Blokování IP adres a bezpečnost

[Mirek Prýmek]

Jo, mas sice pravdu, jenze ja myslim ze jde predevsim o filtrovani u koncovych prodejcu konektivity, kde je konec koncu nejvic "zombie" masin, soucasti nakyho botnetu. Ono vzdycky je nelepsi resit problem co nejbliz mistu, kde vznikl. Tam se to da obvykle vyresit nejjednoduseji (jak pisi nize).

Kdyz mam ja, jako ISP na nake regionalni urovni pridelen rozsah ipv4 "a.b/16", pak od mych klientu nemuzou chodit pakety se zdrojovou adresou z jine podsite! A kdyby takove pakety od klienta prisli, pak je zdrojova adresa zjevne podvrzena a to nejmin co muzu jako ISP udelat je jednoduse takove pakety zahazovat (pripadne upozornit svyho klienta, ze z jeho pocitace jde do netu neco podezrelyho, at se mu na to nekdo podiva). Pres domaci routr nakeho Vencu z zadekakova nema co kdo routovat dal...

Presne tak, to jsem rad, ze to nekdo pochopil Otazka, jak moc se to da resit o uroven vys, uz neni tak dulezita. Spis otazka, jestli je nebo muze byt nejaka paka, ktera by ISPs donutila, aby ten egress filtering fakt delali.

[Reklama]

[j]

podla mna hovorite vsetci o inom . mirek ma asi na mysli, a s tym sa stoznujem aj ja, ze blokovat IP spoofing by sa mal uz na najnizsej urovni pripojenia - koncovy zakaznik. kazde pripojenie musi (?) ist cez nejaky router. a prave tam by sa to malo filtrovat, nie? nieviem ako to je pri velkych poskytovateloch, ale lokany provideri maju vacsinou nejaky rozsah. takze tam by nemal byt problem to odkontrolovat na koncovych (vzhladom k zdrojovej IP) routroch. alebo sa mylim?

Mylis se ... docela dost ... sem koncovej zakaznik a mam dve linky ruznych ISP ... jedna linka ma dobrej down, ale mizerne up, u druhy je to naopak. => odesilam pozadavky pres jednu a prijimam data pres druhou. Staci posilat pozadavky se src te druhe linky.

Nehlede na to, ze kvuli nedostatku IPv4 adres ma dneska kazdej 5+ zcela ruznych neagregovatelnych rozsahu, a IPcka presunuje doslova po kuse podle potreby. kdyby mel jeste navrch resit, kde ma co filtrovat, tak mu z toho jebne uplne.

2Rhinox: viz vejs. Zcela legalne muzou chodit pakety se src mimo tvoji sit. Je to zcela legitimni vyuziti site.

Spis otazka, jestli je nebo muze byt nejaka paka, ktera by ISPs donutila, aby ten egress filtering fakt delali.

No a sme zase u toho, procpak se asi tak RFC jmenujou prave RFC ... A procpak i v tech RFC je v 99% velmi peclive eliminovano cokoli, co by smrdelo "musi".

Uplne stejne bys prece moh v zajmu obecnyho blaha naridit vsem, ze musi vzajemne peerovat, protoze je to tak prece nejlepsi. A to by byl krok zcela objektivne mnohem potrebnejsi a zajimavejsi nez resit ty tisiciny promile provozu, kde chodi pakety s podvrzenou src IP.

[Mirek Prýmek]

Je to zcela legitimni vyuziti site.

Jestlize RFC jsou podle tebe jenom RFC, tak prosim definuj slovo "legitimni" v citovane vete.

[DgBd]

Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)

Jo. Akorát ten je spíš určený dovnitř AS, kde jsou cesty jasné a hierarchické, ne?

Proč? Přesně splňuje tvoje požadavky.

Pořád ses u tranzitních providerů ovšem nezbavil toho principiálního problému tranzitivního uzávěru, takže je libovolný protokol se stejnou funkcionalitou nepoužitelný.

Ale něco podobného jsem právě myslel - prostě by se začalo omezením provozu od netransitních AS na jenom jejich adresy, u transitních potom jenom z adres netransitních AS, které jsou přes ně _aktuálně_ routované atd. Jasně že u některých hodně propojených sítí už to bude problém, ale lepší něco než nic...

A jak se pozná takový netranzitní provider?

[Mirek Prýmek]

A jak se pozná takový netranzitní provider?

Tím, že to o sobě deklaruje?

[Reklama]

[DgBd]

A jak se pozná takový netranzitní provider?

Tím, že to o sobě deklaruje?

Fakt? A jak to pozná ten potenciální protokol?

[Mirek Prýmek]

Matkopřírodo, když o sobě AS do nějaké tabulky napíše "my tranzit neprovádíme a naše rozsahy jsou A, B a C", čili od nás čekejte jenom pakety A,B a C, tak to snad není žádná nukleární věda, ne?

(mám pocit, že už jsme se fakt dostali do fáze plácání, už toho asi radějí nechám)

[DgBd]

Matkopřírodo, když o sobě AS do nějaké tabulky napíše "my tranzit neprovádíme a naše rozsahy jsou A, B a C", čili od nás čekejte jenom pakety A,B a C, tak to snad není žádná nukleární věda, ne?

(mám pocit, že už jsme se fakt dostali do fáze plácání, už toho asi radějí nechám)

Jenomže AS může být tranzitní pro jeden AS a netranzitní pro jiné AS. Ale opravdu toho necháme, bez znalosti routování mezi AS se totiž nikam nedostaneme.

