Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Tom Liberec 13. 05. 2013, 09:54:16
-
Články týkající se bezpečnosti, videa na stránce Mirka Prýmka ale hlavně diskuze hned po DOS a DDOS na některých fórech mne vedou k následujícímu dotazu. Domnívám se, že pro Vás zde to bude poměrně jasné nikoliv však pro 90 % lidí v zemi.
Prostě klidně budu za blbouna obecného ale zeptám se. Všiml jsem si, že je argumentováno tím, že geografické blokování IP adres na přístupu např. k webovým stránkám by se používat nemělo. Osobně mne napadlo, zda pokud např.budu vyhledávat na google.com tam najdu nějaké webovky službu, prodejnu, podnik a ten link použiji. Jakou potom bude mít v té chvíli můj požadavek IP adresu, právě z hlediska zda by bylo účelné takové blokování používat, či nikoliv.
Při nedávných útocích napadené weby velkých portálů, bank apod. používaly z jisté nouze ke komunikaci s klienty Facebook. Domnívám se doufám správně, že právě proto, že serverová úložiště ( jedná se navíc o cloud, domnívám-li se správně ) Facebooku a dalších jsou v Irsku.
Zřejmě je však více možností důvodů kdy požadavek na ten či onen web má jinou geografickou adresu. Například člověk jenž je v zahraničí komunikuje se svým internetovým bankovnictvím. Dále strýc jenž byl v Thajsku tak od něj mi chodily e-maily, možná něco jiného ale vím jistě, že s koncovkou UK.
Mohli by jste tedy uvést na pravou míru jednak proč se v podstatě nedají nebo nemají jako bezpečnostní řešení např. proti nedávným typům hrozeb používat geografické blokace IP adres?
Případně jaké jsou další možnosti kdy je požadavek webové služby na web server doručen s geograficky jinou IP ?
Do jaké míry tedy lze kontrolovat požadavky na webové služby jenž odcházejí od jednotlivých providerů z hlediska rozsahu IP adres ?
Tím pádem i do jaké míry by měli být jednotlivý provideři případně zodpovědní nebo schopní takové věci ohlídat, pokud vůbec ?
Omlouvám se, že z Vašeho pohledu jistě motám jablka přímo s buldozery, raketovou technikou a rajčatovou omáčkou. Také se omlouvám za nepřesné názvosloví, termíny případně použití nějakých vyvrácených novinářských mýtů, polopravd apod. Zároveň se však domnívám, že podobné téma by mohlo popularizovat tento portál, napomoci osvětě atd. V této oblasti je podle mne totiž ještě větší neinformovanost než v teorii, historii a praxi, vč.platného práva ale i obecně, parlamentní demokracie, fungování právních norem z hlediska jejich schvalování zákonodárci.
Předem děkuji.
-
Ked sa pytas na DDoS, tak tam typicky "klasicke blokovanie IP na serveri" nema vyznam preto, lebo server uz ani tak nestiha vybavovat poziadavky. A ked ma este prechadzat vela pravidiel na blokovanie, tak to moze byt uplny zabijak.
Druhy problem je, ze sa casto utoci SYN-floodom - a utocnik moze do hlavicky napisat lubovolnu IP, na ktoru bude napadnuty server odpovedat a tak vlastne aj dalej utocit.
A ak sa jedna o individualne "hacky", tak tam casto nie je velmi jasne, co blokovat. Blokneme zahranicie? Nemame zahranicnych klientov? Nebolo by lepsie sa zamerat na bezpecnost systemu?
-
Koncovka .uk nemá se zdrojovou IP adresou mnoho společného, klidně můžu mít danou doménu namířenou na IP v Severní Koreji, a obzvlášť u e-mailu, který věří druhé straně prakticky všechno.
Geografické blokace IP adres používat samozřejmě lze, ale není dobré je nasazovat pořád a naplno (můžete nasadit třeba různá omezení počtu připojení nebo záměrné zpomalování a plnou blokaci jen při útoku), protože potom váš (český) zákazník na služební či jiné cestě v dané lokaci se k vaší službě nedostane. Příkladem budiž blokace Seznam E-mailu z Číny: pokud někdo chcete cestovat do Číny, raději si zařiďte e-mail jinde.
Problém nedávného DDoS útoku byl ale jiný: požadavky ve skutečnosti nepocházely z IP adres, které uváděly, takže se zdálo, že DDoS přichází z ČR a přitom bylo z Ruska. ČR si ale žádný český poskytovatel služeb nemůže dovolit blokovat :) Jako řešení by se nabízelo blokovat v NIXu požadavky s českou IP adresou, které přicházejí ze zahraničí, jenže to by odřízlo některé poskytovatele připojení, kteří mají vlastní trasy do zahraničí a například výpadek přímého spojení do NIXu (ať už kvůli údržbě nebo nešikovnému bagristovi (http://mobil.idnes.cz/bagr-odstrihl-gts-novera-0xd-/mob_tech.aspx?c=A061113_162133_mob_denik_lhc)) způsobí právě to, že všechny pakety chodí přes zahraničí. Samozřejmě správné řešení je, aby daný ruský ISP blokoval pakety s cizími adresami původu (nevím jak v Rusku, ale v ČR podle smlouvy s koncovými zákazníky u nich k žádnému přeroutování cizích rozsahů docházet nesmí), ale donutit jej k tomu bude obtížné.
Ked sa pytas na DDoS, tak tam typicky "klasicke blokovanie IP na serveri" nema vyznam preto, lebo server uz ani tak nestiha vybavovat poziadavky. A ked ma este prechadzat vela pravidiel na blokovanie, tak to moze byt uplny zabijak.
Smysl to mít může, záleží, jak masivní ten útok je. Firewall je velmi rychlý a nachází se přímo v jádře, takže rychlé zahazování pomocí dobře napsaného firewallu zvládne řádově větší lambdu (počet příchozích paketů za sekundu), než když to dojde až do dané aplikace , která se to navíc bude snažit blokovat až na aplikační vrstvě, například pomocí HTTP 503. Samozřejmě proti útoku ucpáním pásma to nepomůže a specializovaný síťový hardware si s tím poradí lépe (už proto, že se zabývá jen tím firewallem a neběží tam ještě aplikace).
-
Omlouvám se za jeden úplně debilní dotaz co jsem položil. Nedávno jsem totiž zařizoval pro firmu doménu s koncovkou de u poskytovatele webhostingu v Česku. O podvržení adres SYN-floodingu jsem již četl, také o tom že to celé může chodit přes bootnetovou síť. Také zde na root cz o typu útoku jenž má také způsobit nefunkčnost služby, pojmenované podle zvířátka Outloň váhavý. I to, že pro to aby uživatel byl ( většinou nevědomou ) součástí nějaké bootnet sítě stačí ovládnout jen jeho router.
Ovšem firewall je až za routerem, myslím tím v ČR používaná řešení běžných domácích uživatelů tedy bezplatné nebo i placené balíčky typu AVG, Avast, Esset a další. Do jaké míry je to řekněme díra právě co se týká routerů běžných uživatelů ? Viděl jsem HW firewal tuším ZyXEL ( ale značek bude mraky ) a ten byl na schématické vyobrazení, pokud se nepletu, před routerem.
Do jaké míry tedy může internetový provider ručit za to co od něj, skrze něj prochází za IP ( viz.například dotaz Anonymous, propůjčily by jste svůj počítač k DOS útoku ? )
Celkově ohledně bezpečnosti se mi jeví jako velmi důležité zda se podaří státu, CZIRT a jiným, donutit větev sítě v Rusku či konkrétního providera ( tuším RETN nebo RENT, tak nějak ) k nějaké spolupráci. Tedy k tomu aby s té strany nic nepřišlo ze stejných počítačů, případně stejného objednavatele "služeb" stejné bootnetové ?? lokální ?? sítě.
Jak postupovat pokud to nebude možné. Četl jsem, že právě jedna z koordinujících bezpečnostních institucí v ČR spouští jakýsi počítač či síť schopnou vyrobit takový útok na ověřování a výzkum právě různých bezpečnostních řešení podobných útoků na weby.
Je to to podle vás možný účinnější postup než zřejmě nejisté dohledání útočníků v cizině, navíc na východě ?
-
Internetovy provajdr by mel predevsim rucit za to, ze trafik kterej z jeho site vychazi dal nema spoofovane zdrojove adresy. Kdyby to delal kazdej ISP, botnet by musel komunikoval jenom z vlastnich IP, a pak by bylo mnohem lehci ddos utok odfiltrovat, nalezt infikovane stroje, pripadne udrzovat blacklist s infikovanymi stroji. Jenze vetsinou ISP na to dlabou (vcetne myho ISP). Taky nechapu, proc na tom icann (plus prislusne instituce na kontinentalni a narodni urovni) netrva, ze kdyz nekomu prideli nakej ip-segment, dotycnej musi garantovat ze z jeho site nevyleze paket se source-address mimo jeho rozsahu...
-
Taky nechapu, proc na tom icann (plus prislusne instituce na kontinentalni a narodni urovni) netrva, ze kdyz nekomu prideli nakej ip-segment, dotycnej musi garantovat ze z jeho site nevyleze paket se source-address mimo jeho rozsahu...
Protože tranzitní provideři.
-
Rozumím tomu co píší BgBd a Rhinox správně, že by podle Rhinoxe vlastně provider ručil za to, že klienti jím poskytovaného připojení nepodsouvají adresy nebo nepoužívají nějaký jiný soft. třeba na změnu IP adresy. A co v takovém případě anonymizace ?
A jak je to s obranou routerů u běžných lidí, je nějaká šance jak to účinně bránit aby se člověk nestal součástí bootnetu ?
Poznámce BgBd přiznám se ne zcela rozumím. Rozklikl jsem si tohle : http://www.earchiv.cz/b00/b1101001.php3
Mám tomu rozumět tak, že velké společnosti případně ty jenž mají centrálu v cizině ( jsou např. dceřinnými spol. ) z důvodu kvalitního rychlého připojení infrastruktury služeb v rámci koncernu používají právě proto tranzitní providery?
Nebo si to pro názornost mohu představit jako dálnici a zahraniční kamion jenž naší zemí pouze projíždí a občas u nějakého města či benzínky použije to či ono. V případě internetu, webových služeb ( chápu že jsou i jiné ) tedy používá služeb tranzitního providera ?
( Právě proto se mi líbilo to o tom útoku slowloris http://www.root.cz/clanky/utok-slowloris-aneb-plizive-nebezpeci-pro-web-servery/ a to obrazné vysvětlení přirovnání k tomu obchodu a pokladně, že je to pochopitelné i pro laika. )
Mohu-li tedy požádat BgDb nebo někoho jiného, použil jsem alespoň zhruba správný příměr s tou kamionovou dopravou ?
-
Rozumím tomu co píší BgBd a Rhinox správně, že by podle Rhinoxe vlastně provider ručil za to, že klienti jím poskytovaného připojení nepodsouvají adresy nebo nepoužívají nějaký jiný soft. třeba na změnu IP adresy.
A co v takovém případě anonymizace ?
To je ina zmena - ty sa tvaris ako niekto iny - ale kedze sa tak tvaris, tak ti "normalna" komunikacia nefunguje (druha strana odpovie tomu spravnemu vlastnikovi). Preto toto nemoze sluzit na anonymizaciu.
Anonymizacia robi vacsinou to, ze sa prevadzka preposiela cez nejake dalsie uzly. Nikto tam potom nic nefalsuje - akurat ciel vidi len IP posledneho uzlu.
A jak je to s obranou routerů u běžných lidí, je nějaká šance jak to účinně bránit aby se člověk nestal součástí bootnetu ?
Typicky nejde len o routery (tam je treba tiez mat zaplatovany firmware), ale aj o samotny system. Na systeme treba mat zaplatovane programy a nechovat sa ako blbec - tj. neotvarat nieco ako nakedbabe.jpg.exe (pripadne na Linuxe nespustat nezname binarky).
Nebo si to pro názornost mohu představit jako dálnici a zahraniční kamion jenž naší zemí pouze projíždí a občas u nějakého města či benzínky použije to či ono. V případě internetu, webových služeb ( chápu že jsou i jiné ) tedy používá služeb tranzitního providera ?
Skor by som to prirovnal ku kamionom, ktore by vozili potraviny a chceli by sme byt schopni rychlo zablokovat napriklad potraviny s cestnou solou.
Ako mozno vidis, riesenie nie je dovolit z Ceska len ceske kamiony a z Polska len polske. Dokonca ani blokovanie ceskych kamionov z Polska nemusi davat zmysel - oni tak mohli ist, lebo je tak vyhodnejsie.
Jednoducho je tam tolko moznosti, ze sa to takto riesit neda.
Smysl to [blokovani DDoS cez iptables] mít může, záleží, jak masivní ten útok je. Firewall je velmi rychlý a nachází se přímo v jádře, takže rychlé zahazování pomocí dobře napsaného firewallu zvládne řádově větší lambdu (počet příchozích paketů za sekundu), než když to dojde až do dané aplikace , která se to navíc bude snažit blokovat až na aplikační vrstvě, například pomocí HTTP 503.
