Blacklisty pro velké sítě na IPv6

[Filip Jirsák]

Ještě jsem v praxi nepotkal botnet, který koordinoval napříč tisícovky počítačů to, kdo jaký typ útoku provádí.

Proč by to měl botnet nějak koordinovat? Jeden uzel v botnetu vylosuje náhodnou IP adresu a náhodný útok a vyzkouší to. Když se to nepodaří, vylosuje jinou náhodnou IP adresu a jiný útok a znova vyzkouší. Co na tom chcete koordinovat?

Zase „může“. A taky může pravděpodobnost DoSu zvýšit.

Proboha, jak?

DoS znamená odepření služby. Takže například tak, že udělá přesně to, k čemu je navržen – totiž že zablokuje přístup z nějaké IP adresy. A tu IP adresu používá někdo, kdo tu službu chce využít ¨– jenže nemůže, protože přístup k té službě je mu odepřen. Tedy DoS.

[Reklama]

[ByCzech]

Zase „může“. A taky může pravděpodobnost DoSu zvýšit.

Proboha, jak?

DoS znamená odepření služby. Takže například tak, že udělá přesně to, k čemu je navržen – totiž že zablokuje přístup z nějaké IP adresy. A tu IP adresu používá někdo, kdo tu službu chce využít ¨– jenže nemůže, protože přístup k té službě je mu odepřen. Tedy DoS.

No to je neuvěřitelný způsob překroucení věcí. Bílá je černá, černá je bílá, že?

DoS je typ útoku, s cílem znefunkčnit službu, v jehož důsledku (pokud se útok zdaří) pak dochází k nechtěnému odepření služby obecně, protože je "rozbitá". Zablokování konkrétních IP adres je explicitní zákaz (tím pádem chtěný) komunikace s útočníkem, aby mu byl útok na systém znemožněn nebo ztížen. Nazývat tohle DoSem je úplně padlé na hlavu.

S Jirsákem zbytečná diskuze, když je schopen přetočit věci úplně opačně než jsou. Dál už tohohle trola v téhle diskuzi krmit nebudu.

[Miroslav Šilhavý]

Ale napsal jsem to. Psal jste například o útocích na známé zranitelnosti, tam jsem jako lepší bezpečnostní opatření navrhoval záplatovat software, aby v něm ty známé zranitelnosti nebyly. Pokud vy provozujete software se známými zranitelnostmi a doufáte, že se k nim útočník nedostane, protože jeho adresa bude na blacklistu, podle mého názoru máte velmi nedostatečné zabezpečení. Ale klidně si dál myslete, že vám to stačí.

Ale nenapsal jste řešení, 1. jak mitigovat 0day, 2. jak to řešit v prostředích, kde v praxi nemůžete provádět upgrady bez dlouhého testování.

[PetrM]

@šilhavý:

Definuj, jaká je hranice pro DoS. Kolik klientů se na server musí dostat, aby to ještě nebyl DoS? 100%? 50%? 10%? Byl by DoS, třeba pokud by e-shop byl nedostupný z LTE sítě T-Mobile a O2?

IPv4 síť. ISP schová za CGNAT 5000 klientů, mají společný prefix 22b. U jeho klientů je 100 nakažených zařízení, každý z nich útočí na náhodný servery. Je to reálný?

Napadený server vidí, že pokusy jdou ze sítě toho ISP, který má na sebe. Ohlásí útok. To samý udělají i ostatní a ISP (ne napadený zařízení) je na blacklistu. Tvůj server si aktualizuje blacklist a zablokuje všechny požadavky ze sítě toho ISP. V té chvíli se nikdo ze sítě toho ISP nedostane na tvůj server. Bez ohledu na to, že mají standardní https požadavky na portu 80 a na blacklistu jsou za hádání SSH, který už na routeru stejně zahodí firewall, protože pravidla pro DMZ a k serveru ten útok nedojde...