[samalama]

podla mna hovorite vsetci o inom . mirek ma asi na mysli, a s tym sa stoznujem aj ja, ze blokovat IP spoofing by sa mal uz na najnizsej urovni pripojenia - koncovy zakaznik. kazde pripojenie musi (?) ist cez nejaky router. a prave tam by sa to malo filtrovat, nie? nieviem ako to je pri velkych poskytovateloch, ale lokany provideri maju vacsinou nejaky rozsah. takze tam by nemal byt problem to odkontrolovat na koncovych (vzhladom k zdrojovej IP) routroch. alebo sa mylim?

Mylis se ... docela dost ... sem koncovej zakaznik a mam dve linky ruznych ISP ... jedna linka ma dobrej down, ale mizerne up, u druhy je to naopak. => odesilam pozadavky pres jednu a prijimam data pres druhou. Staci posilat pozadavky se src te druhe linky.

marienkin ruzovy notebook ma bezne 2 konektivity od dvoch ISP ...

Nehlede na to, ze kvuli nedostatku IPv4 adres ma dneska kazdej 5+ zcela ruznych neagregovatelnych rozsahu, a IPcka presunuje doslova po kuse podle potreby. kdyby mel jeste navrch resit, kde ma co filtrovat, tak mu z toho jebne uplne.

to je velmi diskutabilne...

[Rhinox]

... sem koncovej zakaznik a mam dve linky ruznych ISP ... jedna linka ma dobrej down, ale mizerne up, u druhy je to naopak. => odesilam pozadavky pres jednu a prijimam data pres druhou. Staci posilat pozadavky se src te druhe linky...

1. kolik % koncovejch zakazniku ma dve linky dvou ISP a pouzivaji je soucasne tebou popsanym spusobem? Nevim jestli se da mluvit vubec o procentu, ale moc jich nebude. Rekl bych, ze jich je min nez pocet zombie ktere se nejdou v siti klientu kazdyho ISP...

2. je rozdil posilat pres ISP pakety se dvema source-addr, a posilat pres ISP traffic "co paket, to jina zdrojova adresa". To prvni se da treba jeste zduvodnit (beru tvuj pripad jakkoli je vyjimecnej) a v takovem pripade by ISP mohl udelat kvuli tobe u sveho filtrovani vyjimku, to druhe NIKOLIV!

Jenze kdyz jde o to aby clovek nemusel neco delat, porad da najit nakej duvod proc to "nejde"!

[Mirek Prýmek]

Jenomže AS může být tranzitní pro jeden AS a netranzitní pro jiné AS. Ale opravdu toho necháme, bez znalosti routování mezi AS se totiž nikam nedostaneme.

Jemine netranzitní je netranzitní. Jestliže je aspoň pro někoho tranzitní, tak je tranzitní.

Říká se tomu pokud vím stub.

[student]

Jemine netranzitní je netranzitní. Jestliže je aspoň pro někoho tranzitní, tak je tranzitní.

To by vyslo, ze velki ISP domacich uzivatelov su "tranzitni" (v zmysle "aspon pre niekoho"). A potom uz je zase otazka, ci ma zmysel to riesit nejakymi prikazmi, ked vacsina by to aj tak riesit nemohla.

2. je rozdil posilat pres ISP pakety se dvema source-addr, a posilat pres ISP traffic "co paket, to jina zdrojova adresa".

To sice je, ale asi by to museli byt vynimky (zase nejak udrzovane a spravovane), pricom by to neodstranilo ostatne problemy.

"my tranzit neprovádíme a naše rozsahy jsou A, B a C",

Financny pohlad:
Pravdepodobne to bude kazdy ignorovat. Filtrovanie stoji peniaze a nikto si nebude "pre dobry pocit" kupovat HW, aby mohol zablokovat 0.00nic percent trafficu od maleho pripojeneho ISP. Ked si ten maly ISP za to bude platit, potom to pojde - ale kto si za toto zaplati?

[j]

Financny pohlad:
Pravdepodobne to bude kazdy ignorovat. Filtrovanie stoji peniaze a nikto si nebude "pre dobry pocit" kupovat HW, aby mohol zablokovat 0.00nic percent trafficu od maleho pripojeneho ISP. Ked si ten maly ISP za to bude platit, potom to pojde - ale kto si za toto zaplati?

To je presne ono, proc by mel nekdo vynakladat penize, na reseni problemu kterej nema. Je to stejny, jako kdyby po me soused chtel, abych si ja na svy zahrade za svy penize postavil hraz, aby jemu netekla pri povodni voda do baraku. Poslu ho stim tak leda dozadeke.

Vubec nemluve o tom, ze zadny ISP stimhle problem nema. Mozna stim maj "problem" nekteri hosteri, ale je to asi tak stejny, jako kdybych mel barak vedle amazonky a stavel hraz na tom 10cm potucku co do ni tece.

[Rhinox]

Financny pohlad:
Pravdepodobne to bude kazdy ignorovat. Filtrovanie stoji peniaze a nikto si nebude "pre dobry pocit" kupovat HW, aby mohol zablokovat 0.00nic percent trafficu od maleho pripojeneho ISP. Ked si ten maly ISP za to bude platit, potom to pojde - ale kto si za toto zaplati?

Nevim co je podle tebe "maly" ISP, no rekl bych, ze na filtrovani dle zdrojovych adres nepotrebujes zadnej "tezkej" hardware. Na celkove infrastrukture ISP se to muze podilet par procenty. Mozna ani to ne, protoze nake ty prvky se zakladnim fitrovanim snad kazdej ISP ma...

[j]

2Rhinox - rika ti neco point of failure? I kdyby to nestalo vubec nic, je to dalsi prvek kde se muze neco podelat.