Suhlasim s tym, ze filtrovanie na aplikacnej urovni je pomalsie. Zazil som sice len par DDoS utokov (reflected UDP), ale tam "odstranenie" iptables dost vyrazne pomohlo. Na druhu stranu, mohol to byt problem so zle napisanym firewallom a aj tak velkym regulernym trafficom.
-
v ČR podle smlouvy s koncovými zákazníky u nich k žádnému přeroutování cizích rozsahů docházet nesmí
Tak takovou smlouvu bych chtel videt ... Dovolim si tvrdit, ze to v 99% pripadu (posilani trafficu s cizi drojovou IP) uplne vpohode projde i po technicky strance. A to nemluvim o strance politicky - ISP mi poskytuje trubku a je mu sumak, jestli po ty trubce transferuju vodu nebo pasuju chlast.
2Tom: ISP ti nikdy za nic rucit nebude, jemu je uplne jedno co tece od tebe i co tece k tobe. Samo, u nekterych si muzes zacalovat navrch provoz nejakyho firewallu - se vsema dusledkama. Stat zajisti leda tak kulovy, uvedom si laskave, ze net = soustava zcela soukromych siti. Co kdo propousti nebo nepropousti je jeho soukroma vec, ale protze je v zajmu tech majitelu, aby to fungovalo, tak propousti vse. Prave proto, ze neexistuje zadny zpusob, jak odlisit provoz.
2Rhinox: Po 125 ... ISPcku je to jedno. A neni zadny duvod, proc by byt nemelo. Jedna muze zaroven fungovat jako transferujici ISP - a stejne tak muze fungovat ten, od koho mu rtaffic prichazi, druhak existuje milion duvodu, jak zcela regulerne takovy traffic vyuzit. Laskave si uvedom, ze na tom, ze ISP neresi co od koho tece je zalozena cela sitova neutralita a funkcnost internetu. Bez toho to fungovat nebude a ani nemuze. Ostatne, podivej se do czfree, to je takovej internet v mensim meritku. Kdyby kazdej node resil, co mu od koho tece, tak by nakonec neteklo nikam nic.
2Tom: Pouzils to zcela spravne, jakakoli kontrola je totez, jako kdyz budes na hranicich CR kontrolovat, jestli z nemecka jezdej jen kamiony s nemeckou SPZ ... Kdyz to udelas, tak do par tydnu dosahnes stavu, ze nebudou jezdit kamiony zadne (ani ty nemecke, protoze je to buzerace, musej stat na hranicich a cekat na kontrolu ... coz je zdrzuje). Internet funguje naprosto stejne.
-
Tranzitní provoz je něco jak popsal j s kamiony. Co jde udělat je to, že ISP by neměli propouštět jiné adresy od koncových zákazníků než jim přidělili. To se samozřejmě netýká peerujícího ISP. Kdyby to tak udělali všichni provideři, tak by zfalšované adresy nikdy nedorazily k cíli útoku. Nicméně někteří provideři na to
a) kašlou
b) mají topologii, která takovou kontrolu neumožňuje
c) nemají hardware, který to umí kontrolovat a bez výkonnostního omezení zahazovat
-
Takže nikoliv blokovat ale zahazovat požadavky s neúplnými nebo evidentně podvrženými hlavičkami. A to pokud možno s co nejnižší ztrátou výkonu.
-
Takže nikoliv blokovat ale zahazovat požadavky s neúplnými nebo evidentně podvrženými hlavičkami. A to pokud možno s co nejnižší ztrátou výkonu.
Co je to neúplná nebo evidentně podvržená hlavička?
-
Moc hezké téma, díky za něj. Akorát se obávám, že se tady asi nepohybuje dost lidí, kteří by detailně věděli, jak to _reálně_ chodí na úrovni velkých ISP, AS, jak se obvykle reálně konfigurují border routery, jaké jsou nebo nejsou jejich možnosti apod.
videa na stránce Mirka Prýmka
Teď teda úplně nevím, o čem je řeč. Asi o tomhle? http://www.youtube.com/watch?v=-GFAgMqUjew Jo, to je pěkná přednáška a moc pěkná akce, zajeďte se příští rok taky podívat :) Ještě bych doplnil z minulého ročníku na podobné téma: http://www.youtube.com/watch?v=evI22gBKvaw a http://www.youtube.com/watch?v=gY_b7q-fQ8A (to druhý zvlášť doporučuju pro představu, co útoky znamenají v praxi)
2Rhinox: Po 125 ... ISPcku je to jedno. A neni zadny duvod, proc by byt nemelo.
To je imho dost hloupý argument. Podobně jako bych řekl "mně je jedno, jestli moje PC po večerech rozesílá spam - a není žádný důvod, proč by mi to jedno být nemělo". Pokud mám ten důvod trochu pateticky nazvat, řekl bych, že tím důvodem je "obecné blaho" :) Pokud chceme používat nějaký společný (i když virtuální) prostor, je fajn se v něm chovat s nějakou ohleduplností a spoluzodpovědností za tenhle "společný majetek".
Jedna muze zaroven fungovat jako transferujici ISP - a stejne tak muze fungovat ten, od koho mu rtaffic prichazi,
Spousta ISPs bude mít minimálně části sítě, kde prostě "cizí" zdrojové adresy nemají z principu co dělat. Nevidím nic špatného na tom, chtít po nich, aby aspoň tuhle část sítě kontrolovali.
druhak existuje milion duvodu, jak zcela regulerne takovy traffic vyuzit.
Otázka definice slova "regulérně". Pokud se patřičné orgány domluví na tom, že určitý typ provozu regulerní není, tak prostě nebude. Že by někdo takový typ provozu chtěl a chyběl by mu, to je jiná otázka.
Laskave si uvedom, ze na tom, ze ISP neresi co od koho tece je zalozena cela sitova neutralita a funkcnost internetu. Bez toho to fungovat nebude a ani nemuze.
Tomu teda nerozumím. Z praktického hlediska je velká část (většina?) internetu tvořena sítěmi, které prostě mají přidělený určitý IP rozsah a ten mají využívat. Pokud od nich budou chodit pakety s jiným zdrojem, bude to považováno za chybu.
Jasně, na úrovni peeringů je to trochu složitější, ale to je taky hodně jiný svět. Když to pojmu hodně filosoficky, tak když chci s někým kooperovat (peering je kooperace), tak mu prostě musím aspoň elementárně důvěřovat a musím věřit v to, že se s ním dá aspoň trochu domluvit na nějakých pravidlech. Předpoklad, že nějaká autonomní část internetu si může zbytku posílat co chce, je nesmysl. Viz kauzy s chybně nakonfigurovanými border routery.
-
Ještě jedno malý doplnění:
Pokud vím, docela vážně se diskutuje o tom, že by se mohlo v budoucnu stát nutností zavést nějaký "nový bezpečnější internet". Třeba právě s vlastností jednoznačné dohledatelnosti původce každé komunikace. "Starý internet" by se pak nechal vyhnít pro ty, kdo ho budou chtít. S důležitým dodatkem - propojení "starého" a "nového" internetu je z principu dost těžko možné.
Pokud někdo tvrdí, že na ("současném") internetu se nikdo nemusí o nic starat a všechno mu může být jedno bez ohledu na ostatní, tak jenom nahrává tomu, aby se taková budoucnost fakt naplnila. A dám ruku do ohně, že bude v první řadě lidí, kteří budou kňučet cosi o Vlkém Bratrovi...
-
To je imho dost hloupý argument. Podobně jako bych řekl "mně je jedno, jestli moje PC po večerech rozesílá spam - a není žádný důvod, proč by mi to jedno být nemělo". Pokud mám ten důvod trochu pateticky nazvat, řekl bych, že tím důvodem je "obecné blaho" :) Pokud chceme používat nějaký společný (i když virtuální) prostor, je fajn se v něm chovat s nějakou ohleduplností a spoluzodpovědností za tenhle "společný majetek".
To neni hloupy argument to je realita. Pokud zjednodusim a reknu ze silnice jsou statni, tak nasemu statu je taky zcela jedno, ze vozite v aute ... co javim ... hambate castopisy, presto ze to v emiratech je trebas nelegalni. Stejne tak by statu bylo uplne jedno, kdyby se 158 lidi sebralo s tim, ze vsichni najednou dorazi na barandak, a tim ho ucpou. Mozna zacne resit, kdyz se to bude stava denne, ze za 20, 30 let ten most rozsiri (= natahne se tlustci draty).
Spousta ISPs bude mít minimálně části sítě, kde prostě "cizí" zdrojové adresy nemají z principu co dělat. Nevidím nic špatného na tom, chtít po nich, aby aspoň tuhle část sítě kontrolovali.
Spousta ISP pripojuje spoustu zakazniku, kteri maji trebas konektivitu sami do vice siti ... proc by jako meli utracet penize za reseni neexistujiciho problemu nekoho jineho?
Pojdme spekulovat, ano? Kdyz najdu tisicovku (nebo vic) lidi, a budem chodit na vaclavaku pres magistralu tam a zpet ... co se stane? Nj, povede se nam magistralu DDOSnout (DOSovat ji muzu sam, trebas tak, ze si uprostred postavim stan). A, kupodivu, jedine co musim udelat, aby to byla zcela koser akce, je poslat magistratu, ze tam budem. (a ani kdyz to neposlu, tak to neni apriori akce nelegalni).
Kdyz najdu stejnou tisicku (nebo vic) lidi na netu, a pujdem vsichni najednou na root ... tak se slozi (uplne stejne jako ta magistrala). Nikde nikomu sme nic nerozbili ... je to presne totez.
A stejne jako ridici na magisrtale si najdou nejspis jinou cestu a nebo si pockaji, tak si holt bude muset pockat root, nebo si najit jinou cestu (trebas holubi postu ...)
Otázka definice slova "regulérně". Pokud se patřičné orgány domluví na tom, že určitý typ provozu regulerní není, tak prostě nebude. Že by někdo takový typ provozu chtěl a chyběl by mu, to je jiná otázka.
Kdo ze to sou "prislusne organy" pro ty miliony soukromych siti po svete? A jejich majitele kupodivu takovy traffic za neregulerni nepovazuji. Ano, prislusny majitel si jiste muze se svou siti delat co chce, muze ji klidne celou zrusit ... nebo trebas jako telecum vracet povrzene DNS odpovedi, nebo jako telco operatori blokovat VoIP provoz ...
Kupodivu, vetsina majitelu siti to bere tak, ze podobne zasahy rozhodne nejsou jejich zajmem, protoze jejich zajmem jsou predevsim spokojeni zakaznici.
Tomu teda nerozumím. Z praktického hlediska je velká část (většina?) internetu tvořena sítěmi, které prostě mají přidělený určitý IP rozsah a ten mají využívat. Pokud od nich budou chodit pakety s jiným zdrojem, bude to považováno za chybu.
Jasně, na úrovni peeringů je to trochu složitější, ale to je taky hodně jiný svět. Když to pojmu hodně filosoficky, tak když chci s někým kooperovat (peering je kooperace), tak mu prostě musím aspoň elementárně důvěřovat a musím věřit v to, že se s ním dá aspoň trochu domluvit na nějakých pravidlech. Předpoklad, že nějaká autonomní část internetu si může zbytku posílat co chce, je nesmysl. Viz kauzy s chybně nakonfigurovanými border routery.
Z praktickeho hlediska ma kazda trochu vetsi sit konektivitu s vice nez jednou dalsi siti ... a to plati zcela rekurzivne, s tim, ze prevazna cast ISP jednoduse nezna (a ani nepotrebuje znat) topologii svych sousedu, natoz jejich sousedu. Tudiz nevi a ani vedet nemuze, jaka komunikace potece prave pres jeho sit.
Pokud se dva subjekty dohodnou na nejakyme tom propoji, pak se prevazne resi predevsim kapacity, nikoli to, jake IP kde potecou, proste proto, ze to nikoho nezajima - je to totiz naprosto nezajimavy problem.
Z ciste praktickych zkusenosti pak plati, ze pres velmi vysoke % routeru vpohode projdou privatni rozsahy (ac by nemely), takze resit nejake "povrzene" IP ... lol (zcela konkretne, pres nejakych 8 hopu, ktere to mam z domova do prace mi bez problemu prijde odpoved se src 192.168 ...mimo jine pres sit GTS)
A to nemluvim o tom, ze kdyz budu chtit nekoho DDOSnout, tak na to rozhodne potvrzeny IPcka nepotrebuju. Resi se tu problem typu "lidi maj doma kulomety, zakazeme jim pistole".
-
Ještě jedno malý doplnění:
Pokud vím, docela vážně se diskutuje o tom, že by se mohlo v budoucnu stát nutností zavést nějaký "nový bezpečnější internet". Třeba právě s vlastností jednoznačné dohledatelnosti původce každé komunikace. "Starý internet" by se pak nechal vyhnít pro ty, kdo ho budou chtít. S důležitým dodatkem - propojení "starého" a "nového" internetu je z principu dost těžko možné.
