Most egy Tippingpoint 100E készülék került hozzám. Ez 100 Mbit/sec sebességű hálózat szűrésére használható használható. A hálózatba az eszköz tipikusan < 1ms latency-t hoz. 1 000 000 egyidejű session-t, és 6 000+ másodpercenkénti kapcsolatot kezel. Ez a készülék a legkisebbek közé tartozik. Ez jól látszik a felépítéséből is:
Hogy hol használnak ilyen eszközöket? A cég egyik képviselője példaként autógyárat említett, ahol nagy tömegben fordulnak elő ipari robotok, amelyek a mai napig Windows NT 4.0 rendszereket futtatnak. Ezeket a robotokat több okból sem tudják frissíteni:
- több száz (ezer) van belőlük
- lényegében folyamatosan dolgoznak, nem lehet leállítani őket
- az operációs rendszerhez már nincs támogatás
- hosszas teszteket kellene végezni a frissítés után (meg kéne győződni arról, hogy a robotok a frissítés után is ugyanúgy tudnak-e "hegeszteni", mint a korábbi patchlevel-en levő OS-sel, és ez sok időt vesz igénybe)
Azaz adott egy hálózat, ahol nagymennyiségű, sérülékeny és patch-eletlen operációs rendszer található. Frissíteni nem lehet. Ezért azt kell megakadályozni, hogy a kártevők, rosszindulatú támadások elérhessék ezt a hálózatot.
Ilyen helyeken például előszeretettel alkalmazzák ezeket a rendszereket.
Az egyik magyarországi intézménybe nemrég betörtek. Nem tudni, hogy kinek a hibájából, de az intézmény olyan eszközt keres, amely képes jelezni a betörési kísérleteket. Nem kizárt, hogy Tippingpoint lesz az a termék, amelyet - egyebek mellett - bevethetnek a rosszindulatú támadók ellen.
- trey blogja
- A hozzászóláshoz be kell jelentkezni
- 2109 megtekintés
Hozzászólások
Azt még megértem, hogy a robotok hálózatba vannak kötve, nyilván a munkájukhoz ez elengedhetetlen. De ezek miért nem egy internettől elszigetelt hálózatban vannak?
- A hozzászóláshoz be kell jelentkezni
Gondolom valami tuzfal mogott vannak, de amiatt nem elszaparalt halozatban, hogy kis pista ha sziveket akar hegeszteni az eddigi kifli forma helyett, akkor ne kelljen ossze-vissza maszkalnia.
- A hozzászóláshoz be kell jelentkezni
Mondjuk ez jogos.
Még az jutott eszembe, hogy azt is meg lehet csinálni, hogy a robotok hálózata fizikailag össze van kötve a többi gép hálózatával, de az a tartomány, amin a robotok csücsülnek, nincs kiengedve a netre. Nyilván ekkor egy hacker cracker közvetve eljuthat a belső hálóra, de talán ez a nehezítés is számít valamit. Persze ekkor már kell egy komolyabb védelem.
(Mondjuk most lehet, hogy hülyeségeket mondtam, mert nem értek hozzá. :))
- A hozzászóláshoz be kell jelentkezni
Ettol egy kicsit komplikaltabb a dolog.
Nem hiszem, hogy egy ilyen helyen kozvetlenul kiengednek azt a szegmenst a netre. Sot, a belso halozaton se elerhetoek a gepek mindenhonnet. Pl. a szemelyzetisek es a vezetoseg gepeirol senkinek sincs keresnivaloja a termelo robotoknal.
De neha meg ez se eleg. A robotok neha eleg nagyok es elo emberek mozognak kozottuk. Sokkal tisztabb, szarazabb (vermentes :-) ) es biztonsagosabb erzes, ha van meg ott 1-2 doboz. Ha egy szorakozo kedvu egyszer bejutott a belso halozatba, nem sokbol all tovabb mennie. Talan nem is tudja, mekkora az a robotkar, amit eppen meginditott teljes sebesseggel valamely iranyba. Az atlag biztos nem talalja olyan erdekesnek az NT4-es robotot, mint a rendszergazda pornogyujtemenyet. (ocska gep, fura program) De mi van, ha megis...
- A hozzászóláshoz be kell jelentkezni
Mert ezeket a gépeket távolról szokták monitirozni, meg néha bele is nyúlnak (pl új modell esetén neten keresztül töltik rá a megfelelő kiegészítést). Hogy miért neten keresztül? Mert adott az anyacég mondjuk németországban, de van neki gyára vagy 8 országban, így nem teheti meg, hogy kiküld oda egy mérnököt.
- A hozzászóláshoz be kell jelentkezni
Aha, így azért már érthető. Köszönöm!
