На управляемых свитчах можно делать пакетную фильтрацию. Где-то точнее, где-то нет, но в принципе возможно. А, интересно, контент фильтрация возможна?
Сделать некое подобие не только пакетного, но и контент файервола на свитче/рутере, чтоб процесс происходил до компа с его возможными уязвимостями.
Возможно? Имеется в виду, локально, а не посылая весь траф как через прокси на облако кого-то там еще.
И если да, то требуется некая готовая железяка, или это можно настроить на обычном управляемом?
порылся в хламе - есть какие-то старые сиськи, убигути.. Навскидку порылся по сети (https://dl.ubnt.com/guides/toughswitch/TOUGHSwitch_UG.pdf), 2 (https://treolink.ru/nastroika-kommutatora-ubiquiti-toughswitch-poe/?ysclid=lay166wbfn693587142) - ничего не вижу похожего.

Роутер с антивирусом это не то? Например, в TP-Link AX73 есть родительский контроль и антивирус. Правда за них надо помесячно платить.

bredych, разве что pfSense, opnSense, со специфическими плагинами (я не использовал, просто слышал), также и в OpenWRT вроде плагинами решается.
Вот, например, для pfSense (https://www.spikefishsolutions.com/post/easy-web-filtering-with-pfsense)

Правда за них надо помесячно платить. »
нет, это облачные фичи. А я про встроенный в железо или настраиваемый в нем функционал

разве что pfSense, opnSense, со специфическими плагинами »
почитал страницу - там только пакетная фильтрация. Или я чего-то не вижу?

Что вы имеете ввиду под контент-фильтром?

проверка содержимого. По сигнатурам, строкам кода, или поведению.. Да хоть stateful inspection..
словом, что-то помимо классического "пакет на такой-то порт, по такому-то протоколу, с такого-то ипа" в условиях фильтрации.

почитал страницу - там только пакетная фильтрация. Или я чего-то не вижу? »
как я понимаю, вам нужен Level 7 Firewall. pfSense работает на уровне 3, зато есть DNSBL (DNS BlockLists) - списки сайтов (доменов), которые блокируются полностью (т.е. анализ каждого пакета не производится, блокируется любой трафик с заблокированного домена или к нему). Может, это вас устроит?

Сообщения: 1653
Благодарности: 160
Профиль | E-mail | Отправить PM | Цитировать | Сообщить модератору
проверка содержимого. По сигнатурам, строкам кода, или поведению.. Да хоть stateful inspection..
словом, что-то помимо классического "пакет на такой-то порт, по такому-то протоколу, с такого-то ипа" в условиях фильтрации »

1) (Stateful Packet Inspection — инспекция пакетов с хранением состояния) - это по прежнему пакетный фильтр с точки зрения основных параметров фильтрации.
Но добавлено сохранение истории/состояния сессии. Это важно для TCP-based протоколов, но работает далеко не для всех UDP-протоколов.

2) Сигнатурный анализ, оно же NGFW есть только в продвинутых фаерволах.
Даже в тяжелых коммутаторах Cisco типа 6500X продвинутый фаервол реализовывался отдельной платой, а не средствами основной платы.

3) Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. Нужны либо ASIC как у Fortinet, либо специализированные потоковые процессоры как у PaloAlto.

4) Основная ценность таких устройств это обновляемая база Сигнатур, а т. к. , сильно упрощая, Сигнатура просто накладывается на "поток трафика", то устройству фиолетово что ловить: "хошь протокол, хошь атаку, хощь - вредонос", собственно многие это делают одновременно или в паралель.
А базу редких сигнатур пополняют в первую очередь пользователи, через запросы в сервис (у той же плоальты есть утилита записи трафика, формирования пакета и отправки его в сервис для формирования сигнатуры).
Дык вот, кто в опен-сорсе эти бесплатно заниматься будет?

Дык вот, кто в опен-сорсе эти бесплатно заниматься будет? »
Ну, SNORT же пилят, например, чего бы нет?

SNORT же пилят, »
Snort is a free open source network intrusion detection system (IDS) and intrusion prevention system (IPS) created in 1998 by Martin Roesch, founder and former CTO of Sourcefire.
Snort is now developed by Cisco, which purchased Sourcefire in 2013.
In 2009, Snort entered InfoWorld's Open Source Hall of Fame as one of the "greatest [pieces of] open source software of all time"

"Open" и "Free" не значит, что никто не платит.

