On Mon, Sep 21, 1998 at 21:18 +0400, Solar Designer wrote:
> > > > > В идеале, нужен анализ всей активности в местах, где ее должен быть
> > > >
> > > > Что предлагается делать, если атакер подменил мониторинг активности ?
> >
> > Защитить мониторинг гораздо проще, нежели систему с большим количеством
> > пользователей/сессий. Мониторинг активности можно дублировать и вынести
> > вообще за пределы системы, защитившись от "hijacking'а".
> >
> > Вполне реализуемо, дешево и очень действенно.
>
> Полностью вынести за пределы, без всякой поддержки со стороны
> самой системы? Я не вижу как это возможно без получения как минимум
> части проблем из SNI paper про IDS. Также, как быть с шифрованными
> сессиями? Придется все равно делать какую-то поддержку в самой системе,
> которую можно там поправить.
Вклинься, пожалуйста, в ssh сессию так, чтобы это не было заметно.
Любой перебой в этом потоке должен рассматриваться как intrusion
и соответственно анализироваться. Поскольку активности около всех
защищаемых объектов минимум, то и ее анализ можно организовать
вплоть до окончания предыдущей тотальной проверки системы.
--
Игорь Винокуров
Российская Торговая Система
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
