On Tue, Sep 22, 1998 at 23:08 +0400, Solar Designer wrote:
> > > > > > Что предлагается делать, если атакер подменил мониторинг активности ?
> > > >
> > > > Защитить мониторинг гораздо проще, нежели систему с большим количеством
> > > > пользователей/сессий. Мониторинг активности можно дублировать и вынести
> > > > вообще за пределы системы, защитившись от "hijacking'а".
> > > >
> > > > Вполне реализуемо, дешево и очень действенно.
> > >
> > > Полностью вынести за пределы, без всякой поддержки со стороны
> > > самой системы? Я не вижу как это возможно без получения как минимум
> > > части проблем из SNI paper про IDS. Также, как быть с шифрованными
> > > сессиями? Придется все равно делать какую-то поддержку в самой системе,
> > > которую можно там поправить.
> >
> > Вклинься, пожалуйста, в ssh сессию так, чтобы это не было заметно.
>
> А причем тут это? Если я правильно понял, выше говорилось о нарушении
> работы самого мониторинга
Да, а я сказал о том, что сделать это будет непросто если сделать его
по уму.
> Но, еще раз, одних SNI'шных проблем вполне достаточно для невозможности
> полного мониторинга без поддержки самой системы, даже если забыть про
> шифрованные сессии.
Я там еще написал про "hijacking".
> Это, конечно, _не_ означает, что подобный чисто внешний мониторинг не
> имеет смысла. Просто, как я понял, до сих пор этот thread был попыткой
> найти полное решение проблемы -- т.е. гарантированное обнаружение всех
> изменений в системе (началось-то с tripwire).
Изначально - да.
Дальше речь шла о том, что сделать это только методом сравнивания
сигнатур невозможно покуда в процесс проверки можно вклинится и что
единственный способ получить более или менее защищенную систему -
активный мониторинг происходящего в ней.
> > Любой перебой в этом потоке должен рассматриваться как intrusion
> > и соответственно анализироваться. Поскольку активности около всех
> > защищаемых объектов минимум, то и ее анализ можно организовать
> > вплоть до окончания предыдущей тотальной проверки системы.
>
> К сожалению, нельзя -- будучи вне защищаемых объектов, мы не можем знать
> как они реагируют на какую-то активность в сети.
Речь идет о потоке информации об активности в сети, который затем
анализируется.
> Как правильно сказал ArkanoiD, некоторые проблемы решаются принудительной
> дефрагментацией. (Большинство или нет сказать не могу, достаточно того,
> что не все.) Также, необходим отказ от снифферства, и пропуск всего потока
> через наш монитор (иначе мы не сможем знать успели ли мы все заметить).
netflow.
Что касается гарантий, то стопроцентных гарантий в жизни
не бывает. Это все математики придумали.
:)
--
Игорь Винокуров
Российская Торговая Система
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
