Jump to content

Готовы ли Вы передать sFLOW/NetFlow Вашей сети третьей стороне?

pavel.odintsov
 Share

Recommended Posts

pavel.odintsov

pavel.odintsov

Posted
Posted

Всем привет!

 

Возник вот такой интересный вопрос озвученный в сабже :) Планируем запустить анализ атак силами FastNetMon в облаке. Работать будет в принципе также как и локальная версия, но потребует выпускания sFLOW/NetFlow на внешний сервис.

 

Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это?

s.lobanov

s.lobanov

Posted
Posted

Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это?

 

сетевые администраторы это исполнители, отвечающие за работоспособность сети и (в зависимости от размеров компании), тестирование и выбор оборудование, дизайн и т.д. решение подобного уровня не относятся к их задачам. это должен решать собственник или директор

 

лично мне как инженеру всё равно. куда скажут, туда и солью. но если бы мне пришлось принимать подобное решение, то я бы не стал доверять свой флоу каким-то нонеймам, какому-нибудь Arbor-у, наверное, доверил бы

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

xcme

xcme

Posted
Posted

Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :)

Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали...

 

Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр.

 

А насчет технической стороны, вот на узле A зафиксирован всплеск трафика с хоста Б. Аномалия это или нет, как узнать, не зная внутренней структуры сети?

 

Имхо на практике не получится извлечь профит из данной задумки. Хотя она и неплоха, сама по себе.

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

pavel.odintsov, сделайте virtual appliance своего софта, мне кажется это компромиссный вариант.

 

Дык https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/VYOS_BINARY_ISO_IMAGE.md :)

 

xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу. А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20?

s.lobanov

s.lobanov

Posted
Posted
А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20?

 

Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно

 

xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу.

 

зачем? пусть клиент атакует кого хочет, это его дело, всем насрать абсолютно. Мы(ISP) - не палачи и не судьи. Будет нормативная база, будет регулирование в этой сфере(исходящие атаки), тогда и можно будет резать "плохой" исходняк клиентов. пусть гос-во делает реестр с сигнатурами атак и т.п. - тогда будет актуально

 

Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :)

Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали...

 

Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр.

 

+миллион

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

 

опять же. это вопрос политический. тут либо в организации есть политика безопасности, разрешающая или запрещающая это делать, либо решение должно приниматься директором/собственником относительно слива flow нонеймам(ибо вопрос серьёзный). я как инженер, готов, мне всё равно, если это допустимо политиками или разрешением

pppoetest

pppoetest

Posted
Posted

Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно

+1, у нас 3-х кратная разница между вход/исход.

Ivan_83

Ivan_83

Posted
Posted
Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

Вот и пусть бы оператор сам себе ставил этот софт, а результатами его работы уже можно делится.

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

Да, проще не хранить у себя файлы, слить всё гуглу/яндексу/мылору/дропбоксу, пусть заценят, ага.

Здесь же не дураки чтобы на такие предложения клевать.

pavel.odintsov

pavel.odintsov

Posted
  • Author
Posted

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

snvoronkov

snvoronkov

Posted
Posted

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

rdntw

rdntw

Posted
Posted

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

в законе что про это есть?

snvoronkov

snvoronkov

Posted
Posted

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

в законе что про это есть?

ЕМНИП, ничего. Но хакеру взлом облегчит существенно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.