Pokud někdo tvrdí, že na ("současném") internetu se nikdo nemusí o nic starat a všechno mu může být jedno bez ohledu na ostatní, tak jenom nahrává tomu, aby se taková budoucnost fakt naplnila. A dám ruku do ohně, že bude v první řadě lidí, kteří budou kňučet cosi o Vlkém Bratrovi...
Sak at takovou sit nekdo zavede ... uz vidim ty nadsene miliony lidi, kteri se do ni chteji pridat.
-
To neni hloupy argument to je realita.
Spamy jsou taky realita. Tak s nimi teda nebudeme nic dělat.
Pokud zjednodusim a reknu ze silnice jsou statni, tak nasemu statu je taky zcela jedno, ze vozite v aute
Nemyslím si, že by něčemu pomáhala vymýšlet nesedící přirovnání. Tohle kulhá na jednu nohu, to druhé (chození na magistrále) na obě.
Internet, ve kterém se budou uživatelé cítit bezpečněji, podniky a státní instaituce nebudou muset řešit DDOSy a nebudou chodit spamy, je v zájmu v podstatě všech zúčastněných. Jestli si myslíš, že není v zájmu ISPs, tak v tom se prostě neshodneme.
Že se nějakému lokálnímu ISP tohle nechce řešit, neumí to nebo to znamená dodatečné náklady a proto to nebude dělat, dokud nebude muset, to přece nic nemění na tom, že by bylo v zájmu všech ostatních, kdyby to dělal.
Kdo ze to sou "prislusne organy" pro ty miliony soukromych siti po svete? A jejich majitele kupodivu takovy traffic za neregulerni nepovazuji. Ano, prislusny majitel si jiste muze se svou siti delat co chce, muze ji klidne celou zrusit ... nebo trebas jako telecum vracet povrzene DNS odpovedi, nebo jako telco operatori blokovat VoIP provoz ...
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?
Z praktickeho hlediska ma kazda trochu vetsi sit konektivitu s vice nez jednou dalsi siti ... a to plati zcela rekurzivne, s tim, ze prevazna cast ISP jednoduse nezna (a ani nepotrebuje znat) topologii svych sousedu, natoz jejich sousedu. Tudiz nevi a ani vedet nemuze, jaka komunikace potece prave pres jeho sit.
Mně na tom jenom zaráží, že v druhém směru to funguje. Divné. Když pošlu packet na adresu A.B.C.D, tak dojde na jedno konkrétní místo. Ovšem kdybysme chtěli to samé v opačném směru, tak by to byl útok na samu podstatu internetu, peeringová centra by shořela, anděl by zatroubil na trubku a hnusná fialová monstra by sežrala všechny krásné bílé králíčky tím nejodpornějším představitelným způsobem.
Pokud se dva subjekty dohodnou na nejakyme tom propoji, pak se prevazne resi predevsim kapacity, nikoli to, jake IP kde potecou, proste proto, ze to nikoho nezajima - je to totiz naprosto nezajimavy problem.
Otázka není, jak to je. Otázka je, jestli je představitelné, že by to bylo jinak.
Sak at takovou sit nekdo zavede ... uz vidim ty nadsene miliony lidi, kteri se do ni chteji pridat.
Jistě, proč by se někdo zajímal o síť, kde nejsou spamy, ddosy... Síť, o které mi banka řekne, že to je jediná síť, ve které hodlá provozovat svoje bankovnictví a internetové platby. Proč bych se o ni zajímal, raději si vyberu tu druhou, kde už zůstal jenom mallware, warez a porno.
-
Kdo ze to sou "prislusne organy" pro ty miliony soukromych siti po svete? A jejich majitele kupodivu takovy traffic za neregulerni nepovazuji. Ano, prislusny majitel si jiste muze se svou siti delat co chce, muze ji klidne celou zrusit ... nebo trebas jako telecum vracet povrzene DNS odpovedi, nebo jako telco operatori blokovat VoIP provoz ...
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?
jistě :-)
Z praktickeho hlediska ma kazda trochu vetsi sit konektivitu s vice nez jednou dalsi siti ... a to plati zcela rekurzivne, s tim, ze prevazna cast ISP jednoduse nezna (a ani nepotrebuje znat) topologii svych sousedu, natoz jejich sousedu. Tudiz nevi a ani vedet nemuze, jaka komunikace potece prave pres jeho sit.
Mně na tom jenom zaráží, že v druhém směru to funguje. Divné. Když pošlu packet na adresu A.B.C.D, tak dojde na jedno konkrétní místo. Ovšem kdybysme chtěli to samé v opačném směru, tak by to byl útok na samu podstatu internetu, peeringová centra by shořela, anděl by zatroubil na trubku a hnusná fialová monstra by sežrala všechny krásné bílé králíčky tím nejodpornějším představitelným způsobem.
Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Sak at takovou sit nekdo zavede ... uz vidim ty nadsene miliony lidi, kteri se do ni chteji pridat.
Jistě, proč by se někdo zajímal o síť, kde nejsou spamy, ddosy... Síť, o které mi banka řekne, že to je jediná síť, ve které hodlá provozovat svoje bankovnictví a internetové platby. Proč bych se o ni zajímal, raději si vyberu tu druhou, kde už zůstal jenom mallware, warez a porno.
Nespoofovatelnost IP nezajistí ani jedno.
-
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?
jistě :-)
A ostatní teda udělají co? Řeknou si "ok, má na to právo" a nebudou na to nijak reagovat?
Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Počkej, co nejde nastavit?
Existuje protokol, pomoci kterého když pošlu paket na adresu A.B.C.D, tak je správně na danou adresu doručen.
Já říkám, že si dovedu představit, že by existoval protokol/proces (teď nemyslím nutně počítačový), který by říkal, že z daného drátu můžou vylézt jenom pakety z rozsahu X,Y a Z a všechny ostatní jsou neregulerní. A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.
Nespoofovatelnost IP nezajistí ani jedno.
To jsem ani netvrdil. Podívej se, na co to byla reakce.
-
Tak ještě jednou správně...
jistě :-)
A ostatní teda udělají co? Řeknou si "ok, má na to právo" a nebudou na to nijak reagovat?
Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Počkej, co nejde nastavit?
Existuje protokol, pomoci kterého když pošlu paket na adresu A.B.C.D, tak je správně na danou adresu doručen.
Já říkám, že si dovedu představit, že by existoval protokol/proces (teď nemyslím nutně počítačový), který by říkal, že z daného drátu můžou vylézt jenom pakety z rozsahu X,Y a Z a všechny ostatní jsou neregulerní. A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.
Nespoofovatelnost IP nezajistí ani jedno.
To jsem ani netvrdil. Podívej se, na co to byla reakce.
-
Spamy jsou taky realita. Tak s nimi teda nebudeme nic dělat.
Spamy neexistuji ... neni nic jednodussiho, nez akceptovat smtp pouze podepsane validnim a duveryhodnym (= znam ho) klicem ...
Nehlede na to, ze vzhledem k tomu, jaky spam generuje provoz (uvadi se az 1/3 veskereho provozu) je zajimave, ze to ISPckum nijak nevadi a vubec nic s tim nedelaji ... proc by meli resit tech 0,00005% paketu s podvrzenou IP?
Nemyslím si, že by něčemu pomáhala vymýšlet nesedící přirovnání. Tohle kulhá na jednu nohu, to druhé (chození na magistrále) na obě.
Internet, ve kterém se budou uživatelé cítit bezpečněji, podniky a státní instaituce nebudou muset řešit DDOSy a nebudou chodit spamy, je v zájmu v podstatě všech zúčastněných. Jestli si myslíš, že není v zájmu ISPs, tak v tom se prostě neshodneme.
Že se nějakému lokálnímu ISP tohle nechce řešit, neumí to nebo to znamená dodatečné náklady a proto to nebude dělat, dokud nebude muset, to přece nic nemění na tom, že by bylo v zájmu všech ostatních, kdyby to dělal.
Tak prirovnani sedi naprosto presne.
Coze, zeby komercnim subjektum - tedy nejvetsim rozesilacum spamu - vyhovovalo, kdyby spam rozesilat neslo? Tak proc uz davno nepresnesly komunikaci trebas na jabber, skype, icq, ... neni prece nic jednodussiho, a neautorizovany kontakt ma proste smulu. Aha, ale to by zaroven neslo rozesilat ten spam ... hm ... takze ony ty komercni subjekty by to chtely tak, aby oni spam rozesilat mohly, ale jim aby nechodil ...
A ano, mame tu prece jeden uzasny "nespamovy" system - datove schranky - vnich rozesila spam jen ten jeden vyvoleny provozovatele, ceska posta. A jeste si za prijem toho spamu platime, tak je to preci spravne, tak to ma byt.
Statni instituce necht si za ty rozkradene stamiliardy nechaji vybudovat vlastni oddelenou sit. Kdyz muze mit vlastni sit CD, vlastni sit maji energeticke rozvody ... proc ne stat.
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?
Ale jiste ze muze, stejne jako ho jeho sousedi muzou zcela svobodne z vlastniho (a pouze vlastniho) rozhodnuti odpojit. Kdyz vypropaguju do netu ze moje IP jsou 10/8, a ostatni to v routovacich tabulkach nechaji, tak proste ty IPcka budou moje.
Mně na tom jenom zaráží, že v druhém směru to funguje. Divné. Když pošlu packet na adresu A.B.C.D, tak dojde na jedno konkrétní místo. Ovšem kdybysme chtěli to samé v opačném směru, tak by to byl útok na samu podstatu internetu, peeringová centra by shořela, anděl by zatroubil na trubku a hnusná fialová monstra by sežrala všechny krásné bílé králíčky tím nejodpornějším představitelným způsobem.
Co ze funguje korektne? Kdyz poslu paket na adresu a.b.c.d, tak vim uplne stejne kulovy, jesli sel optimalni cestou, stejne jako vim kulovy, jestli mi odpovida spravnej stroj. A uplne stejne tak by se nekomu cestou nemuselo libit, ze posilam pakety zrovna na a.b.c.d a moh by mi je zablokovat. Nebo mi taky muze vratit podvrzenoou odpoved ... a ona kupodivu projde. Co vic, on dokonce muze (a telco operatori to vsichni tri delaj) ten paket vzit a vymenit jeho obsah ... a to, kupodivu, nikomu divny neprijde - ze se zeptam na IP adresu nejakyho serveru a nekdo cestou mi vrati falesnou odpoved je OK ...
Otázka není, jak to je. Otázka je, jestli je představitelné, že by to bylo jinak.
Je predstavitelne, ze budou organi statu strilet lidi na ulicich na potkani? Zcela jiste to je nejen predstavitelne, ono to je i realizovatelne, dokonce to tu uz mockrat bylo ... chceme stejny system zavadet na internetu?
Jistě, proč by se někdo zajímal o síť, kde nejsou spamy, ddosy... Síť, o které mi banka řekne, že to je jediná síť, ve které hodlá provozovat svoje bankovnictví a internetové platby. Proč bych se o ni zajímal, raději si vyberu tu druhou, kde už zůstal jenom mallware, warez a porno.
Ja bych vazne chtel videt banku, ktera svym desitkam tisic klientu rekne, at si nechaj domu vykopat par stovek kilometru kabelu, protoze se snima jinak nehodla bavit. Mimochodem, to tu uz taky bylo(defakto monopolni postaveni jedineho vyvoleneho), proto je v CR zdaleka nevyssi penetrace wifin na svete. Zcehoz je zcela zrejme, ze lide o takove "uzasne" site vubec nestojej.
-
Spamy neexistuji ... neni nic jednodussiho, nez akceptovat smtp pouze podepsane validnim a duveryhodnym (= znam ho) klicem ...
To je samozřejmě nesmysl.
vzhledem k tomu, jaky spam generuje provoz (uvadi se az 1/3 veskereho provozu) je zajimave, ze to ISPckum nijak nevadi a vubec nic s tim nedelaji
Nevadí? Nic s tím nedělají? Hm.
[zbytek už komentovat nebudu, to by ke konstruktivní debatě stejně nevedlo]
-
jistě :-)
A ostatní teda udělají co? Řeknou si "ok, má na to právo" a nebudou na to nijak reagovat?
To záleží na rozhodnutí dotyčného peerovače.
Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Počkej, co nejde nastavit?
Existuje protokol, pomoci kterého když pošlu paket na adresu A.B.C.D, tak je správně na danou adresu doručen.
Já říkám, že si dovedu představit, že by existoval protokol/proces (teď nemyslím nutně počítačový), který by říkal, že z daného drátu můžou vylézt jenom pakety z rozsahu X,Y a Z a všechny ostatní jsou neregulerní. A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
-
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.
-
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.
Akurat mas problem, ze ty nie si jedinym mostom medzi jednotlivymi castami (ktore by mali byt urcene pripojkami). A kedze su prepojene aj inak, tak mozu ist data "tou zlou" cestou.
