Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Lol Phirae 07. 07. 2016, 14:15:46

Název: Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 07. 07. 2016, 14:15:46
Děje se vám to též? Na libovolném tunelu od HE při zadání dotazu do ARESu (http://wwwinfo.mfcr.cz/ares/ares_es.html.cz) obdržím pouze toto:

Citace
Přístup nebyl povolen

Z vaší IP adresy, nebo z IP adres skupiny uživatelů, které jste součástí (uživatelé přistupující přes firewall organizace, nebo uživatelé využívající služeb poskytovatele připojení k internetu) došlo k závažnému porušení pravidel pro bezpečnost provozu (viz provozní podmínky: http://wwwinfo.mfcr.cz, nebo http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz). Jsme proto nuceni až do vyšetření zamezit přístup k IS ARES. Všem, kteří nenesou vinu na porušování provozních podmínek, se omlouváme a doporučujeme obrátit se na správu firewallu vaší organizace nebo na vašeho poskytovatele služeb připojení k internetu.

Access forbidden

A serious infringement of rules concerning operational security has occurred. The reason can be at your IP address or at IP addresses of your user group (the users who use an access through a firewall of their organisation or those who use an internet service provider). Please, see the operating conditions at http://wwwinfo.mfcr.cz/ares/ares.html.en or http://wwwinfo.mfcr.cz/ares/ares_podminky.html.en. Unfortunately, we are forced to cancel your access to the ARES IS until the reason of the infringement has been identified. We recommend that the users who are not responsible for the infringement of the operational security should contact their firewall administrator or the relevant internet service provider. Please, accept our apologies for the inconvenience that this has caused you.

(Po nacpání IPv4 adresy wwwinfo.mfcr.cz do hosts vše funguje normálně.)
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Pavel vv 07. 07. 2016, 14:43:54
Tak že vyřešeno, používej ipv4
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 07. 07. 2016, 14:52:20
Tak že vyřešeno, používej ipv4

Dobrý den, vy jste z MF? Relevantnost odpovědi by tomu nasvědčovala. Až na MF nějakého génia napadne zablokovat třeba nějakou /22 na IPv4, tak předpokládám, že všichni zákazníci daného providera mají taky smůlu. (Nehledě na to, že jsme na tom tak dobře, že za jednou IP na CGN jsou stovky zákazníků, kteří si mj. i tuhle srandu platí z daní.)
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 07. 07. 2016, 23:38:30
Sou to retardi ... to je easy ... mimochodem, cet si ze muzes vygenerovat max 1k requestu/den? Teda pres noc dokonce 5k ... realne dostanes ban po cca 2k5 (docasne). Jo ... a taky nezapomen na to, ze v zavislosti na idiocii tvyho softu (jeho tvurcu) to muze na jednu firmu zbouchat klido 20 requestu.

To vis, stoji nas to jen miliardy, tak co bys nechtel ...

Jo a precet sis ze za ty data nerucej? Naprosto bezne totiz dostanes ze 3 ruznych rejstriku trebas 3 ruzny adresy ... takze si muze hodit minci, ktera je spravna. To, ze nevedi ani jak se spravne jmenujou ulice ...

BTW: Posli nasranej mail buresovi, ne ze by to pomohlo, ale aspon si ulevis. Pocitam ze ti de o neco na tema buresovo dph bonz system a to, ze mas blbe/nemas DICa ...
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 08. 07. 2016, 00:29:02
Sou to retardi ... to je easy ... mimochodem, cet si ze muzes vygenerovat max 1k requestu/den?

No já negeneruju nic, párkrát týdně tam něco hledám. Ještě cca před 14 dny to fungovalo normálně.

BTW: Posli nasranej mail buresovi, ne ze by to pomohlo, ale aspon si ulevis.

Jo, stížnost plánuju, opravdu neuvěřitelnej postup, tohle.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: M. 08. 07. 2016, 07:59:22
Na ARES nelezu, zkusil jsem. Ano, přes HE tunel do Práglu stejná hláška. Přes SixXS tunel do Prahy to jde OK.
IMHO dělají to, že když dělá nějaká IP moc dotazu, tak bloknou celý rozsah, do kterého ta IPv4/6 patří, registrovaný dle whois...
A HE nedělá registraci koncových přidělených /48 na tunely, tak bloknou celou 2001:470::/32. SixXS registrace koncových přídělů dělá, takže tam by snad ARES blokoval jen tu koncovou /48?
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 08. 07. 2016, 08:23:14
Zapomen, sedi tam naprosto neschopnej tatar, a ten si proste blokne to, na co si vzpomene ... co myslis, kdyz napises adminovi, odpovi ti? (a to ze zakona do 30 dnu MUSI). Specielne prave vsechno pod mf neustale nefunguje nebo funguje totalne blbe. Neni to tak dlouho, co sem resil, proc se nemuze ucetni dostat na nejakej web kvuli clu ... a neslo to proto, ze ti kreteni meli v DNS IPv6, ale ten rozsah nebyl vubec naroutovanej.