Taková ochrana je zadarmo drahá.

[Miroslav Šilhavý]

Proč by to měl botnet nějak koordinovat? Jeden uzel v botnetu vylosuje náhodnou IP adresu a náhodný útok a vyzkouší to. Když se to nepodaří, vylosuje jinou náhodnou IP adresu a jiný útok a znova vyzkouší. Co na tom chcete koordinovat?

Tak to jste mě dostal. V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně . BTW takové chování už není botnet, ale jeden nahodilý pokus o útok.

DoS znamená odepření služby. Takže například tak, že udělá přesně to, k čemu je navržen – totiž že zablokuje přístup z nějaké IP adresy. A tu IP adresu používá někdo, kdo tu službu chce využít ¨– jenže nemůže, protože přístup k té službě je mu odepřen. Tedy DoS.

DoS útok vede k zablokování služby pro všechny, nikoliv pro jednoho. Mně přeci nevadí, že odepřu službu jednomu konkrétnímu člověku, který má zabreberkovaný počítač. Pro mě je důležité, že mi ten jeden zabreberkovaný počítač nezablokuje službu pro všechny ostatní uživatele.

[Reklama]

[Miroslav Šilhavý]

Definuj, jaká je hranice pro DoS. Kolik klientů se na server musí dostat, aby to ještě nebyl DoS? 100%? 50%? 10%? Byl by DoS, třeba pokud by e-shop byl nedostupný z LTE sítě T-Mobile a O2?

DoS je stav, kdy je server přehlcený, případně jinak zablokovaný, a neposkytuje službu už nikomu.

IPv4 síť. ISP schová za CGNAT 5000 klientů, mají společný prefix 22b. U jeho klientů je 100 nakažených zařízení, každý z nich útočí na náhodný servery. Je to reálný?

Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné. Proč si myslíte, že velcí ISP NAT prakticky nepoužívají? Dělají to možná lokální přeprodávači konektivity, ale ti mají právě maximálně stovky přípojek.

Bez ohledu na to, že mají standardní https požadavky na portu 80 a na blacklistu jsou za hádání SSH, který už na routeru stejně zahodí firewall, protože pravidla pro DMZ a k serveru ten útok nedojde...

Pokud bude útočit na porty webu, nezbude mi, než celé IP od webu odříznout - stejně by se ten web položil, ale ne jen pro IP, ze kterého se útočí, ale pro všechny. I kdyby tam bylo 5000 uživatelů (viz výše, nereálné), tak v takové situaci je stále výhodnější odříznout 5000 uživatelů, než server nechat položit celý.

Pokud bude útočit pouze na SSH či jiné služby správy, zablokuju z té IP pouze tyto služby, ale web nechám běžet.

[Filip Jirsák]

No to je neuvěřitelný způsob překroucení věcí. Bílá je černá, černá je bílá, že?

DoS je typ útoku, s cílem znefunkčnit službu, v jehož důsledku (pokud se útok zdaří) pak dochází k nechtěnému odepření služby obecně, protože je "rozbitá". Zablokování konkrétních IP adres je explicitní zákaz (tím pádem chtěný) komunikace s útočníkem, aby mu byl útok na systém znemožněn nebo ztížen. Nazývat tohle DoSem je úplně padlé na hlavu.

Nikoli, DoS útok je útok, který oprávněným uživatelům znemožní službu používat. Např. klasickým DoS útokem je zahlcení linky, která způsobí, že se požadavky oprávněných uživatelů k serveru vůbec nedostanou. Služba v takovém případě není žádným způsobem rozbitá funguje perfektně a požadavky by byla schopná bez problémů vyřizovat – kdyby se k ní dostaly.

