pavel.odintsov Опубликовано 21 июля, 2015 · Жалоба Всем привет! Возник вот такой интересный вопрос озвученный в сабже :) Планируем запустить анализ атак силами FastNetMon в облаке. Работать будет в принципе также как и локальная версия, но потребует выпускания sFLOW/NetFlow на внешний сервис. Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 21 июля, 2015 · Жалоба А для чего? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 21 июля, 2015 · Жалоба Российских погон засветили в съеме траффика в Азербайджане, вот они и ищут другие точки для съема траффика :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 22 июля, 2015 · Жалоба Хер я им чё отдам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июля, 2015 · Жалоба Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это? сетевые администраторы это исполнители, отвечающие за работоспособность сети и (в зависимости от размеров компании), тестирование и выбор оборудование, дизайн и т.д. решение подобного уровня не относятся к их задачам. это должен решать собственник или директор лично мне как инженеру всё равно. куда скажут, туда и солью. но если бы мне пришлось принимать подобное решение, то я бы не стал доверять свой флоу каким-то нонеймам, какому-нибудь Arbor-у, наверное, доверил бы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта. Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 22 июля, 2015 · Жалоба Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта. Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :) Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали... Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр. А насчет технической стороны, вот на узле A зафиксирован всплеск трафика с хоста Б. Аномалия это или нет, как узнать, не зная внутренней структуры сети? Имхо на практике не получится извлечь профит из данной задумки. Хотя она и неплоха, сама по себе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 22 июля, 2015 · Жалоба pavel.odintsov, сделайте virtual appliance своего софта, мне кажется это компромиссный вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба pavel.odintsov, сделайте virtual appliance своего софта, мне кажется это компромиссный вариант. Дык https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/VYOS_BINARY_ISO_IMAGE.md :) xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу. А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июля, 2015 · Жалоба А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20? Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу. зачем? пусть клиент атакует кого хочет, это его дело, всем насрать абсолютно. Мы(ISP) - не палачи и не судьи. Будет нормативная база, будет регулирование в этой сфере(исходящие атаки), тогда и можно будет резать "плохой" исходняк клиентов. пусть гос-во делает реестр с сигнатурами атак и т.п. - тогда будет актуально Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :) Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали... Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр. +миллион Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так. опять же. это вопрос политический. тут либо в организации есть политика безопасности, разрешающая или запрещающая это делать, либо решение должно приниматься директором/собственником относительно слива flow нонеймам(ибо вопрос серьёзный). я как инженер, готов, мне всё равно, если это допустимо политиками или разрешением Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба ОК, точку зрения понял, но хотелось бы услышать еще комментарии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 июля, 2015 · Жалоба pavel.odintsov создайте в разделе "У нага" ибо суть топика изначально политическая, а не техническая Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба Отличная идея, готово: http://forum.nag.ru/forum/index.php?showtopic=106525 Прошу модераторов эту тему закрыть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 22 июля, 2015 · Жалоба Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно +1, у нас 3-х кратная разница между вход/исход. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 июля, 2015 · Жалоба Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта. Вот и пусть бы оператор сам себе ставил этот софт, а результатами его работы уже можно делится. Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так. Да, проще не хранить у себя файлы, слить всё гуглу/яндексу/мылору/дропбоксу, пусть заценят, ага. Здесь же не дураки чтобы на такие предложения клевать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pavel.odintsov Опубликовано 22 июля, 2015 · Жалоба Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 июля, 2015 · Жалоба Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда? Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 22 июля, 2015 · Жалоба Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда? Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят. в законе что про это есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 22 июля, 2015 · Жалоба Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят. в законе что про это есть? ЕМНИП, ничего. Но хакеру взлом облегчит существенно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...