Dtto je treba katastr - ze zakona verejnej registr. A kdyz se chces na neco podivat, mas tam pojebanou capsu, pres kterou se budes dostavat hodinu.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 08. 07. 2016, 08:50:03
IMHO dělají to, že když dělá nějaká IP moc dotazu, tak bloknou celý rozsah, do kterého ta IPv4/6 patří, registrovaný dle whois... A HE nedělá registraci koncových přidělených /48 na tunely, tak bloknou celou 2001:470::/32.

No jistě, jinak by totiž admin musel použít mozkové myšlení a nedejbože něco dělat - a to bolí. Co mě na tom sere naprosto nejvíc není ani to, že nějaký debil jedním kliknutím zablokoval 4+ miliardy /64 sítí, ale to, že tento přístup evidentně považují za systematické řešení a ještě doporučují lidem takovou kokotinu, jako ať s tím otravují ISP. Co by s tím jako ISP měl proboha dělat? Každý normální webserver disponuje možností nastavit rate limit.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Jenda 08. 07. 2016, 08:51:30
Hezký, myslíte, že takhle půjde zablokovat i EET? :)
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 08. 07. 2016, 11:22:10
Srdečné pozdravy na ministerstvo financí...  >:(

Citace
Ministerstvo financí ČR
Letenská 15
118 10 Praha 1
petice.stiznosti@mfcr.cz

Elektronicky


V ........... dne 8. 7. 2016

Věc: Stížnost na blokování přístupu k informačnímu systému ARES


Vážení,

dle mého zjištění je již několik týdnů blokován přístup k vyhledávání v informačním systému ARES (http://wwwinfo.mfcr.cz/ares/) z celého IPv6 prefixu 2001:470::/32. Tento prefix je přidělen společnosti Hurricane Electric, Inc. (https://whois.arin.net/rest/net/NET6-2001-470-1.html) a slouží k poskytování tunnel broker služby (https://tunnelbroker.net/) milionům uživatelů po celém světě .

Již několik týdnů při připojení přes IPv6 a pokusu o vyhledávání přes informační systém ARES obdrží zákazníci využívající shora uvedenou službu společnosti Hurricane Electric, Inc. pouze následující chybové hlášení:

„Z vaší IP adresy, nebo z IP adres skupiny uživatelů, které jste součástí (uživatelé přistupující přes firewall organizace, nebo uživatelé využívající služeb poskytovatele připojení k internetu) došlo k závažnému porušení pravidel pro bezpečnost provozu (viz provozní podmínky: http://wwwinfo.mfcr.cz, nebo http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz). Jsme proto nuceni až do vyšetření zamezit přístup k IS ARES. Všem, kteří nenesou vinu na porušování provozních podmínek, se omlouváme a doporučujeme obrátit se na správu firewallu vaší organizace nebo na vašeho poskytovatele služeb připojení k internetu.“

Podotýkám, že k žádnému porušení podmínek provozu (http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz) z mé strany nedošlo. Rovněž jsem ověřil, že stejný problém se vyskytuje při použití libovolného jiného /64 tunelu, a to i nově vytvořeného, ze kterého nikdy předtím k přístupu k informačnímu systému ARES nedošlo.

Vzhledem k vyčerpání IPv4 adres a stavu implementace IPv6 u jednotlivých poskytovatelů internetového připojení v ČR jsou tyto IPv6 tunely pro mnoho zákazníků jedinou možností, jak získat veřejné IP adresy a zajistit si spolehlivou IPv6 konektivitu k internetu. Dovoluji si upozornit, že zablokováním přístupu ze sítě HURRICANE-IPV6/NET6-2001-470-1 došlo k zablokování přístupu z 232 podsítí s prefixem /64 (nejmenší možná síť při použití IPv6 protokolu, každá z těchto podsítí obsahuje 264, tj. 18,446,744,073,709,551,616 IP adres) - což ve výsledku znamená zablokování přístupu z 296 IPv6 (tj. 79,228,162,514,264,337,593,543,950,336 IPv6 adres). Pro Vaši lepší představu, celý adresní rozsah IPv4 zahrnuje 4,294,967,296 IPv4, přičemž určité rozsahy jsou vyhrazené a pro připojení k internetu nepoužitelné. Správce informačního systému ARES tedy zablokoval přístup pro 18,446,744,073,709,551,616krát větší množství IP adres, než kolika (teoreticky) disponuje celý IPv4 internet.

Celá věc je o to horší, že – soudě podle výše citovaného chybového hlášení – MF ČR zřejmě toto opatření považuje za systémové a blokaci celých podsítí realizuje zcela běžně i v případě IPv4 konektivity. Jak již bylo uvedeno, IPv4 adres jsou vyčerpány a je jich kritický nedostatek. Zákazník nemůže žádným způsobem ovlivnit, přes jakou veřejnou IPv4 adresu je k internetu připojen, přičemž vzhledem k vyčerpání IPv4 adres je zcela běžné, že zákazník veřejnou IPv4 adresu vůbec nemá, jeho zařízením jsou přidělovány pouze IPv4 adresy z rozsahu vyhrazeného pro soukromé sítě (https://tools.ietf.org/html/rfc1918), případně z adresního rozsahu určeného pro tzv. carrier grade NAT (https://tools.ietf.org/html/rfc6598); za jedinou veřejnou IPv4 adresou poskytovatele připojení k internetu se tedy nacházejí stovky i desítky tisíc zákazníků. Největší poskytovatelé internetu v ČR, jako např. společnosti O2 nebo T-Mobile, již několik let nepřidělují novým zákazníkům veřejné IPv4 adresy, ale pouze IPv4 adresy neveřejné. Veřejné IP adresy jsou přidělovány pouze z rozsahu IPv6 a jedinou plnohodnotnou internetovou konektivitou je v těchto případech IPv6 připojení.

