ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] tripwire ?



On Wed, Sep 23, 1998 at 21:37 +0400, Solar Designer wrote:
> > > К сожалению, нельзя -- будучи вне защищаемых объектов, мы не можем знать
> > > как они реагируют на какую-то активность в сети.
> > 
> > Речь идет о потоке информации об активности в сети, который затем
> > анализируется.
> 
> Даже если ты будешь сохранять _весь_ траффик в лог, а потом смотреть сам,
> без всякой автоматизации, и даже если бы ты никогда не ошибался, несмотря

Я здесь недавно давал ссылки на пару продуктов, которые помогают
автоматизировать мониторинг. При определенном терпении можно такой
мониторинг описать даже в терминах logsurfer'а, когда у тебя набор
последовательных строчек в логе заставит сработать некий триггер,
с более четким набором правил, который тоже смотрит в лог, но может
точнее определить атаку, продиагностировать систему и оповестить
администратора.

Такой метод не работает когда intruder бьет в определенное место,
которое ему хорошо знакомо и бьет сразу. На практике :) все иначе,
происходит предварительное "обнюхивание" системы, что легко можно
обнаружить, связав некоторые факты.

Обычный граф.

О том, что в настоящей системе определения атак можно связывать
и наследовать, я вообще не говорю.

> на то, что человек, -- там может просто не быть достаточно информации для
> распознавания атаки, а тем более действий после успешной атаки (установки
> backdoor'ов). Так что -- мониторинг даже в теории не может дать гарантии.

:)

> > Что касается гарантий, то стопроцентных гарантий в жизни
> > не бывает. Это все математики придумали.
> 
> Верно -- не бывает из-за человеческих ошибок и подобных внешних факторов.
> Но в теории (ты правильно сказал о математиках), можно получить какую-то
> модель, дающую гарантированное распознавание атак (разумеется, при четких
> определениях всех этих терминов). Так вот, для мониторинга (в том виде, в
> каком мы его рассматриваем -- TCP протокол, и отсутствие поддержки от самой
> защищаемой системы) это не верно, даже в теории. Все, что я хотел сказать.

Причем не по теме ибо этот случай не обсуждался.

-- 
Игорь Винокуров
Российская Торговая Система
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.