Autor: Michal Zalewski (lcamtuf_at_dione.ids.pl)
Data: Thu 20 Jul 2000 - 11:33:57 MET DST
On 20 Jul 2000 madej_at_acn.pl wrote:
> O jak duzym ruchu piszesz? W jak duzych sieciach?
O zadnym konkretnym. Pojedyncze rozwiazanie i jedna osoba nadzorujaca ma
sens w sieciach o niewielkim stopniu rozleglosci (niezaleznie od natezenia
ruchu). W przypadku duzych, rozproszonych sieci WAN po prostu powinno nad
nimi czuwac kilka osob (najlepiej w roznych lokalizacjach). Do tego
ewentualnie mozna udostepniac / gromadzic selektywne logi ulatwiajace
poszukiwanie miejsca jakiegos zdarzenia [na przyklad logi NAT, jesli
takowy robiony jest w jednym punkcie, a dalej znajduje sie rozlegla siec
prywatna], by potem przekazac zgloszenie innej osobie lub szukac juz w
konkretnej bazie (aczkolwiek w wiekszosci przypadkow zglaszajacy jest w
stanie podac adres IP, z ktorego zdarzyl sie jakis incydent, a ten IP
umozliwia od razu siegniecie do odpowiedniej lokalizacji). To wbrew pozrom
ani nie jest wielka fatyga, ani cos szczegolnie kosztownego, i kazdy kto
buduje np. duza siec WAN generujaca dziesiatki lub setki gigabajtow logow
dziennie, musi brac pod uwage koniecznosc ich przeszukiwania a w efekcie
latwego i szybkiego dostepu, w niektorych wypadkach koniecznosc tworzenia
hierarchicznych zbiorow w roznych lokalizacjach. Natomiast dla wiekszosci
mniejszych providerow i malych / srednich firm, taka zabawa jest zupelnie
zbedna - konieczne jest tylko ujednolicenie logow i wypracowanie pewnych
procedur.
*mrau*
_______________________________________________________
Michal Zalewski [lcamtuf_at_tpi.pl] [tp.internet/security]
[http://lcamtuf.na.export.pl] <=--=> bash$ :(){ :|:&};:
=-----=> God is real, unless declared integer. <=-----=
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:34:39 MET DST