Vzhledem k výše uvedenému je zcela zjevné, že i k blokování jediné IPv4 adresy je třeba přistupovat nanejvýš obezřetně, neboť takovéto blokování může ovlivnit přístup ke službě pro tisíce lidí. Situace, kdy krom blokování jednotlivých IPv4 adres dochází k blokování celých IPv4 a IPv6 podsítí až na úrovni celé alokace pro jednotlivé ISP, je neudržitelný. Informační systém ARES, stejně jako další informační systémy provozované státní správou, musí především plnit svůj účel a sloužit uživatelům, tedy též daňovým poplatníkům. Dále je namístě podotknout, že existují řešení daleko vhodnější, přiměřenější a taková, která nepostihují zcela nesmyslně a neoprávněně miliony uživatelů jednotlivých ISP - to vše navíc v době, kdy MF ČR po daňových poplatnících vyžaduje, aby své zákonné povinnosti plnili prostřednictvím elektronických podání, a kdy plnění těchto povinností vyžaduje ověřování údajů např. v databázích plátců DPH, které jsou rovněž přístupné přes informační systém ARES. Místo takovéhoto nepřijatelného plošného blokování realizovaného navíc ve zjevně zcela nepřiměřeném rozsahu lze využít například vhodně nastavený rate limiting (omezení počtu dotazů/požadavků za jednotku času)  na úrovni webového/aplikačního serveru, případně na úrovni firewallu.

Dle usnesení vlády č. 727/2009  (https://apps.odok.cz/attachment/-/down/KORN97AR4LRO) (bod II/2) bylo ústředním orgánům státní správy uloženo „do 31. prosince 2010 zajistit přístup k internetovým stránkám a veřejně dostupným službám eGovernmentu … i internetovým protokolem verze 6“. Zajištění podpory IPv6 dále ukládá i usnesení vlády č. 982/2013  v bodech II/1 písm. d) a II/3 (https://apps.odok.cz/attachment/-/down/VPRA9EVEBJYC). K naplnění těchto požadavků na podporu IPv6 těžko může dojít, pokud je přístup k informačním systémům prostřednictvím IPv6 protokolu masivně bezdůvodně blokován.

Dle § 175 odst. 5, 6 správního řádu žádám o vyrozumění o vyřízení stížnosti, výsledku šetření a opatřeních přijatých k nápravě v zákonné lhůtě.


S pozdravem,

Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 08. 07. 2016, 13:27:53
No dobry. Tak sem nezapomen dat i tu odpoved, pokud se ti uraci v zakonem predepsane lhute opovedet. Jeste bys mozna mohl podat trestni oznameni na MF se zduvodnenim, ze ti branenim v pristupu k tomu jejich zazraku brani ve vykonavani zakonem ulozenych povinnosti.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 08. 07. 2016, 15:07:21
Tady je oficiální formulář (http://adisreg.mfcr.cz/cgi-bin/adis/idph/int_dp_prij.cgi?ZPRAC=FDPHI1&poc_dic=2) na alternativní vyhledávání plátců DPH. Tam mě asi zabanujou taky, protože jsem dal vyhledat nespolehlivé plátce bez zadání DIČ, načež to asi 10 minut (!!!) zuřivě chroustalo a postupně z toho lezl jak z chlupaté deky nestránkovaný seznam 5597 nespolehlivých plátců. Co by se stalo, kdybych nechal vyhledat plátce "spolehlivé", si raději nepředstavuju a zkoušet nebudu.

No comment. ::) ::) ::)
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 08. 07. 2016, 20:34:25
Neblbni, dyk to stoji jen miliardy ... to prece nemuze za takovy drobny fungovat.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: jeniceek 09. 07. 2016, 19:31:45
Asi si admin na MF myslí, že /32 je nejmenší velikost bloku v IPv6. Poslal jsem jim zprávu, ať s tím něco udělají, tak uvidíme. Kvůli někomu bloknout 2^96 adres je docela těžký hardcore. Se divím, že nevypli rovnou 2000::/3
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 09. 07. 2016, 20:04:10
Poslal jsem jim zprávu, ať s tím něco udělají, tak uvidíme.