Zoznam rozsahov si mozes spravit, ale aj keby si mal garantovanu vzdy najkratsiu cestu, tak je problem tam, ze nepeerujes s kazdym. Teda sa ti moze stat, ze mas pripojku (alebo potom aj viac) pre zahranicie, ale v nej uz nedokazes rozlisit, ci ti to niekto smeruje z Ruska, Ciny alebo mozno Slovenska.
Tento isty problem je pre tranzitnych providerov, ak myslis na zodpovednost kazdeho za seba.
-
M.Prymek je priklad idealistickeho "socialistu". Siet bez spamu a vsetkeho toho "bordelu" jednoducho nejde postavit. Pardon ide ale o by to musel byt horsi teror a sliedenie ako v Cine, S. Koreji a v podbnych krajinach dokopy.
Az sa podari vyhubyt trestne ciny, obchod s drogami, znizit na nulu autohavarie, tak potom je sanca na internet podla tvojich predstav.
Spomen si na prvy spam v historii. Tu mas priklad, ze spamu sa nemas sancu zbavit. To iste plati aj pre ostatne. Padlo uz velmi vela dobrych argumentov a ty odmietas priznat, ze ta tvoja predstava je nerealna a trochu "mimo".
Kto by v tvojom svete rozhodoval,co je este regularne a co nie? Lebo toto je otazka, na ktoru by si narazil pri budovani tvojho idealneho internetu. Tam by si aj skoncil.
-
M.Prymek je priklad idealistickeho "socialistu". Siet bez spamu a vsetkeho toho "bordelu" jednoducho nejde postavit. Pardon ide ale o by to musel byt horsi teror a sliedenie ako v Cine, S. Koreji a v podbnych krajinach dokopy.
No, možná si raději přečti, druhý odstavec tohodle http://forum.root.cz/index.php?topic=6494.msg62964#msg62964 pomalu a nahlas. Třeba změníš názor.
-----------
Ale zpátky k tématu: mám pocit, že nikdo pořádně nevíme, jak to vlastně mezi ASs reálně funguje, tak toho špekulování nechme ne? :)
Ať je to jak chce, minimálně by mělo jít zavést nějaké administrativní opatření, že každý AS si má hlídat svůj vnitřek - a s těma, kdo si ho nehlídají, se nikdo nebude bavit, nebo za nějakých ostřejších podmínek.
Pro ty, kdo si chtějí počíst:
http://www.rbeverly.net/research/papers/spoofer-sruti05.pdf
http://tools.ietf.org/html/draft-bi-savi-pisl-00
-
Omlouvám se DbBg, moje poznámka o hlavičkach ukazuje pouze to že o tom nic nevím, navíc pouzivam slova jen jsou možná z doby analogové.
Diskuze se dostala do stadia, zda je mozny hodne bezpečný internet ( možná az ideálne, či idealisticky ). Jenomže obávám se a diskuze to take naznačuje, že již jsme přímými účastníky. Na globální urovni totalitní staty žádají kontrolu internetu v podstatě jeho vlastnictví státem. Na urovni našeho statu stat za peníze daňových poplatníků stát buduje bezpečný ( jak jsem se nyni dozvěděl udajne bezpečný ) IT goverment. Uživatele by mohla zajímat bezpečnost jeho routeru, připojení do banky, ........ Ještě jednu věc z hlediska demokracie svobody internetu ( jsou to navíc dva možná zasadne uplne odlisne vefibjqk s technickeho tak i lidsky společenskeho hlediska ) , nejde pouze o velkeho bratra jde totiž i o to jak se snaží Mirek Prýmek naznačit o základní demokratickou slušnost. Tedy moje svoboda končí tam kde začíná svoboda druheho a necin jinému to co nechceš aby cinili tobě. Ovšem je otázka zda to je technicky proveditelne a zda příliš mnoha lidem včetně části správy státu a dokonce celé západní civilizace současný stqv spíše nevyhovuje. Zrovna dnes jwem resil podvrzenou falešnou práci na internetu, navic směrem k me velmi těžce postizene kamaradce graficce. Mám problem i s inzertnim portalem na kterém byl zveřejněn. Pokud budou internety dva budu na obou přes dva proviidery. - Nakonec v Německu si pry už taky jen tak nakoupíte anonymní ( nebo anonymne ) SIM kartu. Tedy nic nepredstavitelneho.
-
Ještě jedna věc k tomu nahrávání úplné cenzury internetu a jiné nesvobody. Stát nebo EU to nebude řešit technicky ani demokraticky. Udělá to jako s pedofilnim pornem. Neschopen řešit a dohledat výrobu uvali omezeni na poptávku. Tedy jak se zde pise v přímeru pistole budou zakazany nebot kulomety staty nebudou schopny všechny nalézt. - protoze koukat na fotku s čímkoli je společensky daleko nebezpečnější než prznit decka. Stát za extremistku prohlasil i ekonomku Svihlikovou ..... zatímco ECB a Fed skupují dluhopisy a kvantitativne uvolňují.
-
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.
Jo, o tom slučování to je. Tím slučováním se v praxi vytvoří něco jako tranzitivní uzávěr relace, tj. v podstatě všechny sítě, které se v internetu vyskytují.
Ta situace má samozřejmě několik rovin:
1. obecná: tranzitní provider by měl propouštět všechny routy přes tranzitivní uzávěr svých sousedů.
2. BGP umožňuje vytvářet směrovací politiky mezi peery, které nejsou šířeny dále, tj. neexistuje globální znalost, která by umožňovala spočítat odkud ty pakety vlastně mohou přicházet. Tranzitní provider může zvolit cestu, která se jinému může jevit jako suboptimální a tudíž nesprávná (neví totiž, jakými pravidly se soused řídí). (a to se ještě nezmiňuju o věcech jako je agregace, filtrování a pod.)
3. aby celé nespoofování fungovalo, tak je nutné, aby nespoofovací pravidla dodržovali všichni (díky tomu tranzitivnímu uzávěru z bodu 1.) Stačí jediný, kdo to nedodržuje a je to zbytečné.
4. existuje dokonce RFC, které říká, že AS by neměl generovat source IP, které mu nepatří, číslo jsem zapomněl, ale stejně se tím málokdo řídí.
Problém je imho příliš složitý na to, aby jej bylo nutné řešit - přináší totiž příliš mnoho práce a rizik na příliš málo přínosů.
-
Omlouvám se DbBg, moje poznámka o hlavičkach ukazuje pouze to že o tom nic nevím, navíc pouzivam slova jen jsou možná z doby analogové.
To je v pohodě, tou otázkou jsem chtěl akorát naznačit, že ze samotného obsahu těch hlaviček to poznat nejde.
Diskuze se dostala do stadia, zda je mozny hodne bezpečný internet ( možná az ideálne, či idealisticky ). Jenomže obávám se a diskuze to take naznačuje, že již jsme přímými účastníky. Na globální urovni totalitní staty žádají kontrolu internetu v podstatě jeho vlastnictví státem. Na urovni našeho statu stat za peníze daňových poplatníků stát buduje bezpečný ( jak jsem se nyni dozvěděl udajne bezpečný ) IT goverment. Uživatele by mohla zajímat bezpečnost jeho routeru, připojení do banky, ........ Ještě jednu věc z hlediska demokracie svobody internetu ( jsou to navíc dva možná zasadne uplne odlisne vefibjqk s technickeho tak i lidsky společenskeho hlediska ) , nejde pouze o velkeho bratra jde totiž i o to jak se snaží Mirek Prýmek naznačit o základní demokratickou slušnost. Tedy moje svoboda končí tam kde začíná svoboda druheho a necin jinému to co nechceš aby cinili tobě. Ovšem je otázka zda to je technicky proveditelne a zda příliš mnoha lidem včetně části správy státu a dokonce celé západní civilizace současný stqv spíše nevyhovuje. Zrovna dnes jwem resil podvrzenou falešnou práci na internetu, navic směrem k me velmi těžce postizene kamaradce graficce. Mám problem i s inzertnim portalem na kterém byl zveřejněn. Pokud budou internety dva budu na obou přes dva proviidery. - Nakonec v Německu si pry už taky jen tak nakoupíte anonymní ( nebo anonymne ) SIM kartu. Tedy nic nepredstavitelneho.
Osobně si nemyslím, že by problém důvěryhodnosti bylo nutné řešit na síťové vrstvě. Na vyšších vrstvách je spousta možností, jak systémy zabezpečit, třeba pomocí certifikátů a podobných věcí. Samozřejmě slušný provider dělá pokud možno to, co je v jeho silách, aby podvodným činnostem zabránil, nespoofovatelnost adres je jednou z nich.
-
Takže to vidíte spíše na neustále drobné právní bitky mezi soukromymi vlastníky siti, připojení, služeb, účastníky a státy jenž by rády ziskaly kontrolu ? Ve kterých se budou soudit a stíhat případne mediálne moralizovat spíše mali, slabi ? Zatím co utoky ze site zustanou anonymní, nedohledatelne, dohledání nevynutitelne ?
-
Problém je imho příliš složitý na to, aby jej bylo nutné řešit - přináší totiž příliš mnoho práce a rizik na příliš málo přínosů.
A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.
Tak jsme se nakonec celkem shodli :)
-
Pokud by pokus ovládnout internet státem či nějakou unií útočil přímo na tyto síťové vrstvy s výše uvedenými záminkami byl by to domnívám se poměrně velký útok na soukromý majetek, soukromé sítě. Toho si zřejmě všimneme pokud by se k tomu schylovalo. Předpokládám, že se tedy půjde právní a morální cestou proti uživatelům. Navíc dohledání útoků ze zahraničí zřejmě nebude vynutitelné a velké množství států nebude schopno si v tomto udělat pořádek, dohledávat ( A je to vůbec možné ? ) a zabraňovat ani na svém vlastním dvorku.
Bylo zde zmíněno zneužívání zvýhodněných pozic státem, státní organizací například v oblasti spamu a datových schránek. Další přímo skvělá budoucnost by tedy mohla přijít od s tohoto směru.
-
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.
Boze ... nauc se neco o routovani ... zjevne v tom mas naprosto zcela zasadni hokej..
Malej priklad, jo? Mejme 3 site A,B,C. Rekneme ze ja mam sit A. Vim, ze mam spoj s B a vim ze mam spoj s C, ale nevim a vedet nemuzu, zda jsou spojeny navzajem. Rekneme, ze i takovej spoj existuje (trojuhelnik).
Za normalnich okolnosti mi chodi nejaka IPcka 1.2/16 ze site B a nejaka 3.4/16 ze site C. I nastavim si (v souladu s tvoji predstavou), filtr tak, ze jinak tomu byt nemuze. Mno a nyni prijde bagrista, a prekopne spoj do site C. Jelikoz je provozovatel site C chytry, a dohodl se s provozovatelem site B, zacnou mi jeho pakety chodit ze site B, jenze ja mu je zahazuju, protoze tam prece nemaji co delat.
Ted bys moh vytahnout, ze me se pres BGP zmeni smerovani ... o cemz mi prijde info (trebas) ze site B (taky muze prijit uplne odjinud, trebas ze site X). Jenze BGP mi rika, KAM mam pakety posilat. Absolutne vubec nic nerika o tom, odkud mi budou pakety chodit.
Ono se totiz muze klidne stat, ze bagrista prekopne jen drat od C k A, ale opacne to bude chodit vpohode => presmeruje se jen jeden smer spoje (coz je v netu celkem bezna vec, ze pakety tam a zpet chodi jinudy).
A to sme u blbyho trojuhelniku, kde by se dalo s trochou snahy zjistit, ze ten propoj BC existuje. Ted si prestav, ze takovych siti jsou tisice, desetitisice, a topologii neznas, ani znat nemuzes. Takze vis co se ti velmy rychle stane? Ze te B i C poslou dohaje, odpojej si svoje daty k tobe, a muzes si sitovat na vlastnim, zcela bezpecnem pisecku.
---
Tady bych jeste podoktnul dalsi novinku ... celej net funguje (kupodivu) na zaklade doporuceni - zadna narizeni, zadne povinosti, pouze doporuceni. A prave na urovni smerovani to funguje velmi dobre. Na vyssich urovnich uz o poznani hur - presne proto, ze si do toho pridava leckdo vsemozna "vylepseni".
BTW: Nevsim sem si, ze by trebas takovy GTSce vadilo, ze mi prijde 5k spamu denne, to je muj problem, je na me, jak si stim poradim na svem serveru. Stejne tak je kazdyho problem, jak si poradi s DOSem. ISP to vyresi tlustejma dratama.
-
Jenze BGP mi rika, KAM mam pakety posilat. Absolutne vubec nic nerika o tom, odkud mi budou pakety chodit.
Jo. A tim vsim ses snazil dokazat, ze nemuze (z principu) existovat protokol, ktery by delal v principu totez, ale v opacnem smeru?
Tak v tom pripade jsem to nepochopil. Asi v tom teda mam "zcela zasadni hokej" ::)
-
Jenze BGP mi rika, KAM mam pakety posilat. Absolutne vubec nic nerika o tom, odkud mi budou pakety chodit.