Pokud se ten samý uživatel k té samé službě opět nedostane, akorát příčinou není zahlcená linka, ale blokování na firewallu, které vyvolal útočník, je to úplně ten samý případ. Opět je to nechtěné odepření služby, protože toho oprávněného uživatele nikdo blokovat nechtěl – to zablokování vzniklo pouze chybnou konfigurací, kdy byl zablokován veškerý provoz z dané IP adresy, místo aby byl zablokován jen provoz útočníka.

[Tomas2]

Už vidím kde je problém, Filip Jirsák mluví z pohledu domácího uživatele, někteří ostatní (vč. mě) zase z pohledu velké nadnárodní sítě, to se pak nemůžeme divit, že si nerozumíme.

Jakmile mám desítky až stovky tisíc stanic k ochraně (ať už serverů nebo osobních počítačů či uzlů), bez blokování provoz pro ochranu to nelze (takovou síť jsem ještě neviděl).

Doporučení držet vše aktualizované je hodně mimo realitu, plán aktualizace serverů pro i malou farmu o cca 2000 kusech je na několik týdnů a během té doby samozřejmě jsou servery zranitelné na opravovanou zranitenost, nasadit blokování, IPS, IDS je mnohem efektivnější a rychlejší a v praxi běžně používané i na ipv6, o čemž je tohle vlákno.

Doporučení nepoužívat nešifrované ftp je opět mimo, občas to ani kvůli stáří SW a nákladům na jeho investici nejde, to se pak tuneluje a vlanuje. To si může dovolit udělat domácí uživatel, pokud na daném protokolu je nějaká infrastruktura ve firmě závislá, jeho změna trvá nějakou dobu (obyč ftp jsem ale už také chvilku neviděl).

Nejsem zastánce automatického blokování celých sítí, ale určitá QoS musí být v provozu a musí umět zamezit problémům, které se dějí. Dnešní útoky a problémy jsou mnohem větší než zvládne NIC u koncové stanice, fail2ban byl asi spíš nástřel pro algoritmus než doporučení jeho bezhlavého používání, sám ho nemám rád, dá se s ním také pěkně vytížit server a efekt je opačný, na koncové stanici podobný SW nemá u mě co dělat.

[Filip Jirsák]

Tak to jste mě dostal. V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně . BTW takové chování už není botnet, ale jeden nahodilý pokus o útok.

Cože? Víte, jak funguje botnet, který se pokouší zneužít nějaké zranitelnosti? Jsou v něm zapojená zařízení, každé zařízení má seznam adres, na které má útočit (v případě IPv4 nebude moc velká ztráta, pokud bude seznam úplný), a seznam útoků, které má vyzkoušet. Můžete botnet buď složitě koordinovat tak, že zařízením budete distribuovat disjunktní seznamy a zpětně zjišťovat, které útoky se provedly a které případně převelet jinam, protože třeba přidělené zařízení z botnetu vypadlo. A nebo se můžete na koordinaci vykašlat, protože je zbytečná a drahá, prostě dát každému zařízení kompletní seznam a ať si z něj vybírá náhodně.

Není to jeden nahodilý pokus o útok, jsou to různé útoky z různých nesouvisejících IP adres – podle toho, který člen botnetu zrovna náhodou zvolil vaší IP adresu. Jeden nahodilý pokus o útok by to byl tehdy, pokud by ten „botnet“ obsahoval jenom jedno zařízení – což ale není botnet.

Ale nenapsal jste řešení, 1. jak mitigovat 0day, 2. jak to řešit v prostředích, kde v praxi nemůžete provádět upgrady bez dlouhého testování.

Vy jste takové řešení také nenapsal, takže nemám důvod hledat nějakou náhradu. Řešení je například psát aplikaci tak, aby se možnost 0day útoků minimalizovala (zrovna u webových aplikací to není nic složitého). Nebo předřadit aplikaci aplikační firewall, který bude schopen odfiltrovat nebezpečný nebo podezřelý provoz, nebo naopak rovnou propustí jenom ten bezpečný.

