Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: straka 19. 09. 2017, 01:29:07

Název: Blacklisty pro velké sítě na IPv6
Přispěvatel: straka 19. 09. 2017, 01:29:07
Znamena nastup ipv6 ze blacklisty ztrati vyznam, protoze bude financne nenarocne mit temer neomezene mnozstvi adres?

jak se pak budou sluzby branit?
Název: Re:ipv6 a blacklisty
Přispěvatel: Jenda 19. 09. 2017, 01:34:38
Ne, budeš blacklistovat /64 a při více provinilých /64 /48 - stejně, jako se dneska blacklistují /24.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 06:49:29
jak se pak budou sluzby branit?
Stejně jako dnes. Blacklist není obrana. Je to jako kdybyste chtěl dům „bránit“ tím, že vytvoříte seznam jmen těch, kteří vás vykradli.
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 19. 09. 2017, 08:10:13
Stejně jako dnes. Blacklist není obrana. Je to jako kdybyste chtěl dům „bránit“ tím, že vytvoříte seznam jmen těch, kteří vás vykradli.

Podle mě blacklist obrana je. Už samotný mechanismus fail2ban je formou blacklistu s dynamickým listingem a deslistingem.

Blacklisting má tu výhodu, že se dá poměrně jednoduše offloadovat, předsadit na technologii před chráněným prvkem. Chráněný prvek pak může být jednodušší, jednodušeji konfigurovaný, nebo i třeba méně výkonný, protože ušetřen o peaky nevhodného provozu.


S IPv6 bude potřeba vyvinout nové metody detekce a obrany. Bude se muset rozlišit situace, kdy je potřeba zablokovat jedna IP (například s nakaženým PC), a kdy je potřeba zablokovat celý delší prefix. Je také možné, že se zjistí, že forma blokování (blacklistingu) je už méně účinná, než jiné metody ochrany.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 08:21:16
Podle mě blacklist obrana je. Už samotný mechanismus fail2ban je formou blacklistu s dynamickým listingem a deslistingem.
To jsme se ale dostali jen z deště pod okap – fail2ban nepovažuju za obranu, nýbrž za nesmysl, který nezabrání ničemu, maximálně odřízne oprávněného uživatele.

Blacklisting má tu výhodu, že se dá poměrně jednoduše offloadovat, předsadit na technologii před chráněným prvkem. Chráněný prvek pak může být jednodušší, jednodušeji konfigurovaný, nebo i třeba méně výkonný, protože ušetřen o peaky nevhodného provozu.
To jste popsal jak se to snadno nasazuje, ale z toho vůbec neplyne, že by to byla obrana nebo dokonce že by to byla výhodná obrana.

Je také možné, že se zjistí, že forma blokování (blacklistingu) je už méně účinná, než jiné metody ochrany.
Já pořád na blacklistu nevidím nic, co by něčemu bránilo. Jak se něco dostane na blacklist? Teprve po detekovaném útoku. Takže tomu útoku blacklist rozhodně nezabrání. A přidávat něco na blacklist vychází z předpokladu, že útočník bude příště útočit ze stejného místa. Je ten předpoklad oprávněný? Podle mne ne, protože útočníkovi nic nebrání příště zaútočit odjinud. Takže podle mne blacklist není obrana, protože novým útokům nedokáže zabránit z principu a při opakovaných útocích je jednoduché ho obejít.
Název: Re:ipv6 a blacklisty
Přispěvatel: Lol Phirae 19. 09. 2017, 08:30:19
Ne, budeš blacklistovat /64 a při více provinilých /64 /48

Boženo ?! (https://forum.root.cz/index.php?topic=13505.msg175154#msg175154)  ::) >:(
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 19. 09. 2017, 09:24:09
To jsme se ale dostali jen z deště pod okap – fail2ban nepovažuju za obranu, nýbrž za nesmysl, který nezabrání ničemu, maximálně odřízne oprávněného uživatele. To jste popsal jak se to snadno nasazuje, ale z toho vůbec neplyne, že by to byla obrana nebo dokonce že by to byla výhodná obrana.

Ale jo, má své místo. Musíte uvažovat, že každý typ ochrany má svůj přínos, svoje nevýhody, ale taky svoji cenu za nasazení a údržbu. Když si vezmu přínosy (zastavení útoku na počátku), nevýhody (false positives) a cenu (velmi nízká - jsou to dnes už de facto samočinné systémy), pak mi black listy i fail2ban smysl dávají.

Já pořád na blacklistu nevidím nic, co by něčemu bránilo. Jak se něco dostane na blacklist? Teprve po detekovaném útoku. Takže tomu útoku blacklist rozhodně nezabrání. A přidávat něco na blacklist vychází z předpokladu, že útočník bude příště útočit ze stejného místa. Je ten předpoklad oprávněný? Podle mne ne, protože útočníkovi nic nebrání příště zaútočit odjinud. Takže podle mne blacklist není obrana, protože novým útokům nedokáže zabránit z principu a při opakovaných útocích je jednoduché ho obejít.

Tady nesouhlasím. Velká část útoků probíhá ze stejné IP. Máte naprostou pravdu, že to obejít lze. Ale nikdo netvrdí, že je to jediná a 100% ochrana. Je to jen střípek ochrany bránící efektivně proti určitým typům útoků. Jsou místa, kde mám např. nastavené blacklistování i na několik dní, pokud s jistotou rozpoznám port scan. TCP spojení pak i tarpituji. Zjednodušeně řečeno, ochráním tím prakticky bezpracně síť zejména od DoS útoků, neochráním ji od DDoS.

Fail2ban považuji až za nouzové opatření. Jeho výhoda je ale v tom, že např. dokáže vyhodnocovat logy z mod_security. Ty už jsou někdy velmi, velmi přesné, a efektivita je pak obrovská.
Název: Re:ipv6 a blacklisty
Přispěvatel: JardaP . 19. 09. 2017, 09:29:43
To jsme se ale dostali jen z deště pod okap – fail2ban nepovažuju za obranu, nýbrž za nesmysl, který nezabrání ničemu, maximálně odřízne oprávněného uživatele.

Vzpominam, jak mi v dobach, kdy jsem jeste ssh mel na standardnim portu, z jedne ip adresy prislo pres 10000 pokusu a prihlaseni behem kratke doby. Pak jsem nasadil denyhosts a po tretim pokusu meli soudruzi utrum, akorat bobtnaly logy. Abych se v tom nemusel hrabat, zmenil jsem port a bylo ticho po pesine.

Rekl bych, ze fail2ban ma sve misto.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Hektor 19. 09. 2017, 10:23:23
Jirsák zase perlí. Blacklisty mají své místo. Praxe jasně ukazuje, že botnety žijí dlouho (klidně i roky) a proto má smysl informace z blacklistů používat. Navíc je to poměrně levné z hlediska počítačových zdrojů.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 11:02:48
Musíte uvažovat, že každý typ ochrany má svůj přínos
Ne, nemá. Určitě by se našel někdo, kdo bude za ochranu serveru považovat zaříkávání nebo jeho zapnutí v konjunkci Jupitera se Saturnem, ale reálný přínos takových ochran je nulový.

Když si vezmu přínosy (zastavení útoku na počátku)
Blacklist rozhodně nezastaví útok na počátku. Jak by se útočník objevil na blacklistu, když ještě neútočil?

cenu (velmi nízká - jsou to dnes už de facto samočinné systémy), pak mi black listy i fail2ban smysl dávají.
U zbytečné obrany je i velmi nízká cena pořád zbytečně vysoká. Neznám žádný argument, který by ukazoval na nezbytnost fail2ban. Co se stane, když fail2ban nebudete používat? Jaké negativní dopady na zabezpečení to bude mít?

Tady nesouhlasím. Velká část útoků probíhá ze stejné IP. Máte naprostou pravdu, že to obejít lze. Ale nikdo netvrdí, že je to jediná a 100% ochrana. Je to jen střípek ochrany bránící efektivně proti určitým typům útoků. Jsou místa, kde mám např. nastavené blacklistování i na několik dní, pokud s jistotou rozpoznám port scan. TCP spojení pak i tarpituji. Zjednodušeně řečeno, ochráním tím prakticky bezpracně síť zejména od DoS útoků, neochráním ji od DDoS.
Nenapsal jste jediný důvod, proč fail2ban použít. To, že je to střípek ochrany, neznamená vůbec nic – podstatné je, co by se stalo, kdyby tam ten střípek nebyl. Pokud nic, pak je tam ten střípek zbytečný a jakákoli cena vyšší než nulová je zbytečným plýtváním.

Vzpominam, jak mi v dobach, kdy jsem jeste ssh mel na standardnim portu, z jedne ip adresy prislo pres 10000 pokusu a prihlaseni behem kratke doby. Pak jsem nasadil denyhosts a po tretim pokusu meli soudruzi utrum, akorat bobtnaly logy. Abych se v tom nemusel hrabat, zmenil jsem port a bylo ticho po pesine.
Opět jste jen popsal, že fail2ban něco dělá – ale z toho, co jste napsal, vůbec neplyne, jestli to, co dělá, je nějak užitečné. Myslím, že je docela snadný způsob, jak zjistit, jestli ta „obrana“ k něčemu je, je uvažovat o tom, co by se stalo, kdybyste jí vypnul.

Jirsák zase perlí. Blacklisty mají své místo. Praxe jasně ukazuje, že botnety žijí dlouho (klidně i roky) a proto má smysl informace z blacklistů používat. Navíc je to poměrně levné z hlediska počítačových zdrojů.
Ani vy jste nenapsal žádný důvod, proč blacklisty používat. To, že informace z blacklistů existují a můžete je použít ještě neznamená, že je rozumné je používat. Píšete, že je to levné – tedy nějaké nenulové náklady existují. Takže oproti těm nákladům by měl existovat také nějaký přínos. Namalovat na šasi serveru magický ochranný znak je také levné, taky to jde udělat, ale to ještě neznamená, že to má smysl – když totiž na ten server znak nenamalujete, z hlediska bezpečnosti se situace nijak nezhorší.
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 19. 09. 2017, 11:31:31
Blacklist rozhodně nezastaví útok na počátku. Jak by se útočník objevil na blacklistu, když ještě neútočil?
Tak to bych se i hádal. Spousta útoků zkouší různé metody průniku, dokud některá nevyjde. A to je právě ta doba, kdy můžete útok detekovat a zastavit jej dřív, než je úspěšný. Nevím jak Vy, ale tomu říkám zastavit to na počátku.

Co se stane, když fail2ban nebudete používat? Jaké negativní dopady na zabezpečení to bude mít?
Trochu demagogicky položená otázka. Přesto odpovím. Např. scany hosta, pokusy o SSH přihlášení, ..., které můžete zastavit s prakticky nulovou režií v iptables (na fbsd v pf) necháváte dojít až do aplikace (sshd, httpd, ...). V samotné aplikaci může být díra, kterou nemáte fixovanou (zde asi můžeme vést úvahu o tom proč, ale pro náš účel to není důležité, důležité je, že takové situace existují), nebo takovou aplikaci prostě zahltíte. Jen samotná SSH session, než se zahájí a dojde k pokusu o auth vydá spoustu zbytečných CPU cyklů.

Nenapsal jste jediný důvod, proč fail2ban použít.
Tak jinak: nenapsal jste jediný způsob ochrany, která to nahradí.


Pane Jirskáku, já s Vámi souhlasím, že BL, f2b jsou dost málo elegantní způsoby ochrany a trpí na false positives. Na druhou stranu jste nenapsal, jak by měla vypadat ochrana např. před skenováním portů, před systematickým hledáním děr, před pokusy o DoS na servery atd. Všechna tato rizika BL a f2b mitigují. Je možné, že jen neznáte metody detekce útoků, možná jste v praxi neviděl, že lze útok rozpoznat zavčas, nevím. Je také možné, že používáte nějaké jiné, elegantní řešení, které tyto metody plně nahradí. Pak se podělte o zkušenost. Vaše řešení je?
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 13:02:50
Tak to bych se i hádal. Spousta útoků zkouší různé metody průniku, dokud některá nevyjde. […] Nevím jak Vy, ale tomu říkám zastavit to na počátku.
Já bych neříkal „zastavit útok na počátku“ tomu, když útok proběhne a zastaví ho (snad) jiný mechanismus. Ale dobře, rozumím tomu, co tím myslíte – v nějaké sérii útoků proběhne jenom ten první a případné další útoky už to zastaví. Já bych to nazval třeba „krátce po začátku“, ale je to jen detail.

A to je právě ta doba, kdy můžete útok detekovat a zastavit jej dřív, než je úspěšný.
Pak ale máte problém, pokud útočník použije jiné pořadí a tím úspěšným útokem začne, nebo povede každý útok z jiné adresy. Předpokládám, že napíšete, že na to máte jiná opatření. Ale k čemu je tam potom ten fail2ban?


Co se stane, když fail2ban nebudete používat? Jaké negativní dopady na zabezpečení to bude mít?
Trochu demagogicky položená otázka.
Co je na tom demagogického? O tom, zda je nějaké opatření zbytečné nebo nezbytné, rozhoduje právě to, zda se něco změní, když ho vynechám. Pokud ho vynechám a nezmění se vůbec nic, k čemu tam takové opatření je? Samozřejmě je možné, že se některá opatření dublují navzájem, pak můžu vynechat všechna až na jedno, a je logické ponechat si to nejlevnější řešení.

Např. scany hosta, pokusy o SSH přihlášení, ..., které můžete zastavit s prakticky nulovou režií v iptables (na fbsd v pf) necháváte dojít až do aplikace (sshd, httpd, ...).
Mně scany hosta ani pokusy o SSH přihlášení nevadí, nevím, proč bych je měl zastavovat.

V samotné aplikaci může být díra, kterou nemáte fixovanou (zde asi můžeme vést úvahu o tom proč, ale pro náš účel to není důležité, důležité je, že takové situace existují), nebo takovou aplikaci prostě zahltíte.
Pokud takovou aplikaci nemám fixnutou, znamená to, ji útočník napadne snadno z jiné IP adresy, a nebo (což je ještě pravděpodobnější) tak, že prostě útok na novou známou chybu zkusí jako první. Takže ta energie, která se věnuje do fail2ban, by se raději měla investovat do fixnutí té aplikace, které tomu útoku doopravdy zabrání, na rozdíl od fial2ban.

Jen samotná SSH session, než se zahájí a dojde k pokusu o auth vydá spoustu zbytečných CPU cyklů.
No, nevím, jestli to parsování logů nespálí daleko víc procesorového času.

Tak jinak: nenapsal jste jediný způsob ochrany, která to nahradí.
Já jsem zatím nezaznamenal něco, proč by mělo použití fail2ban nějaký smysl. Takže podle mne „nic“ je dostatečná náhrada.

před skenováním portů
Nijak. Mělo by mi skenování portů nějak vadit?

před systematickým hledáním děr
Před tím fail2ban nijak nechrání.

před pokusy o DoS na servery
Ani před tím fail2ban nechrání, většina DoS útoků neobsahuje tu složku „fail“, ale jsou to zcela legitimní požadavky. S primitivním útokem by si měla aplikace umět poradit sama, přičemž má k dispozici mnohem víc informací, než je zdrojová IP adresa, takže může reagovat i na jiné typy úroků.

Je také možné, že používáte nějaké jiné, elegantní řešení, které tyto metody plně nahradí.
Jak jsem psal výše, fail2ban lze podle mne plně nahradit „ničím“.
Název: Re:ipv6 a blacklisty
Přispěvatel: JardaP . 19. 09. 2017, 15:13:51
Vzpominam, jak mi v dobach, kdy jsem jeste ssh mel na standardnim portu, z jedne ip adresy prislo pres 10000 pokusu a prihlaseni behem kratke doby. Pak jsem nasadil denyhosts a po tretim pokusu meli soudruzi utrum, akorat bobtnaly logy. Abych se v tom nemusel hrabat, zmenil jsem port a bylo ticho po pesine.
Opět jste jen popsal, že fail2ban něco dělá – ale z toho, co jste napsal, vůbec neplyne, jestli to, co dělá, je nějak užitečné. Myslím, že je docela snadný způsob, jak zjistit, jestli ta „obrana“ k něčemu je, je uvažovat o tom, co by se stalo, kdybyste jí vypnul.