Jo. A tim vsim ses snazil dokazat, ze nemuze (z principu) existovat protokol, ktery by delal v principu totez, ale v opacnem smeru?
Tak v tom pripade jsem to nepochopil. Asi v tom teda mam "zcela zasadni hokej" ::)
Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)
-
Boze ... ne nemuze, protoze by ti byl zcela nicemu. Navic by vyrazne zhorsil fungovani site. I tomu BGP nejakou dobu trva, nez se prepne. A navic, jak ti asi tak mam poslat, kudy ti pakety prijdou, kdyz to sam nevim? BGP resi jen a pouze vyber, mezi tema 2, 3, 10ti rozhranima, a rika ti "tuhle cilovou IP posli prave ted na rozhrani X", jenze i to BGP muze dojit do stavu, ze je stejne dobre pouzit rozhrani X, Y i Z ... a pak to taky udela - zcela nahodne nebo dle nejakeho algoritmu.
Tudiz ti stejne zdrojove IP mozou prichazet zcela v zavislosti na situaci z nekolika ruznych rozhrani zaroven. V extremnim pripade ze !!!VSECH!!!. Tudiz ve finale zjistis, ze stejne musis akceptovat vsechny IP na VSECH rozhranich. Tudiz je kravinium vyrabet protokol, kterej dojde presne k tomuhle zaveru.
Uvedom si jeste jednu zcela zasadni vec, BGP resi opravdu jen a pouze tebe a tvoje nejblizsi sousedy, je mu uzadeke, kudy ty pakety budou posilat tvi sousedi, nemluve o jejich sousedech. Ten tvuj protokol by musel resit naprosto celej internet, protoze bys musel oznamit sousedovi, ze mu budes posilat Ipcka, on by to musel oznamit svymu sousedovi a ten zase svymu ... a nez bys to vsechno udelal, tak se spojeni davno rozpadne, pripadne se mezi tim neco zmenilo, takze se muze zacit posilat nanovo.
-
Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)
Jo. Akorát ten je spíš určený dovnitř AS, kde jsou cesty jasné a hierarchické, ne?
Ale něco podobného jsem právě myslel - prostě by se začalo omezením provozu od netransitních AS na jenom jejich adresy, u transitních potom jenom z adres netransitních AS, které jsou přes ně _aktuálně_ routované atd. Jasně že u některých hodně propojených sítí už to bude problém, ale lepší něco než nic...
-
podla mna hovorite vsetci o inom :). mirek ma asi na mysli, a s tym sa stoznujem aj ja, ze blokovat IP spoofing by sa mal uz na najnizsej urovni pripojenia - koncovy zakaznik. kazde pripojenie musi (?) ist cez nejaky router. a prave tam by sa to malo filtrovat, nie? nieviem ako to je pri velkych poskytovateloch, ale lokany provideri maju vacsinou nejaky rozsah. takze tam by nemal byt problem to odkontrolovat na koncovych (vzhladom k zdrojovej IP) routroch. alebo sa mylim?
-
Připojuji se. Právě to je dna z věcí o kterou mi jde abych jako koncový uživatel nedělal problémy dál. Zejména mi jde tedy o Wi-Fi router, jenž má také paměť a kromě aktualizace firmware asi jak se zde psalo nemohu nic moc udělat. další věcí je pokud použiji nějaký anonymizér IP.
-
Připojuji se. Právě to je dna z věcí o kterou mi jde abych jako koncový uživatel nedělal problémy dál. Zejména mi jde tedy o Wi-Fi router, jenž má také paměť a kromě aktualizace firmware asi jak se zde psalo nemohu nic moc udělat. další věcí je pokud použiji nějaký anonymizér IP.
Na Vašem místě bych podobné problémy asi neřešil. Za 1. se mi trochu zdá že si pletete spoof adresy a využití proxy serveru, za 2. velice pochybuji že by spoofovaná IP vůbec prošla přes Vaši infrastrukturu, za 3. nespoofnete adresu aniž byste o tom věděl. :)
Jakub
-
za 2. velice pochybuji že by spoofovaná IP vůbec prošla přes Vaši infrastrukturu
ak je pc priamo v sieti ISP (nie je za domacim routrom, ktory by tiez mal blokovat spoofing), preco by nemala?
za 3. nespoofnete adresu aniž byste o tom věděl. :)
Jakub
tak nejaka marienka asi nema ani ponatie, ze jej ruzovy noteboocik je sucastou nejakeho botnetu, ktory prave nieco dosuje.
-
ak je pc priamo v sieti ISP (nie je za domacim routrom, ktory by tiez mal blokovat spoofing), preco by nemala?
Tipuji že je pán za domácím routerem, schválně. :) Ale máte pravdu, toto jsem neměl předpokládat. Na druhou stranu jsem napsal jen že pochybuji, což vlastně zpochybněno nebylo. :D
-
...Za normalnich okolnosti mi chodi nejaka IPcka 1.2/16 ze site B a nejaka 3.4/16 ze site C. I nastavim si (v souladu s tvoji predstavou), filtr tak, ze jinak tomu byt nemuze. Mno a nyni prijde bagrista, a prekopne spoj do site C. Jelikoz je provozovatel site C chytry, a dohodl se s provozovatelem site B, zacnou mi jeho pakety chodit ze site B, jenze ja mu je zahazuju, protoze tam prece nemaji co delat...
Jo, mas sice pravdu, jenze ja myslim ze jde predevsim o filtrovani u koncovych prodejcu konektivity, kde je konec koncu nejvic "zombie" masin, soucasti nakyho botnetu. Ono vzdycky je nelepsi resit problem co nejbliz mistu, kde vznikl. Tam se to da obvykle vyresit nejjednoduseji (jak pisi nize).
Kdyz mam ja, jako ISP na nake regionalni urovni pridelen rozsah ipv4 "a.b/16", pak od mych klientu nemuzou chodit pakety se zdrojovou adresou z jine podsite! A kdyby takove pakety od klienta prisli, pak je zdrojova adresa zjevne podvrzena a to nejmin co muzu jako ISP udelat je jednoduse takove pakety zahazovat (pripadne upozornit svyho klienta, ze z jeho pocitace jde do netu neco podezrelyho, at se mu na to nekdo podiva). Pres domaci routr nakeho Vencu z zadekakova nema co kdo routovat dal...
-
Jo, mas sice pravdu, jenze ja myslim ze jde predevsim o filtrovani u koncovych prodejcu konektivity, kde je konec koncu nejvic "zombie" masin, soucasti nakyho botnetu. Ono vzdycky je nelepsi resit problem co nejbliz mistu, kde vznikl. Tam se to da obvykle vyresit nejjednoduseji (jak pisi nize).
Kdyz mam ja, jako ISP na nake regionalni urovni pridelen rozsah ipv4 "a.b/16", pak od mych klientu nemuzou chodit pakety se zdrojovou adresou z jine podsite! A kdyby takove pakety od klienta prisli, pak je zdrojova adresa zjevne podvrzena a to nejmin co muzu jako ISP udelat je jednoduse takove pakety zahazovat (pripadne upozornit svyho klienta, ze z jeho pocitace jde do netu neco podezrelyho, at se mu na to nekdo podiva). Pres domaci routr nakeho Vencu z zadekakova nema co kdo routovat dal...
Presne tak, to jsem rad, ze to nekdo pochopil :) Otazka, jak moc se to da resit o uroven vys, uz neni tak dulezita. Spis otazka, jestli je nebo muze byt nejaka paka, ktera by ISPs donutila, aby ten egress filtering fakt delali.
-
podla mna hovorite vsetci o inom :). mirek ma asi na mysli, a s tym sa stoznujem aj ja, ze blokovat IP spoofing by sa mal uz na najnizsej urovni pripojenia - koncovy zakaznik. kazde pripojenie musi (?) ist cez nejaky router. a prave tam by sa to malo filtrovat, nie? nieviem ako to je pri velkych poskytovateloch, ale lokany provideri maju vacsinou nejaky rozsah. takze tam by nemal byt problem to odkontrolovat na koncovych (vzhladom k zdrojovej IP) routroch. alebo sa mylim?
Mylis se ... docela dost ... sem koncovej zakaznik a mam dve linky ruznych ISP ... jedna linka ma dobrej down, ale mizerne up, u druhy je to naopak. => odesilam pozadavky pres jednu a prijimam data pres druhou. Staci posilat pozadavky se src te druhe linky.
Nehlede na to, ze kvuli nedostatku IPv4 adres ma dneska kazdej 5+ zcela ruznych neagregovatelnych rozsahu, a IPcka presunuje doslova po kuse podle potreby. kdyby mel jeste navrch resit, kde ma co filtrovat, tak mu z toho jebne uplne.
2Rhinox: viz vejs. Zcela legalne muzou chodit pakety se src mimo tvoji sit. Je to zcela legitimni vyuziti site.
Spis otazka, jestli je nebo muze byt nejaka paka, ktera by ISPs donutila, aby ten egress filtering fakt delali.
No a sme zase u toho, procpak se asi tak RFC jmenujou prave RFC ... A procpak i v tech RFC je v 99% velmi peclive eliminovano cokoli, co by smrdelo "musi".
Uplne stejne bys prece moh v zajmu obecnyho blaha naridit vsem, ze musi vzajemne peerovat, protoze je to tak prece nejlepsi. A to by byl krok zcela objektivne mnohem potrebnejsi a zajimavejsi nez resit ty tisiciny promile provozu, kde chodi pakety s podvrzenou src IP.
-
Je to zcela legitimni vyuziti site.
Jestlize RFC jsou podle tebe jenom RFC, tak prosim definuj slovo "legitimni" v citovane vete.
-
Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)
Jo. Akorát ten je spíš určený dovnitř AS, kde jsou cesty jasné a hierarchické, ne?
Proč? Přesně splňuje tvoje požadavky.
Pořád ses u tranzitních providerů ovšem nezbavil toho principiálního problému tranzitivního uzávěru, takže je libovolný protokol se stejnou funkcionalitou nepoužitelný.
Ale něco podobného jsem právě myslel - prostě by se začalo omezením provozu od netransitních AS na jenom jejich adresy, u transitních potom jenom z adres netransitních AS, které jsou přes ně _aktuálně_ routované atd. Jasně že u některých hodně propojených sítí už to bude problém, ale lepší něco než nic...
A jak se pozná takový netranzitní provider?
-
A jak se pozná takový netranzitní provider?
Tím, že to o sobě deklaruje?
-
A jak se pozná takový netranzitní provider?
Tím, že to o sobě deklaruje?
Fakt? A jak to pozná ten potenciální protokol?
-
Matkopřírodo, když o sobě AS do nějaké tabulky napíše "my tranzit neprovádíme a naše rozsahy jsou A, B a C", čili od nás čekejte jenom pakety A,B a C, tak to snad není žádná nukleární věda, ne?
(mám pocit, že už jsme se fakt dostali do fáze plácání, už toho asi radějí nechám)
-
Matkopřírodo, když o sobě AS do nějaké tabulky napíše "my tranzit neprovádíme a naše rozsahy jsou A, B a C", čili od nás čekejte jenom pakety A,B a C, tak to snad není žádná nukleární věda, ne?
(mám pocit, že už jsme se fakt dostali do fáze plácání, už toho asi radějí nechám)
Jenomže AS může být tranzitní pro jeden AS a netranzitní pro jiné AS. Ale opravdu toho necháme, bez znalosti routování mezi AS se totiž nikam nedostaneme.
-
podla mna hovorite vsetci o inom :). mirek ma asi na mysli, a s tym sa stoznujem aj ja, ze blokovat IP spoofing by sa mal uz na najnizsej urovni pripojenia - koncovy zakaznik. kazde pripojenie musi (?) ist cez nejaky router. a prave tam by sa to malo filtrovat, nie? nieviem ako to je pri velkych poskytovateloch, ale lokany provideri maju vacsinou nejaky rozsah. takze tam by nemal byt problem to odkontrolovat na koncovych (vzhladom k zdrojovej IP) routroch. alebo sa mylim?
Mylis se ... docela dost ... sem koncovej zakaznik a mam dve linky ruznych ISP ... jedna linka ma dobrej down, ale mizerne up, u druhy je to naopak. => odesilam pozadavky pres jednu a prijimam data pres druhou. Staci posilat pozadavky se src te druhe linky.
marienkin ruzovy notebook ma bezne 2 konektivity od dvoch ISP :)...
Nehlede na to, ze kvuli nedostatku IPv4 adres ma dneska kazdej 5+ zcela ruznych neagregovatelnych rozsahu, a IPcka presunuje doslova po kuse podle potreby. kdyby mel jeste navrch resit, kde ma co filtrovat, tak mu z toho jebne uplne.
to je velmi diskutabilne...
-
... sem koncovej zakaznik a mam dve linky ruznych ISP ... jedna linka ma dobrej down, ale mizerne up, u druhy je to naopak. => odesilam pozadavky pres jednu a prijimam data pres druhou. Staci posilat pozadavky se src te druhe linky...