- A hozzászóláshoz be kell jelentkezni
miért belülről nem indithatnak ellenük támadást?:) lehet hogy nincs direkt kapcsolatuk az internethez de hálózatban vannak ígyhát bárki rosszalkodhat aki azon az oldalon van
- A hozzászóláshoz be kell jelentkezni
jol latom, hogy ez egy sima mezei ATX alaplap, csak leforrasztottak rola a felesleges kivezeteseket (audio, ps2, stb)? vegulis nemrossz otlet, olcsoert es konnyen cserelheto
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Igen. A kisebbek ilyenek, de a nagyobbak más speci célhardverek.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Milyen rendszer fut ezeken? Hogy lehet őket konfigolni?
--
Discover It - Have a lot of fun!
- A hozzászóláshoz be kell jelentkezni
"Milyen rendszer fut ezeken?"
Tippelem, hogy Linux, Snort, stb. De igazából még nem beleztem ki :) Ez csak tipp.
"Hogy lehet őket konfigolni?"
Ha több Tippingpoint eszközöd is van, akkor központi menedzsment a célszerű. Ez SMS azaz, Security Management System névre hallgat. Ez egy rackmount IBM szerver. Itt egy nagyobb képet kapsz a hálózatodról. Az egyes eszközök menedzselhetők egyenként is (főleg ha egy van). Ilyenkor van webes felület (http, https), ssh, telnet.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Tippelem, hogy Linux, Snort, stb."
Nem. Az a SourceFire.
---
;-(
- A hozzászóláshoz be kell jelentkezni
Ja, közben már beszélgettem az itthoni hivatalos forrással. :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Én ugyan nem Tippingpoint IPS-sel találkoztam, de az Proventia IPS-eken információim szerint egy hardened Red Hat van. Egy webes felületről lehet őket adminisztrálni, de persze terminálon be is lehet jelentkezni.
- A hozzászóláshoz be kell jelentkezni
Ha az én vállalkozásom lenne ennyire kritikus, akkor bizony nem lenne rákötve semmilyen hálózatra.
Ha több telephely is lenne, akkor igazán meg lehetne fizetni telephelyenként egy informatikust, hogy frissítse a gyártáshoz szükséges adatbázist, azaz galvanikusan le lenne választva minden más hálózattól...
szerintem
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
+1
Valahogy én is így csinálnám, ha ilyenbe futnék...
- A hozzászóláshoz be kell jelentkezni
Elmondom én is, hogy hogyan csinálnám, ha én dolgoznék ilyen helyen felelős beosztásban, ahol a termeléskiesés millió eurókban mérhető óránként...
Ha tudnám, hogy van olyan IPS, ami azt állítja magáról, hogy a sebezhetőségek jelentős részét kiszűri a T-60 napon (ez most lehet !TippingPoint is, hiszen más is gyárt hasonló IPS berendezéseket), akkor még akkor is vennék a hálózatra ilyet, ha tudnám, hogy nem sokat ér. Miért? Mert egy esetleges probléma esetén lehet arra hivatkozni, hogy te minden tőled elvárható dolgot megtettél annak érdekében, hogy a rizikót csökkentsd. Hogy nem működött? Széttárod a kezed... Te sem vagy isten. De tettél érte.
Mer' mi szokott lenni ha beüt a mennykő? Akkor jön a nagytudású főnök, hogy ő olvasta ám a CIO magazinban, hogy van az az "IPS izé", és "miért nem kértél rá budget-et Bélám, tudod, hogy ilyesmire mindig van". Utólag menne az okoskodás és a felelős keresése.
Az IPS üzletág egyre jobban fut fel, komoly helyeken mindenhol találsz IPS-t. Talán éppen ezért található meg a TippingPoint egyre több helyen. Kormányzatoknál, az egészségügyben, banki szektorban, a nagy üdítőital gyártóknál, az autóiparban. Van egy listám a referenciákról. Nem tudom mennyire publikus. Ha az, akkor meg tudom mutatni.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Csak a szituációt elképzelve reagálok: ha 1 felelős vezetőnek tényleg ilyen cinikus hozzáállása van, h. széttárja a kezét és "én mindent megpróbáltam" az összes ami kijön emberünkből, az nem vezet semmire. Főleg ha tudja jól h. az adott cucc sz*rt sem ér (csak arra jó hogy a lelkiismeretét nyugtassa, és a seggét védje).
Nyilván itt 1 sarkított példa volt, pusztán a reakcióra értettem a dolgot.
- A hozzászóláshoz be kell jelentkezni
Majd ha mutatsz nekem olyan embert szuperment, aki minden eshetőségre fel tud készülni, akkor készséggel egyetértek veled. :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Reméljük a legjobbakat, de készülünk a legrosszabbra."
Vmi ilyesmit mondanak az okosok :)
- A hozzászóláshoz be kell jelentkezni
"...akkor bizony nem lenne rákötve semmilyen hálózatra."
A Béla gépét kivéve, aki két CNC-marás közben warezol kicsit, meg behordja a pendrive-ját a belső hálóra.
- A hozzászóláshoz be kell jelentkezni