Ano, uzitecne to je. Je rozdil mezi tim, jestli utocnik muze na bruteforce zkouset 700 milionu pokusu nebo jen tri. Krome toho na Denyhosts je pekne to, ze ma synchronizovanou databazi, kterou si vase instance stahne a mnoho utoku tak je zastaveno jeste predtim, nez u vas vypuknou.

Podle vasi logiky by bylo mozne zrusit ochranu PINu na bankovnich kartach omezenim na tri pokusy. Ovsem ja si predstavuju, jak by si rada lidi dala praci s tim, jak tech 10000 kombinaci zkusi, aby vam vybilili konto docista do cista.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 15:33:02
Je rozdil mezi tim, jestli utocnik muze na bruteforce zkouset 700 milionu pokusu nebo jen tri.
Ano, to by užitečné v některých případech mohlo být. Problém je, že tohle fail2ban nedokáže zařídit.

Krome toho na Denyhosts je pekne to, ze ma synchronizovanou databazi, kterou si vase instance stahne a mnoho utoku tak je zastaveno jeste predtim, nez u vas vypuknou.
Tohle ovšem není fail2ban. Ale OK, je to blacklist, který třeba někdo může využít. Já pro něj využití nemám, protože nechci bezpečnost založit jenom na to, že útočník bude náhodou na nějakém blacklistu. Pokud to někomu stačí, je to jeho věc – já něco takového nenazývám zabezpečení. A vzhledem k tomu, že vůbec netuším, jak příslušný synchronizovaný blacklist vzniká (nezáleží na tom, co deklaruje, ale jaká je skutečnost), bál bych se toho jako prostředku, jak způsobit DoS.

Podle vasi logiky by bylo mozne zrusit ochranu PINu na bankovnich kartach omezenim na tri pokusy.
Nikoli, právě naopak. Moje logika je, že omezení PINu na tři pokusy je rozumné bezpečnostní opatření, protože to znemožňuje útok jakémukoli útočníkovi. To podle vaší logiky by bylo možné zrušit ochranu PINu na tři pokusy, a místo toho  byste zavedli ochranu, kdy útočník musí nejprve zadat své jméno a to porovnáte s blacklistem lidí, kteří už někdy zneužili PIN k cizí kartě.

To je právě ten problém blacklistů – že je útočník může snadno obejít, takže stejně musíte mít ještě opravdovou ochranu za blacklistem. A když už tam máte opravdovou ochranu, která dokáže odchytit všechny útoky, které odchytí blacklist, k čemu je tam ten blacklist?
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 19. 09. 2017, 15:57:04
..., pokud útočník použije jiné pořadí a tím úspěšným útokem začne, nebo povede každý útok z jiné adresy.
K tomu, že synchronizovaný (= koordinovaný) útok z více IP adres není vůbec běžná praktika, aspoň prozatím. Není účelem riziko eliminovat, ale mitigovat.

Samozřejmě je možné, že se některá opatření dublují navzájem, pak můžu vynechat všechna až na jedno, a je logické ponechat si to nejlevnější řešení.
Souhlasím, ale zatím jste nenapsal "to jedno" řešení, které by bylo dublované fail2banem a blacklistem.

Mně scany hosta ani pokusy o SSH přihlášení nevadí, nevím, proč bych je měl zastavovat.
Mně jo. Botnety to využívají, a když jim dáte překážku, jdou o dům dál. Podobně "zbytečným" by se dal nazvat například greylisting na SMTP, který nezablokuje vůbec nic. Přesto v praxi dosahuje dobrých výsledků.

Pokud takovou aplikaci nemám fixnutou, znamená to, ji útočník napadne snadno z jiné IP adresy, a nebo (což je ještě pravděpodobnější) tak, že prostě útok na novou známou chybu zkusí jako první. Takže ta energie, která se věnuje do fail2ban, by se raději měla investovat do fixnutí té aplikace, které tomu útoku doopravdy zabrání, na rozdíl od fial2ban.
F2b mi zvyšuje šanci, že období do fixnutí neodskáču průšvihem. Někdy není možné fix aplikovat bez velkých úprav / ověřování aplikací.

No, nevím, jestli to parsování logů nespálí daleko víc procesorového času.
To je možné, ale budu radši, když mi na limitech zahučí a přestane fungovat f2b, než když mi někdo vyřadí httpd nebo sshd.

Nijak. Mělo by mi skenování portů nějak vadit?
Pochopitelně. Nemusím usnadňovat práci tomu (robotu), který hledá slabiny. Naopak mi přijde zajímavé ho co nejvíc zpomalit v tarpitu. V tarpitu mě to nestojí už ani cyklus CPU navíc, a mám od blbečka skenovacího pokoj.

před systematickým hledáním děr
Před tím fail2ban nijak nechrání.
Ne? Pokud mi ve f2b překročí práh po vyhodnocení vícero logů, tak tím zkoncentruji varování z více zdrojů do jednoho výsledku. To je velmi cenná informace.

Ani před tím fail2ban nechrání, většina DoS útoků neobsahuje tu složku „fail“, ale jsou to zcela legitimní požadavky. S primitivním útokem by si měla aplikace umět poradit sama, přičemž má k dispozici mnohem víc informací, než je zdrojová IP adresa, takže může reagovat i na jiné typy úroků.
Zde jako příklad uvedu mod_security / atomic rules / CWAF / OSWAP, které mají více či méně generická pravidla, která dokážou závadné chování odhalit. Jeden divný požadavek je legitimní. 100 takových požadavků už není.



Hezkým příkladem je, pokud si objednáte / realizujete penetrační testy. Jedna část se provádí při vypnutých ochranách, aby se šlo tzv. na dřeň, odhalily se chyby v aplikaci, nastavení, ve verzích. Druhá část se pak vyhodnocuje ručně, kdy se započítává právě následná ochrana.

Mně se zdá, že nemáte moc zkušeností z praxe, že jste se vlastně nikdy s velkou aplikací, ani zatíženým serverem nemohl potkat. Přesvědčuje mě o tom hlavně to, že se vyhýbáte odpovědi na otázku, jak byste to řešil Vy.
Název: Re:ipv6 a blacklisty
Přispěvatel: JardaP . 19. 09. 2017, 16:08:34
Tohle ovšem není fail2ban. Ale OK, je to blacklist, který třeba někdo může využít. Já pro něj využití nemám, protože nechci bezpečnost založit jenom na to, že útočník bude náhodou na nějakém blacklistu. Pokud to někomu stačí, je to jeho věc – já něco takového nenazývám zabezpečení.

Nikde netvrdim, ze to ma byt vase jedine zabezpeceni. Je to ale dalsi vrstva, ktera brani vselijakemu opruzu a muze zaprani uspesnemu utoku, kdyby se, jak uz zmineno, treba c nejake sluzbe vyskytla jeste neopravena chyba.

Citace
A vzhledem k tomu, že vůbec netuším, jak příslušný synchronizovaný blacklist vzniká (nezáleží na tom, co deklaruje, ale jaká je skutečnost), bál bych se toho jako prostředku, jak způsobit DoS.

To stoji v dokumentaci cerne na bilem. Je to neco ve stylu, ze kdyz nejaka adresa je reportovana urcitym poctem klientu, je pridana do databaze. Potencial pro DoS mzna existuje, ale zrovna me nenapada prakticky priklad. Na to, abych dosahl DoSu, musel bych utocit z vasi ip na vas server nebo na dostatecne mnozstvi jinych, ktere maji Denyhosts. Na to bych musel mit kontrolu nad vasim strojem a v tom pripade byste mel byt rad, ze mate ten pristup zablokovany.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 16:48:14
K tomu, že synchronizovaný (= koordinovaný) útok z více IP adres není vůbec běžná praktika, aspoň prozatím. Není účelem riziko eliminovat, ale mitigovat.
Já „zabezpečení“ způsobem, kdy doufám, že útočník nebude útočit z více adres, nepovažuju za dostatečné zabezpečení.

Souhlasím, ale zatím jste nenapsal "to jedno" řešení, které by bylo dublované fail2banem a blacklistem.
Napsal – místo toho nedělat nic. Výsledek je v mém případě stejný. Pokud fail2ban je vaše jediná obrana, pak chápu, že to pro vás je lepší než nic, ale pro mne to není zabezpečení.

Mně jo. Botnety to využívají, a když jim dáte překážku, jdou o dům dál. Podobně "zbytečným" by se dal nazvat například greylisting na SMTP, který nezablokuje vůbec nic. Přesto v praxi dosahuje dobrých výsledků.
Jak jsem psal, mně skenování nebo neúspěšné pokusy o přihlášení nevadí a nevím, proč by mi měly vadit. Greylisting za zbytečný považuju, a není pravda, že nezablokuje nic, a i když nezablokuje, může doručení e-mailu výrazně zdržet.

F2b mi zvyšuje šanci, že období do fixnutí neodskáču průšvihem. Někdy není možné fix aplikovat bez velkých úprav / ověřování aplikací.
Myslím, že to zvyšování šance je spíš zbožným přáním než realitou. Ten případ, kdy to pomůže, má velkou spoustu předpokladů, takže ve výsledku je pravděpodobnost takového útoku asi tak 0,0000001 %.

Nemusím usnadňovat práci tomu (robotu), který hledá slabiny. Naopak mi přijde zajímavé ho co nejvíc zpomalit v tarpitu. V tarpitu mě to nestojí už ani cyklus CPU navíc, a mám od blbečka skenovacího pokoj.
Skenování portů robotovi práci nijak neusnadňuje. A zpomalovat ho není mým cílem, mým cílem je, aby žádné slabiny nenašel – bez ohledu na to, jestli je bude hledat z jednoho počítače nebo z botnetu.

Pokud mi ve f2b překročí práh po vyhodnocení vícero logů, tak tím zkoncentruji varování z více zdrojů do jednoho výsledku. To je velmi cenná informace.
Jenže to nejprve musíte zjistit, že útočník hledá nějakou chybu, musíte to zalogovat. A útočník musí z jedné adresy zkoušet větší množství zranitelností – tedy zkouší už nějakou dobu známé zranitelnosti, na které už existují záplaty. Opravdu se takových zranitelností máte důvod obávat, a opravdu se před nimi bráníte jenom pomocí fail2ban?

Pokud bude mít útočník nějakou novou zranitelnost, o které se ještě neví nebo která je čerstvá a dá se předpokládat, že spousta serverů ještě nebude zazáplatovaných, fail2ban vám nijak nepomůže, protože útočník samozřejmě nebude nejprve váš server očkovat známými zranitelnostmi, aby se aktivoval fail2ban, ale zkusí tu zranitelnost rovnou.

Zde jako příklad uvedu mod_security / atomic rules / CWAF / OSWAP, které mají více či méně generická pravidla, která dokážou závadné chování odhalit. Jeden divný požadavek je legitimní. 100 takových požadavků už není.
Na DoS útocích je z pohledu útočníků pěkné to, že často nepotřebujete žádné divné požadavky – DoS se dá velmi často (třeba u webových serverů) zařídit požadavky, které jsou úplně normální.

velkou aplikací, ani zatíženým serverem
Myslím, že předpokládat u velké aplikace nebo zatíženého serveru to, že útočník má k dispozici pouze jedinou IP adresu, je dost odvážný předpoklad. (Odvážný ve stejném smyslu jako v tom vtipu se slepým koněm a zdí.)

Přesvědčuje mě o tom hlavně to, že se vyhýbáte odpovědi na otázku, jak byste to řešil Vy.
Už jsem vám to napsal několikrát, že fail2ban podle mne nemá žádný přínos, takže stejného výsledku dosáhnu i tím, když neudělám nic. Pokud je to pro vás nepředstavitelné, myslete si třeba, že rizika mitiguji tím, že serverům dávám magická ochranná jména.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 16:55:46
Nikde netvrdim, ze to ma byt vase jedine zabezpeceni. Je to ale dalsi vrstva, ktera brani vselijakemu opruzu a muze zaprani uspesnemu utoku, kdyby se, jak uz zmineno, treba c nejake sluzbe vyskytla jeste neopravena chyba.
O dalších vrstvách zabezpečení už jsem četl v diskusích mnohokrát, ale nikdy jsem nepochopil, k čemu je dobrá slaboučká vrstva zabezpečení, když za ní je silná vrstva zabezpečení.

Pokud bude v nějaké službě ještě neopravená chyba, a někdo ji bude chtít zneužít, udělá to daleko dřív, než fail2ban zjistí, že se něco děje.

To stoji v dokumentaci cerne na bilem.
Nikoli, v dokumentaci je ta deklarace, ne to, co se děje doopravdy.

Potencial pro DoS mzna existuje, ale zrovna me nenapada prakticky priklad.
Praktický příklad? Přesvědčím určitý počet klientů, ať nabonzují IP adresu, ze které server spravujete. Vy se pak na server nemůžete dostat, budete řešit, jak to obejít – a to je myslím ideální chvíle na to na váš server doopravdy zaútočit.

Na to, abych dosahl DoSu, musel bych utocit z vasi ip na vas server nebo na dostatecne mnozstvi jinych, ktere maji Denyhosts. Na to bych musel mit kontrolu nad vasim strojem a v tom pripade byste mel byt rad, ze mate ten pristup zablokovany.
To ovšem děláte zásadní chybu, že předpokládáte, že do Denyhosts přispívají jen samí hodní.
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 19. 09. 2017, 17:17:58
Už jsem vám to napsal několikrát, že fail2ban podle mne nemá žádný přínos, takže stejného výsledku dosáhnu i tím, když neudělám nic. Pokud je to pro vás nepředstavitelné, myslete si třeba, že rizika mitiguji tím, že serverům dávám magická ochranná jména.

Kdepak, psal jste něco o tom že tato ochrana dubluje pořádnou ochranu. To jsem schopný přijmout, ale rád bych věděl to Vaše řešení.
Název: Re:ipv6 a blacklisty
Přispěvatel: JardaP . 19. 09. 2017, 17:22:05
O dalších vrstvách zabezpečení už jsem četl v diskusích mnohokrát, ale nikdy jsem nepochopil, k čemu je dobrá slaboučká vrstva zabezpečení, když za ní je silná vrstva zabezpečení.

Pokud je opravdu tak silna, jak si myslite.

Citace
To stoji v dokumentaci cerne na bilem.
Nikoli, v dokumentaci je ta deklarace, ne to, co se děje doopravdy.

Samozrejme, uplne kazdou sluzbu muze provozovat NSA. Akorat mi unika, k cemu by jim byla zrovna tato.

Citace
Potencial pro DoS mzna existuje, ale zrovna me nenapada prakticky priklad.
Praktický příklad? Přesvědčím určitý počet klientů, ať nabonzují IP adresu, ze které server spravujete. Vy se pak na server nemůžete dostat, budete řešit, jak to obejít – a to je myslím ideální chvíle na to na váš server doopravdy zaútočit.

Ano, to muzete. Ovsem budete si muset poridit dostatecny pocet klientu ve vasi sprave, abyste jim mohl nafejkovat logy nebo databazi adres. To ma smysl za predpokladu, ze vite, ze pouzivam Denyhosts a ze vite, z jake adresy se na dany stroj prihlasuju. A take treba jakou verejnou adresu ma sousedka, od ktere bych se treba sel pripojit v pripade problemu. To se nam to komplikuje. Ovsem kdybych mel z takoveho utoku obavy, nemusim synchronizaci aktivovat. Je na vkusu kazdeho soudruha, jak se pri konfiguraci rozhodne.

To ovšem děláte zásadní chybu, že předpokládáte, že do Denyhosts přispívají jen samí hodní.

