>
> > > Полностью вынести за пределы, без всякой поддержки со стороны
> > > самой системы? Я не вижу как это возможно без получения как минимум
> > > части проблем из SNI paper про IDS. Также, как быть с шифрованными
> > > сессиями? Придется все равно делать какую-то поддержку в самой системе,
> > > которую можно там поправить.
> >
> > Вклинься, пожалуйста, в ssh сессию так, чтобы это не было заметно.
>
> А причем тут это? Если я правильно понял, выше говорилось о нарушении
> работы самого мониторинга, что подразумевало успешную атаку _до_ того.
Пример с ssh очень даже правильный. Еще пример модифицированного syslogd
на атакуемой машине. Syslogd сохраняет записи и хэши. Хэш расчитывается
из записи и предыдущего хеша. Предыдущий хеш забывают (точнее заменяют
только что расчитанным) каждый раз. Первый раз, на старте syslogd,
ему надо шепнуть random() в качестве самого первого хэша, который тут
же записать в блокнотик.
Даже после атаки модифицировать, удалять или добавлять записи в "да нашей
эры" незаметно нельзя. Даже если сфотографировать текуший хэш из
образа syslogd. Кстати, текущий хэш можно использовать для шифрования
записей, чтоы атакующий не мог прочитать что именно было замечено.
Протоколы называют PEO и VCR, софт называют secure syslog. Имеется версия
даже для NT. Продается специализированный browser такой базы (хотя
при желании сделать такое нетрудно). Я не продавец.
Естественно, после атаки доверять новым записям нельзя. И на tripware
не очень похоже..
Вадим Федюкович
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html