[PetrM]

Tak to jste mě dostal. V podstatě jste navrhl způsob, při kterém se botnet blacklistuje dobrovolně sám na své straně . BTW takové chování už není botnet, ale jeden nahodilý pokus o útok.

Botnet = hromada nezávislých zařízení, který jsou infikovaný. Infekce probíhá většinou právě tak, že náhodně zkouší na náhodných IP adresách nějakou fintu (provalený backdoor) a když se povede, má nový node.

DoS útok vede k zablokování služby pro všechny, nikoliv pro jednoho. Mně přeci nevadí, že odepřu službu jednomu konkrétnímu člověku, který má zabreberkovaný počítač. Pro mě je důležité, že mi ten jeden zabreberkovaný počítač nezablokuje službu pro všechny ostatní uživatele.

Jenomže za jednou IP adresou můžou být stovky počítačů. Když se rozšíří virus a napadne rovnoměrně všechny adresy od ISP, odřízne to v rámci optimalizace celýho ISP. Jenomže infekce se málo kdy soustředí jenom na jednoho ISP...

Navíc je potřeba se zamyslet - fakt ten jeden PC s 1Gbps síťovkou a konektivitou v lepším případě 50Mbps do netu zahltí 10Gbps vlákno do toho serveru? Pokud jo, máš něco blbě.

DoS je stav, kdy je server přehlcený, případně jinak zablokovaný, a neposkytuje službu už nikomu.

Aha. Takže pokud bude probíhat amplifikovaný DDoS, za sekundu pžijde 1M dotazů a mezi nima je jeden od normálního klienta, který se podaří odbavit, už to není DDoS? Co ostatních 4999 klientů, kteří to štěstí neměli?

Asi nemá smysl slovíčkařit, rozumnější je nastavit parametry ve stylu "služba je dostupná, pokud se k ní dostane 95% klientů". A bezpečnost podřídit tomu. Pokud 30% lidí přichází třeba od UPC a preventivně UPC zaříznu, služba je nedostupná (dostupnost <= 70%).

Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné. Proč si myslíte, že velcí ISP NAT prakticky nepoužívají? Dělají to možná lokální přeprodávači konektivity, ale ti mají právě maximálně stovky přípojek.

Ne, jsem embeďák.

32b celkem - 22b prefix = 10b na klienty. To je 1024 sítí, neco n režii a rezerva, dejme tomu 1000 sítí pro NATování. 5k klientů / 1k adres = 5 klientů/adresu. 5 < 80. Síťaři neumí matematiku prvního stupně ZŠ?

Pokud bude útočit na porty webu, nezbude mi, než celé IP od webu odříznout - stejně by se ten web položil, ale ne jen pro IP, ze kterého se útočí, ale pro všechny. I kdyby tam bylo 5000 uživatelů (viz výše, nereálné), tak v takové situaci je stále výhodnější odříznout 5000 uživatelů, než server nechat položit celý.

To sice jo, ale odstřižení platících zákazníků od služby je přece až krajní případ. Tady se nasazuje už jako prevence... Pokud dokážu odbavit 500k požadavků/s, momentálně chodí 2k požadavků/s a zablokuju třeba 20 zákazníků kvůli pěti požadavkům jednoho z nich, je něco trochu blbě.

Pokud bude útočit pouze na SSH či jiné služby správy, zablokuju z té IP pouze tyto služby, ale web nechám běžet.

Web server za firewallem(a bez FW by to nechal jenom debil), otevřený port 80 pro všechny, port 23 tunelem z konkrétní IP, zbytek (SQL,...) lokálně v rámci DMZ nebo tunel, ostatní natvrdo zahodit. Je to jenom pár pravidel v iptables, nic složitýho. Na SSH se nedostane nikdo nepovolaný ani při prvním pokusu.