Ja nic nepredpokladam. Proto take asi kazdou adresu musi nahlasit urcity pocet klientu, aby to ti zli meli tezsi. Samozrejme, muze treba vzniknout botnet, ktery se zameri na fejkovani adres do Denyhost. Ale takovy asi nevznikne, nekouka z toho zadny velky zisk.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: koís45 19. 09. 2017, 18:20:13
Vidim, ze svet je stale jeste v poradku. Pan Jirsak ani po letech neveri, ze odmitnutim komunikovat se smradlavym pochcanym bezdomovcem neprichazi o lukrativni vydelky.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Tomas2 19. 09. 2017, 21:53:24
koukám, že Jirsák neviděl nikdy větší síť, možná neviděl ve skutečnosti žádnou síť. Běžně mám předřazené sondy, které zaznamenávají útoky a poté takové formy komunikace rovnou blokuji na chráněné síti aniž by tam ještě první útok proběhl.

Kromě blokování z venku, je vhodné i blokování zevnitř, pokud znám průběh útoku, mohu s tím zabránit izolovat napadené zařízení ze sítě a zabránit rozšíření nákazy.

Obrana proti 0day to není, ale drtivá většina útoků jsou již známé neplechy. Stejně jak drahé služby chráním proti nadměrnému vytěžování, ať už nějakým QoS nebo prostým blacklistem, žádným systém není schopný ustát libovolný provoz.

Stejně tak blokováním mohu zabránit zneužití ještě neopravené slabiny, nemusím jen blokovat podle zdrojové adresy/sítě, ale i celé protokoly, porty či podle obsahu nebo metadat. Uvnitř sítě běžně filtruji a blokuji ohlašovací zprávy, které tam nemají co dělat atd.

Fail2ban je takové pižlátko, ale může být třeba centralizovanou databázi a pravidla rozšiřovat po celé síti, avšak jsou vhodnější nástroje a FW na samotném serveru je jen nouzovka.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 19. 09. 2017, 22:30:50
Kdepak, psal jste něco o tom že tato ochrana dubluje pořádnou ochranu. To jsem schopný přijmout, ale rád bych věděl to Vaše řešení.
Rozhodně jsem nepsal, že to dubluje pořádnou ochranu – dublování by znamenalo, že to má stejnou funkci, ale tohle nemá žádnou funkci. Moje řešení začíná tím, že provozuju aktuální software a snažím se vyhýbat software, který je notoricky znám bezpečnostními problémy. Pro přístup používám takové protokoly, které umožňují zabezpečení (žádné nešifrované FTP) a pro autentizaci takové mechanismy, které není možné napadnou útokem hrubou silou. To pro spoustu služeb stačí. A tam, kde to nestačí, mi rozhodně neprojde odmítat někoho jenom proto, že má IP adresu, která se mi nelíbí.

Pokud je opravdu tak silna, jak si myslite.
Pokud by nebyla, nijak tomu nepomůže, když před ní přidám vrstvu, o které vím, že je slaboučká. Navíc v mém případě je ta silnější vrstva ochrany pravděpodobně lepší, než ta vaše, protože nemarním prostředky na vytváření a údržbu té slabé ochrany.

Samozrejme, uplne kazdou sluzbu muze provozovat NSA. Akorat mi unika, k cemu by jim byla zrovna tato.
Vůbec to nemusí provozovat NSA. Ale může to provozovat někdo, kdo fail2ban považuje za dobrý způsob zabezpečení. Nebo to může někomu prodat. A nebo prostě jen podcení náchylnost k manipulaci s tím seznamem ze strany neověřených klientů.

To ma smysl za predpokladu, ze vite, ze pouzivam Denyhosts a ze vite, z jake adresy se na dany stroj prihlasuju.
Ano, tohle je výborný postup zabezpečení. Předpokládejme, že útočník nic neví, nic neumí, je mírně retardovaný, jenom jde úplnou náhodou kolem a vlastně zaútočil omylem. Proti takovému útočníkovi se dělají bezpečnostní opatření jedna báseň.

Vidim, ze svet je stale jeste v poradku. Pan Jirsak ani po letech neveri, ze odmitnutim komunikovat se smradlavym pochcanym bezdomovcem neprichazi o lukrativni vydelky.
Vy budete jednou velmi nemile překvapen, až se dozvíte o existenci dynamicky přidělovaných adres nebo NATu.

Běžně mám předřazené sondy, které zaznamenávají útoky a poté takové formy komunikace rovnou blokuji na chráněné síti aniž by tam ještě první útok proběhl.
Buďte rád, že máte tak disciplinované útočníky, že nejdřív zaútočí na sondu, a pak ze stejné adresy na chráněnou síť.

drtivá většina útoků jsou již známé neplechy
Nebylo by lepší bránit se těm známým neplechám přímo, ideálně instalací záplaty, než se spoléhat na to, že útočník bude disciplinovaně útočit tak, aby nejprve spadl na blacklist, a teprve pak zkusí doopravdy zaútočit?

Stejně jak drahé služby chráním proti nadměrnému vytěžování, ať už nějakým QoS nebo prostým blacklistem, žádným systém není schopný ustát libovolný provoz.
To by mne zajímalo, zda si opravdu můžete dovolit odstřihnout od vaší služby třeba celou univerzitu jenom proto, že se někdo z její sítě pokusil třikrát přihlásit špatným heslem přes SSH. O tom, že by nějaký systém byl schopen ustát libovolný provoz, tu nebyla řeč. Nicméně útočníci se málokdy snaží službu jenom nadměrně vytěžovat, pokud postupují tímhle způsobem, obvykle se snaží, aby služba přestala být poskytována oprávněným uživatelům. Fail2ban je z tohoto pohledu velmi efektivní nástroj, bohužel z pohledu útočníka. Nemusí se pokoušet zahltit linku nebo cílovou aplikaci, stačí podstatně menší traffic, a cíl už se znepřístupní sám.

Stejně tak blokováním mohu zabránit zneužití ještě neopravené slabiny
Já v bezpečnosti na „mohu“ nehraju. Buď jsem udělal nějaká opatření pro to, aby se to stalo, nebo se to nestane. Metodou „mohu“ lze obhájit třeba přístupové heslo „a“, protože se může stát, že takové heslo zabrání útoku – protože útočník nebude tak slabé heslo očekávat a nevyzkouší ho.


nemusím jen blokovat podle zdrojové adresy/sítě, ale i celé protokoly, porty či podle obsahu nebo metadat. Uvnitř sítě běžně filtruji a blokuji ohlašovací zprávy, které tam nemají co dělat atd.
To klidně dělat můžete, ale nic toho není blacklist IP adres.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 19. 09. 2017, 22:56:16
S panem Jirsákem je diskuse zbytečná. Ten, kdyby měl řidičák, buďto by nepotřeboval pásy a airbag, protože nebourá. Nebo by měl pásy a airbag, ale mohl by klidně bourat. Řešit obojí zároveň je zbytečné. A co teprve potom, kdyby uzavřel i havarijní, úrazové a životní pojištění!

Rozumní ISP, univerzity atd. nemají za 1 IP schováno žádné extrémní množství počítačů. Dokonce ani czfree.nety ne. Jednak to nemá šanci utáhnout conntrack, druhak se ví o tom, jak moc komplikací přehnaný NAT způsobuje. Pravděpodobnost, že zrovna ke mně ze stejné IP s obrovským NATEM "omylem" někdo udělá pokusy o přihlášení, a že já zablokuji nejméně na měsíc celé IP a všechny porty, je, podle p. Jirsáka, asi obrovská. Podle mě je riziko false positive naopak malé. Zřejmě si pan Jirsák musí myslet o O2 či UPC, že jsou to úplní pitomci, když vše nejedou za NATEM a dávají lidem veřejné IP adresy :).

F2b jsem uvedl jako příklad něčeho, co si zde (snad) každý dovede představit. Je to last-resort ochrana, a s výkonovými limity. Hranice výkonu se dají posunout právě tím, že se až na samotného hosta dostane minimum bordelu. A i tak je lepší, aby to na konci odchytily iptables / pf, než aby to řešily až aplikace.

O snaze mít vše záplatované si myslím své. Už jen čas na opravu vendorem není nulový, ne všude můžete sázet nové verze bez testování, a někde dokonce nové verze ani používat nemůžete. Krásným příkladem jsou banky, kde se spousta systémů smaží na zastaralých a nefixovaných verzích, protože s novějšími neprošel SW certifikací. Tam dokonce není ani jiná možnost, než bezpečnost řešit předsazeně.

Je pravda, že bych si přál mít někdy takový (úzký) obzor, abych mohl zastávat také tak jednoduché postoje k problémům.
Název: Re:ipv6 a blacklisty
Přispěvatel: JardaP . 19. 09. 2017, 23:56:21
Ano, tohle je výborný postup zabezpečení. Předpokládejme, že útočník nic neví, nic neumí, je mírně retardovaný, jenom jde úplnou náhodou kolem a vlastně zaútočil omylem. Proti takovému útočníkovi se dělají bezpečnostní opatření jedna báseň.

tak jsou ruzne typy utoku. Pri jednom za devatero proxy a devatero hacknutymi pocitaci sei sam V3lky H4x0r a hazi na vas magicka hexasecimalni zarikadla. Pri jinych na vas utoci blby botnet. Na to druhe muze byt Denohosts nebo Fail2ban dobry. Treba Fail2ban se vam muze hodit tim, ze pakety zahazuje v iptables rychleji a s mensi zatezi CPU, nez kdyby aplikace musela sama resit odmitani spojeni. F2b tak muze treba snizit pravdepodobnost DoSu. Napriklad vam ve web serveru nebude vyhnivat milion spojeni na timeout. Samozrejme, vy i treba radsi poridite tlustsi web server, napriklad farmu s round robinem a pozlacenymi knofliky, protoze F2b je pod vasi dustojnost.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 06:59:54
Až doteď jste diskutoval věcně. Sice jsme se nedobrali žádného racionálního důvodu, proč používáte fail2ban, ale pořád to vypadalo, že si akorát nerozumíme. Škoda, že jste to zakončil komentářem, kde si jen bohapustě vymýšlíte. Zpětně to totiž diskredituje i ty vaše předchozí komentáře, a ukazuje to že vám vůbec nejde o zjištění, zda fail2ban má nebo nemá smysl, ale prostě se jen chcete utvrzovat ve svých názorech, i za cenu, že si celý komentář vymyslíte.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 20. 09. 2017, 07:14:53
Pri jinych na vas utoci blby botnet. Na to druhe muze byt Denohosts nebo Fail2ban dobry.
Opravdu? Když bude útočit botnet, který má tisícovky počítačů a každý z nich vyzkouší třeba jeden typ útoku, zabrání tomu fail2ban? To bych se rád dozvěděl, jak. Konkrétně jak se fail2ban předem dozví o všech těch ostatních počítačích v botnetu.

F2b tak muze treba snizit pravdepodobnost DoSu.
Zase „může“. A taky může pravděpodobnost DoSu zvýšit.

Napriklad vam ve web serveru nebude vyhnivat milion spojeni na timeout.
To už jsme se ale dostali do říše pohádek. Pokud klient jenom otevře spojen, kde je tam ta část „fail“? Navíc fail2ban by v tomto případě pomohlo jedině tehdy, pokud by těch milion spojení bylo z několika málo IP adres. Pokud bude každé spojení z jiné IP adresy, fail2ban si ani neškrtne.

Samozrejme, vy i treba radsi poridite tlustsi web server, napriklad farmu s round robinem a pozlacenymi knofliky, protoze F2b je pod vasi dustojnost.
Na spojení, která vyhnívají na timeout, nepotřebujete tlustší web server nebo farmu serverů, protože to spojení jsou akorát dva záznamy v paměti – jeden v jádru, druhý v aplikaci. A pokud už bych to chtěl blokovat na úrovni firewallu, je to limit na počet otevřených spojení z jedné IP adresy, na to nepotřebuju kanón fail2ban. Vůbec nejde o tom, že by fail2ban byl pod moji důstojnost, jde o to, že ho uvádíte jako řešení problémů, které fail2ban z principu vyřešit nemůže (ale může je nafouknout).
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 08:37:44
Až doteď jste diskutoval věcně. Sice jsme se nedobrali žádného racionálního důvodu, proč používáte fail2ban, ale pořád to vypadalo, že si akorát nerozumíme. Škoda, že jste to zakončil komentářem, kde si jen bohapustě vymýšlíte. Zpětně to totiž diskredituje i ty vaše předchozí komentáře, a ukazuje to že vám vůbec nejde o zjištění, zda fail2ban má nebo nemá smysl, ale prostě se jen chcete utvrzovat ve svých názorech, i za cenu, že si celý komentář vymyslíte.

Jste velký demagog. Racionálních důvodů jsme tu i s dalšími kolegy našli dostatek, k Vašemu názoru se nepřiklonil nikdo. Kromě obecných informací jste ani nenaznačil, jak by mělo vypadat lepší bezpečnostní řešení na typy útoků, o kterých zde byla řeč.

To, že diskutujete formálně korektně, ale přitom reluktujete cokoliv řešit, se odborně nazývá pasivní agrese. Pak je jednoduché jen čekat na to, až někomu dojde trpělivost a naopak jeho označit za agresora. (https://cs.wikipedia.org/wiki/Porucha_osobnosti#Jin.C3.A9_specifick.C3.A9_poruchy_osobnosti_.28F60.8.29 (https://cs.wikipedia.org/wiki/Porucha_osobnosti#Jin.C3.A9_specifick.C3.A9_poruchy_osobnosti_.28F60.8.29)
 - zde pod heslem "Osobnost pasivně agresivní")

Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 08:44:36
... Když bude útočit botnet, který má tisícovky počítačů a každý z nich vyzkouší třeba jeden typ útoku, zabrání tomu fail2ban?
Ještě jsem v praxi nepotkal botnet, který koordinoval napříč tisícovky počítačů to, kdo jaký typ útoku provádí. Taková koordinace by byla za jedno náročná, za druhé nebezpečná i pro autora botnetu. Možná takové existují, ale rozhodně to není častá výzva pro adminy.

Zase „může“. A taky může pravděpodobnost DoSu zvýšit.
Proboha, jak?

A pokud už bych to chtěl blokovat na úrovni firewallu, je to limit na počet otevřených spojení z jedné IP adresy, na to nepotřebuju kanón fail2ban.
To popisujete jeden z mechanismů, jakým se mohou dostat IP adresy na blacklist. Jakmile někdo překročí nastavený práh, jde do blacklistu, a podle něj je poté utnutý ještě dřív, než další spojení musí projít hashi hledání v conn limitu. Jsou tedy dva nezávislé mechanismy: 1. nepustím dovnitř nic, co už je na BL, 2. pomocí conn limitu, f2b a dalších mechanismů detekuji kandidáty na zařazení do BL. Jedině toto pořadí Vám ve výsledku ušetří výkon.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 09:56:00
Racionálních důvodů jsme tu i s dalšími kolegy našli dostatek
Je rozdíl mezi racionálním důvodem a zpětnou racionalizací, u které se při bližším zkoumání ukáže, že to nedává smysl. Většina těch vašich „racionálních důvodů“ je „sice by tenhle útok zastavilo i jiné implementované opatření, které je obecnější, ale proč tam nemít i tuhle zbytečnou obranu“ – což podle mne není „racionální“.

Kromě obecných informací jste ani nenaznačil, jak by mělo vypadat lepší bezpečnostní řešení na typy útoků, o kterých zde byla řeč.
Ale napsal jsem to. Psal jste například o útocích na známé zranitelnosti, tam jsem jako lepší bezpečnostní opatření navrhoval záplatovat software, aby v něm ty známé zranitelnosti nebyly. Pokud vy provozujete software se známými zranitelnostmi a doufáte, že se k nim útočník nedostane, protože jeho adresa bude na blacklistu, podle mého názoru máte velmi nedostatečné zabezpečení. Ale klidně si dál myslete, že vám to stačí.

To, že diskutujete formálně korektně, ale přitom reluktujete cokoliv řešit, se odborně nazývá pasivní agrese.
Já jsem ta řešení navrhoval. Že vy je ignorujete, to není můj problém.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 20. 09. 2017, 10:01:25
Ještě jsem v praxi nepotkal botnet, který koordinoval napříč tisícovky počítačů to, kdo jaký typ útoku provádí.
Proč by to měl botnet nějak koordinovat? Jeden uzel v botnetu vylosuje náhodnou IP adresu a náhodný útok a vyzkouší to. Když se to nepodaří, vylosuje jinou náhodnou IP adresu a jiný útok a znova vyzkouší. Co na tom chcete koordinovat?