Díky, aspoň nebude Bureš posílat kontroly jenom ke mně...  ;D

Se divím, že nevypli rovnou 2000::/3

Taky jsem překvapen. ::)
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: BzF 09. 07. 2016, 21:54:14
..., načež to asi 10 minut (!!!) zuřivě chroustalo a postupně z toho lezl jak z chlupaté deky nestránkovaný seznam 5597 nespolehlivých plátců. ...
Kua Lol,
co nechápeš na pojmu Open Data ve státní správě???
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: tdvorak 12. 07. 2016, 07:56:08
Hezký, myslíte, že takhle půjde zablokovat i EET? :)
Myslím, že ano. Z legrace jsem si napsal EET klienta v Javě. Lokálně testy procházejí bez problémů, ale z Travis-CI serverů odmítá EET WS (https://pg.eet.cz:443/eet/services/EETServiceSOAP/v2) veškerou komunikaci. Pro nějaké cloudové účetnictví to jistě bude nemilé.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 12. 07. 2016, 09:11:13
Hele, hestli to eet bude zvladat taky tisicovku req/den/ip ... tak se to zhrouti po 10s provozu. A to zcela samo bez vnejsich pricin.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: PetrM 12. 07. 2016, 14:18:20
Hele, hestli to eet bude zvladat taky tisicovku req/den/ip ... tak se to zhrouti po 10s provozu. A to zcela samo bez vnejsich pricin.

10s? Tolik času bych jim nedával.

Čmoudová aplikace se 150k klientama v jednom datacentru za NATem bude stačit a nebude se říkat jenom "Data v cloudu, data v čoudu", ale "Účto v čmoudu, firma v čudu."
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 15. 08. 2016, 12:49:29
Porucha na elektroinstalaci justičního areálu v Praze vyřadila rejstříky. Nyní tak nefungují aplikace jako insolvenční rejstřík, rejstřík trestů, otevřených dat nebo podatelny. (http://zpravy.idnes.cz/vypadek-systemu-justicniho-arealu-na-micankach-frx-/domaci.aspx?c=A160815_113027_domaci_jkk)

Výborně, soudruzi. Systémy pořízené v neuvěřitelně předražených zakázkách asi jedou u Boženy někde v kanclu, a když Božka vyhodí proud při vaření kafe, tak jsme offline a vyřízení.

Á propos, Božena nám vzkazuje, že se nic odblokovávat nebude, máme prý zkusit hledat jinde, kde to zatím funguje - tedy do doby, než to masivní dotazování z desítek IP adres (sic!!!) zase shodí a oni zablokují další kompletní ISP rozsah.

Citace
Vážený pane,

k Vašemu dopisu z 8. července 2016, zaslaného elektronicky
na petice.stiznosti@mfcr.cz ve věci stížnosti na blokování přístupu k IS ARES, Vám sděluji
následující.

17. června 2016 bylo zjištěno, že dochází k značnému přetěžování serverů, na kterých je provozován IS ARES, které způsobovalo výpadky v dostupnosti IS ARES. Příčinou bylo masivní dotazování z desítek IP adres z adresního rozsahu 2001:470::/32. Protože tímto došlo k porušení podmínek provozu: http://wwwinfo.mfcr.cz/ares/ares_podminky.html.cz bylo přistoupeno k postupnému blokování jednotlivých IP adres z výše uvedeného rozsahu. Reakcí na toto zablokování bylo okamžité spuštění dotazování z jiných IP adres s tím, že jejich počet dále narůstal. Proto bylo přistoupeno k postupnému blokování adresních podrozsahů, z kterých bylo toto masivní dotazování průběžně detekováno. Tento stav trval až do 24. června 2016, kdy již bylo nutné vzhledem k častým výpadkům v dostupnosti IS ARES zablokovat výše uvedený adresní rozsah. K tomuto opatření bylo přistoupeno v zájmu zajištění funkčnosti a dostupnosti IS ARES pro všechny uživatele, kteří jej využívají ke své práci a dodržují výše uvedené podmínky provozu.

IS ARES pouze souhrnně zpřístupňuje veřejně dostupné údaje, které přebírá od institucí, které ze zákona vedou registry a evidence o ekonomických subjektech (zdrojové registry). Proto Vám v případě nedostupnosti IS ARES, z výše uvedeného adresního rozsahu, navrhuji dotazovat se přímo do těchto zdrojových registrů:

Veřejný rejstřík: https://or.justice.cz/ias/ui/rejstrik
Registr živnostenského podnikání: http://www.rzp.cz/
Registr ekonomických subjektů: http://apl.czso.cz/irsw/

S pozdravem

Ing. Božena Zděnková
ředitel odboru Rozvoj ICT
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 15. 08. 2016, 14:56:21
To by me zajimalo, ve kterym ustavu choromyslnych ty pice dali toho inzinyra ... o sitich a IPckach zjevne nevi vubec nic.

Jinak se nediv, stoji to jen miliardy, takze to rozhodne nemuze zvladnout tech par stovek dotazu denne ...
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 15. 08. 2016, 14:57:18
No, oni udelali web a pak zjistili, ze jim na nej lezou nejaci zasrani navstevnici a narusuji jim tim funkcnost webu. Postupne zablokovani celeho Internetu je jedinym spravnym resenim. Akorat tedy ten firewall bude mit za cas tak husta pravidla, ze budou potrebovat vykoneW, nez maji na ten web.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: to_je_jedno 15. 08. 2016, 15:48:42
Trochu si protirecis... Az splni cil tak jim bude stacit jedine pravidlo - deny all.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 15. 08. 2016, 16:26:19
No, oni udelali web a pak zjistili, ze jim na nej lezou nejaci zasrani navstevnici a narusuji jim tim funkcnost webu. Postupne zablokovani celeho Internetu je jedinym spravnym resenim.