1. kolik % koncovejch zakazniku ma dve linky dvou ISP a pouzivaji je soucasne tebou popsanym spusobem? Nevim jestli se da mluvit vubec o procentu, ale moc jich nebude. Rekl bych, ze jich je min nez pocet zombie ktere se nejdou v siti klientu kazdyho ISP...
2. je rozdil posilat pres ISP pakety se dvema source-addr, a posilat pres ISP traffic "co paket, to jina zdrojova adresa". To prvni se da treba jeste zduvodnit (beru tvuj pripad jakkoli je vyjimecnej) a v takovem pripade by ISP mohl udelat kvuli tobe u sveho filtrovani vyjimku, to druhe NIKOLIV!
Jenze kdyz jde o to aby clovek nemusel neco delat, porad da najit nakej duvod proc to "nejde"!
-
Jenomže AS může být tranzitní pro jeden AS a netranzitní pro jiné AS. Ale opravdu toho necháme, bez znalosti routování mezi AS se totiž nikam nedostaneme.
Jemine netranzitní je netranzitní. Jestliže je aspoň pro někoho tranzitní, tak je tranzitní.
Říká se tomu pokud vím stub.
-
Jemine netranzitní je netranzitní. Jestliže je aspoň pro někoho tranzitní, tak je tranzitní.
To by vyslo, ze velki ISP domacich uzivatelov su "tranzitni" (v zmysle "aspon pre niekoho"). A potom uz je zase otazka, ci ma zmysel to riesit nejakymi prikazmi, ked vacsina by to aj tak riesit nemohla.
2. je rozdil posilat pres ISP pakety se dvema source-addr, a posilat pres ISP traffic "co paket, to jina zdrojova adresa".
To sice je, ale asi by to museli byt vynimky (zase nejak udrzovane a spravovane), pricom by to neodstranilo ostatne problemy.
"my tranzit neprovádíme a naše rozsahy jsou A, B a C",
Financny pohlad:
Pravdepodobne to bude kazdy ignorovat. Filtrovanie stoji peniaze a nikto si nebude "pre dobry pocit" kupovat HW, aby mohol zablokovat 0.00nic percent trafficu od maleho pripojeneho ISP. Ked si ten maly ISP za to bude platit, potom to pojde - ale kto si za toto zaplati?
-
Financny pohlad:
Pravdepodobne to bude kazdy ignorovat. Filtrovanie stoji peniaze a nikto si nebude "pre dobry pocit" kupovat HW, aby mohol zablokovat 0.00nic percent trafficu od maleho pripojeneho ISP. Ked si ten maly ISP za to bude platit, potom to pojde - ale kto si za toto zaplati?
To je presne ono, proc by mel nekdo vynakladat penize, na reseni problemu kterej nema. Je to stejny, jako kdyby po me soused chtel, abych si ja na svy zahrade za svy penize postavil hraz, aby jemu netekla pri povodni voda do baraku. Poslu ho stim tak leda dozadeke.
Vubec nemluve o tom, ze zadny ISP stimhle problem nema. Mozna stim maj "problem" nekteri hosteri, ale je to asi tak stejny, jako kdybych mel barak vedle amazonky a stavel hraz na tom 10cm potucku co do ni tece.
-
Financny pohlad:
Pravdepodobne to bude kazdy ignorovat. Filtrovanie stoji peniaze a nikto si nebude "pre dobry pocit" kupovat HW, aby mohol zablokovat 0.00nic percent trafficu od maleho pripojeneho ISP. Ked si ten maly ISP za to bude platit, potom to pojde - ale kto si za toto zaplati?
Nevim co je podle tebe "maly" ISP, no rekl bych, ze na filtrovani dle zdrojovych adres nepotrebujes zadnej "tezkej" hardware. Na celkove infrastrukture ISP se to muze podilet par procenty. Mozna ani to ne, protoze nake ty prvky se zakladnim fitrovanim snad kazdej ISP ma...
-
2Rhinox - rika ti neco point of failure? I kdyby to nestalo vubec nic, je to dalsi prvek kde se muze neco podelat.
-
Kazdy ISP musi minimalne filtrovat pakety z privatnich rozsahu. Chtel bych videt, jak by ho ty dve tri pravidla navic staly tak straslive penize a mely takovy dopad na spolehlivost...
-
2Rhinox - rika ti neco point of failure? I kdyby to nestalo vubec nic, je to dalsi prvek kde se muze neco podelat.
Ano, je to jeden z (treba) petiset sitovejch prvku, ktere se muzou podelat. Jenze za prve, existuje take neco jako "redundancy" (rika to pro zmenu neco tobe?), a nake to filtrovani (alespon na vstupni traffic) snad ma kazdej ISP, jinak by pri ddos byl bezbrannej jak nemluvne...
-
2Rhinox - rika ti neco point of failure? I kdyby to nestalo vubec nic, je to dalsi prvek kde se muze neco podelat.
omg. jeden nas lokalny provider ma primitivnu infrastrukturu: koncovy zakaznik - metalika do switcha v pivnici bytovky (niekolko bytoviek tvori jeden C blok 192.168.X.Y - cize max. cca 250 klientov), zo switcha optika potiahnuta do serverovne, resp. "routrovne", kde kazdy blok siete obhospodaruje jeden router, potom nasleduje NAT a odtial cez hlavnu gw do inetu. dasli wifi ISP ma podobnu infrastukruru, s trochu viac privatnymi sietami. vsetko su to mikrotiky, Ubiquiti, freebsd,... kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!
-
kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!
Kdyz je tam NAT, tak by to bylo celkem zbytecny :)
-
Já chci přidat bit do IPv6 protokolu, který bude nastaven providerem pro jím garantovaně nespoofovaný obsah.
Pakety s negarantovaným odesilatelem tam prostě dostanou 0, ale nebudou zahozeny.
V případě DDOS útoků bude možno omezit prostředky vyhrazené na negarantované packety a garantované packety tak pojedou dál.
Současně by se měl zavést anti DDOS protokol, který umožní napadenému počítači požádat providera útočící adresy o dočasné omezení provozu mezi útočníkem a cílem. Provider by po detekci nadstandarního provozu útočník - napadený provedl dočasné omezení a emailem informoval klienta.
-
kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!
Kdyz je tam NAT, tak by to bylo celkem zbytecny :)
to mi je jasne. uviedol som to len ako priklad.
-
Kazdy ISP musi minimalne filtrovat pakety z privatnich rozsahu.
To je len teoria; v praxi som sa skor stretol s nefiltrovanim - dokonca raz davno sa mi v SSH logu objavilo par pokusov o pripojenie / utok (?) z 10-koveho privatneho rozsahu, comu som sa vtedy dost divil, ale teraz uz sa nedivim nicomu - vidim, ze niektore cesty su jednoduchsie a lacnejsie a preto su pouzivane.
Skus si pingnut z nejakeho serveru v serverovni par IP z privatnych rozsahov.
Napriklad ja mam vo vzdialenosti 6 hopov od jedneho serveru nejaku 192.168.0.10 (ide to cez verejnu siet).
je to asi tak stejny, jako kdybych mel barak vedle amazonky a stavel hraz na tom 10cm potucku co do ni tece.
Presne tak to vnimam aj ja.
-
Ohledně tématu bsch se rád zeptal co by to znamenalo pro používání TOR, Bitcoin, Silk Road. Dost možná by si totiž každé s techto slov zasloužilo vlastní téma. Klidně přiznávám, že o tom vím houby, nicméně mi není jedno v jakém právním, technickém a společenském prostredi jsme nuceni existovat. Stát totiž nestíhá ani daleko základnejsi veci a je dokonce schopen navrhovat a zavádět do praxe zákony zcela odtržene od právního prostředí státu.
-
Ohledně tématu bsch se rád zeptal co by to znamenalo pro používání TOR, Bitcoin, Silk Road. Dost možná by si totiž každé s techto slov zasloužilo vlastní téma. Klidně přiznávám, že o tom vím houby, nicméně mi není jedno v jakém právním, technickém a společenském prostredi jsme nuceni existovat. Stát totiž nestíhá ani daleko základnejsi veci a je dokonce schopen navrhovat a zavádět do praxe zákony zcela odtržene od právního prostředí státu.
Nejspíš by nadšenci rozjeli paralelní internet, kde by se stále udržoval současný stav. Něco jako je třeba CzFree. Horší by bylo, kdyby stát zakázal provoz takových datových sítí obecně. Pak by asi část porušovala a část zatnula zuby. Obdobně jako je to u všech ostatních oblastí, do kterých se stát s*re a neměl by.
-
Naprosty souhlas. Bohužel si takových věcí vetsina lidi vsimne az ve chvíli kdy ma stát ruku v jejich peněžence nebo mu chytrá úřednice sedící 20 let na stejné netržní židli polopaticky vysvětluje svuj názor na spravedlnost, či morálku.
-
Kazdy ISP musi minimalne filtrovat pakety z privatnich rozsahu. Chtel bych videt, jak by ho ty dve tri pravidla navic staly tak straslive penize a mely takovy dopad na spolehlivost...
Musi? Vazne? lol ... trasa nejakych 10 hopu, mimo jine sit GTS ... uplne vpohode dorazi paket, kterej bude mit src v privatnim rozsahu ... nemluve o tom, ze ISP muze mit nekolik desitek rozsahu.
Ano, je to jeden z (treba) petiset sitovejch prvku, ktere se muzou podelat. Jenze za prve, existuje take neco jako "redundancy" (rika to pro zmenu neco tobe?), a nake to filtrovani (alespon na vstupni traffic) snad ma kazdej ISP, jinak by pri ddos byl bezbrannej jak nemluvne...
lol ... jak pomuze filtrovani proti DDOSu? Zeby naprosto nijak? Takze podle tebe, si ma ISP ty krabice (za penize samo) koupit radsi dve, nebo rovnou tri ... hmm ... i kdyby to mel bejt prastenej mikrotik ... tak to sme uz na peknych par desitkach tisic. Pokud ten provider bude trochu vetsi, tak se vpohode pohybujem v milionech.
omg. jeden nas lokalny provider ma primitivnu infrastrukturu: koncovy zakaznik - metalika do switcha v pivnici bytovky (niekolko bytoviek tvori jeden C blok 192.168.X.Y - cize max. cca 250 klientov), zo switcha optika potiahnuta do serverovne, resp. "routrovne", kde kazdy blok siete obhospodaruje jeden router, potom nasleduje NAT a odtial cez hlavnu gw do inetu. dasli wifi ISP ma podobnu infrastukruru, s trochu viac privatnymi sietami. vsetko su to mikrotiky, Ubiquiti, freebsd,... kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!
omg ... a proc by to delal? proc by mel utracet dalsi penize? Co mas za problem stim, si na zahrade postavit vlastni atomovej kryt? Sak to zadnej problem neni, ne?
-
lol ... jak pomuze filtrovani proti DDOSu? Zeby naprosto nijak? Takze podle tebe, si ma ISP ty krabice (za penize samo) koupit radsi dve, nebo rovnou tri ... hmm ... i kdyby to mel bejt prastenej mikrotik ... tak to sme uz na peknych par desitkach tisic. Pokud ten provider bude trochu vetsi, tak se vpohode pohybujem v milionech.
ddos se tady uz probiral, nevim proc to zas oteviras. Strucne a jasne: kdyz ti ddos-traffic saturuje tvou linku, filtrovani na tvem konci ti uz nepomuze nijak. Jenze prumernej ISP by mel mit svou konektivitu posazenou "trochu" vyse nez koncovej zakaznik, tudiz ma sanci ze pri ddos-u mensiho rozmeru jeste nebude mit downlink plnej. A to je ta chvile kdy mu filtrovani pomuze. Samozrejme, ddos rozmeru 100Gbps je uz neco jinyho, u toho i "velci hraci" budou mit problemy...
Pokud jde o redundanci kritickejch prvku, o to by se mel snazit kazdej seriozni ISP (nemluvim o nakym Frantovi z vesnice co ma mikrotik a pres wifi sdili konektivitu se sousedy). A samotne filtrovani se na cene cele infrastruktury ISP projevi mozna procentem, nebo dvema...
-
Musi? Vazne? lol ... trasa nejakych 10 hopu, mimo jine sit GTS ... uplne vpohode dorazi paket, kterej bude mit src v privatnim rozsahu ... nemluve o tom, ze ISP muze mit nekolik desitek rozsahu.
Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.