Zase „může“. A taky může pravděpodobnost DoSu zvýšit.
Proboha, jak?
DoS znamená odepření služby. Takže například tak, že udělá přesně to, k čemu je navržen – totiž že zablokuje přístup z nějaké IP adresy. A tu IP adresu používá někdo, kdo tu službu chce využít ¨– jenže nemůže, protože přístup k té službě je mu odepřen. Tedy DoS.
Název: Re:ipv6 a blacklisty
Přispěvatel: ByCzech 20. 09. 2017, 11:00:19
Zase „může“. A taky může pravděpodobnost DoSu zvýšit.
Proboha, jak?
DoS znamená odepření služby. Takže například tak, že udělá přesně to, k čemu je navržen – totiž že zablokuje přístup z nějaké IP adresy. A tu IP adresu používá někdo, kdo tu službu chce využít ¨– jenže nemůže, protože přístup k té službě je mu odepřen. Tedy DoS.

No to je neuvěřitelný způsob překroucení věcí. Bílá je černá, černá je bílá, že?

DoS je typ útoku, s cílem znefunkčnit službu, v jehož důsledku (pokud se útok zdaří) pak dochází k nechtěnému odepření služby obecně, protože je "rozbitá". Zablokování konkrétních IP adres je explicitní zákaz (tím pádem chtěný) komunikace s útočníkem, aby mu byl útok na systém znemožněn nebo ztížen. Nazývat tohle DoSem je úplně padlé na hlavu.

S Jirsákem zbytečná diskuze, když je schopen přetočit věci úplně opačně než jsou. Dál už tohohle trola v téhle diskuzi krmit nebudu.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 11:46:13
Ale napsal jsem to. Psal jste například o útocích na známé zranitelnosti, tam jsem jako lepší bezpečnostní opatření navrhoval záplatovat software, aby v něm ty známé zranitelnosti nebyly. Pokud vy provozujete software se známými zranitelnostmi a doufáte, že se k nim útočník nedostane, protože jeho adresa bude na blacklistu, podle mého názoru máte velmi nedostatečné zabezpečení. Ale klidně si dál myslete, že vám to stačí.

Ale nenapsal jste řešení, 1. jak mitigovat 0day, 2. jak to řešit v prostředích, kde v praxi nemůžete provádět upgrady bez dlouhého testování.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: PetrM 20. 09. 2017, 11:52:12
@šilhavý:

Definuj, jaká je hranice pro DoS. Kolik klientů se na server musí dostat, aby to ještě nebyl DoS? 100%? 50%? 10%? Byl by DoS, třeba pokud by e-shop byl nedostupný z LTE sítě T-Mobile a O2?

IPv4 síť. ISP schová za CGNAT 5000 klientů, mají společný prefix 22b. U jeho klientů je 100 nakažených zařízení, každý z nich útočí na náhodný servery. Je to reálný?

Napadený server vidí, že pokusy jdou ze sítě toho ISP, který má na sebe. Ohlásí útok. To samý udělají i ostatní a ISP (ne napadený zařízení) je na blacklistu. Tvůj server si aktualizuje blacklist a zablokuje všechny požadavky ze sítě toho ISP. V té chvíli se nikdo ze sítě toho ISP nedostane na tvůj server. Bez ohledu na to, že mají standardní https požadavky na portu 80 a na blacklistu jsou za hádání SSH, který už na routeru stejně zahodí firewall, protože pravidla pro DMZ a k serveru ten útok nedojde...

Taková ochrana je zadarmo drahá.
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 11:57:08
Proč by to měl botnet nějak koordinovat? Jeden uzel v botnetu vylosuje náhodnou IP adresu a náhodný útok a vyzkouší to. Když se to nepodaří, vylosuje jinou náhodnou IP adresu a jiný útok a znova vyzkouší. Co na tom chcete koordinovat?
Tak to jste mě dostal. ;D V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně :). BTW takové chování už není botnet, ale jeden nahodilý pokus o útok.

DoS znamená odepření služby. Takže například tak, že udělá přesně to, k čemu je navržen – totiž že zablokuje přístup z nějaké IP adresy. A tu IP adresu používá někdo, kdo tu službu chce využít ¨– jenže nemůže, protože přístup k té službě je mu odepřen. Tedy DoS.
DoS útok vede k zablokování služby pro všechny, nikoliv pro jednoho. Mně přeci nevadí, že odepřu službu jednomu konkrétnímu člověku, který má zabreberkovaný počítač. Pro mě je důležité, že mi ten jeden zabreberkovaný počítač nezablokuje službu pro všechny ostatní uživatele.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 12:09:04
Definuj, jaká je hranice pro DoS. Kolik klientů se na server musí dostat, aby to ještě nebyl DoS? 100%? 50%? 10%? Byl by DoS, třeba pokud by e-shop byl nedostupný z LTE sítě T-Mobile a O2?
DoS je stav, kdy je server přehlcený, případně jinak zablokovaný, a neposkytuje službu už nikomu.

IPv4 síť. ISP schová za CGNAT 5000 klientů, mají společný prefix 22b. U jeho klientů je 100 nakažených zařízení, každý z nich útočí na náhodný servery. Je to reálný?
Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné. Proč si myslíte, že velcí ISP NAT prakticky nepoužívají? Dělají to možná lokální přeprodávači konektivity, ale ti mají právě maximálně stovky přípojek.

Bez ohledu na to, že mají standardní https požadavky na portu 80 a na blacklistu jsou za hádání SSH, který už na routeru stejně zahodí firewall, protože pravidla pro DMZ a k serveru ten útok nedojde...
Pokud bude útočit na porty webu, nezbude mi, než celé IP od webu odříznout - stejně by se ten web položil, ale ne jen pro IP, ze kterého se útočí, ale pro všechny. I kdyby tam bylo 5000 uživatelů (viz výše, nereálné), tak v takové situaci je stále výhodnější odříznout 5000 uživatelů, než server nechat položit celý.

Pokud bude útočit pouze na SSH či jiné služby správy, zablokuju z té IP pouze tyto služby, ale web nechám běžet.
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 20. 09. 2017, 12:28:25
No to je neuvěřitelný způsob překroucení věcí. Bílá je černá, černá je bílá, že?

DoS je typ útoku, s cílem znefunkčnit službu, v jehož důsledku (pokud se útok zdaří) pak dochází k nechtěnému odepření služby obecně, protože je "rozbitá". Zablokování konkrétních IP adres je explicitní zákaz (tím pádem chtěný) komunikace s útočníkem, aby mu byl útok na systém znemožněn nebo ztížen. Nazývat tohle DoSem je úplně padlé na hlavu.
Nikoli, DoS útok je útok, který oprávněným uživatelům znemožní službu používat. Např. klasickým DoS útokem je zahlcení linky, která způsobí, že se požadavky oprávněných uživatelů k serveru vůbec nedostanou. Služba v takovém případě není žádným způsobem rozbitá funguje perfektně a požadavky by byla schopná bez problémů vyřizovat – kdyby se k ní dostaly.

Pokud se ten samý uživatel k té samé službě opět nedostane, akorát příčinou není zahlcená linka, ale blokování na firewallu, které vyvolal útočník, je to úplně ten samý případ. Opět je to nechtěné odepření služby, protože toho oprávněného uživatele nikdo blokovat nechtěl – to zablokování vzniklo pouze chybnou konfigurací, kdy byl zablokován veškerý provoz z dané IP adresy, místo aby byl zablokován jen provoz útočníka.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Tomas2 20. 09. 2017, 12:30:38
Už vidím kde je problém, Filip Jirsák mluví z pohledu domácího uživatele, někteří ostatní (vč. mě) zase z pohledu velké nadnárodní sítě, to se pak nemůžeme divit, že si nerozumíme.

Jakmile mám desítky až stovky tisíc stanic k ochraně (ať už serverů nebo osobních počítačů či uzlů), bez blokování provoz pro ochranu to nelze (takovou síť jsem ještě neviděl).

Doporučení držet vše aktualizované je hodně mimo realitu, plán aktualizace serverů pro i malou farmu o cca 2000 kusech je na několik týdnů a během té doby samozřejmě jsou servery zranitelné na opravovanou zranitenost, nasadit blokování, IPS, IDS je mnohem efektivnější a rychlejší a v praxi běžně používané i na ipv6, o čemž je tohle vlákno.

Doporučení nepoužívat nešifrované ftp je opět mimo, občas to ani kvůli stáří SW a nákladům na jeho investici nejde, to se pak tuneluje a vlanuje. To si může dovolit udělat domácí uživatel, pokud na daném protokolu je nějaká infrastruktura ve firmě závislá, jeho změna trvá nějakou dobu (obyč ftp jsem ale už také chvilku neviděl).

Nejsem zastánce automatického blokování celých sítí, ale určitá QoS musí být v provozu a musí umět zamezit problémům, které se dějí. Dnešní útoky a problémy jsou mnohem větší než zvládne NIC u koncové stanice, fail2ban byl asi spíš nástřel pro algoritmus než doporučení jeho bezhlavého používání, sám ho nemám rád, dá se s ním také pěkně vytížit server a efekt je opačný, na koncové stanici podobný SW nemá u mě co dělat.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 12:41:54
Tak to jste mě dostal. ;D V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně :). BTW takové chování už není botnet, ale jeden nahodilý pokus o útok.
Cože? Víte, jak funguje botnet, který se pokouší zneužít nějaké zranitelnosti? Jsou v něm zapojená zařízení, každé zařízení má seznam adres, na které má útočit (v případě IPv4 nebude moc velká ztráta, pokud bude seznam úplný), a seznam útoků, které má vyzkoušet. Můžete botnet buď složitě koordinovat tak, že zařízením budete distribuovat disjunktní seznamy a zpětně zjišťovat, které útoky se provedly a které případně převelet jinam, protože třeba přidělené zařízení z botnetu vypadlo. A nebo se můžete na koordinaci vykašlat, protože je zbytečná a drahá, prostě dát každému zařízení kompletní seznam a ať si z něj vybírá náhodně.

Není to jeden nahodilý pokus o útok, jsou to různé útoky z různých nesouvisejících IP adres – podle toho, který člen botnetu zrovna náhodou zvolil vaší IP adresu. Jeden nahodilý pokus o útok by to byl tehdy, pokud by ten „botnet“ obsahoval jenom jedno zařízení – což ale není botnet.

Ale nenapsal jste řešení, 1. jak mitigovat 0day, 2. jak to řešit v prostředích, kde v praxi nemůžete provádět upgrady bez dlouhého testování.
Vy jste takové řešení také nenapsal, takže nemám důvod hledat nějakou náhradu. Řešení je například psát aplikaci tak, aby se možnost 0day útoků minimalizovala (zrovna u webových aplikací to není nic složitého). Nebo předřadit aplikaci aplikační firewall, který bude schopen odfiltrovat nebezpečný nebo podezřelý provoz, nebo naopak rovnou propustí jenom ten bezpečný.
Název: Re:ipv6 a blacklisty
Přispěvatel: PetrM 20. 09. 2017, 12:58:08
Tak to jste mě dostal. ;D V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně :). BTW takové chování už není botnet, ale jeden nahodilý pokus o útok.
Botnet = hromada nezávislých zařízení, který jsou infikovaný. Infekce probíhá většinou právě tak, že náhodně zkouší na náhodných IP adresách nějakou fintu (provalený backdoor) a když se povede, má nový node.

DoS útok vede k zablokování služby pro všechny, nikoliv pro jednoho. Mně přeci nevadí, že odepřu službu jednomu konkrétnímu člověku, který má zabreberkovaný počítač. Pro mě je důležité, že mi ten jeden zabreberkovaný počítač nezablokuje službu pro všechny ostatní uživatele.

Jenomže za jednou IP adresou můžou být stovky počítačů. Když se rozšíří virus a napadne rovnoměrně všechny adresy od ISP, odřízne to v rámci optimalizace celýho ISP. Jenomže infekce se málo kdy soustředí jenom na jednoho ISP...

Navíc je potřeba se zamyslet - fakt ten jeden PC s 1Gbps síťovkou a konektivitou v lepším případě 50Mbps do netu zahltí 10Gbps vlákno do toho serveru? Pokud jo, máš něco blbě.

DoS je stav, kdy je server přehlcený, případně jinak zablokovaný, a neposkytuje službu už nikomu.

Aha. Takže pokud bude probíhat amplifikovaný DDoS, za sekundu pžijde 1M dotazů a mezi nima je jeden od normálního klienta, který se podaří odbavit, už to není DDoS? Co ostatních 4999 klientů, kteří to štěstí neměli?

Asi nemá smysl slovíčkařit, rozumnější je nastavit parametry ve stylu "služba je dostupná, pokud se k ní dostane 95% klientů". A bezpečnost podřídit tomu. Pokud 30% lidí přichází třeba od UPC a preventivně UPC zaříznu, služba je nedostupná (dostupnost <= 70%).

Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné. Proč si myslíte, že velcí ISP NAT prakticky nepoužívají? Dělají to možná lokální přeprodávači konektivity, ale ti mají právě maximálně stovky přípojek.

Ne, jsem embeďák.

32b celkem - 22b prefix = 10b na klienty. To je 1024 sítí, neco n režii a rezerva, dejme tomu 1000 sítí pro NATování. 5k klientů / 1k adres = 5 klientů/adresu. 5 < 80. Síťaři neumí matematiku prvního stupně ZŠ?

Pokud bude útočit na porty webu, nezbude mi, než celé IP od webu odříznout - stejně by se ten web položil, ale ne jen pro IP, ze kterého se útočí, ale pro všechny. I kdyby tam bylo 5000 uživatelů (viz výše, nereálné), tak v takové situaci je stále výhodnější odříznout 5000 uživatelů, než server nechat položit celý.

To sice jo, ale odstřižení platících zákazníků od služby je přece až krajní případ. Tady se nasazuje už jako prevence... Pokud dokážu odbavit 500k požadavků/s, momentálně chodí 2k požadavků/s a zablokuju třeba 20 zákazníků kvůli pěti požadavkům jednoho z nich, je něco trochu blbě.

Pokud bude útočit pouze na SSH či jiné služby správy, zablokuju z té IP pouze tyto služby, ale web nechám běžet.

Web server za firewallem(a bez FW by to nechal jenom debil), otevřený port 80 pro všechny, port 23 tunelem z konkrétní IP, zbytek (SQL,...) lokálně v rámci DMZ nebo tunel, ostatní natvrdo zahodit. Je to jenom pár pravidel v iptables, nic složitýho. Na SSH se nedostane nikdo nepovolaný ani při prvním pokusu.

Proč ještě navíc to samý blokovat jednou, selektivně? To jako zamknu dveře a za ně postavím ochranku, aby kontrolovala občanky těch, co projdou těma zavřenýma dveřma? Nebo kolem atomovýho reaktoru stíněýho vodou, betonem a olovem dávat ještě papír, protože jím neprojde alfa záření? Nebo jaký je smysl?
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 12:58:18
Už vidím kde je problém, Filip Jirsák mluví z pohledu domácího uživatele, někteří ostatní (vč. mě) zase z pohledu velké nadnárodní sítě, to se pak nemůžeme divit, že si nerozumíme.
Já píšu o tom, o čem je původní dotaz – tj. o přístupu ke službám poskytovaným nějakým serverem (nebo farmou serverů). Takový server klidně může být i v nějaké velké nadnárodní síti, ale pokud je alespoň trochu významný, těžko si může jeho provozovatel dovolit blokovat k němu náhodně přístup uživatelům jenom proto, že se nějakému správci nelíbí IP adresa toho uživatele.

Jakmile mám desítky až stovky tisíc stanic k ochraně (ať už serverů nebo osobních počítačů či uzlů), bez blokování provoz pro ochranu to nelze (takovou síť jsem ještě neviděl).
Kolik služeb poskytovaných po síti takový typický počítač provozuje? Nula? Víte, jak to dopadne, když tou nulovou budete násobit libovolný počet stanic? Navíc si trochu pletete pojmy, blokování na základě blacklistu IP adres není jediný způsob blokování provozu.

