Здравствуйте. У нас, в крае есть несколько филиалов в разных городах, маленькие города, 1-10 км далеки друг от друга.
В каждом городке есть в среднем 2 филиала. Провайдер общий на весь край "Ростелеком"
Цель - выявление DDOS атак, бэкконнекты от всяких вирусов, всякого рода брутфорсы, в общем что то типа "сигнализации" в случае любой аномалий.
короче говоря, появилось необходимость следить за трафиком, но держать в каждом филиале специалиста ИБ, плюс новая аппаратура - накладно получается. Тогда чисто теоритически выдвинули схему:
в центре края снять отдельное помешенные, закупить нужное оборудование (сервера, роутера и файрволы) и поставить сменный график персонала, чтоб в real time режиме мониторили трафик.
Теоритически все ясно и просто - из провайдера трафик перекидывать через центр, анализировать и отдать филиалу.
А вот практически никак не смогу понять насколько это рабочая схема? У меня нет опыта проектирования таких больших проектов. Еще и большой вопрос с нагрузками... Как их рассчитывать и какой обьем трафик можно в реал-тайм режиме мониторить?

Может у вас уже есть такие решение, схемы? поделитесь пожалуйста идеями или рекомендациями. посмотрим что получится из этого.

Цель - выявление DDOS атак, бэкконнекты от всяких вирусов, всякого рода брутфорсы, в общем что то типа "сигнализации" в случае любой аномалий. »
"всё смешалось в доме облонских" (с). при подходе "кто в лес, кто по дрова" лучше прекратить прямо сейчас.
Теоритически все ясно и просто - из провайдера трафик перекидывать через центр, анализировать и отдать филиалу. »
как интересно. traffic flow вашей теории нарисуйте. уверена, что на этом мы ставим точку ;)
А вот практически никак не смогу понять насколько это рабочая схема? »

в целом - нинасколько.

обобщим:
вы пытаетесь придумать связку IPS+IDS+NOC из того, что под рукой (сиречь кустарно) не имея даже первоначальных знаний.
это сложный проект по причине слова "любой". цена у него будет более чем приличная и в РФ с полноценной реализацией справится 2-3 крупных интегратора.

мой вам совет:
1. ТЗ (исключить слово "любой").
2. ТЗ (найти и исключить любые вариции и/или синонимы термина "любой").
3. отдать ТЗ на проработку в пару-тройку мест.
4. офигеть от цены, пересмотреть свои хотелки.
5. go to 1

Цель - выявление DDOS атак, бэкконнекты от всяких вирусов, всякого рода брутфорсы, в общем что то типа "сигнализации" в случае любой аномалий. »
Раньше как без этого обходились и в связи с чем возникла необходимость?
Просто часто вижу что такие хотелки возникают у бездарного руководства после пары жалоб вроде "бухгалтеру письмо прислали, она его открыла а там вирус был, всёпропало", и вот люди придумывают... такое. Это даже не из зенитки по воробьям стрелять, тут целую звезду смерти строить собрались.

мой вам совет:
1. ТЗ (исключить слово "любой").
2. ТЗ (найти и исключить любые вариции и/или синонимы термина "любой").
3. отдать ТЗ на проработку в пару-тройку мест.
4. офигеть от цены, пересмотреть свои хотелки.
5. go to 1 »

ну почему все так категорично то? я не собираюсь самому все это настроить. у меня просто идея, более менее имею представление что к чему. А для реализации полюбому надо будет привлекать и не одну компанию по монтажу и настройки всего этого. Но для начала, самому хочу делать "каркас", чтоб уже поняли общую схему.
Любой - образно сказал, имея ввиду основные виды атак, которые в силе обнаружить среднестатический IDS/IPS. Не надо цепляться за слова.
Подобную систему в России имею многие - он называется "Security Operations Center", просто наша идея соединять их в одно единое.


Раньше как без этого обходились и в связи с чем возникла необходимость? »
раньше как без компьютера обошлись?
Просто часто вижу что такие хотелки возникают у бездарного руководства после пары жалоб вроде "бухгалтеру письмо прислали, она его открыла а там вирус был, всёпропало", и вот люди придумывают... такое. »
да, тут согласен, но проблема немного иная, еще и по закону скорее всего всем придется будет иметь что то подобное, с защитой персональных данных. Хотим сделать централизованный мониторинг. Это не такая уж и экстравагантная задача мне кажется.

раньше как без компьютера обошлись? »
Были иные задачи и сроки, компьютер это всё упростил и ускорил.
А как насчет ответа на мои вопросы?
еще и по закону скорее всего всем придется будет иметь что то подобное »
О.о по какому такому закону?
Это не такая уж и экстравагантная задача мне кажется. »
Кажется.

я не собираюсь самому все это настроить. у меня просто идея, более менее имею представление что к чему. А для реализации полюбому надо будет привлекать и не одну компанию по монтажу и настройки всего этого. Но для начала, самому хочу делать "каркас", чтоб уже поняли общую схему. »
по любому 1. ТЗ (исключить слово "любой").
2. ТЗ (найти и исключить любые вариции и/или синонимы термина "любой").
3. отдать ТЗ на проработку в пару-тройку мест.
4. офигеть от цены, пересмотреть свои хотелки.
5. go to 1 »
после пункта 3 можете посмотреть что они вам предложат (если они конечно в ком.предложении распишут) и изучить уже предоставленный материал

Хотим сделать централизованный мониторинг. »
это, как раз, самая простая часть - SNMP + Syslog.

после пункта 3 можете посмотреть что они вам предложат (если они конечно в ком.предложении распишут) и изучить уже предоставленный материал »
кто они? Сначала надо представить и прикинуть все эти возможности.

это, как раз, самая простая часть - SNMP + Syslog. »
и все чтоли? а насчет хотяб http и pop3 протоколов?

и все чтоли? а насчет хотяб http и pop3 протоколов? »
а причём тут это? =)

а причём тут это? »
А для чего SNMP ?

А для чего SNMP ? »
а как http и pop коррелируют с snmp? ;)

а как http и pop коррелируют с snmp? »
не знаю )) я никогда не имел дело с SNMP. теоритически только знаю (читал), что это протокол сетевого управления. Он уже сам весь трафик будет перенаправить?
не понимаю просто схемы

не знаю )) я никогда не имел дело с SNMP. теоритически только знаю (читал), что это протокол сетевого управления. Он уже сам весь трафик будет перенаправить?
не понимаю просто схемы »cameron вам про мониторинг писала. Мониторинг с их помощью осуществляется.

Про перенаправление - попробуйте запросить у провайдера цену.

Но а вообще, такая система в общем, имеет место быть? с точки зрения контроля трафика? возможно ли мониторить в real-time ?

Может у вас уже есть такие решение, схемы? поделитесь пожалуйста идеями или рекомендациями. посмотрим что получится из этого. »
1. В каждый филиал поставить маршрутизатор с поддержкой VPN, в центре поставить VPN-сервер для контроля трафика.
2. На маршрутизаторах настроить соединение VPN к вашему серверу
3. ...
4. PROFIT!!!

В филиалах весь исходящий трафик с компьютеров будет уходить в виртуальный канал для дальнейшего анализа в центральном офисе.
Дополнительно появится возможность защищённой передачи данных по каналам VPN между всеми филиалами (с учётом настройки маршрутизации трафика) и централизованного управления серверами в филиалах (в том числе сделать единый лес доменов и распространять групповые политики).