Jestli je běžný, že ISPs kašlou na best practices a nedělají nic, co nutně nemusí, tak to je pak zbytečná debata, to máš pravdu.
viz
http://tools.ietf.org/html/rfc2827#page-5
http://tools.ietf.org/html/rfc3013 - 4.3 a 4.4
- oboje popisuje to, co jsem říkal, jako doporučený postup
Filtrujte přístupy na hranici sítě
Protože k provedení těchto útoků je nutná schopnost produkovat falešné IP adresy, měli by administrátoři takové falešné
adresy filtrovat na hranici sítě. Dokumenty IETF Request for Comments (RFC) RFC 2827, RFC 3704 a RFC 3013 popisují
současné nejlepší praktiky implementace této ochrany. Před rozhodnutím o tom, které změny uplatníte, je důležité znát
konfiguraci vaší sítě a požadavky na jednotlivé služby.
http://www.nic.cz/page/464/bezpecnostni-chyba-v-dns,-upgrade-doporucen/
-
A ještě jeden citát:
If properly implemented, RFC 2827 can reduce certain types of IP spoofing attacks against your network and can also prevent IP spoofing attacks (beyond the local range) from being launched against others from your site. If everyone worldwide implemented RFC 2827 filtering, the Internet would be a much safer place because hiding behind IP spoofing attacks would be nearly impossible for attackers.
http://www.ciscopress.com/articles/article.asp?p=174313&seqNum=3 - General Design Considerations for Secure Networks
Lidi z Cisca v tom asi taky mají "zcela zásadní hokej" :)
-
"...If everyone worldwide implemented RFC 2827 filtering, the Internet would be a much safer place because hiding behind IP spoofing attacks would be nearly impossible for attackers..."
Do kamene tesat, do kamene! Nebo jeste lepe psat do smlovy s kazdym ISP (zejmena koncovym prodejcem konektivity), jako podminku prideleni nakeho IP-rozsahu...
-
Ještě mě napadlo přirovnání k tomu spoofování:
chceme zakázat pistolku, která má anonymní kulky a necháme povolený kulomet, který je má podepsané.
Nakonec se k tomu filtrování stejně přistoupí, protože když tyto útoky budou čím dál častější a jeden odborník řekne: "Nedá se s tím nic dělat" a druhý řekne: "Je potřeba to detekovat u zdroje, bude to trvat 10 let a stát 1E9$" - tak hádejte, co si politici vyberou.
Nejlevnější (90%) řešení by stejně byl normální update do windows, který by odeslání spoofovaného packetu zabránil, připadně povolil jen po odkliknutí otravné obrazovky (s nabonzováním do centrály :-) a omezil jejich počet. V Linuxu by to snad také neměl být zásadní problém - a aspoň nové routery by tak mohly být chráněny.
Stejně už existují systémy, které se šíří jako virus do klientských počítačů a tam umožňují podobné operace (ještě kdybych si tak vzpomněl, kde jsem to četl :-(
-
Musi? Vazne? lol ... trasa nejakych 10 hopu, mimo jine sit GTS ... uplne vpohode dorazi paket, kterej bude mit src v privatnim rozsahu ... nemluve o tom, ze ISP muze mit nekolik desitek rozsahu.
Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.
ISP kasle na moralne povinnosti, ked mu to neprinesie zisk (v horsom pripade mu to zisk vezme).
Jestli je běžný, že ISPs kašlou na best practices a nedělají nic, co nutně nemusí, tak to je pak zbytečná debata, to máš pravdu.
Oni na to ani nemusia uplne kaslat. Mozno im staci zvazit si plusy a minusy takejto ochrany:
Plusy:
+budeme sa citit moralne lepsi; ocistime internet od 1/1000000 zriedkavych utokov.
Minusy:
-treba kupit HW; sprava siete bude narocnejsia
-treba pravidelne inovovat HW (zvysovanie poctu zakaznikov, zavadzanie IPv6, ...)
-treba platit odbornika, co bude HW nastavovat
-vacsie riziko, ze sa nieco pokazi (HW failure), co znamena odliv zakaznikov az mozno poriadne pokuty (SLA)
-vacsie riziko, ze zakaznikom nebude nieco fungovat (multihoming), co znamena dalsi odliv zakaznikov
-riziko spomalenia siete, ked sa na inovaciu zabudne - zase mozny odliv zakaznikov
A teraz si vyberaj z pohladu managera.
-
Zdravím,
také se přidám :)
Mirek Prýmek už dal odkazy na relevantní best practice(BP). Pokud by byla zavedena všude, bude na Internetu méně podvrhování zdrojové adresy.
Pokud nejsou BP zavedena všude, můžeme tvořit nové a nové protokoly, ale situaci to, si myslím, vůbec nepomůže... nový protokol by zavedla část z poskytvatelů z těch které následují BP... otázka je jak se stavět k těm co nový protokol nezavedli, nebo naopak jej využívají špatně... Odpojit je od peeringu? K tomu by, typuju, museli všichni přespat peeringové smlouvy, aby toto umožňovali.
Ale kam se vlastně posuneme novým protokolem?
Kdyby již nyní peeringové smlouvy vyžadovali implementaci BP u partnerů a zároveň vyžadovali, že partner dále peeruje pouze s tranzitními sítěmi které implementují BP, bylo by vše ok. Nový protokol by byl podle mne zbytečný. Pokud zavedu nový protokol a budu vyžadovat jeho implementaci u peeringového partnera v čem přesně je přínos?
RE: student kdy: 19. 05. 2013, 01:22:05
To jenom podporuje myšlenku, že nový protokol není schůdná možnost. Nový protokol=vyšší komplexnost=vyšší náklady SP.
-
Na titulní stránce je vyjádření od NIX.cz, které domnívám se vystihuje podstatu problému. Vždy bude poměrně dost lidí, kteří budou žádat velmi levné připojení k internetu. - Pokud si nemohou přečíst své internetové "noviny" na svém oblíbeném portálu nic tak hrozného se neděje. Pokud se nedostanou ke svému e-mailu je to trochu horší. Pokud se nedostanou k internetovému bankovnictví je to horší a třeba to některé časem povede k zamyšlení zda nevyžadovat nasazení některých opatření u svého poskytovatele.
Teprve až bude otázka stát takto : " Kolik peněz nebo nepříjemností mně stojí levné internetové připojení ? " Tak teprve tehdy se věci dají do pohybu. V podstatě pokud má někdo na seznamu firemní e-mail je na něm aby se konečně podíval co má napsaného ve smlouvě.
-
Pokud jde o redundanci kritickejch prvku, o to by se mel snazit kazdej seriozni ISP (nemluvim o nakym Frantovi z vesnice co ma mikrotik a pres wifi sdili konektivitu se sousedy). A samotne filtrovani se na cene cele infrastruktury ISP projevi mozna procentem, nebo dvema...
Jiste, fitr stanice je kritickej prvek v siti ... kterej nikdo nanic nepotrebuje, takze proc by ho tam vubec daval? A proc vytahuju DDOS? Protoze nekteri, jako trebas ty, nedokazou pochopit, ze to filtrovani je naprosto knicemu. Nic jako "malej" dos neexistuje. Co myslis, jak asi tak velkej problem je najit rekneme 1 000 stroju v sitich 10ti nejvetsich ceskych provideru, ktere budou generovat takovy zcela trivialni utok, jako ze budou proste a jednoduse neustale refreshovat mainpage webu? A co myslis, kolik % webu i takto trivialni a velmy slaby utok, bez jakehokoli podvrhovani IPcek ustoji? 10%? A co myslis, jak velky problem je, takovy utok realizovat s 10 000 nebo 100 000 stroji? A ne, nepotrebuju na to ani budovat zadny botnet ... staci kdyz hodim na web trivialni script a reknu lidem "proste si to pustte". K cemu ze ti bude to, ze ISP utrati v globalu miliardy za filtrovani IPcek? ... voiala ... naprosto knicemu, jen se na tom pak vyrobcu tech krabek slusne napakuje. Presne totez, jako akce "nove lekarnicky do aut".
2Peti: Ty si vazne myslis, ze tux nebo widle ti jek tak pro plezir poslou pakety s podvrzenejam IPckama ? lol Jenze jaksi je to SW, a SW se da modifikovat. Navic i ty widle (kupodivu) umi routovat => musel bys z nich (a samo z tuxe a nakonec uplne ze vseho) vykuchat prave to routovani. On totiz paket se zmenenou IP umi odeslat i kazdy krabkorouter za pak stovaku.
...
Presne tak, stejne jako kazdy podnikatel - potrebuju to? Prinese mi to neco? Vydela mi to neco? ... vzdy je odpoved NE. Mimochodem, pro pobaveni, jedno z mnoha RFC kuprikladu rika, ze IP adresa, by mela mit reverz. Tim spis, pokud na ni bezi nejaky server ... mno a tak si vezmenez nejvetsi ceske vydavatelstvi IT literatury ... (kde se mimo jine podobnyma vecma jen hmezi) a ... prdlajs. Jejich mail srv (jeste nedavno) reverz nemel, a predstavoval se asi nejak "#$asdhaio3298cas" ... coz je taky popsano v RFC - ze v helo ma byt dnslike jmeno.
A ano, ja jim ty jejich maily sklidem poslu do /dev/null, ale je to moje rozhodnuti na mem serveru. Nemuzu po nikom dalsim chtit, aby delal totez - a to ani proto, ze by pak "internet byl lepsi".
Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.
1) funguje to
2) trebas si predstav, ze ISP vyuziva privatni rozsahy jako management sit. Ten fitrbazmek by tudiz musel bejt nekde na hranici ... a jelikoz tech hranic je vic (v mem pripade pokud vim 3-4), tak by musel ty krabice mit 4(a dle vyse uvedeneho nazoru samo min 8, aby jeji vypadek neohrozil provoz). A ted si predstav, ze ten "pidiISP" ma pripojku "smesny" Gbit ... filtrovat Gbit uz neni uplne zadek a rozhodne to neni krabicka za par tisicovek. Uroutovat Gbit bych si troufnul se svym PC, ale s filtrovanim by to myslis slo do pekny zadele. Rekneme, ze ten ISP ma +- 1k klientu. A rekneme ze ta jedna "krabka" bude stat 200k (podotykam, ze tolik stoji lepsejsi "blbej" switch). 4 krabky za 800k (nebo 8 krabek za 1M6) ... to vychazi na kazdyho zakose +- litr az dva. To se nezda jako moc .. jenze pri marzi rekneme 200Kc/zakaznik .... je to jeho rocni net ... a to uz je zcela mimo realitu. Pokud pujdem na desetinu, tak se dostaneme na cenu HW nekde kolem 80k ... deleno 4ma ... a za to se neda poridit vpostatne nic, co by zvladlo Gbit filtrovat.
-
Presne tak, stejne jako kazdy podnikatel - potrebuju to? Prinese mi to neco? Vydela mi to neco? ... vzdy je odpoved NE.
Je spousta firem, které investují do věcí, které samy o sobě "nic nepřínáší". Říká se tomu social responsibility. Když se to umí prodat, má to i nějaký finanční efekt.
a jelikoz tech hranic je vic (v mem pripade pokud vim 3-4), tak by musel ty krabice mit 4(a dle vyse uvedeneho nazoru samo min 8, aby jeji vypadek neohrozil provoz). A ted si predstav, ze ten "pidiISP" ma pripojku "smesny" Gbit ...
Asi připomenu, co jsem už naťukl: docela běžně ISPs (i "malí" - spíš bych si tipl, že převážně ti) blokují odchozí provoz na port 25. Ještě běžněji dělají NAT. A pokud vím, mají různě po cestě všelijaké routry (jak už tady někdo psal, jeden router na barák apod.), které můžou dělat totéž na menších tocích.
Neznám prostředí ISPs, ale nejde mi do hlavy, že by to bylo tak dramatický, jak to popisuješ.
-
Ano, jde o náklady a obchod s těmito službami. Takže jde i o mne jako zákazníka. Tedy pokud já se dozvím, že můj provider se nefiltrováním podílel na např. chodu bootnetu a s toho důvodu se např.lidé nemohli dostat ke svému internetovému bankovnictví, zřejmě změním poskytovatele internetu !
Tedy, žádný nátlak od státu, žádné lékárničky. Prostě normální trh. Ovšem má to podstatný háček a to sice. Jak já se to a zda vůbec jako koncový zákazník dozvím? A kolik koncových zákazníků bude o takovou informaci stát, navíc je tu ve hře i otázka trestného činu pomluvy. Obráceně však zřejmě lze jen velmi těžko podat nějaký podnět k šetření na Český telekomunikační úřad.
Obecně je okolo poskytování internetu až příliš mnoho vakua ( neznalostí na straně koncových klientů ) a obávám se, že někteří provideři na to hřeší. Jednoduchý dotaz. Za jakých podmínek smí být vedeno připojení ke koncovému zákazníkovi volně po fasádě, bytového domu ve vlastnictví města, případně jakou linkou ?
-
Je spousta firem, které investují do věcí, které samy o sobě "nic nepřínáší". Říká se tomu social responsibility. Když se to umí prodat, má to i nějaký finanční efekt.
Ano, takove velmi rychle a brzo krachnou. Fakt by me zajimalo, jak zpenezis to, ze zakaznikum zvednes % nefunkcnosti sluzeb na netu.
Asi připomenu, co jsem už naťukl: docela běžně ISPs (i "malí" - spíš bych si tipl, že převážně ti) blokují odchozí provoz na port 25. Ještě běžněji dělají NAT. A pokud vím, mají různě po cestě všelijaké routry (jak už tady někdo psal, jeden router na barák apod.), které můžou dělat totéž na menších tocích.
