nuqneH,
Solar Designer <solar@false.com> said :
> > > > > В идеале, нужен анализ всей активности в местах, где ее должен быть
> > > > Что предлагается делать, если атакер подменил мониторинг активности ?
> > Защитить мониторинг гораздо проще, нежели систему с большим количеством
> > пользователей/сессий. Мониторинг активности можно дублировать и вынести
> > вообще за пределы системы, защитившись от "hijacking'а".
> >
> > Вполне реализуемо, дешево и очень действенно.
>
> Полностью вынести за пределы, без всякой поддержки со стороны самой системы?
> Я не вижу как это возможно без получения как минимум части проблем из SNI
> paper про IDS.
Э. Тут мы снова начинаем все путать ;) Мониторинг сетевой активности - это
одно, а мониторинг локальной - другое. Для второго нужно что-то типа
очень ассиметричного кластера, причем максимум ресурсов должно разделяться
аппаратно.
А большинство проблем, описаных в SNIшноп paper'е лечатся принудительной
дефорагментацией на внешнем роутере. А в Quakeworld нефиг играть ;)
> Также, как быть с шифрованными сессиями? Придется все равно
> делать какую-то поддержку в самой системе, которую можно там поправить. Так
> что, IMHO, таким образом можно только отловить что-то до момента взлома
> (даже не все, т.к. место под логи ограничено), а после него уже все, никаких
> гарантий.
It depends. Посмотри на архитектуру любой MLS системы. Хотя Unix -
вообще неудачная с этой точки зрения вещь.
_ _ _ _ _ _ _
{::} {::} {::} CU in Hell _| o |_ | | _|| | / _||_| |_ |_ |_
(##) (##) (##) /Arkan#iD |_ o _||_| _||_| / _| | o |_||_||_|
[||] [||] [||] Do i believe in Bible? Hell,man,i've seen one!
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
