Bizonyára már sokan értesültek arról, hogy megjelent a talán legnépszerűbb ingyenes IPS, a Snort 3.0 verziója. Azt talán kevesen tudják, hogy a Snort rendszer kereskedelmi verziója, a SourceFire is teljes mértékben elérhető hazánkban. A CISCO felvásárlás után az idei év folyamán lezárult a teljes integráció és az első ráncfelvarrások után teljes erőbedobással előtérbe került a megoldás, ami a közben EOL-ra került régi CISCO IPS megoldást hivatott kiváltani. A felvásárlás után jelentős marketing és kereskedelmi erőforrások is társultak a termék mellé.
Ezt igyekeztünk gyorsan az elsők között kihasználni, s jól kiokosodni a megoldásból. Több – részben sikeres – előkészítő próbakörök után technikai oktatásokon is átesett a csapatunk. Vagy 8 fővel teljes mértékben kihasználtuk a CISCO vendégszeretetét, mely talán kézzelfogható eredménnyel is járt. A kereskedelmi háttér alapján pre-sales és technikai információkra kiéhezve vártuk az oktatást. A két jelentős vonal mindkét konfigurációjához volt szerencséje minden részvevőnek 1-1 dedikált tesztrendszer személyében, ahol a beállításokat és integrációkat is begyakorolhattuk. Sok tapasztalattal, leírással és tesztkörnyezettel gazdagabban hagytuk ott az oktatást.
S hogy mire is jó? Mindenre! A SourceFire hardver megoldásai megszokott IPS hardver megoldások, bár a legnagyobbak stackelhetőek, így elég masszív Gigabitekere képes az eszköz akár Bypassal vagy SSL bontással. Az IPS-gyártók evolúciója itt is nyomon követhető: NGIPS, NGFW és APT funkciók is elérhetőek az URL szűrés mellett. Az új gazda az NGIPS és NGFW funkciót összevonva alapáron adja, így leegyszerűsödött a licenszelés. Az APT megoldás már korábban megjelent a CISCO egyéb Web és Email szűrő rendszereiben, mint közös tudás. Mostanra az ASA integráció is a végére ért. Az ASA eszközökben elérhető a SourceFire IPS (NGIPS+NGFW), ami URL (régi CX) és/vagy APT kontrollal is kiegészíthető. A fejlett APT megoldás része – alapáron – a felhő alapú, korlátlan Snadbox ellenőrzés, ami ínyenceknek helyi Sandbox eszközökkel – CISCO UCS alapokon – is kibővíthető.
Amennyiben szóba jött az APT – kliensek elérhetőek PC, Windows, Linux, MacOS, IOS, Android, stb. eszközökre. Ugyanakkor javasolt lehet az ISE integráció kihasználása remediation során – gyors, pontos, központból vezérelt megoldás kliensek nélkül.
Minden SourceFire komponens és modul egy központi FireSight menedzsment rendszerben kezelhető, ami SIEM képességekkel felruházva pontos jelzéseket képes továbbítani, illetve rangsorolni. Én személyesen, mégis az APT-hez kapcsolódó vizuális megjelenítést és reportolást szeretem, ahol utólag megmondható, hogy a hálózaton és klienseken belül merre járt egy utólag ártónak minősített alkalmazás, és ott pontosan mihez fért hozzá, mit módosított.
Most promóciós a termék, olcsón megvásárolható kereskedőinknél akár CISCO ASA tűzfallal együtt is!