Перейти к содержимому
Калькуляторы

Готовы ли Вы передать sFLOW/NetFlow Вашей сети третьей стороне?

Всем привет!

 

Возник вот такой интересный вопрос озвученный в сабже :) Планируем запустить анализ атак силами FastNetMon в облаке. Работать будет в принципе также как и локальная версия, но потребует выпускания sFLOW/NetFlow на внешний сервис.

 

Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Российских погон засветили в съеме траффика в Азербайджане, вот они и ищут другие точки для съема траффика :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как Вы со стороны сетевых администраторов видите этот вопрос? Пойдете ли на это?

 

сетевые администраторы это исполнители, отвечающие за работоспособность сети и (в зависимости от размеров компании), тестирование и выбор оборудование, дизайн и т.д. решение подобного уровня не относятся к их задачам. это должен решать собственник или директор

 

лично мне как инженеру всё равно. куда скажут, туда и солью. но если бы мне пришлось принимать подобное решение, то я бы не стал доверять свой флоу каким-то нонеймам, какому-нибудь Arbor-у, наверное, доверил бы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :)

Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали...

 

Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр.

 

А насчет технической стороны, вот на узле A зафиксирован всплеск трафика с хоста Б. Аномалия это или нет, как узнать, не зная внутренней структуры сети?

 

Имхо на практике не получится извлечь профит из данной задумки. Хотя она и неплоха, сама по себе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pavel.odintsov, сделайте virtual appliance своего софта, мне кажется это компромиссный вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pavel.odintsov, сделайте virtual appliance своего софта, мне кажется это компромиссный вариант.

 

Дык https://github.com/FastVPSEestiOu/fastnetmon/blob/master/docs/VYOS_BINARY_ISO_IMAGE.md :)

 

xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу. А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А это чистая экономика - неужели не хочется снизить утилизацию внешних каналов на отдачу эдак процентов на 15-20?

 

Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно

 

xcme, ну смотрите, ведь говно которое льется с клиента и которое точно_атака можно отсечь лишь частично не лишая клиента порта и уже отдельно провести разъяснительную работу.

 

зачем? пусть клиент атакует кого хочет, это его дело, всем насрать абсолютно. Мы(ISP) - не палачи и не судьи. Будет нормативная база, будет регулирование в этой сфере(исходящие атаки), тогда и можно будет резать "плохой" исходняк клиентов. пусть гос-во делает реестр с сигнатурами атак и т.п. - тогда будет актуально

 

Ну выявил я, что 82 роутера в моей сети хакнуты и участвуют в DoS атаке. Дальше что? Вырубить им порты, чтобы проголосовали ножками? :)

Обзванивать и уговаривать перенастроить? Отправлять ремонтника? Это займет до 2-х месяцев, уже пробовали...

 

Найти аномалию одно дело, а дальше все упирается в тонкие "политические" моменты, такие как текст договора, корпоративная политика, существующие регламенты, "клиент-ориентированность" компании и пр.

 

+миллион

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

 

опять же. это вопрос политический. тут либо в организации есть политика безопасности, разрешающая или запрещающая это делать, либо решение должно приниматься директором/собственником относительно слива flow нонеймам(ибо вопрос серьёзный). я как инженер, готов, мне всё равно, если это допустимо политиками или разрешением

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ОК, точку зрения понял, но хотелось бы услышать еще комментарии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pavel.odintsov

создайте в разделе "У нага" ибо суть топика изначально политическая, а не техническая

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отличная идея, готово: http://forum.nag.ru/forum/index.php?showtopic=106525

 

Прошу модераторов эту тему закрыть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы о чём, уважаемый? Для ISP это точно не нужно, потому что магистралы продают каналы симметричные, к примеру, 1Г вход, 1Г выход, а утилизация выхода щас у всех ISP(работающих с конечными клиентами) меньше входа и если его ещё порезать на 15-20 % то от этого ни горячо, ни холодно

+1, у нас 3-х кратная разница между вход/исход.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мы говорим про выявление аномалий и атак в трафике оператора силами _открытого_ софта.

Вот и пусть бы оператор сам себе ставил этот софт, а результатами его работы уже можно делится.

 

Просто чтобы не выделять машину у себя в сети, не настраивать итд итп, есть мысль ставить ее на VPS какого-либо провайдера. Отсюда и возник вопрос - готовы ли Вы передать трафик по _Интернету_ до машины, к которой у Вас root доступ. Вот так.

Да, проще не хранить у себя файлы, слить всё гуглу/яндексу/мылору/дропбоксу, пусть заценят, ага.

Здесь же не дураки чтобы на такие предложения клевать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще раз, вопрос. Я искренне не понимаю одной вещи. В чем конфиденциальность этих данных? :) Не, ну правда?

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

в законе что про это есть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Например, структура впн-сети какого-нибудь банка или госконторы легко оттуда выуживается. Если они у вас в клиентах есть, то, мягко говоря, по головке не погладят.

в законе что про это есть?

ЕМНИП, ничего. Но хакеру взлом облегчит существенно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.