Zjevně. Smutným faktem zůstává, že pokud tam budou sedět podobní experti, bude přístup zablokován a žádné skutečné řešení se realizovat nebude. Jedinou možností, jak tento stav změnit, je správní žaloba - nejsem si zrovna jist, zda mám chuť investovat 3000 do soudního poplatku, věnovat čas sepsání žaloby a doufat, že za cca dva roky, až se k tomu naše přetížené soudy (http://paragraphos.pecina.cz/2016/08/vytrznik-z-vyskova.html) dostanou, někdo pochopí problém a žádoucím způsobem rozhodne a bezúročný úvěr se mi od státu vrátí.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: lopata 15. 08. 2016, 16:53:05
je to priserny kocourkov...

jsem zvedav, jak dlouho bude trvat, nez se lidi naserou a provedou DDOS na statni spravu uplne nezavisle vsichni ve vsech agendach ve ktere ma pravomoci.

osobne uz se toho DDOSu na justici s vytrznictvim za ucelem zkvalitneni sluzeb ucastnim, protoze jeste dva roky je nechat fungovat tak jak jsou zvykli a misto DDOSu je pujde ten dav povesit. staci se podivat na historickou naladu do kterekoliv diskuze, kde nahodny ctenar zminil, ze uz se blizi cas, kdy budou soudce veset.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 15. 08. 2016, 17:45:06
Trochu si protirecis... Az splni cil tak jim bude stacit jedine pravidlo - deny all.

Jo, ale nez se postupnym blokovanim dostanou az k tomu, budou tech adres a pravidel miliony. Az zablokuji vsechno, muzou tam strcit levny cinsky router.

Zjevně. Smutným faktem zůstává, že pokud tam budou sedět podobní experti, bude přístup zablokován a žádné skutečné řešení se realizovat nebude. Jedinou možností, jak tento stav změnit, je správní žaloba - nejsem si zrovna jist, zda mám chuť investovat 3000 do soudního poplatku, věnovat čas sepsání žaloby a doufat, že za cca dva roky, až se k tomu naše přetížené soudy dostanou, někdo pochopí problém a žádoucím způsobem rozhodne a bezúročný úvěr se mi od státu vrátí.

Tak jiste. Ale muzes zkusit jim udelat ostudu a pokusit se protlacit clanek do nejakeho tisku. Samozrejme vcetne odpovedi soudruzky inzenyrky, specialistky na reseni IT problemu. Nekdo by si treba rad smls na idiocii ministerstva.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: lopata 15. 08. 2016, 17:51:25
takhle se protikampan ve veku informacniho zahlceni a prumerne pozornosti akvarijni rybicky neda vest. zijes v moredni dobe potrebujes moderni nastroje a ne vykopavku 400 let starou.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 15. 08. 2016, 21:23:48
Ty moderni nastroje jsou na hovno, kdyz je utok adresovan politikum, kteri ty moderni nastroje dosud nepochopili. Ti si vsimnou leda tak toho, ze si z nic dela srandu Nova a Mlada Fronta. Pokud je tim polepeny cely Internet, a prislusnych mistech si toho nikdy nevsimnou. Pamatujes, jak Babis tusim rikal, ze blokovat zahranicni sazkove servery je mozne? No neni, ale on to nechape.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 15. 08. 2016, 21:53:18
Ale tak já vidím DDoS jako nástroj s poměrně velkým potenciálem - pokud by jen 10 tisíc lidí měsíčně zaměstnalo úředníky s podobnou agendou, která jim zabere aspoň dvě hodiny práce, tak to je ročně nějakých 240,000 úředníkohodin, které úředník nemůže věnovat tomu, že programově škodí a vymýšlí další snůšku buzeračních kravin. Nastudujte si aspoň základy správního řádu (to je mnohem víc, než zvládne většina těch úřednických lumenů) a pište, stěžujte si, kverulujte, trvejte na odpovědích v zákonem stanovených lhůtách, když vás hodně naserou, suďte se.

Co se týče médií, to může fungovat v případě, že to je věc, která zaprvé novinářský odpad zvládne zpracovat tak, aby zůstala zachována aspoň základní informace a zadruhé si najde čtenáře. Tohle určitě ten případ není. Dokopat někoho k tomu, aby se do hloubky zabýval tím, kolik ta věc stála, proč za ty neskutečné prachy nefunguje a proč nikdo netrvá na tom, aby fungovala tak, jak má, místo toho, aby nesmyslně bránil v jejím užívání daňovým poplatníkům, kteří to platí - tahle generace novinářů dávno vymřela a nová nebude, tady už produkujeme pouze pologramotné sluníčkové absolventy nejrůznějších fakult sociálních studií a pak bulvární odpad. Darmo mluvit.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 16. 08. 2016, 09:12:57
je to priserny kocourkov...
Dosnem babisovi eet ne? Pocitam ze 10 lidi bude bohate stacit ... refresh tak 1x za minutu a bude to dole trvale.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 16. 08. 2016, 09:45:54
Ale tak já vidím DDoS jako nástroj s poměrně velkým potenciálem - pokud by jen 10 tisíc lidí měsíčně zaměstnalo úředníky s podobnou agendou, která jim zabere aspoň dvě hodiny práce, tak to je ročně nějakých 240,000 úředníkohodin, které úředník nemůže věnovat tomu, že programově škodí a vymýšlí další snůšku buzeračních kravin.

