On Wed, Sep 23, 1998 at 21:37 +0400, Solar Designer wrote:
> > > К сожалению, нельзя -- будучи вне защищаемых объектов, мы не можем знать
> > > как они реагируют на какую-то активность в сети.
> >
> > Речь идет о потоке информации об активности в сети, который затем
> > анализируется.
>
> Даже если ты будешь сохранять _весь_ траффик в лог, а потом смотреть сам,
> без всякой автоматизации, и даже если бы ты никогда не ошибался, несмотря
Я здесь недавно давал ссылки на пару продуктов, которые помогают
автоматизировать мониторинг. При определенном терпении можно такой
мониторинг описать даже в терминах logsurfer'а, когда у тебя набор
последовательных строчек в логе заставит сработать некий триггер,
с более четким набором правил, который тоже смотрит в лог, но может
точнее определить атаку, продиагностировать систему и оповестить
администратора.
Такой метод не работает когда intruder бьет в определенное место,
которое ему хорошо знакомо и бьет сразу. На практике :) все иначе,
происходит предварительное "обнюхивание" системы, что легко можно
обнаружить, связав некоторые факты.
Обычный граф.
О том, что в настоящей системе определения атак можно связывать
и наследовать, я вообще не говорю.
> на то, что человек, -- там может просто не быть достаточно информации для
> распознавания атаки, а тем более действий после успешной атаки (установки
> backdoor'ов). Так что -- мониторинг даже в теории не может дать гарантии.
:)
> > Что касается гарантий, то стопроцентных гарантий в жизни
> > не бывает. Это все математики придумали.
>
> Верно -- не бывает из-за человеческих ошибок и подобных внешних факторов.
> Но в теории (ты правильно сказал о математиках), можно получить какую-то
> модель, дающую гарантированное распознавание атак (разумеется, при четких
> определениях всех этих терминов). Так вот, для мониторинга (в том виде, в
> каком мы его рассматриваем -- TCP протокол, и отсутствие поддержки от самой
> защищаемой системы) это не верно, даже в теории. Все, что я хотел сказать.
Причем не по теме ибо этот случай не обсуждался.
--
Игорь Винокуров
Российская Торговая Система
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
