколе websockets потом на третьем, четвертом etc.
Viel Spaß
Не поймите меня неправильно зная этого жить становиться страшно в еще страшнее то что все двигается в направление которое отнюдь не в пользу право на личную жизнь обычного человека.
И если вы посмотрите на старых имен тех самых грандов, то тогда всплывают имена o которых огромное количество мировых газет писали только недавно. Да Да , это не намек это я просто так.
это как раз к новости про японский vpn, что недавно расшарили, который умеет косить под http, кстате давненько уже думаю о виртуальном сервачке где-нибудь в германии или какой банановой республике, чтобы туда шифрованный тунель, а оттуда чистый интернет с шахматами и поэтессами, чтобы не дорого, анонимно и стабильно, может кто поделится ссылочкой.
Это что за чудо-впн такой? Германию, кстати, "нирекамендую".
http://www.opennet.me/opennews/art.shtml?num=38840
Круто, а SSL оно умеет на лету взламывать?
> Круто, а SSL оно умеет на лету взламывать?А ей не надо взламывать, чтобы понять какой тип трафика там ) Это как с шифрованным торрентом )
>> Круто, а SSL оно умеет на лету взламывать?
> А ей не надо взламывать, чтобы понять какой тип трафика там )
> Это как с шифрованным торрентом )
хорошая новость.
Циска - пиписка.