240,000 úředníkohodin vyresi ministerstvo najmutim dalsich 115 lidi za penize danoveho poplatnika.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 16. 08. 2016, 10:38:51
240,000 úředníkohodin vyresi ministerstvo najmutim dalsich 115 lidi za penize danoveho poplatnika.

To jsme se zjevně nepochopili... Já nemyslel DDoS-vat Bureše, já myslel DDoS na státní správu obecně, 10000x je vyprudit s tim samym samozřejmě nebude efektivní, CTRL+C/CTRL+V zvládne i úředník za pár minut. Úřad, kterej budeš vopruzovat, si můžeš dle aktuální potřeby a nasranosti vybrat sám. Různý žádosti o informace podle 106/1999 Sb. jsou samozřejmě taky vhodný.  :P
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Dadko 01. 09. 2016, 11:01:57
Hm, zatial ziadna oficialna odpoved? Tiez mam tento problem a rozmyslam ako ho vyriesit.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 01. 09. 2016, 11:24:56
Hm, zatial ziadna oficialna odpoved? Tiez mam tento problem a rozmyslam ako ho vyriesit.

Oficiální odpověď je zde (https://forum.root.cz/index.php?topic=13505.msg175154#msg175154) - aneb trhni si nohou, občane, žádné systémové řešení nečekej.

Tiez mam tento problem a rozmyslam ako ho vyriesit.

Nejrychleji asi nacpáním výhradně IPv4 adresy (185.16.182.75 wwwinfo.mfcr.cz) do /etc/hosts, lokálního DNS serveru apod.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 01. 09. 2016, 18:32:36
Ono je to stejne jedno, predstav si, ze mas v databazi 100k firem ... a potrebujes nejak (kvuli buresovu hlaseni o dph) udrzovat aktualni aspon to, jestli to sou nebo nejsou platci. V nejlepsim pripade (v praxi nerealizovatelnym), jich denne checknes tak 2k5. Takze tvoje "aktualni" data budou 2 mesice stary.

A pak se stebou budou tityz idioti jako tahle pica dohadovat o tom, jak to, ze jim vykazujes fakturu na firmu, ktera uz mesic neexistuje/neni platce/...
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: kojot4 02. 09. 2016, 10:40:13
Nevím co tu řešíte, prostě jim pošlete, že používáte tuto a tuto IPv6 adresu, která podmínky užívání neporušuje a ať jí odblokují.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 02. 09. 2016, 10:49:08
Nevím co tu řešíte, prostě jim pošlete, že používáte tuto a tuto IPv6 adresu, která podmínky užívání neporušuje a ať jí odblokují.
Nevim co si nepochopil, daleko vetsi sanci mas, kdyz to posles na hlavni nadrazi.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: bezruc 17. 09. 2016, 15:36:01
Dopis dobry, ale mel bych dve otazky, pripominky.
1/ Proc pouzivate HE tunel ? znamena to ze mate ip4..? Zaroven i napriklad o2 s internetem za 300/mesicne vam da ip6 adresu.
2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.

bezruc
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: FrantaA 17. 09. 2016, 19:41:02
Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 17. 09. 2016, 21:26:57
@FrantaA: Nojo, mas pravdu. Voni si splacali system a lidi je pak otravovali tim, ze to chteli pouzivat.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Ondřej Caletka 17. 09. 2016, 22:14:30
Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
Bohužel, blokování celého prefixu /32, který je sdílen uživateli z celého světa, je naprosto nepřiměřené protiopatření. Je to asi jako, kdyby odhalili zneužívání prostřednictvím mobilních dat jednoho operátora a na základě toho odstřihli všechny zákazníky daného operátora. To už můžou rovnou službu vypnout kompletně.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 18. 09. 2016, 15:25:46
Dopis dobry, ale mel bych dve otazky, pripominky.
1/ i napriklad o2 s internetem za 300/mesicne vam da ip6 adresu.

Děkuji za radu. Přijít o veřejnou IPv4 adresu a dostat od O2 usmolenou /64 (která ještě navíc ani není statická), to je skutečné terno. Jinak HE je s funkčností asi tak několik světelných let před O2, včetně dynamického DNS, vlastních reverzních záznamů pro IPv6 apod. Tak asi proto.

2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.

Celé HE je zablokované. O GeoIP to nemá ani potuchy.

Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.