Doporučení držet vše aktualizované je hodně mimo realitu, plán aktualizace serverů pro i malou farmu o cca 2000 kusech je na několik týdnů a během té doby samozřejmě jsou servery zranitelné na opravovanou zranitenost, nasadit blokování, IPS, IDS je mnohem efektivnější a rychlejší a v praxi běžně používané i na ipv6, o čemž je tohle vlákno.
Vy vážně někde provozujete nezáplatovanou aplikaci a jediný způsob, jakým ji „chráníte“, je to, že k ní nepustíte komunikaci z nějakých víceméně náhodných IP adres? O tom je tohle vlákno. O tom, že pak vám tu aplikaci může hacknout kdokoli, kdo není na tom náhodně vytvořeném blacklistu.

Doporučení nepoužívat nešifrované ftp je opět mimo, občas to ani kvůli stáří SW a nákladům na jeho investici nejde, to se pak tuneluje a vlanuje.
Dotaz byl na příklady, jak se to dá řešit, ne na univerzální řešení použitelné vždy. Tuneluje se to pravděpodobně šifrovaným kanálem, takže to nakonec šifrované je. VLAN je řešení pro lokální síť, pokud někdo zavede VLANu, aby oddělil nešifrovaný FTP provoz do bezpečné sítě, a pak si v té bezpečné síti spustí fail2ban, asi nemá všech pět pohromadě.

To si může dovolit udělat domácí uživatel, pokud na daném protokolu je nějaká infrastruktura ve firmě závislá, jeho změna trvá nějakou dobu (obyč ftp jsem ale už také chvilku neviděl).
Pokud je na něčem takovém firma závislá, tak se musí dělat pořádná bezpečnostní opatření a ne jen sestavovat seznam těch, kteří už se dovnitř nabourali.

Nejsem zastánce automatického blokování celých sítí, ale určitá QoS musí být v provozu a musí umět zamezit problémům, které se dějí. Dnešní útoky a problémy jsou mnohem větší než zvládne NIC u koncové stanice, fail2ban byl asi spíš nástřel pro algoritmus než doporučení jeho bezhlavého používání, sám ho nemám rád, dá se s ním také pěkně vytížit server a efekt je opačný, na koncové stanici podobný SW nemá u mě co dělat.
Takže se nakonec shodneme. Já k tomu ještě klidně přidám, že když probíhá nějaký intenzivní útok z jedné IP adresy nebo sítě, tak tu jednu IP adresu nebo síť klidně dočasně zaříznu na firewallu, abych měl více prostoru na řešení toho problému. Není to ale bezpečnostní opatření a neočekávám od toho, že to vyřeší problém, je to jenom nouzové opatření.
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 13:41:38
Infekce probíhá většinou právě tak, že náhodně zkouší na náhodných IP adresách nějakou fintu (provalený backdoor) a když se povede, má nový node.
Nesouhlasím. Botnety většinou zkoušejí celou sérii testů a hledají mezi více zranitelnostmi. Tím pádem máte víc podezřelých požadavků ze stejné IP.

Jenomže za jednou IP adresou můžou být stovky počítačů. Když se rozšíří virus a napadne rovnoměrně všechny adresy od ISP, odřízne to v rámci optimalizace celýho ISP. Jenomže infekce se málo kdy soustředí jenom na jednoho ISP...
Naštěstí to tak není. Za jednou IP adresou bývají maximálně desítky PC, a to je akceptovatelná ztráta.

Navíc je potřeba se zamyslet - fakt ten jeden PC s 1Gbps síťovkou a konektivitou v lepším případě 50Mbps do netu zahltí 10Gbps vlákno do toho serveru? Pokud jo, máš něco blbě.
DoS není o zahlcení linky, ale o tom, že naslouchající procesy lze zahltit.

Aha. Takže pokud bude probíhat amplifikovaný DDoS, za sekundu pžijde 1M dotazů a mezi nima je jeden od normálního klienta, který se podaří odbavit, už to není DDoS? Co ostatních 4999 klientů, kteří to štěstí neměli?
Bavíme se zde celou dobu o DoS, nikoliv o DDoS. Na DDoS tento typ ochrany není účinný.

32b celkem - 22b prefix = 10b na klienty. To je 1024 sítí, neco n režii a rezerva, dejme tomu 1000 sítí pro NATování. 5k klientů / 1k adres = 5 klientů/adresu. 5 < 80. Síťaři neumí matematiku prvního stupně ZŠ?
Pak ale odříznu jen 5 klientů, když se adresa ocitne na BL.

Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Hektor 20. 09. 2017, 14:10:24
Jirsáku, Jirsáku. Ty zřejmě nic nespravuješ, maximálně tak svůj počítač. Realita je taková, že z botnetů (které jsou na těch blacklistech převážně) jde spousta útoků po mnoho měsíců a správci těch botnetů tam přidávají nové exploity.

A jak jsem psal, ano něco ten blacklist stojí (třeba jeden DNS dotaz), ale to je nic proti tomu co by sežrala následná analýza, která se pochopitelně dělá, ale pro řádově méně requestů. Blacklisty se nepoužívají jako jediná ochrana, ale jako jeden ze stupňů.

Proto se používají blacklisty, aby se snížili náklady. Ve tvém vysněném světě možná utočník použije na každý útok jinou IP adresu, ale ve světě internetu to tak není. Vítej v realitě.

I ten fail2ban má své opodstatnění, kdybys totiž spravoval nějakou síť tak bys moc dobře věděl, že jedna IP adresa jednu chvíli zkouší bruteforce přihlášení přes SSH a druhou třeba přes IMAP.

Slaď svůj vnitřní stav s realitou a pak můžem o něčem diskutovat.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Lol Phirae 20. 09. 2017, 14:29:20
Jirsáku, Jirsáku. Ty zřejmě nic nespravuješ, maximálně tak svůj počítač.

No a ty se divíš? Kdo by k tomu toho magora pustil...  ;D ;D ;D
Název: Re:ipv6 a blacklisty
Přispěvatel: Filip Jirsák 20. 09. 2017, 14:35:25
Nesouhlasím. Botnety většinou zkoušejí celou sérii testů a hledají mezi více zranitelnostmi. Tím pádem máte víc podezřelých požadavků ze stejné IP.
Vy se na to pořád díváte úplně opačně. Když řešíte zabezpečení, musíte dělat opatření na všechny typy útoků, které si dokážete představit a kterým se chcete bránit. Nemůžete to dělat opačně, že vymyslíte opatření, a pak krkolomně hledáte nějaký útok, který by tohle opatření zastavilo. Kdybyste dělal zabezpečení baráku, tak přece taky nebudete postupovat tak, že si řeknete: „Mám zeď. Představme si zloděje, který se nemůže zdí probourat. Výborně, máme zabezpečeno, zloděj se zdí neprobourá.“ A bylo by vám úplně jedno, že v té zdi máte otevřené dveře.

DoS není o zahlcení linky, ale o tom, že naslouchající procesy lze zahltit.
DoS je  odepření služby, kterého lze docílit například zahlcením linky.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 14:50:23
Realita je taková, že z botnetů (které jsou na těch blacklistech převážně) jde spousta útoků po mnoho měsíců a správci těch botnetů tam přidávají nové exploity.
Na blacklistech není botnet, na blacklistech jsou IP adresy. Ono když na vaše zařízení zaútočí nějaký takový uzel botnetu, tak rovnou zaútočí – nefunguje to tak, že by se nejprve slušně představil a sdělil vám, ze kterého je botnetu, abyste si ho na základě toho mohl zablokovat. To, že správce botnetu přidává nové exploity, se vůbec nevylučuje s tím, co jsem napsal.

A jak jsem psal, ano něco ten blacklist stojí (třeba jeden DNS dotaz), ale to je nic proti tomu co by sežrala následná analýza, která se pochopitelně dělá, ale pro řádově méně requestů.
To je ale váš problém, že něco musíte sám před sebou schovat, abyste to pak nemusel analyzovat.

Blacklisty se nepoužívají jako jediná ochrana, ale jako jeden ze stupňů.
Stupňovaná obrana je hloupost. K čemu jsou ty slabší stupně, když za nimi následují silnější?

Proto se používají blacklisty, aby se snížili náklady.
Zavedení a údržba blacklistu a řešení jeho následků taky stojí náklady. Pokud máte náklady s tím, že něco analyzujete zbytečně, doporučil bych zabývat se spíš tím, proč to zbytečně analyzujete.

I ten fail2ban má své opodstatnění, kdybys totiž spravoval nějakou síť tak bys moc dobře věděl, že jedna IP adresa jednu chvíli zkouší bruteforce přihlášení přes SSH a druhou třeba přes IMAP.
Já to vím. Akorát že mezi „IP adresa zkouší“ a „opodstatnění“ není žádná přímá souvislost, to byste teprve musel odůvodnit, že to zkoušení je nějaký problém a že nejlepší řešení toho problému je fail2ban.

Slaď svůj vnitřní stav s realitou a pak můžem o něčem diskutovat.
Problém je, že vy nerozlišujete, co je realita, a co jsou nějaké vaše představy o souvislostech, které ani nedokážete formulovat. „IP adresa zkouší“ je realita, ale pak teprve musíte zjistit, jestli to je dobře nebo špatně, pokud se to špatně, tak proč, a pak teprve můžete vymýšlet, jak tomu, co je na tom špatně, zabránit.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 17:07:48
Stupňovaná obrana je hloupost. K čemu jsou ty slabší stupně, když za nimi následují silnější?

Jaké silnější?
1. Jak to budete řešit v prostředí, kde nemůžete ihned vše aktualizovat.
2. Jak budete řešit 0day?
3. Jak budete řešit vulnerabilities, kreré jsou známé, ale fix zatím není? (Viz CVE a doba odstranění).

Na okraj, ze samotných CVE často plyne doporučení hotfixu na jiném levelu zabezpečení, mnohé CVE mají severitu nižší, pokud máte splněné podmínky vícestupňového zabezpečení.

Zbláznil se svět, nebo pan Jirsák opravdu ztratil soudnost?
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Unknown 20. 09. 2017, 17:35:51
Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné.

Dneska uz pri prekroceni urciteho cisla zacnou stavkovat sluzby jako Google, ukazou hlasku o podezrelem provozu a pred pokracovanim chteji vyplnit Captchu.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 17:50:11
Jaké silnější?
Takové silnější, že dokáží zastavit útok podle toho, že jde o útok, ne podle toho, že se útočník náhodou trefí do nějakého náhodného seznamu IP adres.

1. Jak to budete řešit v prostředí, kde nemůžete ihned vše aktualizovat.
2. Jak budete řešit 0day?
3. Jak budete řešit vulnerabilities, kreré jsou známé, ale fix zatím není? (Viz CVE a doba odstranění).
Úplně stejně, jako před pěti hodinami. (https://forum.root.cz/index.php?topic=16322.msg226293#msg226293)

Na okraj, ze samotných CVE často plyne doporučení hotfixu na jiném levelu zabezpečení, mnohé CVE mají severitu nižší, pokud máte splněné podmínky vícestupňového zabezpečení.
Jenže blokování přístupu podle náhodného seznamu IP adres není zabezpečení. Uvědomte si konečně, že mezi aktuálním útokem a IP adresami, ze kterých přišel nějaký předchozí útok, není žádná souvislost. Za prvé aktuální útok nijak nesouvisí s předchozími útoky, za druhé IP adresa nijak neidentifikuje útočníka. Je to jako kdybyste v bance otevřel trezor a „zabezpečil“ ho tak, že před něj postavíte hlídače, který vyhodí každého, kdo se představí jako Karel – protože jednou vám jistý Karel dal v hospodě ránu pěstí. Že není žádná souvislost mezi ránou pěstí v hospodě a vyloupením banky? Že se lupič–muž klidně může představit jako Boženka a hlídač ho pustí? To jsou pro vás nepodstatné detaily, protože vy máte trezor zabezpečený.

Místo spekulování nad tím, jestli se zbláznil svět, popište, jak váš fail2ban zareaguje v případě, na který jste se sám ptal. Útočník objeví nějakou 0day zranitelnost v nějakém široce používaném systému, seznam IP adres, kde takový systém běží už má, a nebude se s tím nijak mazat, prostě spustí exploit ze svého počítače.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 19:08:02
Takové silnější, že dokáží zastavit útok podle toho, že jde o útok, ne podle toho, že se útočník náhodou trefí do nějakého náhodného seznamu IP adres.
Ale jaké to jsou?

Jenže blokování přístupu podle náhodného seznamu IP adres není zabezpečení. Uvědomte si konečně, že mezi aktuálním útokem a IP adresami, ze kterých přišel nějaký předchozí útok, není žádná souvislost. Za prvé aktuální útok nijak nesouvisí s předchozími útoky, za druhé IP adresa nijak neidentifikuje útočníka.
Naopak. Jaká je pravděpodobnost, že botnet na zavirovaném PC zaútočí na ten samý server, jako ten samý uživatel bude chtít na ten samý server přistupovat legitimně? Vzhledem k tomu, jak jste mi popisoval stochastiku chování výběru IP adres botnety, měl byste uznat, že taková situace je krajně nepravděpodobná.

IP adresa v podstatě identifikuje útočníka. Míra NATOVÁNÍ není tak velká.

Je to jako kdybyste v bance otevřel trezor a „zabezpečil“ ho tak, že před něj postavíte hlídače, který vyhodí každého, kdo se představí jako Karel – protože jednou vám jistý Karel dal v hospodě ránu pěstí. Že není žádná souvislost mezi ránou pěstí v hospodě a vyloupením banky? Že se lupič–muž klidně může představit jako Boženka a hlídač ho pustí? To jsou pro vás nepodstatné detaily, protože vy máte trezor zabezpečený.
To ne. Ale budu-li vědět, že na malém městě se pohybuje opilý černovlasý muž se zbraní v kabátu, tak patrně budu jako ředitel banky instruovat ochranku, aby takové muže podrobili důkladné kontrole. Malé město = zúžení pravděpodobnosti, popis muže = zúžení pravděpodobnosti, instrukce ochrance = blacklist.

Místo spekulování nad tím, jestli se zbláznil svět, popište, jak váš fail2ban zareaguje v případě, na který jste se sám ptal. Útočník objeví nějakou 0day zranitelnost v nějakém široce používaném systému, seznam IP adres, kde takový systém běží už má, a nebude se s tím nijak mazat, prostě spustí exploit ze svého počítače.
No např. mod_security/OSWAP definuje dostatek generických pravidel, že např. exploity na webu dokáže s určitou účinností zadržet. F2b pak navíc IP preventivně zablokuje, aby se útočník ani nemohl snažit. Nezadrží to 100 %, ale určitě je to bezpečnější, než bez toho. Mimochodem, spousta velkých společností má OSWAP pravidla jako povinnost v základním zadání projektu.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Tomas2 20. 09. 2017, 21:56:34
vzhledem k tomu jak tady Filip Jirsák celý den prokrastinuje (pokud je to placený diskutující, omlouvám se mu), moc praxe nestíhá nabrat, tak mluví jen o teorii.

Blokování zdroje, který dělá problémy je běžná praxe, ani ne tak, že se pak cítím bezpečnějí, ale aspoň mám méně dat k analýze, ale přicházím o dlouhodobou statistiku, což je škoda, já jsem ten od dat. Pokud někdo přetěžuje zdroje, zaslouží si utnout tipec, ono stačí na pár minut.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 22:23:54
Ale jaké to jsou?
Nejprve jsem vám to napsal. To jste zřejmě přehlédla a ptal jste se znova, tak jsem vám znovu dal odkaz na ten původní komentář. Ten jste zřejmě také přehlédl. Tak já nevím, jak vám to mám sdělit. Přejete si to ve verších, zazpívat, nebo jak je možné docílit toho, abyste ty příklady konečně vzal na vědomí a přestal se pořád dokola ptát na to samé, když už jste odpověď dostal a žádným způsobem jste na ni nereagoval?