Neznám prostředí ISPs, ale nejde mi do hlavy, že by to bylo tak dramatický, jak to popisuješ.
ISP blokujici porty 25 neni ISP ... ze ... to je tak nejakej franta z horni dolni co preprodava svejm 50ti spoluvesnicanum svoje DSL. A misto par krabek koupit par desitek krabek, a exponencielne tim zeslozitit administraci, pocet vypadku ... mno ... to jiste kazdyho potesi.
2Tom: A kdyz tvi sousede v siti budou zcela neanonymne dosovat tvoji banku a ta blokne celej rozsah, tak budes chtit, aby ISP filtroval ... i tebe, protoze priste, se toho DOSu muzes ucastnit trebas i ty? A japa asi tak TVUJ ISP ovlivni to, ze ja pouziju TVOJE IPcko? zeby ... presne ... naprosto ... nijak? Co myslis, jak je (trebas) slozity dostat neci mailserver na nektery pouzivanejsi blacklist? Lusknutim prstu.... proto to nikdo rozumnej nepouziva.
Navic to, ze nekomu nefunguje jeho sluzba (trebas ty bance) je proste vzdy a vyhradne jejich chyba. Je to naprosto stejny, jako kdyz market udela kampan na fullHD tv za 3k ... a ma v cely republice jednu ... a pak se strasne divi, kdyz tam nabehne 10k lidi a jeste se o to porvou ...
Bance prece nikdo nebrani v tom, zajistit si konektivitu k tvemu ISP naprimo ... pokud ti bude chtit poskytnout garantovane sluzby. Jenze to by se prozmenu nelibilo tobe ... kdybys tomu ISP nebo ty bance musel platit par desitek tisic mesicne.
Mimochodem, zjisti si, jak funguje ethernet a IP protokol ... neni tam nikde ani slovo o tom, ze by neco nekde nejak melo fungovat. Vzdy je tam jen informace, ze se sit/jednotlivy zarizeni/... budou snazit paket dorucit "jak nejlepe je to mozne". Pokud chces, aby ti nekdo zajistil zcela garantovanou sluzbu, obrat se trebas na FDDI.
-
Osobně nemám problém. Mám tři na sobě nezávislá internetová připojení. Internetové bankovnictví potřebuji dvakrát měsíčně. A providerů je v Liberci dost na to abych si mohl jako koncový zákazník vybírat. I ke smlouvě mohu přistupovat jinak.
-
Samo ze si muzes vybirat ... ale jak by se ti libilo, kdyby vsichni zdrazili na dvojnasobek, protoze si chteji koupit ty filtrovaci krabice ...
Uvedom si, ze narozdil od hlasu je net naprosto extremne konkurecni prostredi (samo, to holt taky znamena, ze v horni dolni se nevyplati provozovat cokoli nikomu ...), tudiz sou marze stlaceny na minimum. Konektivita jako takova nestoji prakticky vubec nic (a nemluvim o 1:bambilion). Takze proc by mel ISP utracet za neco, co stoji spoustu penez, kdyz zrychleni linky o rad bude stat setinu? Vem si, ze pri cene nekde na urovni 10k (linka s SLAckem v licencovanym pasmu) mi opakovane nabizej zrychleni linky (ktery nepotrebuju) na dvonasobek za tisicovku az dve ... jednoduse proto, ze ta konektivita nic nestoji, ve srovnani s tim HW, na kterym to jede (porizovaci cena spoje cca 1/4M).
Takze co myslis, co je pro tvyho ISP dulezitejsi ... tech par set/tisic ... klientu, kteri chtej 100Mbit za 3kilca ... nebo ty, kterej chces resit nejakej virtualni problem nekoho naprosto ciziho? Co myslis, kolik % z tech "trikilacu" by melo pochopeni pro to, ze budou platit petikilo, aby nahodou zrovna od jejich providera ten jeden clovek s Mbitem uploadu negeneroval DOS s podvrzenejma IPckama?
-
Pokud chce někdo bydlet v horní dolní a mít tam internet holt se bude muset starat trochu víc a víc to bude i stát. A bude na jeho zvážení zda se mu to vyplatí. Zároveň je otázkou zda ten kdo je poskytovatel může nebo by měl řešit co a proč chce zákazník. Domnívám se, že by se poskytovatel neměl stavět do role obránce nízkých cen připojení pro koncové zákazníky.
Pravdou však je, že je to možná velmi nafouknutý problém. Je dost možné, že Adam Golecký z NIXu brání vlastně pouze obchodní zájem své firmy, když navrhuje, propaguje používání filtrace podle BCP38. Nebo že nemá pravdu Rhinox : "...If everyone worldwide implemented RFC 2827 filtering, the Internet would be a much safer place because hiding behind IP spoofing attacks would be nearly impossible for attackers..."
Do kamene tesat, do kamene! Nebo jeste lepe psat do smlovy s kazdym ISP (zejmena koncovym prodejcem konektivity), jako podminku prideleni nakeho IP-rozsahu...
Jako spíše komix mi zatím přijdou takovéto apely, http://www.root.cz/clanky/role-uzivatelu-pri-boji-s-kybernetickymi-utoky/ na uživatele internetu. Většina lidí se nezamýšlí ani nad tím co sdílí za informace. Jde tedy o to, za co v budoucnosti budou koncoví uživatelé zodpovědní. Přesněji zda bude nějaký § který je bude zodpovědnými činit. Zatím pouze Anonymous vyzývají dotazem k poskytnutí počítače a připojení k DDOS útoku na státní správu, politické strany a banky.
Vyskytly se i názory a něco na nich může být, že poslední DDOS útoky byly takovým "bezpečnostním školením" a "promo" akcí právě prodejců bezpečnostních řešení nebo tréninkem na zcela jiný cíl.
-
V okamžiku, kdy na běžném internetu často nepojede elektronické bankovnictví a přístup na důležité weby - vznikne poptávka zákazníků po řešení situace. A tito zákazníci si potom rádi připlatí za nějakou omezenou konektivitu na bezpečném kanálu - který bude mít na důležitých webech vyhrazenou kapacitu a bude pod stálým dohledem. Není potřeba mít gigabity - je potřeba, když nic nefunguje mít aspoň přístup 56k - je to výrazně cennější než 0.
Adam Golecký: " Pak je tu ještě jedna možnost: teoreticky by se všechny sítě používající filtraci podle BCP38 mohly domluvit a spojit se v NIXu do jedné VLAN. Pak by věděly, že v tomhle prostoru je bezpečněji."
-
2petík: Sem vazne zvedav, jak oni donuti sve peery a pak predevsich peery tech peeru a jejich peery ... aby neco takovyho delali. Jiste, muzou se od nich odpojit ... a sitovat si sami mezi sebou.
A to vubec nemluvim o tom, ze sem tahas naprosty kravinium. Co si pamatuju, nikdy v historii nedoslo k tomu, ze by byla zahlcena konektivita nejakyho ISP. A pokud zbuchne server, muzes mit klidne 100Gbit optiku primo na ten server, bude ti to nanic.
-
Reakce povolanějšího na j-ova tvrzení:
na hranicnich routerech veskery provoz k nam a od nas prochazi filtrem, ktery zahazuje to, co v danem smeru nema co delat. [...] u kazdeho zakaznika (vsichni maji verejnou) je na MT filtr (generovany automatem), ktery od nej nepusti nic nez jemu pridelene IP [...] IMHO naklady zanedbatelne. A pokud by vsichni ISP filtrovali na hranicich sve site, bylo by o problem mene.
Reakce na j-em udávané náklady:
tak tohle je totalni nesmysl. Kazdej ISP ma nekde nejake zarizeni, kterym prochazi cely tok (alespon nejake casti jeho zakazniku) a na nem se dela accounting/omezovani toku, NAT apod. Do nej pridat par filtru uz nestoji nic. Rozumny ISP ma vlastni AS a filtrovat na BGP routerech toky od/k nadrizenych peeru neni IMHO problem.
https://ispforum.cz/viewtopic.php?f=51&t=12153
-
Ja chci videt, jak ten mamlas (neb jinak se to napsat neda) na bgp routeru pozna, co mu od toho peera prave ma/nema chodit ... fakt to chci videt ...
Nemluve o tom, ze ten clovek absolutne vubec nema paru o tom, jakou zatez vygeneruje filtrovani nejakyho trafficu - kde se nebavime o Mbitech, ale Gbitech. Oni si totiz ISPcka ty krabice za miliony porizujou jen tak pro srandu ... nebo trebas v NIXu se switchuje taky jen tak zzadeke ... sak by se tam dal flanout prece router, a tech par stovek Gbit routovat, jeste pri tom filtrovat a NATovat ... nic to nestoji ...
A tudiz se k tomu dal nema smyslu vyjadrovat. Takovycho cloveka bych si do site nepustil.
-
Ja chci videt, jak ten mamlas (neb jinak se to napsat neda) na bgp routeru pozna, co mu od toho peera prave ma/nema chodit ... fakt to chci videt ...
Neni nic jednodussiho, nez se ho zeptat na tamejsim foru. Kdyz si tady dal povedes svuj monolog, tak tim nikomu nepomuzes.
-
Ja chci videt, jak ten mamlas (neb jinak se to napsat neda) na bgp routeru pozna, co mu od toho peera prave ma/nema chodit ... fakt to chci videt ...
Neni nic jednodussiho, nez se ho zeptat na tamejsim foru. Kdyz si tady dal povedes svuj monolog, tak tim nikomu nepomuzes.
problém je trochu v tom, že j tomu, narozdíl od tebe, rozumí a zřejmě fakticky provozuje.
-
problém je trochu v tom, že j tomu, narozdíl od tebe, rozumí a zřejmě fakticky provozuje.
Co j provozuje a neprovozuje, to si muzeme jenom vyfantazirovat. Netvrdim, ze nema pravdu, prave proto, ze jsem nikdy u ISP nepracoval. Jenom proste tem duvodum, co rika, nerozumim, proto dotaz na foru, kde se pohybuji lidi, kteri tomu rozumi.
Pokud chce j rozporovat neci tvrzeni opacna k tem jeho, tak to ma udelat tam a ne tady, kde mu nikdo primo neodporuje a pokud s nim nekdo nesouhlasi, tak jenom ve stylu "co pises se mi nezda".
-
...Nemluve o tom, ze ten clovek absolutne vubec nema paru o tom, jakou zatez vygeneruje filtrovani nejakyho trafficu - kde se nebavime o Mbitech, ale Gbitech. Oni si totiz ISPcka ty krabice za miliony porizujou jen tak pro srandu ...
Ja bych rekl, ze tu "paru" o tom ma. Ono je rozdil filtrovat dle zdrojovych adres (coz je naprosto primitivni vec, a na 1gbit rychlosti to zvladne kdejaky domaci router za par stovek), a filtrovat dle obsahu packetu (nebo statefull, pattern, ips, atd). Na to druhe filtrovani potrebujes ty "krabice za miliony", s docela slusnym HW...
-
Rozumite tomu jak koza nakladaku.
Filtrovani velmi vyrazne brzdi router viz http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6723/prod_white_paper0900aecd803936f6.html
Myslet si ze si do border routeru jentak nastavite ten bogon list filter (asi 30 polozek). To si budete muset hodne priplatit na HW. Pohadkama o tom jak filtruji na border routerech vas krmi ti co tam maji prakticky nulovy trafik. Ano je to tak primitivni vec, jen 10 ruli zvedne trojnasobne CPU % na routeru.
Pohadky o tom ze domaci router s pomalym procakem prefiltruje gigabit, ten casto neudela ani routing 100 Mbit se standardnima 500 byte paketama. Podivejte se, border routery jsou extremne drahe a u nas mame linku JENOM 45Gbit.
Navic resite naprosto imaginarni problem, prenosova kapacita je levna, nedavno mi nabizeli jestli od nich nechci 120Gbit ze maji pobliz optiku, ze si proste k nim natahnu drat a daji mi to velmi levne protoze to proste potrebujou prodat. To co je drahy je linka a hardware. Nebudu investovat do pripojeni kdyz pro nej nemam vyuziti a to upozornuju ze nefiltrujeme vubec nic - napriklad lidem z DSL torrenty nebo serverum odchozi trafik aby si nebrali vic nez maji zaplaceno.
Myslet si ze providera 1-2 Gbit DDOS (to je asi tak prumer) polozi je pitomost, navic trvaji dost kratce - kdyz zjisti ze to ustojite tak to utne. Tady mate graf z wedosu https://www.facebook.com/photo.php?fbid=10150675220757780&set=a.10150673610907780.458111.259342012779&type=3&theater Rekneme ze wedos je pripojenej 10 Gbit linkou a plati podle trafiku kterej jim tam chodi. Rozdil mezi tim jestli jim tam chodi 1 gbit nebo 3 gbit (s ddosem) je ale velmi velmi maly vzhledem k cene linky a hw.