2008/2/28, Vladimir Litovka
лечить нужно проактивно, а не реактивно, и не destination hosts, а source hosts.
Это верно, но вот определять, какой source надо лечить, можно только в destination точке. Потому что:
Андрей прав, что детектировать атаку нужно не на узле, против которого она направлена (потому что это уже не имеет большого смысла), а на истоках.
Как раз я ровно наоборот говорил, что детектировать надо по пути к узлу-цели, вблизи последнего, потому что на всех sources ресурсов детектирования не напасешься.
Это более масштабная задача,
Это а) бессмысленно дорого (впрочем, продавцы оборудования предпочитают убеждать нас в обратном ;) и б) чревато последствиями
Делов-то ведь:
1) установка SMTP-фильтра, чтобы пользователь получал значительно меньше ссылок на compromised sites, на которые он по дурости кликает
Поставь - тут же будешь обвинен в цензуре и перлюстрации трафика НИ В ЧЕМ НЕ ПОВИННЫХ абонентов. Напоминает борьбу с терроризмом в США, бессмысленную и беспощадную по отношению к не-террористам (а террористам пох).
2) установка прозрачного анализа Web-трафика, чтобы пользователь не мог попасть на большинство compromised sites
... будешь обвинен в цензуре и перлюстрации трафика ...
3) анализ трафика от клиентов на предмет возникновения аномального поведения и блокировка этого трафика и/или перевод абонента в карантинную зону
... будешь обвинен в цензуре и перлюстрации трафика ...
очень сложно? да нет же, фуфел работы! только почему-то никто этого не делает ;-) интересно, почему?
Потому что это бессмысленно и пахнет тупым концлагерным подходом к делу. А именно: вместо оперативной работы и точечных операций по изоляции и обезвреживанию лишь тех, кто ДЕЙСТВИТЕЛЬНО виновен - мы наоборот разгородим всё колючей проволокой, натыкаем камер наблюдения в сортиры и где попало, устроим повальные обыски, перлюстрации и досмотры - то есть превратим обычную мирную жизнь в КОНЦЛАГЕРЬ ДЛЯ ВСЕХ. (Виновные, в то же время, аккуратно обходят все эти тупизмы, мучаются только обычные безвинные обыватели, которых, по теоретической идее, мы должны были бы ЗАЩИЩАТЬ; но наоборот, мы над ними издеваемся, вместо того, чтобы ловить действительно преступников и только их). Тьфу. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message