Nejprve jsem vám to napsal. To jste zřejmě přehlédla a ptal jste se znova, tak jsem vám znovu dal odkaz na ten původní komentář. Ten jste zřejmě také přehlédl. Tak já nevím, jak vám to mám sdělit. Přejete si to ve verších, zazpívat, nebo jak je možné docílit toho, abyste ty příklady konečně vzal na vědomí a přestal se pořád dokola ptát na to samé, když už jste odpověď dostal a žádným způsobem jste na ni nereagoval?
Psal jste něco o záplatování a robustních aplikacích. K tomu byly další dotazy, jak byste to řešil v praxi, která není nikdy ideální. Robustní aplikace a fixy jsou samozřejmě také nutné, ale není to přeci jediná vrstva ochrany.
Vy to popisujete tak, že máte na blacklistu trvale všechny uzly všech botnetů – takže vám IP adresy na tom blacklistu zřejmě musí vydržet docela dlouho. IP adresy se někdy přidělují dynamicky, používá se NAT – takže vůbec nejde o to, že by uživatel ze zavirovaného PC chtěl použít vaši službu. Jde o to, že legitimní uživatel může náhodou vystupovat pod IP adresou, kterou se u vás před nějakým časem dostala na blacklist a ještě tam stále je.
1. dnes už snad není moc takových ISP, kteří by dělali takovou magoriádu, jako že by točili NAT IP adresy. Mapování bývá pevné (rozdělené hashem). Měnit IP adresu způsobí problémy některým službám a nic to nikomu nepřinese. Pokud má někdo takového ISP, zcela zaslouženě ho asi brzy opustí.
2. Pokud botnet, podle Vaší teorie, udělá jeden úzce zaměřený útok, na blacklist se nedostane a neřešíme problém.
3. Pokud podle mé teorie provede víc pokusů v sérii, dostane se na blacklist zaslouženě, a i kdyby to odřízlo několik legitimních uživatelů, nebude ta škoda příliš vysoká.
4. Riziko, že na daný server bude přistupovat z NATOVANÉ IP adresy jak bot, tak legitimní uživatel, vidím jako sakra nízké. NAT 1:80, serverů statisíce, pravděpodobnost?
Představte si to třeba na Informačním systému datových schránek. Například máte odeslat daňové přiznání a spoléháte na to, že ho můžete do půlnoci odeslat elektronicky, nebo vyrazíte na dovolenou do nějaké trochu exotičtější země s tím, že na případné zprávy dokážete do deseti dnů zareagovat, nebo že zvládnete do 8 dnů odpovědět na dotaz ke kontrolnímu hlášení. A pak byste se najednou do datových schránek nepřihlásil, protože fail2ban, zaplatil byste mastnou pokutu FÚ a kdybyste si stěžoval, dozvěděl byste se jen: „No jó, Jižní Amerika, to blokujeme rovnou po Céčkách…“ Měl byste radost z toho, že pravděpodobnost byla nízká?
Podle typu služby se jistě ladí typ zabezpečení a přísnost. Datové schránky Vás jistě na určitý čas odříznou. Z exotické země se vůbec nemusíte do českých služeb dostat, není to úplně neobvyklé. Pokud jedete na delší dobu pryč, odjakživa dodnes se doporučuje zmocnit jinou osobu k procesněprávním úkonům (na procesněprávní úkony lze sepsat generální plnou moc).
No jo, když vy si pod NATem představujete domácí router. Představte si aspoň nějakého menšího ISP, který má třeba tisíc klientů, takže několik tisíc zařízení a uživatelů. IP adres má dost, takže bude pro NAT používat velkoryse třeba 4 C sítě. Tím, že se na blacklist dostane jediná IP adresa z toho rozsahu, může být negativně ovlivněno těch několik tisíc uživatelů. Pokud je ten NAT udělaný tak, že uživatel může být schovaný za kteroukoli IP adresou, jednou za čas prostě bude schovaný za tou špatnou a na vaší službu se nedostane. A bude to ještě o to nepříjemnější, že se to bude dít naprosto náhodně, a když už na to zapomene, objeví se to znova.
Ale houby. Kromě nějakých zoufalejších freenetů (znám víc freenetů, a spousta z nich je velmi profesionálních), ISP používají veřejné IP adresy, v nejhorším případě NAT v poměru blízkém 1:1. K tomu jednoduše vedou technické potřeby.
Ano, to je přesný popis vašeho přístupu. Když přijde s viditelnou zbraní plešatý muž v maskáčích, tak ho ochranka ponechá projít bez kontroly, protože přece neodpovídá popisu. Když ten opilý muž při opileckých toulkách městem kabát ztratí, ochranka ho opět pustí bez kontroly, protože přece neodpovídá popisu. Ale když se ten opilý muž z toho vyspí, ukáže se, že v kabátu měl banán a ne zbraň, tak ho stejně druhý den budou důkladně kontrolovat, zatímco vedle ti muži s viditelnými zbraněmi budou volně přicházet a odcházet.
Kdepak. Ochranka je trénovaná na to, aby běžná rizika uměla rozpoznat. Popis podezřelého muže, který se zrovna včera opilý potuloval po městě, to bylo jen krátkodobé konkrétní opatření.
To nikdo nerozporuje. Akorát že to není blacklist IP adres, o kterém je tu celou dobu řeč.
Nevím jak u Vás, ale běžnou praxí je prohnat logy z mod_security skrz fail2ban a četně "zlobivé" IP adresy na čas odříznout, abych ulevil náročným pravidlům mod_security.
Víte, já jsem docela racionálně uvažující člověk, a na tyhle věci jako astrologie, homeopatika nebo fail2ban nevěřím. Vždycky mi někdo tvrdí, že to sice není na 100 %, ale nějaký vliv tam určitě je.
Za to hovoří výsledky. Počet banovaných IP adres, pokles CPU po aplikaci BL.
Místo blbnutí raději racionálně zvažte, co je NAT, a jak se používá. Když mi tvrdíte, že je normální, aby ISP masivně NATOVAL a ještě rotoval IP adresy, nemohu nabýt jiného dojmu, že bydlíte v nějaké díře, kde normální ISP není, a síť spravuje militantní síťař, který ještě nikdy nebyl konfrontován s tisícovkami přípojek a gigabity průtoků.
Zobrazit příspěvky
V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně 