Ale jaké to jsou?
Nejprve jsem vám to napsal. To jste zřejmě přehlédla a ptal jste se znova, tak jsem vám znovu dal odkaz na ten původní komentář. Ten jste zřejmě také přehlédl. Tak já nevím, jak vám to mám sdělit. Přejete si to ve verších, zazpívat, nebo jak je možné docílit toho, abyste ty příklady konečně vzal na vědomí a přestal se pořád dokola ptát na to samé, když už jste odpověď dostal a žádným způsobem jste na ni nereagoval?
Naopak. Jaká je pravděpodobnost, že botnet na zavirovaném PC zaútočí na ten samý server, jako ten samý uživatel bude chtít na ten samý server přistupovat legitimně? Vzhledem k tomu, jak jste mi popisoval stochastiku chování výběru IP adres botnety, měl byste uznat, že taková situace je krajně nepravděpodobná.
Vy to popisujete tak, že máte na blacklistu trvale všechny uzly všech botnetů – takže vám IP adresy na tom blacklistu zřejmě musí vydržet docela dlouho. IP adresy se někdy přidělují dynamicky, používá se NAT – takže vůbec nejde o to, že by uživatel ze zavirovaného PC chtěl použít vaši službu. Jde o to, že legitimní uživatel může náhodou vystupovat pod IP adresou, kterou se u vás před nějakým časem dostala na blacklist a ještě tam stále je.
Představte si to třeba na Informačním systému datových schránek. Například máte odeslat daňové přiznání a spoléháte na to, že ho můžete do půlnoci odeslat elektronicky, nebo vyrazíte na dovolenou do nějaké trochu exotičtější země s tím, že na případné zprávy dokážete do deseti dnů zareagovat, nebo že zvládnete do 8 dnů odpovědět na dotaz ke kontrolnímu hlášení. A pak byste se najednou do datových schránek nepřihlásil, protože fail2ban, zaplatil byste mastnou pokutu FÚ a kdybyste si stěžoval, dozvěděl byste se jen: „No jó, Jižní Amerika, to blokujeme rovnou po Céčkách…“ Měl byste radost z toho, že pravděpodobnost byla nízká?
IP adresa v podstatě identifikuje útočníka. Míra NATOVÁNÍ není tak velká.
No jo, když vy si pod NATem představujete domácí router. Představte si aspoň nějakého menšího ISP, který má třeba tisíc klientů, takže několik tisíc zařízení a uživatelů. IP adres má dost, takže bude pro NAT používat velkoryse třeba 4 C sítě. Tím, že se na blacklist dostane jediná IP adresa z toho rozsahu, může být negativně ovlivněno těch několik tisíc uživatelů. Pokud je ten NAT udělaný tak, že uživatel může být schovaný za kteroukoli IP adresou, jednou za čas prostě bude schovaný za tou špatnou a na vaší službu se nedostane. A bude to ještě o to nepříjemnější, že se to bude dít naprosto náhodně, a když už na to zapomene, objeví se to znova.
To ne. Ale budu-li vědět, že na malém městě se pohybuje opilý černovlasý muž se zbraní v kabátu, tak patrně budu jako ředitel banky instruovat ochranku, aby takové muže podrobili důkladné kontrole. Malé město = zúžení pravděpodobnosti, popis muže = zúžení pravděpodobnosti, instrukce ochrance = blacklist.
Ano, to je přesný popis vašeho přístupu. Když přijde s viditelnou zbraní plešatý muž v maskáčích, tak ho ochranka ponechá projít bez kontroly, protože přece neodpovídá popisu. Když ten opilý muž při opileckých toulkách městem kabát ztratí, ochranka ho opět pustí bez kontroly, protože přece neodpovídá popisu. Ale když se ten opilý muž z toho vyspí, ukáže se, že v kabátu měl banán a ne zbraň, tak ho stejně druhý den budou důkladně kontrolovat, zatímco vedle ti muži s viditelnými zbraněmi budou volně přicházet a odcházet.
No např. mod_security/OSWAP definuje dostatek generických pravidel, že např. exploity na webu dokáže s určitou účinností zadržet.
To nikdo nerozporuje. Akorát že to není blacklist IP adres, o kterém je tu celou dobu řeč.
Nezadrží to 100 %, ale určitě je to bezpečnější, než bez toho.
Víte, já jsem docela racionálně uvažující člověk, a na tyhle věci jako astrologie, homeopatika nebo fail2ban nevěřím. Vždycky mi někdo tvrdí, že to sice není na 100 %, ale nějaký vliv tam určitě je. Což se vskutku nedá popřít, pokud by se někdo pokusil dokázat, že vliv je nulový, dříve či později by dospěl ke sporu. Nicméně ten vliv je neměřitelný, daleko za jakoukoli statistickou chybou, je na úrovni šumu pozadí – a je obrovská spousta věcí, které mají vliv podstatně větší.