Naopak. Jaká je pravděpodobnost, že botnet na zavirovaném PC zaútočí na ten samý server, jako ten samý uživatel bude chtít na ten samý server přistupovat legitimně? Vzhledem k tomu, jak jste mi popisoval stochastiku chování výběru IP adres botnety, měl byste uznat, že taková situace je krajně nepravděpodobná.
Vy to popisujete tak, že máte na blacklistu trvale všechny uzly všech botnetů – takže vám IP adresy na tom blacklistu zřejmě musí vydržet docela dlouho. IP adresy se někdy přidělují dynamicky, používá se NAT – takže vůbec nejde o to, že by uživatel ze zavirovaného PC chtěl použít vaši službu. Jde o to, že legitimní uživatel může náhodou vystupovat pod IP adresou, kterou se u vás před nějakým časem dostala na blacklist a ještě tam stále je.

Představte si to třeba na Informačním systému datových schránek. Například máte odeslat daňové přiznání a spoléháte na to, že ho můžete do půlnoci odeslat elektronicky, nebo vyrazíte na dovolenou do nějaké trochu exotičtější země s tím, že na případné zprávy dokážete do deseti dnů zareagovat, nebo že zvládnete do 8 dnů odpovědět na dotaz ke kontrolnímu hlášení. A pak byste se najednou do datových schránek nepřihlásil, protože fail2ban, zaplatil byste mastnou pokutu FÚ a kdybyste si stěžoval, dozvěděl byste se jen: „No jó, Jižní Amerika, to blokujeme rovnou po Céčkách…“ Měl byste radost z toho, že pravděpodobnost byla nízká?

IP adresa v podstatě identifikuje útočníka. Míra NATOVÁNÍ není tak velká.
No jo, když vy si pod NATem představujete domácí router. Představte si aspoň nějakého menšího ISP, který má třeba tisíc klientů, takže několik tisíc zařízení a uživatelů. IP adres má dost, takže bude pro NAT používat velkoryse třeba 4 C sítě. Tím, že se na blacklist dostane jediná IP adresa z toho rozsahu, může být negativně ovlivněno těch několik tisíc uživatelů. Pokud je ten NAT udělaný tak, že uživatel může být schovaný za kteroukoli IP adresou, jednou za čas prostě bude schovaný za tou špatnou a na vaší službu se nedostane. A bude to ještě o to nepříjemnější, že se to bude dít naprosto náhodně, a když už na to zapomene, objeví se to znova.

To ne. Ale budu-li vědět, že na malém městě se pohybuje opilý černovlasý muž se zbraní v kabátu, tak patrně budu jako ředitel banky instruovat ochranku, aby takové muže podrobili důkladné kontrole. Malé město = zúžení pravděpodobnosti, popis muže = zúžení pravděpodobnosti, instrukce ochrance = blacklist.
Ano, to je přesný popis vašeho přístupu. Když přijde s viditelnou zbraní plešatý muž v maskáčích, tak ho ochranka ponechá projít bez kontroly, protože přece neodpovídá popisu. Když ten opilý muž při opileckých toulkách městem kabát ztratí, ochranka ho opět pustí bez kontroly, protože přece neodpovídá popisu. Ale když se ten opilý muž z toho vyspí, ukáže se, že v kabátu měl banán a ne zbraň, tak ho stejně druhý den budou důkladně kontrolovat, zatímco vedle ti muži s viditelnými zbraněmi budou volně přicházet a odcházet.

No např. mod_security/OSWAP definuje dostatek generických pravidel, že např. exploity na webu dokáže s určitou účinností zadržet.
To nikdo nerozporuje. Akorát že to není blacklist IP adres, o kterém je tu celou dobu řeč.

Nezadrží to 100 %, ale určitě je to bezpečnější, než bez toho.
Víte, já jsem docela racionálně uvažující člověk, a na tyhle věci jako astrologie, homeopatika nebo fail2ban nevěřím. Vždycky mi někdo tvrdí, že to sice není na 100 %, ale nějaký vliv tam určitě je. Což se vskutku nedá popřít, pokud by se někdo pokusil dokázat, že vliv je nulový, dříve či později by dospěl ke sporu. Nicméně ten vliv je neměřitelný, daleko za jakoukoli statistickou chybou, je na úrovni šumu pozadí – a je obrovská spousta věcí, které mají vliv podstatně větší.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 20. 09. 2017, 22:28:18
aspoň mám méně dat k analýze
Ano, to je vůbec nejpádnější důvod pro nasazení fail2ban – aby se vám neplnily logy… Nenapadlo vás někdy, že když nějaká data nechcete analyzovat, nemusíte je před sebou schovávat, ale můžete je při analýze prostě ignorovat? Ještě že neděláte třeba analýzu návštěvnosti webu, to byste zakázal zaměstnancům chodit na web vlastní firmy, aby vám nekazili statistiky.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 22:36:04
vzhledem k tomu jak tady Filip Jirsák celý den prokrastinuje (pokud je to placený diskutující, omlouvám se mu), moc praxe nestíhá nabrat, tak mluví jen o teorii.
Prokrastinace je nějaký nový eufemismus k činnosti, které se dříve říkalo "blbnout"? :)
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 20. 09. 2017, 22:56:57
Nejprve jsem vám to napsal. To jste zřejmě přehlédla a ptal jste se znova, tak jsem vám znovu dal odkaz na ten původní komentář. Ten jste zřejmě také přehlédl. Tak já nevím, jak vám to mám sdělit. Přejete si to ve verších, zazpívat, nebo jak je možné docílit toho, abyste ty příklady konečně vzal na vědomí a přestal se pořád dokola ptát na to samé, když už jste odpověď dostal a žádným způsobem jste na ni nereagoval?
Psal jste něco o záplatování a robustních aplikacích. K tomu byly další dotazy, jak byste to řešil v praxi, která není nikdy ideální. Robustní aplikace a fixy jsou samozřejmě také nutné, ale není to přeci jediná vrstva ochrany.

Vy to popisujete tak, že máte na blacklistu trvale všechny uzly všech botnetů – takže vám IP adresy na tom blacklistu zřejmě musí vydržet docela dlouho. IP adresy se někdy přidělují dynamicky, používá se NAT – takže vůbec nejde o to, že by uživatel ze zavirovaného PC chtěl použít vaši službu. Jde o to, že legitimní uživatel může náhodou vystupovat pod IP adresou, kterou se u vás před nějakým časem dostala na blacklist a ještě tam stále je.
1. dnes už snad není moc takových ISP, kteří by dělali takovou magoriádu, jako že by točili NAT IP adresy. Mapování bývá pevné (rozdělené hashem). Měnit IP adresu způsobí problémy některým službám a nic to nikomu nepřinese. Pokud má někdo takového ISP, zcela zaslouženě ho asi brzy opustí.
2. Pokud botnet, podle Vaší teorie, udělá jeden úzce zaměřený útok, na blacklist se nedostane a neřešíme problém.
3. Pokud podle mé teorie provede víc pokusů v sérii, dostane se na blacklist zaslouženě, a i kdyby to odřízlo několik legitimních uživatelů, nebude ta škoda příliš vysoká.
4. Riziko, že na daný server bude přistupovat z NATOVANÉ IP adresy jak bot, tak legitimní uživatel, vidím jako sakra nízké. NAT 1:80, serverů statisíce, pravděpodobnost?

Představte si to třeba na Informačním systému datových schránek. Například máte odeslat daňové přiznání a spoléháte na to, že ho můžete do půlnoci odeslat elektronicky, nebo vyrazíte na dovolenou do nějaké trochu exotičtější země s tím, že na případné zprávy dokážete do deseti dnů zareagovat, nebo že zvládnete do 8 dnů odpovědět na dotaz ke kontrolnímu hlášení. A pak byste se najednou do datových schránek nepřihlásil, protože fail2ban, zaplatil byste mastnou pokutu FÚ a kdybyste si stěžoval, dozvěděl byste se jen: „No jó, Jižní Amerika, to blokujeme rovnou po Céčkách…“ Měl byste radost z toho, že pravděpodobnost byla nízká?
Podle typu služby se jistě ladí typ zabezpečení a přísnost. Datové schránky Vás jistě na určitý čas odříznou. Z exotické země se vůbec nemusíte do českých služeb dostat, není to úplně neobvyklé. Pokud jedete na delší dobu pryč, odjakživa dodnes se doporučuje zmocnit jinou osobu k procesněprávním úkonům (na procesněprávní úkony lze sepsat generální plnou moc).

No jo, když vy si pod NATem představujete domácí router. Představte si aspoň nějakého menšího ISP, který má třeba tisíc klientů, takže několik tisíc zařízení a uživatelů. IP adres má dost, takže bude pro NAT používat velkoryse třeba 4 C sítě. Tím, že se na blacklist dostane jediná IP adresa z toho rozsahu, může být negativně ovlivněno těch několik tisíc uživatelů. Pokud je ten NAT udělaný tak, že uživatel může být schovaný za kteroukoli IP adresou, jednou za čas prostě bude schovaný za tou špatnou a na vaší službu se nedostane. A bude to ještě o to nepříjemnější, že se to bude dít naprosto náhodně, a když už na to zapomene, objeví se to znova.
Ale houby. Kromě nějakých zoufalejších freenetů (znám víc freenetů, a spousta z nich je velmi profesionálních), ISP používají veřejné IP adresy, v nejhorším případě NAT v poměru blízkém 1:1. K tomu jednoduše vedou technické potřeby.

Ano, to je přesný popis vašeho přístupu. Když přijde s viditelnou zbraní plešatý muž v maskáčích, tak ho ochranka ponechá projít bez kontroly, protože přece neodpovídá popisu. Když ten opilý muž při opileckých toulkách městem kabát ztratí, ochranka ho opět pustí bez kontroly, protože přece neodpovídá popisu. Ale když se ten opilý muž z toho vyspí, ukáže se, že v kabátu měl banán a ne zbraň, tak ho stejně druhý den budou důkladně kontrolovat, zatímco vedle ti muži s viditelnými zbraněmi budou volně přicházet a odcházet.
Kdepak. Ochranka je trénovaná na to, aby běžná rizika uměla rozpoznat. Popis podezřelého muže, který se zrovna včera opilý potuloval po městě, to bylo jen krátkodobé konkrétní opatření.

To nikdo nerozporuje. Akorát že to není blacklist IP adres, o kterém je tu celou dobu řeč.
Nevím jak u Vás, ale běžnou praxí je prohnat logy z mod_security skrz fail2ban a četně "zlobivé" IP adresy na čas odříznout, abych ulevil náročným pravidlům mod_security.

Víte, já jsem docela racionálně uvažující člověk, a na tyhle věci jako astrologie, homeopatika nebo fail2ban nevěřím. Vždycky mi někdo tvrdí, že to sice není na 100 %, ale nějaký vliv tam určitě je.
Za to hovoří výsledky. Počet banovaných IP adres, pokles CPU po aplikaci BL.
Místo blbnutí raději racionálně zvažte, co je NAT, a jak se používá. Když mi tvrdíte, že je normální, aby ISP masivně NATOVAL a ještě rotoval IP adresy, nemohu nabýt jiného dojmu, že bydlíte v nějaké díře, kde normální ISP není, a síť spravuje militantní síťař, který ještě nikdy nebyl konfrontován s tisícovkami přípojek a gigabity průtoků.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 21. 09. 2017, 07:26:18
Psal jste něco o záplatování a robustních aplikacích. K tomu byly další dotazy, jak byste to řešil v praxi, která není nikdy ideální. Robustní aplikace a fixy jsou samozřejmě také nutné, ale není to přeci jediná vrstva ochrany.
Nechápu, proč se na něco opakovaně ptáte, a ani jednou si nepřečtete odpověď.

1. dnes už snad není moc takových ISP, kteří by dělali takovou magoriádu, jako že by točili NAT IP adresy. Mapování bývá pevné (rozdělené hashem). Měnit IP adresu způsobí problémy některým službám a nic to nikomu nepřinese. Pokud má někdo takového ISP, zcela zaslouženě ho asi brzy opustí.
Vy jako provozovatel serveru můžete ovlivnit, jak vaši klienti NATují? Asi těžko. Takže musíte předpokládat tu pro vás nejméně příznivou variantu. Navíc jak IPv4 adresy docházejí, budou se ISP snažit využívat ty zbývající efektivněji, což znamená mimo jiné sdružovat NAT do větších skupin, které budou pracovat společně – pak je možné agregační poměr zvětšovat.

2. Pokud botnet, podle Vaší teorie, udělá jeden úzce zaměřený útok, na blacklist se nedostane a neřešíme problém.
Řešíme, protože pak je ten váš blacklist k ničemu.

3. Pokud podle mé teorie provede víc pokusů v sérii, dostane se na blacklist zaslouženě, a i kdyby to odřízlo několik legitimních uživatelů, nebude ta škoda příliš vysoká.
To máte dost zvláštní přístup k provozování služby, když klidně úplně zbytečně odříznete legitimní uživatele. Nebylo by nejlepší v takovém případě službu úplně vypnout? Zablokuje se tím 100 % útoků a škoda nebude příliš vysoká.

4. Riziko, že na daný server bude přistupovat z NATOVANÉ IP adresy jak bot, tak legitimní uživatel, vidím jako sakra nízké. NAT 1:80, serverů statisíce, pravděpodobnost?
Jaké statisíce serverů? Víte, jaká zařízení se stávají součástí botnetů? Špatně zabezpečená malá zařízení (routery, webkamery, NASy), neudržované SOHO počítače s Windows, neudržované servery, které provozuje někdo, kdo tomu nerozumí – takže to budou buď levné VPS, nebo opět počítače někde doma ve sklepě nebo v kanceláři v nějakém kumbálu. Takže jsou to hlavně zařízení v SOHO sítích, kde se ale zároveň vyskytují i ti legitimní uživatelé.

Podle typu služby se jistě ladí typ zabezpečení a přísnost.
Ano, naštěstí, takže fail2ban na nějakém blogu nakonec opravdu nemusí vadit mnoha lidem.

Datové schránky Vás jistě na určitý čas odříznou.
To je právě váš problém, že dáváte přednost vlastním názorům před fakty. Provozovatel datových schránek si naštěstí nic takového nemůže dovolit, a naštěstí to neprovozují úplní amatéři. Kdy vám datové schránky mohou odepřít přístup je napsáno v provozním řádu, a je to jediný případ, který zabraňuje útoku hrubou silou na hesla uživatelů datových schránek.

Pokud jedete na delší dobu pryč
Týden? A nechtěl byste někomu pro jistotu dávat plnou moc, když jdete na oběd?

Ale houby. Kromě nějakých zoufalejších freenetů (znám víc freenetů, a spousta z nich je velmi profesionálních), ISP používají veřejné IP adresy, v nejhorším případě NAT v poměru blízkém 1:1. K tomu jednoduše vedou technické potřeby.
No jistě, nedostatek IPv4 adres je výmysl, uživatelé, kteří bojují s NATem jsou výmysl, všichni používají veřejné IP adresy.

Za to hovoří výsledky. Počet banovaných IP adres
Aha, takže pro vás je dobrým výsledkem provozu služby co největší počet zabanovaných IP adres. Jak už jsem psal, mám pro vás radu, jak si výsledky ještě zlepšit: zabanujte úplně všechny IP adresy.

Místo blbnutí raději racionálně zvažte, co je NAT, a jak se používá.
Děkuji, ale o vaše vybájené představy o fungování NATU nemám zájem.

Když mi tvrdíte, že je normální, aby ISP masivně NATOVAL a ještě rotoval IP adresy
Nikde jsem netvrdil, že je to normální. Provozovatel serveru ale nemůže ovlivnit, jestli jeho klienti budou NATovat normálně nebo nenormální. Navíc NATování bohužel normální je, vítejte v roce 2017.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 21. 09. 2017, 08:14:26
Týden? A nechtěl byste někomu pro jistotu dávat plnou moc, když jdete na oběd?
Ano, týden. Např. nám všem je známé ono "slavné" blokové čištění ulic, kdy provozovatel komunikace musí umístit značky 7 dní dopředu. Je soudy mnohokrát judikováno, že o tomto všichni vlastníci vozidel vědí, a když jedou na týden pryč, musí si zajistit "hlídání" auta, nebo počítat s následky. S fikcí doručování je to to samé. Nikdo Vás nenutí, ale následky znáte.

