>
> > > > В идеале, нужен анализ всей активности в местах, где ее должен быть
> > >
> > > Что предлагается делать, если атакер подменил мониторинг активности ?
>
> Защитить мониторинг гораздо проще, нежели систему с большим количеством
> пользователей/сессий. Мониторинг активности можно дублировать и вынести
> вообще за пределы системы, защитившись от "hijacking'а".
>
> Вполне реализуемо, дешево и очень действенно.
Полностью вынести за пределы, без всякой поддержки со стороны самой системы?
Я не вижу как это возможно без получения как минимум части проблем из SNI
paper про IDS. Также, как быть с шифрованными сессиями? Придется все равно
делать какую-то поддержку в самой системе, которую можно там поправить. Так
что, IMHO, таким образом можно только отловить что-то до момента взлома
(даже не все, т.к. место под логи ограничено), а после него уже все, никаких
гарантий.
Signed,
Solar Designer
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html