Jump to content
Калькуляторы

Готовы ли Вы передать sFLOW/NetFlow Вашей сети третьей стороне?

Всем привет!

 

Возник вот такой интересный вопрос озвученный в сабже :) Планируем запустить анализ атак силами FastNetMon в облаке. Работать будет в принципе также как и локальная версия, но потребует выпускания sFLOW/NetFlow на внешний сервис.

 

Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это?

Share this post


Link to post
Share on other sites

Российских погон засветили в съеме траффика в Азербайджане, вот они и ищут другие точки для съема траффика :)

Share this post


Link to post
Share on other sites

Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это?

 

сетевые администраторы это исполнители, отвечающие за работоспособность сети и (в зависимости от размеров компании), тестирование и выбор оборудование, дизайн и т.д. решение подобного уровня не относятся к их задачам. это должен решать собственник или директор

 

лично мне как инженеру всё равно. куда скажут, туда и солью. но если бы мне пришлось принимать подобное решение, то я бы не стал доверять свой флоу каким-то нонеймам, какому-нибудь Arbor-у, наверное, доверил бы

Share this post


Link to post
Share on other sites

Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

Share this post


Link to post
Share on other sites

Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :)

Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали...

 

Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр.

 

А насчет технической стороны, вот на узле A зафиксирован всплеск трафика с хоста Б. Аномалия это или нет, как узнать, не зная внутренней структуры сети?

 

Имхо на практике не получится извлечь профит из данной задумки. Хотя она и неплоха, сама по себе.

Share this post


Link to post
Share on other sites

pavel.odintsov, сделайте virtual appliance своего софта, мне кажется это компромиссный вариант.

Share this post


Link to post
Share on other sites

pavel.odintsov, сделайте virtual appliance своего софта, мне кажется это компромиссный вариант.

 

Дык https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/VYOS_BINARY_ISO_IMAGE.md :)

 

xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу. А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20?

Share this post


Link to post
Share on other sites
А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20?

 

Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно

 

xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу.

 

зачем? пусть клиент атакует кого хочет, это его дело, всем насрать абсолютно. Мы(ISP) - не палачи и не судьи. Будет нормативная база, будет регулирование в этой сфере(исходящие атаки), тогда и можно будет резать "плохой" исходняк клиентов. пусть гос-во делает реестр с сигнатурами атак и т.п. - тогда будет актуально

 

Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :)

Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали...

 

Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр.

 

+миллион

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

 

опять же. это вопрос политический. тут либо в организации есть политика безопасности, разрешающая или запрещающая это делать, либо решение должно приниматься директором/собственником относительно слива flow нонеймам(ибо вопрос серьёзный). я как инженер, готов, мне всё равно, если это допустимо политиками или разрешением

Share this post


Link to post
Share on other sites

ОК, точку зрения понял, но хотелось бы услышать еще комментарии.

Share this post


Link to post
Share on other sites

pavel.odintsov

создайте в разделе "У нага" ибо суть топика изначально политическая, а не техническая

Share this post


Link to post
Share on other sites

Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно

+1, у нас 3-х кратная разница между вход/исход.

Share this post


Link to post
Share on other sites
Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

Вот и пусть бы оператор сам себе ставил этот софт, а результатами его работы уже можно делится.

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

Да, проще не хранить у себя файлы, слить всё гуглу/яндексу/мылору/дропбоксу, пусть заценят, ага.

Здесь же не дураки чтобы на такие предложения клевать.

Share this post


Link to post
Share on other sites

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Share this post


Link to post
Share on other sites

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

Share this post


Link to post
Share on other sites

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

в законе что про это есть?

Share this post


Link to post
Share on other sites

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

в законе что про это есть?

ЕМНИП, ничего. Но хакеру взлом облегчит существенно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this