Příspěvky

1

Sítě / Re:HW hotové řešení IDS/IPS, security onion

« kdy: 08. 03. 2023, 07:51:52 »

Neni nad to mit 20 ruznych dodavatelu, 50 ruznych dashboardu a 1 cloveka ktery to ma monitorovat… Jeden vendor znamena obvykle lepsi integraci, obvykle min dashboardu, lepsi komunikaci mezi jednotlivymi systemy. V idealnim prioade chcete aby IoC ze sandboxu slo do IPS nebo FW a endpointum k blokaci, to same od endpointu smerem k dalsim systemum. Nemit tuhle provazanost tak sice minimalizujete riziko s jednim vendorem ale zaroven snizujete efektivitu celkove obrany.

Díky za ušetřenou práci s psaním :-) Lépe bych to nenapsal, naprosto souhlasím.

Z návrhu zákona(NIS2) co vydal NÚKIB vyplývá, že budeme muset mít stejně nějakého "manažera bezpečnosti", který toto celé bude za organizaci zaštitovat.
Úplně jednoduše to máme zatím nastaveno takto:
ESET na koncových stanicích, windows serverech a telefonech, které se připojují do vnitřní sítě  - Spravují si admini geograficky sami. ESET je s centrální správou takže jeden dashboard.
K tomu na pracovních stanicích HIDS od sophosu (Pokud není HIDS nainstalován nedostane se do sítě)
Všechen provoz do a z internetu přes jeden sophos firewall XG. Zase jeden dashboard, který upozorňuje na případné anomálie/nekorektní/podezřelé chování stanic.
A celé to chceme doplnit jen o IDS, kterou bude monitorovat vyškolený "manažer bezpečnosti"
Takže není to 20 vendorů atd...
Celé je to samozřejmě doplněno o sofistikované zálohování profilů a virtuálních serverů, kdy se jde vrátit den po dni několik měsíců zpátky a profil nebo virtuální server obnovit během několika málo minut.
Jak jsem pochopil tak ten Sophos MDR je stejně jen nějaká placená externí analýza.
Když už budeme muset mít člověka, který to bude celé zaštitovat zdá se mi elegantnější když to založíme na Security Onion a to co pro nás vyplývá ze směrnice NIS 2 jenom doplníme ke stávajícímu řešení....
Zatím je ta národní implementace NIS2 dána k  připomínkám odborné veřejnosti, schválení se plánuje až kolem roku 2024 takže je zatím čas to celé promyslet a uvést do chodu.

2

Sítě / Re:HW hotové řešení IDS/IPS, security onion

« kdy: 06. 03. 2023, 10:05:46 »

Díky za reakce.
Zdá se , že je několik cest jak to vyřešit. Asi půjdeme cestou security onion s tím, že si vyškolíme zaměstnance, který bude tu analýzu provádět a udržovat celý systém v chodu. Security onion prodává i HW, tam jsem poptával nějaké české zastoupení, ale ta distribuce běží na jakémkoliv HW takže je to celkem jedno.

Cestou sophosu zatím nevím, chtěli bychom to zabezpečení mít co nejvíc diverzifikované a nespoléhat se jen na jednoho dodavatele. Od sophosu máme také VPN routery, HIDS, a potom ten centrální FW.

Antivir máme zase od ESETu centrálně spravovaný takže to je taky vyřešeno.

3

Sítě / HW hotové řešení IDS/IPS, security onion

« kdy: 02. 03. 2023, 06:42:31 »

Dobrý den,
řešíme NIS2 a jelikož budem spadat do "povinných" firem řešíme nějakou síťovou sondu, IDS, IPS prostě nějaké další zařízení pro analýzu síťového provozu. Zatím používáme sophos XGS přes který frčí veškerý provoz.  Jelikož je management celkem štědrý hledáme nějaké hotové řešení 1U nebo 2U, které bude založeno na security onion, prostě nějaký snort atd...
Problém je, že nemůžu nic pořádného v Česku najít. Líbilo by se mi něco jako je tohle :
https://securityonionsolutions.com/hardware/

Takže má otázka je, existuje v Česku nějaká firma s kterou máte zkušenosti a dodává takové řešení ? Nejlépe potom i s nějakým školením pro obsluhující personál ?
Nebo jak to řešit ?
Díky

4

Sítě / Turris Omnia nefungují síťová rozhraní

« kdy: 26. 10. 2021, 08:17:48 »

Ahoj,

známý mi donesl router turris omnia s tím, že mu fungovala bezproblémově a zrazu nejde.
Stav je takový, že při spuštění svítí power led a pci2 (to naběhne téměř okamžitě což mi přijde divné , ale nemám s turrisy zkušenosti). Fyzicky je funkční jen WAN rozhraní , ale ani to nijak nekomunikuje. Všechny ostatní se po připojení LAN kabelu nerozsvítí a prostě nejdou .
Zkoušel jsem všechny druhy resetů včetně flashe z internetu (po nějaké chvíli diody zoranžoví a nic dál se neděje).
Při resetu na SSH 192.168.1.1 se to WAN4 rozhraní sice rozsvítí jako že kabel je připojen, ale zase žádná komunikace směrem od routeru(pc je nastaven na 192.168.1.2 tak jak je v návodu).
Stejně tak při resetu reflashnutím z USB a image, chvilku flashka bliká a dále všechny didody zoranžoví .
Zkoušel jsem z toho vytáhnout ty mpcie karty bez výsledku .
Poslední možností je asi UART , ale nemám po ruce žádný převodník na nižší napětí musel bych to kupovat a trávit tím čas což se už asi nevyplatí.

Mám podezření, že se to snažil resetovat , u resetů 2-4 je výslovně napsáno, že se nemají resetovat tak nevím jestli to neudělal , ale už tam bohužel není napsáno jak to napravit.

Poradí někdo prosím co ještě zkusit ?