"Open" и "Free" не значит, что никто не платит. »
я знаю. Но нам, как конечному потребителю, неважно, кто платит вместо нас ;)

кто платит вместо нас »
У снорта есть платная подписка (https://www.snort.org/products) на сигнатуры. Бесплатная тоже есть, но она отстаёт на 30 дней.
Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. Нужны либо ASIC как у Fortinet, либо специализированные потоковые процессоры как у PaloAlto. »
В принципе для сохо есть недорогие решения с DPI, например UIPS EdgeRouter. Есть даже полностью софтверные, вроде ntop nEdge. Не знаю, насколько оно производительно, не пробовал. В любом случае, поскольку нынче львиная доля трафика шифруется TLS, для полноценного DPI нужно делать митм подмену сертификата, следовательно установку в траст клиентов своей CA, что не везде возможно. На оборудовании предприятия например да, а в личные телефоны сотрудников уже не залезешь. Без этого можно разве что по SNI фильтровать, да и то в TLS 1.3 это может быть прикрыто, а также есть такая штука как DNS over HTTPS, что тоже делает фильтрацию по SNI невозможной.

это по прежнему пакетный »
я знаю. спросил по принципу "если нет на пОльта белок - ну хотя бы дайте кошку". Если нельзя контент, то хоть фичу дропать пакеты по сессиям, открытым не мною.
Даже в тяжелых коммутаторах Cisco типа 6500X продвинутый фаервол реализовывался отдельной платой, а не средствами основной платы. »
огорчён.
Как понимаю, если валяются какие-то древние сиськи, вероятность найти там что-то подобное приближается к нулю? А вероятность заставить работать по хоть сколько-то актуальным сигнатурам - и того меньше?

Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. »
рутеры - имеются в виду общее назначение?

Основная ценность таких устройств это обновляемая база Сигнатур, »
то есть, никаких анализов поведения в принципе не бывает?
А кстати, пусть и чисто теоретически, базы сигнатур от стороннего источника, к примеру, бесплатного антивирь-сканера, использовать таким макаром невозможно?
Подозреваю, что против таких хитрых заранее предусмотрены грабли, но интересно, а вдруг нет? :)

"Open" и "Free" не значит, что никто не платит. »ну, в принципе, понятно, что премиум-поддержка по сигнатурам от сиськи идёт по подписке, а бесплатно только сигнатуры от комьюнити.
https://snort.org/
Но это вот добро пашет только с машины под линем, или с свитч/рутера тоже?

для полноценного DPI нужно делать митм подмену сертификата, следовательно установку в траст клиентов своей CA, что не везде возможно. »
да я рассматривал для начала для личного пользования. Но, как понимаю, тут всё равно надо покупать специализированное железо, софтом здесь не обойтись?

Но это вот добро пашет только с машины под линем, или с свитч/рутера тоже? »
если туда сможете снорт вкарячить, то да. Те же программные рутеры на *NIX позволяют это сделать. С OpenWrt придется повозиться, но, как пишут, решаемо (https://forum.openwrt.org/t/snort3-how-can-i-configure-it/124309/2)

Цитата kim-aa:
Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. »
рутеры - имеются в виду общее назначение? »
Имеются в виду процессоры общего назначения, универсальные - архитектур x86, arm, mips - которые используются в маршрутизаторах начального уровня, в противовес специализированным (ASIC), которые способны выполнять специализированный ограниченный набор инструкций, зато делают это значительно быстрее, чем универсальные.
тут всё равно надо покупать специализированное железо, софтом здесь не обойтись? »
Как правило да, и ещё подписку. Есть софтверные решения вроде уже упомянутого nEdge (https://www.ntop.org/products/traffic-analysis/ntopng-edge/), можно поставить и в виртуалку с passthrough интерфейсами, но чёт не нашёл в документации функционала подмены сертификата. Ну может плохо смотрел, а так DPI там выходит не совсем полноценный.

не, хотел именно развязаться с компом, чтоб отдельная ступень была, не висящий на компе сервис.

bredych, ставьте второй комп в роли рутера ;)

в роли рутера »
Или в роли фильтрующего бриджа.

bredych, ставьте второй комп в роли рутера ;)
не, это уже иллюстрация анекдота про едущие сзади скорую и пожарную в роли огнетушителя и аптечки..

bredych, у вас что, комп в семье один? Если да, то, пожалуй, смысла мало, разве что есть какая-нибудь древность, которая все равно без дела лежит. Если нет - он же может раздавать интернет всем, с фильтрацией, и без преферансов и куртизанок :up