Proč ještě navíc to samý blokovat jednou, selektivně? To jako zamknu dveře a za ně postavím ochranku, aby kontrolovala občanky těch, co projdou těma zavřenýma dveřma? Nebo kolem atomovýho reaktoru stíněýho vodou, betonem a olovem dávat ještě papír, protože jím neprojde alfa záření? Nebo jaký je smysl?

[Filip Jirsák]

Už vidím kde je problém, Filip Jirsák mluví z pohledu domácího uživatele, někteří ostatní (vč. mě) zase z pohledu velké nadnárodní sítě, to se pak nemůžeme divit, že si nerozumíme.

Já píšu o tom, o čem je původní dotaz – tj. o přístupu ke službám poskytovaným nějakým serverem (nebo farmou serverů). Takový server klidně může být i v nějaké velké nadnárodní síti, ale pokud je alespoň trochu významný, těžko si může jeho provozovatel dovolit blokovat k němu náhodně přístup uživatelům jenom proto, že se nějakému správci nelíbí IP adresa toho uživatele.

Jakmile mám desítky až stovky tisíc stanic k ochraně (ať už serverů nebo osobních počítačů či uzlů), bez blokování provoz pro ochranu to nelze (takovou síť jsem ještě neviděl).

Kolik služeb poskytovaných po síti takový typický počítač provozuje? Nula? Víte, jak to dopadne, když tou nulovou budete násobit libovolný počet stanic? Navíc si trochu pletete pojmy, blokování na základě blacklistu IP adres není jediný způsob blokování provozu.

Doporučení držet vše aktualizované je hodně mimo realitu, plán aktualizace serverů pro i malou farmu o cca 2000 kusech je na několik týdnů a během té doby samozřejmě jsou servery zranitelné na opravovanou zranitenost, nasadit blokování, IPS, IDS je mnohem efektivnější a rychlejší a v praxi běžně používané i na ipv6, o čemž je tohle vlákno.

Vy vážně někde provozujete nezáplatovanou aplikaci a jediný způsob, jakým ji „chráníte“, je to, že k ní nepustíte komunikaci z nějakých víceméně náhodných IP adres? O tom je tohle vlákno. O tom, že pak vám tu aplikaci může hacknout kdokoli, kdo není na tom náhodně vytvořeném blacklistu.

Doporučení nepoužívat nešifrované ftp je opět mimo, občas to ani kvůli stáří SW a nákladům na jeho investici nejde, to se pak tuneluje a vlanuje.

Dotaz byl na příklady, jak se to dá řešit, ne na univerzální řešení použitelné vždy. Tuneluje se to pravděpodobně šifrovaným kanálem, takže to nakonec šifrované je. VLAN je řešení pro lokální síť, pokud někdo zavede VLANu, aby oddělil nešifrovaný FTP provoz do bezpečné sítě, a pak si v té bezpečné síti spustí fail2ban, asi nemá všech pět pohromadě.

To si může dovolit udělat domácí uživatel, pokud na daném protokolu je nějaká infrastruktura ve firmě závislá, jeho změna trvá nějakou dobu (obyč ftp jsem ale už také chvilku neviděl).

Pokud je na něčem takovém firma závislá, tak se musí dělat pořádná bezpečnostní opatření a ne jen sestavovat seznam těch, kteří už se dovnitř nabourali.

Nejsem zastánce automatického blokování celých sítí, ale určitá QoS musí být v provozu a musí umět zamezit problémům, které se dějí. Dnešní útoky a problémy jsou mnohem větší než zvládne NIC u koncové stanice, fail2ban byl asi spíš nástřel pro algoritmus než doporučení jeho bezhlavého používání, sám ho nemám rád, dá se s ním také pěkně vytížit server a efekt je opačný, na koncové stanici podobný SW nemá u mě co dělat.

Takže se nakonec shodneme. Já k tomu ještě klidně přidám, že když probíhá nějaký intenzivní útok z jedné IP adresy nebo sítě, tak tu jednu IP adresu nebo síť klidně dočasně zaříznu na firewallu, abych měl více prostoru na řešení toho problému. Není to ale bezpečnostní opatření a neočekávám od toho, že to vyřeší problém, je to jenom nouzové opatření.

