У попередній статті ми розглянули як піднести учням курсовий/дипломний проект або будуємо «вежу» з другого поверху. Побудуємо разом «вежу» на прикладі не втрачає актуальності теми аналізу і фільтрації DNS трафіку, простежимо як «вежа», розширюючись у нижніх поверхах, перетворюється на «піраміду» і як це допомагає викладачеві.
Що ми вже знаємо з попередньої статті
Зведемо у вигляді таблиці етапи підготовки та презентації, розподілимо їх по поверхах майбутньої «вежі». Нагадаємо, що в цій методології:
- робота викладача починається з другого поверху підготовки (ліва колонка таблиці);
- п'ятий, четвертий, а іноді і третій поверхи можуть бути використані практично без змін для цілого ряду курсових/дипломних проектів.
Коли «башта» побудована
5 поверх
На ринку засобів захисту інформації затребувані рішення щодо захисту мереж підприємств і організація, в т. ч. мереж провайдерів. Багато з представлених рішень мають функціонал з моніторингу, аналізу та фільтрації DNS-трафіку. Затребувані не тільки коробкові програмні рішення, які замовник розміщує у себе, але і послуга, коли DNS-трафік обробляється на зовнішніх серверах.
Приклади сервісів
Очевидно, що провайдери послуги фільтрації DNS-трафіку, особливо надають її безкоштовно, можуть переслідувати й інші цілі, крім безкорисливої допомоги в боротьбі з небажаною активністю в мережі.
Comodo Secure DNS
Norton DNS
OpenDNS
Rejector.ru
SkyDNS
Яндекс.DNS
4 поверх
Моніторинг необхідно здійснювати «на льоту», так щоб це не відбивалося на швидкості роботи споживачів. Це означає, що рішення і тому «хороший» або «поганий» запит надійшов і як на нього реагувати повинно прийматися системою відразу, без затримок, тому що потім вплинути на ситуацію вже практично неможливо (кеш на клієнтах, на систему моніторингу може потрапляти тільки DNS, а не весь трафік).
Система повинна бути продуктивною, масштабованою, відмовостійкою. При цьому необхідно мати можливість використовувати різні методики фільтрації - списки користувача, власні списки і класифікації, вимоги регуляторів, виявляти аномальну активність (dns-tunneling, перебір імен у пошуках C & C-серверів).
3 поверх
Використовувати тільки black/white списки неможливо, оскільки вони занадто швидко застарівають і вимагають колосальних зусиль для постійної актуалізації, необхідні евристичні методи. Наприклад, комбінація декількох простих методів, при тому що кожен з них окремо не дає надійної відповіді.
2 поверх
Кожен домен має ряд характеристик, наприклад, дата створення, хостинг, власник, схожість з доменами з black/white списків, довжина, статистика використання тощо. Очевидно, що деякі характеристики належать конкретному домену, а деякі інші об'єкти - доменній зоні, клієнтам (статистика, типове використання), хостингам/реєстраторам/власникам, одержуваним IP адресам/діапазонам тощо.
Необхідно вибрати деякий набір подібних характеристик, ввести за ними метрики (наскільки старий для дати створення, репутація для хостингу або зони, власник фіз.особа або велика компанія) і розрахувати вплив, наприклад, через вагові коефіцієнти на кінцеву інтегральну оцінку домену, встановити порогове значення.
Варіанти вирішення можуть бути різні, від нейронних мереж, до набору перераховуваних на окремому кластері таблиць.
2 поверх ver 2.0
Ні, не будемо спускатися на 1 поверх і заглиблюватися зараз в окремі підзадачі, це робиться в прив'язці до читаного курсу (більше ухилу до математики або програмування або адміністрування). До того ж необхідно враховувати інтереси, захоплення, сильні і слабкі сторони учнів.
Звернемо увагу на те, що рішень може бути кілька, точніше навіть так - варіантів рішень багато, а можливих реалізацій - ще більше.
Ці рішення можна і потрібно порівнювати між собою:
- за обраним алгоритмом;
- з продуктивності;
- помилково першого і другого роду;
- за складністю підтримки, за масштабуванням, за вартістю володіння та ін.
Таким чином раніше виконані роботи не втрачають актуальності - вони можуть бути використані в порівняннях, можуть виступати завданнями для оптимізації, можуть служити еталоном за якимись критеріями (швидкість, помилки та ін.).
Самі завдання порівняння - це вибір критерію та обґрунтування методики, підготовка та реалізація порівняння (оцінки складності, навантажувальне тестування, актуальні матеріали для виявлення помилок першого та другого роду) - теж можуть стати окремими проектами.
Замість ув'язнення
ІТ і ІБ фахівцям часто доводиться вибирати на ринку один зі схожих за функціоналом продуктів і досвід осмисленого порівняння, коли є не тільки табличка від постачальника, потрібен і корисний.
Багато разів використовуючи напрацьований матеріал можна покращувати результат, а не скочуватися до REPETITIO EST MATER STUDIORUM. Так «вежа» і перетворюється на «піраміду».
Конструктивні пропозиції і критика вітаються.