No jistě, nedostatek IPv4 adres je výmysl, uživatelé, kteří bojují s NATem jsou výmysl, všichni používají veřejné IP adresy.
Dovolím si tvrdit, že většina přípojek má veřejnou IP adresu. Bavím se o tom, že NATOVAT na straně ISP je čuňárna. V rámci přípojku už je to v pořádku, protože přípojka má svého vlastníka (= tedy správce, který má přehled, co se v rámci natu děje).

Aha, takže pro vás je dobrým výsledkem provozu služby co největší počet zabanovaných IP adres. Jak už jsem psal, mám pro vás radu, jak si výsledky ještě zlepšit: zabanujte úplně všechny IP adresy.
Jasně, přesně o tom se tu celou dobu bavíme. Všichni zde chtějí mít na blacklistu určitě miliony IP adres.

Nikde jsem netvrdil, že je to normální. Provozovatel serveru ale nemůže ovlivnit, jestli jeho klienti budou NATovat normálně nebo nenormální. Navíc NATování bohužel normální je, vítejte v roce 2017.
Psal jsem o masivním NATOVÁNÍ na straně ISP. To naštěstí normální není, kromě pár zoufalých sítí, kde správci neumějí IP adresy získat a spavovat. NATY na straně přípojek nepovažuji za zlo, ale to asi není to, co tu řešíme. Asi je jedno, jestli odstřihnu jedno PC, nebo celou domácnost či malou firmu. Vyšli jsme z Vašich tezí, představ, že by za jednou IP adresou mohlo být třeba 5000 navzájem si cizích lidí. A to je prostě pitomost.
Název: Re:ipv6 a blacklisty
Přispěvatel: Tomáš Polomský 21. 09. 2017, 08:43:46
Ještě jsem v praxi nepotkal botnet, který koordinoval napříč tisícovky počítačů to, kdo jaký typ útoku provádí. Taková koordinace by byla za jedno náročná, za druhé nebezpečná i pro autora botnetu. Možná takové existují, ale rozhodně to není častá výzva pro adminy.
Omluvte prosím tuto otázku, nepovažuji se za experta na bezpečnost a proto může být naprosto zcestná. Máte k dispozici takové analytické nástroje, které by vám dokázaly odlišit tento typ koordinovaného útoku od náhodného útoku z více strojů? Tedy jinými slovy, jste si jistý, že jste koordinovaný útok už nezažil, jenom o tom nevíte? V případě cíleného útoku na vaši síť totiž si útočník může počkat a poslat vám testy rozložené v čase.
Zase „může“. A taky může pravděpodobnost DoSu zvýšit.
Proboha, jak?
U dynamicky přidělovaných adres (poskytovatelé internetu, univerzity...) můžete tak postupně nechat blokovat jednotlivé uživatele. A pokud máte fail2ban "chytrý", že zablokuje celý rozsah v případě blokací několika ip z celého rozsahu je to ještě snažší.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Tomáš Polomský 21. 09. 2017, 09:02:02
Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné.

Dneska uz pri prekroceni urciteho cisla zacnou stavkovat sluzby jako Google, ukazou hlasku o podezrelem provozu a pred pokracovanim chteji vyplnit Captchu.
Ano, toto je přesná demonstrace chyb systému podobnému fail2ban, až na to, že blokován bude uživatel i při naprosto legálních dotazech.
Název: Re:ipv6 a blacklisty
Přispěvatel: Miroslav Šilhavý 21. 09. 2017, 09:14:54
Máte k dispozici takové analytické nástroje, které by vám dokázaly odlišit tento typ koordinovaného útoku od náhodného útoku z více strojů? Tedy jinými slovy, jste si jistý, že jste koordinovaný útok už nezažil, jenom o tom nevíte?
Ano, takové nástroje k dispozici jsou. Distribuované útoky zjistíte nejčastěji (začínající) nedostupností služby, poté hledáte společný znak, kterým by se dalo zabránit přístupu jen těm, kteří útočí. Fail2ban distribuvaný útok nezjistí.

U dynamicky přidělovaných adres (poskytovatelé internetu, univerzity...) můžete tak postupně nechat blokovat jednotlivé uživatele. A pokud máte fail2ban "chytrý", že zablokuje celý rozsah v případě blokací několika ip z celého rozsahu je to ještě snažší.
Nepovažuji za dobrou praktiku blokovat trvale, či celé sítě. Většinou se snažím blokovat jen přístup na služby, na které bylo útočeno, jen z jediné IP adresy a ještě k tomu na omezenou dobu. Tedy, jen na dobu, než se bot "přežene". Obvykle stačí desítky minut.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: ByCzech 21. 09. 2017, 10:28:12
Zbláznil se svět, nebo pan Jirsák opravdu ztratil soudnost?

Nemůže ztratit něco, co nikdy neměl 8)
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 21. 09. 2017, 14:03:33
Dneska uz pri prekroceni urciteho cisla zacnou stavkovat sluzby jako Google, ukazou hlasku o podezrelem provozu a pred pokracovanim chteji vyplnit Captchu.
Ano, toto je přesná demonstrace chyb systému podobnému fail2ban, až na to, že blokován bude uživatel i při naprosto legálních dotazech.
Google ale uživatele neblokuje, jenom musí vyplnit CAPTCHA. Mezi zablokováním uživatele, se kterým nemůže vůbec nic udělat, a jeho ověřením přes CAPTCHA je diametrální rozdíl.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Tomas2 21. 09. 2017, 20:28:13
aspoň mám méně dat k analýze
Ano, to je vůbec nejpádnější důvod pro nasazení fail2ban – aby se vám neplnily logy… Nenapadlo vás někdy, že když nějaká data nechcete analyzovat, nemusíte je před sebou schovávat, ale můžete je při analýze prostě ignorovat? Ještě že neděláte třeba analýzu návštěvnosti webu, to byste zakázal zaměstnancům chodit na web vlastní firmy, aby vám nekazili statistiky.

Tady někdo nepochopil ironii. Mám rád data k analýze a proto nerad používám fail2ban, zbytečně mě jich zbavuje, služba se musí ochránit i bez něho a pokud mám legitimní důvod k blokování (bezpečnost, přetížení linky atd.), potřebuji robustnější řešení.

Pokud se bavíme o webových službách, blokování příchozích jen proto, že mě štvou, je opavdu hodně špatné, chudák nevinný návštěvník často netuší co se děje a pro něj "mu nefunguje internet". Řešením na zatížení je posílit aplikaci nebo předsadit bránu typu tu od cloudfare.

Google search a jeho captcha, kterou umí sám rozlousknout přes rozpoznávání textu? Jo tenhle vtip google dělá už hezkou řádku let.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: JardaP . 21. 09. 2017, 22:35:35
Hm, uz se vidim, jak si predstrkavam Cloudflare pred domaci Rasberry se ssh.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Tomas2 21. 09. 2017, 23:50:26
Hm, uz se vidim, jak si predstrkavam Cloudflare pred domaci Rasberry se ssh.

Pokud na domácím rpi pod ssh provozuješ webovou službu, myslím, že cloudflare je ta poslední divnost, která tě trápí. Právě proto jsem ten odstavec začínal podmínkou...

Na vlastním zařízení pro vlastní potřebu si můžeš blokovat cokoliv lde libosti, o tom tady myslím v celém dlouhém vlákně nikdo se ani nezmínil.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: JardaP . 22. 09. 2017, 09:46:00
Na vlastním zařízení pro vlastní potřebu si můžeš blokovat cokoliv lde libosti, o tom tady myslím v celém dlouhém vlákně nikdo se ani nezmínil.

Porad nevidim, proc by nektere sluzby nemohli byt blokovany nejakym blocklistem i treba na firemnim serveru (Fail2ban, Denyhosts ci neco jineho). Sluzba, to neni jen webserver.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Hektor 22. 09. 2017, 09:48:46
No bavím se. Jirsák zřejmě umí magicky beznákladově rozlišit co je správné připojení a co ne. Proto jednoduše co nechce do následné drahé analýzy nepustí. Prostě magic. Normální člověk bez nadpřirozených schopností v prvním kole analýzy, použije levný  blacklist. A ještě pro Jirsáka googlitelný termín, aby se poučil o víceúrovňové bezpečnosti: "Defense in depth".
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: KStanley 22. 09. 2017, 11:33:23
Pan Jirsák má pravdu. Řešení fail2ban si dovolím přirovnat k automobilovému provozu, kde by nějaké brány sledovaly vozidla a pokud by RZ vozidla byla na blacklistu, tak ho do provozu nepustí. Co ale zabrání tomu, aby např. alkoholik nasedl do jiného vozidla? Co když někdo zneužil moje vozidlo a já teď jako legitimní uživatel nemohu jezdit? A přesně jak říká pan Jirsák, na blacklist se RZ dostane, až když je nahlášeno, že se chová divně (např. se motá, naráží, ...), ale to už dávno mohlo napáchat vážnou škodu. Takže místo hledání skutečného řešení, říkáme, že filtr je fajn, má slušnou účinnost a pár nevinně zablokovaných je akceptovatelná ztráta. (Mimochodem obdobnou rétoriku má dnes i Finanční správa na zádržáky). Děkuji ne.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 22. 09. 2017, 11:42:31
Pan Jirsák má pravdu. Řešení fail2ban si dovolím přirovnat k automobilovému provozu, kde by nějaké brány sledovaly vozidla a pokud by RZ vozidla byla na blacklistu, tak ho do provozu nepustí. Co ale zabrání tomu, aby např. alkoholik nasedl do jiného vozidla? Co když někdo zneužil moje vozidlo a já teď jako legitimní uživatel nemohu jezdit? A přesně jak říká pan Jirsák, na blacklist se RZ dostane, až když je nahlášeno, že se chová divně (např. se motá, naráží, ...), ale to už dávno mohlo napáchat vážnou škodu. Takže místo hledání skutečného řešení, říkáme, že filtr je fajn, má slušnou účinnost a pár nevinně zablokovaných je akceptovatelná ztráta. (Mimochodem obdobnou rétoriku má dnes i Finanční správa na zádržáky). Děkuji ne.

To všechno je o penězích. Pokud Vám zákazník / zákazníci mastí weby na profláklých redakčních systémech, co stránka, to 40 SQL dotazů atp., odmítá aktualizovat (stojí to peníze!), vyžaduje apache/.htaccess, tak je prakticky mimo realitu hledat jiné řešení. O robustních aplikacích, a řešení problémů tam, kde vznikají, si pak můžete jen nechat zdát.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: KStanley 22. 09. 2017, 11:49:29
OK, může být a asi i je. Pak ale neříkejte, že děláte správné řešení, ale řešení, které za dané peníze umíte udělat a pan Jirsák má pravdu. Takto to vypadá, že fail2ban je správné řešení, ne není, je ale relativně jednoduché a levné, můžete v případě problémů vykázat činnost, že jste pro ochranu něco udělali, že je to řešení, které používá většin, atd., ale pořád to nebude správné řešení.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: KStanley 22. 09. 2017, 11:57:55
A ještě jedna věc, jak se dost často řeší problémy. Nedávno byl na webu článek, jak na kulinářských trzích jedna kuchařka amatérka trestuhodně nakládala s vejci, až z toho přes 100 účastníků mělo salmonelu. A výstup? Musíme zpřísnit pravidla. Proč proboha? Chyba byla, že se nevyřešil problém u té jedné účastnice.  Takto přísnější pravidla postihnou všechny účastníky. Stejně tak je to dnes v automobilovém provozu, stále vyšší pokuty, přísnější pravidla, bodový systém, ale ožralci a zfetovanci jezdí dál. Daňové úniky? Máme kontrolní hlášení, EET,  elektronická daňová přiznání (data FS dostává přímo do systému) a výstup kde nic tu nic. Jen pokuty pro malé živnostníky, že nevydal účtenku, neměl pověšenou ceduli o EET. Omlouvám se, že sem pletu Babiše, ale ten je taky přesvědčen, jak to krásně odfiltroval. A stejné je to i v jiných odvětvích. Čas od času by to chtělo přestat rezignovat na snahu hledat skutečné řešení.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 22. 09. 2017, 11:59:13
To všechno je o penězích. Pokud Vám zákazník / zákazníci mastí weby na profláklých redakčních systémech, co stránka, to 40 SQL dotazů atp., odmítá aktualizovat (stojí to peníze!), vyžaduje apache/.htaccess, tak je prakticky mimo realitu hledat jiné řešení. O robustních aplikacích, a řešení problémů tam, kde vznikají, si pak můžete jen nechat zdát.
Akorát že fail2ban není řešení takové situace. Ano, může se stát, že fail2ban někdy omylem zastaví útok na takovou aplikaci. Ale to nic nemění na tom, že máte extrémně děravý server.

Profláklé redakční mají ve výchozí instalaci nastavenou automatickou aktualizaci, aby to stálo peníze, musí to zase někdo vědomě pokazit. Mnohem víc peněz pak bude stát řešení napadeného serveru.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 22. 09. 2017, 12:01:48
OK, může být a asi i je. Pak ale neříkejte, že děláte správné řešení, ale řešení, které za dané peníze umíte udělat a pan Jirsák má pravdu. Takto to vypadá, že fail2ban je správné řešení, ne není, je ale relativně jednoduché a levné, můžete v případě problémů vykázat činnost, že jste pro ochranu něco udělali, že je to řešení, které používá většin, atd., ale pořád to nebude správné řešení.

Když si přečtete moje posty od začátku, tak od začátku je vepsaná podmínka / předpoklad, že se jedná o menší zlo, než nezavádět žádné řešení tam, kde prostě ideálního stavu dosáhnout nemůžete. Další, co jsem vepisoval bylo, že blokaci je nutné nastavit jen na nutně krátkou dobu (než útok přejde - bývají to desítky minut), a blokaci co nejvíc cílit na konkrétní službu, ne na celý server.

Správné řešení = já za správné považuji optimum. Za optimum musím považovat to, co jsem schopný reálně zavést. V první řadě je nutné snažit se mít vše zafixované. V druhé řadě vybrat technologie, které se dají v dané situaci udržet. Ve třetí řadě mít zpětný vliv na samotný vývoj aplikace.

Bohužel, v praxi vývoj s administrátory moc nespolupracuje. Vývoj splní funkční požadavky, které jsou zároveň akceptačními kritérii. Mimofunkční požadavky se už nikdo moc nežene vyhodnocovat, a všichni v řetězci si následné problémy přehazují jako horký brambor. Ve chvíli, kdy vývoj nepracuje kooperativně, ale alibisticky a konfrontačně, pak adminovi nezbývá akceptovat pravidla hry.

Projektů, kde si můžete dovolit dělat věci lépe, těch je bohužel jen zlomek.

Vaší pozornosti ještě předkládám projekt https://fe.nix.cz/ sdružení NIX, který má za cíl v případech DDoS útoků odříznout dokonce celé AS, u kterých správci neakceptují určitou úroveň zabezpečení, správy a podpory. Kdybyste se na to díval tak přísně, jak píšete, musel byste tento projekt také odsoudit. Ale myslím, že pány z NIX nepodezíráte z toho, že by to byli úplní pitomci, ne?
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Lol Phirae 22. 09. 2017, 12:05:30
Jirsáku, ty už sis zas vysadil prášky?

 ;D ::)
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 22. 09. 2017, 12:10:23
Profláklé redakční mají ve výchozí instalaci nastavenou automatickou aktualizaci, aby to stálo peníze, musí to zase někdo vědomě pokazit. Mnohem víc peněz pak bude stát řešení napadeného serveru.
Bohužel, taková je praxe. Zákazník si objedná zhotovitele webu. Ten to namastí do WP, Joomly, ..., s pluginami se nemaže, přepíše si je k obrazu svému (proč by něco přetěžoval), a pak vypne aktualizace, aby se dodávka sama od sebe nesesypala. Zákazník převezme, a než dojde k průšvihu, trvá to třeba měsíce. Vy, jako správce serveru nemáte možnost zákazníkovi moc kecat do toho, jestli koupil dobře nebo špatně udělaný systém. Naopak, když to někdo prolomí, tak zákazník už nejde reklamovat ke zhotoviteli, ten mu přeci předal web funkční. Takže logicky se obrací na správce serveru. Ano, můžete to zákazníkovi vysvětlit. Některý vám bude věřit, jiný nebude, ale obě skupiny budou nespokojené.