Jak má příkladmo postupovat, jsem již nastínil v té stížnosti. Jenže to by tam za ty stovky milionů a miliardy na tento a mraky dalších dojebaných IS musel někdo něco vytvořit něco použitelného , ne že se se peníze rozkradou, zakázka ve finále je outsource pro studentíky za pár šušňů na hodinu, managoři si vyplatí desetimilionové odměny, a ve finále bude u toho sedět Božena, která kliká na "Zablokovat subnet".

Krom toho bych ještě agresivně podotknul, že kdyby ty veřejné databáze vytvořené za peníze daňových poplatníků konečně někdo zpřístupnil ke stažení v použitelném formátu a následné inkrementální aktualizaci inteligentním způsobem, tak jim tam lidi nebudou honit boty.

P.S. Pro zdůraznění - já tam nic nedoluju. Já jsem to chtěl jen několikrát týdně použít ke stanovenému účelu, bez toho, abych si spravoval vlastní záznamy v DNS apod. nesmyslů. Protože k použití to je určeno.

 >:( >:( >:(
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Jenda 18. 09. 2016, 15:35:57
2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.

Tak to zní jako fakt úžasný nápad.

Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.

Já bych postupoval tak, že bych neprovozoval službu, kterou by bylo možné tímto způsobem zneužívat.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: bezruc 19. 09. 2016, 06:57:22
me prijde ze prudite :)

Dopis dobry, ale mel bych dve otazky, pripominky.
1/ i napriklad o2 s internetem za 300/mesicne vam da ip6 adresu.

Děkuji za radu. Přijít o veřejnou IPv4 adresu a dostat od O2 usmolenou /64 (která ještě navíc ani není statická), to je skutečné terno. Jinak HE je s funkčností asi tak několik světelných let před O2, včetně dynamického DNS, vlastních reverzních záznamů pro IPv6 apod. Tak asi proto.

-- ip4 preci uz musite mit, kdyz jste schopen sestavit ip6 tunel od HE. Otazka znela proc nepouzivate tuto ip4 a tunelujute pres ip6. Jestli 02 nabizi nestatistkou ip6, pak je to jen plus ne, kdyz ares rozlisuje provoz dle IP. Zaroven zakladat svuj kseft na tunelu mi prijde vice perverzni, nez nativni ip6 od o2.

2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.

Celé HE je zablokované. O GeoIP to nemá ani potuchy.

eet jako evidence trzeb, nekdo si stezoval v tomto vlaknu ze test app na aws se mu nedoboucha na eet. Tedy odpoved byla ze  podle navrhu eet to nepujde nikdy, duvod je ta geoip.

Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.

Jak má příkladmo postupovat, jsem již nastínil v té stížnosti. Jenže to by tam za ty stovky milionů a miliardy na tento a mraky dalších dojebaných IS musel někdo něco vytvořit něco použitelného , ne že se se peníze rozkradou, zakázka ve finále je outsource pro studentíky za pár šušňů na hodinu, managoři si vyplatí desetimilionové odměny, a ve finále bude u toho sedět Božena, která kliká na "Zablokovat subnet".

Krom toho bych ještě agresivně podotknul, že kdyby ty veřejné databáze vytvořené za peníze daňových poplatníků konečně někdo zpřístupnil ke stažení v použitelném formátu a následné inkrementální aktualizaci inteligentním způsobem, tak jim tam lidi nebudou honit boty.

P.S. Pro zdůraznění - já tam nic nedoluju. Já jsem to chtěl jen několikrát týdně použít ke stanovenému účelu, bez toho, abych si spravoval vlastní záznamy v DNS apod. nesmyslů. Protože k použití to je určeno.

 >:( >:( >:(

jj, svet je zlej, ares je napsanej pred 20ti lety, divim se ze jim jeste vubec funguje
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Jenda 19. 09. 2016, 07:01:13
jj, svet je zlej, ares je napsanej pred 20ti lety, divim se ze jim jeste vubec funguje
To bych chápal. Problém ale nastane, jakmile ti stát určí povinnost ho využívat (kontrola, zda protistrana existuje a zda není nespolehlivý plátce).
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Lol Phirae 19. 09. 2016, 09:29:45
me prijde ze prudite :)

Jistě. Já prudím, když chci, aby něco, co je placeno z daní, fungovalo a bylo přístupné těm, kteří mají povinnost to využívat.  Ono tímhle style za chvíli nebudou přes IPv6 přístupné rejstříky žádné, o EET a GeoIP se tu již hovořilo, a takhle to je furt dokola. Ty státní IS jsou neuvěřitelně předražené, přičemž prakticky bez výjimky z toho ve finále vyleze dokriplený moloch s naprosto nevyhovující funkcionalitou. (S IPv6 prostě nelze řešit věci tak, že bude blokovat IP adresy po miliardách.)