Stejnou logikou byste mohl označit mod_security / OSWAP / NAXSI jako zbytečné žrouty výkonu, které řeší blbě napsané aplikace. V tom máte pravdu, ale opět, v praxi je to level zabezpečení, který kompenzuje problémy vzniknuvší někde, kam zasáhnout nemůžete.

Ještě se vrátím k naší diskusi o blokování a NAT. Vy tvrdíte, že by admini by to měli přijmout jako realitu, že NAT existuje, a že IP není dost jednoznačný identifikátor přípojky. Budiž. Ale podle stejné logiky by se dalo říct, že ISP by také mohli vzít na vědomí, že skrývat různé zákazníky, kteří spolu nemají nic společného, za stejnou IP adresu, je špatná praxe. Pravda bude patrně někde mezi těmito dvěma tvrzeními, a řešení bude o tom, kdo jakou míru zásahu do komfortu akceptuje.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 22. 09. 2017, 16:57:09
Bohužel, taková je praxe. Zákazník si objedná zhotovitele webu. Ten to namastí do WP, Joomly, ..., s pluginami se nemaže, přepíše si je k obrazu svému (proč by něco přetěžoval), a pak vypne aktualizace, aby se dodávka sama od sebe nesesypala. Zákazník převezme, a než dojde k průšvihu, trvá to třeba měsíce. Vy, jako správce serveru nemáte možnost zákazníkovi moc kecat do toho, jestli koupil dobře nebo špatně udělaný systém. Naopak, když to někdo prolomí, tak zákazník už nejde reklamovat ke zhotoviteli, ten mu přeci předal web funkční. Takže logicky se obrací na správce serveru. Ano, můžete to zákazníkovi vysvětlit. Některý vám bude věřit, jiný nebude, ale obě skupiny budou nespokojené.
Trochu mi uniká ta souvislost, proč když je zfušovaná aplikace, má být zfušovaná i její správa. Pokud používáte fail2ban jako alibi před hloupými zákazníky, abyste jim mohl namluvit, že to bylo zabezpečené, ale jednalo se o velmi sofistikovaný útok, a následně je zkásnout ještě za řešení napadeného serveru, měl byste si uvědomit, že na odborném fóru vám na tohle přeci jen lidé nenaletí.

Stejnou logikou byste mohl označit mod_security / OSWAP / NAXSI jako zbytečné žrouty výkonu, které řeší blbě napsané aplikace. V tom máte pravdu, ale opět, v praxi je to level zabezpečení, který kompenzuje problémy vzniknuvší někde, kam zasáhnout nemůžete.
Ano, řeší, nebo spíš „řeší“, to blbě napsané aplikace. Ale aspoň se to snaží zastavit útok, který to detekuje. Ne jako fail2ban, která nechá několik útoků proběhnout, pak se konečně probere a zabanuje cokoli, co přišlo po útoku.

Ale podle stejné logiky by se dalo říct, že ISP by také mohli vzít na vědomí, že skrývat různé zákazníky, kteří spolu nemají nic společného, za stejnou IP adresu, je špatná praxe
Prozradím vám to tajemství, proč se používá NAT. Není to proto, že by to ISP bavilo, nebo že by nevěděli, čím by si ještě mohli zkomplikovat síť. NAT se používá proto, že IPv4 adres je už spoustu let nedostatek, a pořád se to zhoršuje. On by ten ISP rád dal každému zákazníkovi tolik veřejných IPv4 adres, o kolik si zákazník řekne – jenže ISP je nemá a nikdo mu je nedá.

Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů. Uživatel, který se chce dostat na nějaký web a zobrazí se mu chyba, přeci také vždycky zkusí stránku obnovit, ne jako nějaký hloupý robot, který jde hned dál. Toho by se mělo využít. Ve spojení s fail2ban budete mít takřka neprůstřelný web. Teda pokud na ně někdo nezaútočí. Není zač.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Lol Phirae 22. 09. 2017, 17:13:46
měl byste si uvědomit, že na odborném fóru vám na tohle přeci jen lidé nenaletí.

Ono zas tak odborné není, když sem píše i takový debil jako Jirsák.  ;D
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 22. 09. 2017, 17:25:34
Trochu mi uniká ta souvislost, proč když je zfušovaná aplikace, má být zfušovaná i její správa.
F2b je poslední instance, která může ještě něco zachytit. Nechápu, proč mi pořád vnucujete, že by to měla být první, nebo jediná. Cena nasazení a správy je blízká nule, o efektu se neshodneme, já tvrdím, že je pozitivní. False positives prakticky nemám, na f2b dojde zřídka kdy.

Ano, řeší, nebo spíš „řeší“, to blbě napsané aplikace. Ale aspoň se to snaží zastavit útok, který to detekuje. Ne jako fail2ban, která nechá několik útoků proběhnout, pak se konečně probere a zabanuje cokoli, co přišlo po útoku.
Jenže mod_security je poměrně strojově náročný, a v době probíhajícího útoku výkonový peak nemusíte ustát. Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat. Nechytejte mě za slovo, prosím, i já vím, že spoustu threadů odřízne prakticky bezpracně. A na ty ostatní mám nastavený f2b, a po překročení hodně vysoko nastaveného prahu je IP na pár (desítek) minut zablokovaná. A do samotného mod_security už by většina threadů stejně neměla dojí, protože jsou odchyceny dříve. Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.

Prozradím vám to tajemství, proč se používá NAT. Není to proto, že by to ISP bavilo, nebo že by nevěděli, čím by si ještě mohli zkomplikovat síť. NAT se používá proto, že IPv4 adres je už spoustu let nedostatek, a pořád se to zhoršuje. On by ten ISP rád dal každému zákazníkovi tolik veřejných IPv4 adres, o kolik si zákazník řekne – jenže ISP je nemá a nikdo mu je nedá.
Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí. Kdyby to bylo tak, jak říkáte vy, tak především velcí ISP by dávno NATOVALI, ale je zajímavé, že to dělají jen ti malí? Proč asi?

Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů.
Greylisting je opět až další level ochrany. Spousta spojení se dá ihned detekovat jako naprosto legitimní, a projdou bez zdržení (stačí používat SPF). Dále existují udržované DNS realtime whitelisty, které také rozumný admin pořídí a nasadí jako bypass. Greylisting se pak aplikuje už jen na ty, kteří na svoji doménu prdí, a nemají ji nastavenou tak, jak žádá rok 2017. Nejčastěji pak jde o zdržení prvního e-mailu z domény o cca 20 minut, a je poměrně bezpečné nechat pro tu samou IP adresu greylisting bypassnutý i několik týdnů - tj. zdržení na příjmu je např. jednou za měsíc. (Vetší mailové služby, které odesílají SMTP z více IP, bývají dost spolehlivě na whitelistech, takže se to rozhodně nedotkne žádných freemailů).

Takže pořád dokolečka: nevnucujte mi prosím, že zmiňované technologie jsou všespásné, nebo ochrana první volby. To jsem nikdy netvrdil. Také netvrdím, že to jsou metody, které se ve větším měřítku nedají plnohodnotně nahradit lepší technologií. Dají, ale ne každý má takový rozsah potřeb, aby si mohl dovolit investice do nich rozpustit. Pak se samozřejmě nabízí, jestli není vhodnější přejít na profesionální outsourcovanou službu, která má vše už v ceně. Někdy ano, někdy ne.

Mám pocit, že vše vidíte děsně černobíle, že ostatní podezíráte, že jako jedinou ochranu i jako jediný bypass mají f2b, denyhosts, greylisting, DNS BL apod. - ale to je přeci hovadina, rozumný admin tyto nástroje používá s nastavenou vahou a s nastaveným dopadem.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: JardaP . 22. 09. 2017, 17:46:09
Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů. Uživatel, který se chce dostat na nějaký web a zobrazí se mu chyba, přeci také vždycky zkusí stránku obnovit, ne jako nějaký hloupý robot, který jde hned dál. Toho by se mělo využít. Ve spojení s fail2ban budete mít takřka neprůstřelný web. Teda pokud na ně někdo nezaútočí. Není zač.

Graylisting na webu je jiste dobry napad. Zkusme si predstavit, jak by to fungoval: Zkusim vlezt na web, server mi treba pul hodiny bude odmitat spojeni. Nasledne, kdyz vytrvam, se mi konecne stranka zobrazi. Tedy tou dobou uz bych se na to vysral a sel o dum dal.

A i kdyby slo jen o reload stranky, tak take pekne dekuju. Web, kde se veci zobrazuji az na druhy, treti,....., n-ty pokus, me opravdu nezajima. Staci, ze se to kolikrat deje tady na Rootu, kde muzou vsichni byt vygraylistingovani i nekolik hodin. Krome toho, jak dlouho by trvalo, nez by prohlizece samy elaly reload u vedomi, ze kdejaky debil ma na weby graylisting?
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 22. 09. 2017, 18:06:24
F2b je poslední instance, která může ještě něco zachytit.
Zase „může“ a „něco“. Máte tam implementované také náhodné uzavírání spojení? To také může něco zachytit.

Nechápu, proč mi pořád vnucujete, že by to měla být první, nebo jediná.
Protože pokud je někde bezpečnostní opatření proti nějakému typu útoku, nedává smysl před to nebo za to dávat ještě slabší opatření proti stejnému typu útoku. Když někam dáte bezpečnostní dveře, nedává žádný smysl jako další bezpečnostní opatření před ně ani za ně dávat ještě jedny normální dveře.

Cena nasazení a správy je blízká nule, o efektu se neshodneme, já tvrdím, že je pozitivní.
Problém je v tom, že to vzbuzuje zdání, že jste pro bezpečnost udělal něco dalšího, takže získáte pocit, že už to stačí – takže vám to efektivně zabrání dělat skutečná bezpečnostní opatření.

na f2b dojde zřídka kdy.
Pozoruhodné je, že si stále myslíte, že útočník bude tak laskav a udělá vše pro to, aby tím „zřídka kdy“ byl zrovna on.

Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat.
To je právě ten problém, že fail2ban žádný útok nedetekuje, jenom se probudí, když už je po útoku.

Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.
A do trezoru umístíte kasičku s visacím zámkem z tržnice a do ní ještě lísteček „prosím, neberte to“. Protože když zloděje nezastavil profi trezor, zámek z tržnice jistě uspěje.

Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí.
Proč si vymýšlíte věci, o kterých vůbec nic nevíte? V Evropě už pět let platí, že jeden člen RIPE dostane jednou 1024 IP adres, a tím to končí. Další IPv4 adresy může získat buď podvodem, kdy se zakládají fiktivní noví ISP (ale proti tomu už se podnikají nějaká opatření), a nebo nákupem od někoho, kdo má velké „zásoby“ ještě z doby, kdy bylo IPv4 adres habakuk a univerzity nebo velké firmy získaly na dnešní poměry obrovské bloky. Případně se něco dá „vytěžit“ v Africe.

Mám pocit, že vše vidíte děsně černobíle, že ostatní podezíráte, že jako jedinou ochranu i jako jediný bypass mají f2b, denyhosts, greylisting, DNS BL apod. - ale to je přeci hovadina, rozumný admin tyto nástroje používá s nastavenou vahou a s nastaveným dopadem.
Nikoli. Já akorát ty, kteří pořád dokola píší o „může něco zachytit“ a „vícestupňové ochraně“, podezírám, že tam něco plácnou, a vůbec nepřemýšlí o tom, před čím a jak to má chránit a jak to souvisí s ostatními mechanismy obrany. A pak si řeknou „už jsem zabezpečování věnoval dvě hodiny, to už musí stačit, mám zabezpečeno“. Pokud nad zabezpečením někdo přemýšlí, musí si okamžitě, jakmile někdo zmíní blacklist IP adres, položit otázku: „A co když útočník na tom blacklistu nebude?“ Pokud si na ni odpoví a stále ještě si myslí, že má dostatečně zabezpečený systém, musí si vzápětí položit otázku: „Co by se tedy stalo, kdyby tam ten fail2ban vůbec nebyl?“
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 22. 09. 2017, 18:09:24
Graylisting na webu je jiste dobry napad.
Moje chyba, měl jsem nakonec dát bazinga!
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 22. 09. 2017, 18:16:51
Proč si vymýšlíte věci, o kterých vůbec nic nevíte? V Evropě už pět let platí, že jeden člen RIPE dostane jednou 1024 IP adres, a tím to končí. Další IPv4 adresy může získat buď podvodem, kdy se zakládají fiktivní noví ISP (ale proti tomu už se podnikají nějaká opatření), a nebo nákupem od někoho, kdo má velké „zásoby“ ještě z doby, kdy bylo IPv4 adres habakuk a univerzity nebo velké firmy získaly na dnešní poměry obrovské bloky. Případně se něco dá „vytěžit“ v Africe.

Omlouvám se, v tomto máte pravdu.
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Filip Jirsák 22. 09. 2017, 18:41:24
Omlouvám se, v tomto máte pravdu.
OK, stane se…
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: PetrM 23. 09. 2017, 06:27:45

Jenže mod_security je poměrně strojově náročný, a v době probíhajícího útoku výkonový peak nemusíte ustát. Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat. Nechytejte mě za slovo, prosím, i já vím, že spoustu threadů odřízne prakticky bezpracně. A na ty ostatní mám nastavený f2b, a po překročení hodně vysoko nastaveného prahu je IP na pár (desítek) minut zablokovaná. A do samotného mod_security už by většina threadů stejně neměla dojí, protože jsou odchyceny dříve. Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.

Ok, takže na několikátým stupni je analytický nástroj, na který málo kdy dojde. Málo kdy = zlomek regulérního provozu? Pokud to je 2% provozu ("málo kdy" bude patrně míň) a analytický nástroj sežere 80% toho, co normálně aplikace na tom serveru běžící, furt to není technicky problém - a pokud neprobíhá útok, rezervana analytiku může posílit server.

Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí. Kdyby to bylo tak, jak říkáte vy, tak především velcí ISP by dávno NATOVALI, ale je zajímavé, že to dělají jen ti malí? Proč asi?

NAT se dělá i jako kšeft. U O2 neplatíš výpalný -> natujeme. Je O2 dostatečně malý ISP?

A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Tomas2 23. 09. 2017, 10:50:51
A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...

To takhle někdo dělá? Pěkné zvěrstvo, podobné blokování nesmí ovlivnit běžný provoz, thresholdy by se měly nastavovat o dva, tři a ideálně více řádů nad běžným provozem, pokud tak někdo řeší špatný návrh aplikace, ať je mu země lehká...

Jistou vinu nesou samozřejmě i zákazníci, kdyby takhle masivně neobjednávali pizzu k obědu, žádné blokování by nenastalo :)
Název: Re:Blacklisty pro velké sítě na IPv6
Přispěvatel: Miroslav Šilhavý 23. 09. 2017, 11:19:17
A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...

No zde si ale myslím, že si musí rozmyslet i ten majitel pizzerie, co je pro něj menší zlo a za jakou cenu. V praxi se většinou dozvíte, že 50 Kč měsíčně už je velký rozdíl, a že raději riskne malý výpadek.

V praxi samozřejmě problém, jaký popisujete, nenastává. Prahy detekce jsou hodně vysoko, aby zásah nenapáchal víc škody, než užitku. Ku příkladu se můžeme bavit o limitu na nová spojení přesahující rate 200 spojení / sec. s burstem 1000. Pokud naopak nějaká IP tento limit překročí, tak má pravděpodobně stejně dost problémů i na své straně, a stejně by postupně začala ohrožovat provoz serveru. V takový moment je podle mě prostě na místě celou IP na pár desítek minut odstavit.