Ad s tím pruzením - nebýt těch prudičů, tak dodnes justice.cz nefunguje přes IPv6. Roky (!!!) s tím nikdo nic nedělal (http://zajic.v.pytli.cz/2012/06/10/jak-obejit-nefunkcni-ipv6-na-justice-cz/), protože ty věci se zjevně vůbec netestují, viz zdejší debata o přesměrování webu ÚOOÚ (http://forum.root.cz/index.php?topic=13771.msg177015#msg177015).
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 19. 09. 2016, 13:42:24
Podej trestni oznameni na zodpovedne soudruhy nebo neco. Svym pocinanim tim znemoznuji vykonavat zakonem ulozenou povinnost. Navic ti odpiraji pristup do systemu, ktery platis z dani.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: j 19. 09. 2016, 16:56:48
Dopis dobry, ale mel bych dve otazky, pripominky.
1/ Proc pouzivate HE tunel ? znamena to ze mate ip4..? Zaroven i napriklad o2 s internetem za 300/mesicne vam da ip6 adresu.
2/ Eet podle vseho bude geoip sensitiv, avs a pod tedy fungovat nebudou.

bezruc
Jasne, a /48 ti pridelej za kolik, za miliardu? Eur pochopitelne?

Proč ta agresivita? Meritum věci přece spočívá v tom, že provozovatel systému zjistil aktivitu, která byla v rozporu s jím stanovenými pravidly a přijal opatření, aby této aktivitě zabránil. Původce aktivity změnil postup, následovala další reakce provozovatele atd. až k finálnímu řešení.
Docela by mne zajímalo, jak jinak by měl provozovatel REÁLNĚ postupovat, aby byli zdejší diskutéři spokojení - prosil bych bez emocí, konkrétní návrhy.
Realne by clovek cekal, ze kdyz STAT dopice neco provozuje, a VYZADUJE aby to ovcani pouzivali, tak ze to ma provozovat tak aby se to pouzivat dalo. Zajimavy, ze jinde to zadnej problem neni. Jen v CR je to problem porad a se vsim - dalsi uzasna vec je captcha na VEREJNY (ze zakona) katastr, pres kterou projdes mozna na 30 pokus.


Bohužel, blokování celého prefixu /32, který je sdílen uživateli z celého světa, je naprosto nepřiměřené protiopatření. Je to asi jako, kdyby odhalili zneužívání prostřednictvím mobilních dat jednoho operátora a na základě toho odstřihli všechny zákazníky daného operátora. To už můžou rovnou službu vypnout kompletně.
Ja myslim ze nejlepsi reseni by bylo, kdyby vsichni ISB zablokovali vsechny IPcka ktery pouziva stat.

P.S. Pro zdůraznění - já tam nic nedoluju. Já jsem to chtěl jen několikrát týdně použít ke stanovenému účelu, bez toho, abych si spravoval vlastní záznamy v DNS apod. nesmyslů. Protože k použití to je určeno.

 >:( >:( >:(
I kdybys tu databazi stahoval naprosto celou, tak to porad delas naprosto v souladu se zakonem, jakykoli omezeni ktery vymysli nejaka pica (zduraznuju) nema naprosto zadny opodstatneni. Viz zminenej katastr.

A to nemluvim o takovy drobnosti, ze si tam muzes precist, ze za uvedeny udaje nikdo neruci, takze to, jestli nekdo je nebo neni platce natoz jesli je nebo neni spolehlivej platce ... si taky klidne muzou cucat z prstu, coz te ale nijak nezbavuje TVY odpovednosti. A taky si ty data zcela pravidelne z prstu cucaji, je fakt uzasny, kdyz ma stejna firma ve 3 ruznych registrech statu 3 ruzny adresy ... (a ani jedna z nich neodpovida realite, pricemz nejde o zadny podvodniky).
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: Jenda 20. 09. 2016, 03:31:01
A to nemluvim o takovy drobnosti, ze si tam muzes precist, ze za uvedeny udaje nikdo neruci, takze to, jestli nekdo je nebo neni platce natoz jesli je nebo neni spolehlivej platce ... si taky klidne muzou cucat z prstu, coz te ale nijak nezbavuje TVY odpovednosti.

To je taky super. Ono to začíná už tím, že to, co ti poskytnou, není elektronicky podepsané. Možná by sis mohl nějak uložit TLS komunikaci, ale jinak naprosto nemáš jak dokázat, co ti ukázali. V normálním státě by tu databázi vydávali jako Merkle tree, na root hash si nechali vždy vystavit několik nezávislých časových razítek a při dotazu by ti poslali příslušnou branch.
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: McFly 20. 09. 2016, 08:22:29
Zkoušel jsem IPv6 tunel od https://tb.netassist.ua/ (ukrajinský ISP), dostal jsem /48 blok a také je na ARESu blokován. (zřejmě se vztahuje na celý blok /32)
Název: Re:Blokování přístupu k ARES z prefixu 2001:470::/32 (HE IPv6)
Přispěvatel: JardaP . 20. 09. 2016, 09:44:07
@Jenda: V Nemecku tedy pouzivaji Merkel tree.

@McFly: Normalka. To je ochrana proti rejdum agentu KGB, kteri radi na Ukraine. Tady je jedina sance, ze by nejaky cesky politik mel firmu, ktera za uplatu poskytuje ipv6 tunely. To by se jiste postaral, aby jeho tunel blokovan nebyl. A dost mozna by se postaral, aby jeho tunel byl jediny, ktery blokovan neni.