[Miroslav Šilhavý]

Infekce probíhá většinou právě tak, že náhodně zkouší na náhodných IP adresách nějakou fintu (provalený backdoor) a když se povede, má nový node.

Nesouhlasím. Botnety většinou zkoušejí celou sérii testů a hledají mezi více zranitelnostmi. Tím pádem máte víc podezřelých požadavků ze stejné IP.

Jenomže za jednou IP adresou můžou být stovky počítačů. Když se rozšíří virus a napadne rovnoměrně všechny adresy od ISP, odřízne to v rámci optimalizace celýho ISP. Jenomže infekce se málo kdy soustředí jenom na jednoho ISP...

Naštěstí to tak není. Za jednou IP adresou bývají maximálně desítky PC, a to je akceptovatelná ztráta.

Navíc je potřeba se zamyslet - fakt ten jeden PC s 1Gbps síťovkou a konektivitou v lepším případě 50Mbps do netu zahltí 10Gbps vlákno do toho serveru? Pokud jo, máš něco blbě.

DoS není o zahlcení linky, ale o tom, že naslouchající procesy lze zahltit.

Aha. Takže pokud bude probíhat amplifikovaný DDoS, za sekundu pžijde 1M dotazů a mezi nima je jeden od normálního klienta, který se podaří odbavit, už to není DDoS? Co ostatních 4999 klientů, kteří to štěstí neměli?

Bavíme se zde celou dobu o DoS, nikoliv o DDoS. Na DDoS tento typ ochrany není účinný.

32b celkem - 22b prefix = 10b na klienty. To je 1024 sítí, neco n režii a rezerva, dejme tomu 1000 sítí pro NATování. 5k klientů / 1k adres = 5 klientů/adresu. 5 < 80. Síťaři neumí matematiku prvního stupně ZŠ?

Pak ale odříznu jen 5 klientů, když se adresa ocitne na BL.

[Hektor]

Jirsáku, Jirsáku. Ty zřejmě nic nespravuješ, maximálně tak svůj počítač. Realita je taková, že z botnetů (které jsou na těch blacklistech převážně) jde spousta útoků po mnoho měsíců a správci těch botnetů tam přidávají nové exploity.

A jak jsem psal, ano něco ten blacklist stojí (třeba jeden DNS dotaz), ale to je nic proti tomu co by sežrala následná analýza, která se pochopitelně dělá, ale pro řádově méně requestů. Blacklisty se nepoužívají jako jediná ochrana, ale jako jeden ze stupňů.

Proto se používají blacklisty, aby se snížili náklady. Ve tvém vysněném světě možná utočník použije na každý útok jinou IP adresu, ale ve světě internetu to tak není. Vítej v realitě.

I ten fail2ban má své opodstatnění, kdybys totiž spravoval nějakou síť tak bys moc dobře věděl, že jedna IP adresa jednu chvíli zkouší bruteforce přihlášení přes SSH a druhou třeba přes IMAP.

Slaď svůj vnitřní stav s realitou a pak můžem o něčem diskutovat.

[Lol Phirae]

Jirsáku, Jirsáku. Ty zřejmě nic nespravuješ, maximálně tak svůj počítač.

No a ty se divíš? Kdo by k tomu toho magora pustil... 

[Filip Jirsák]

Nesouhlasím. Botnety většinou zkoušejí celou sérii testů a hledají mezi více zranitelnostmi. Tím pádem máte víc podezřelých požadavků ze stejné IP.

Vy se na to pořád díváte úplně opačně. Když řešíte zabezpečení, musíte dělat opatření na všechny typy útoků, které si dokážete představit a kterým se chcete bránit. Nemůžete to dělat opačně, že vymyslíte opatření, a pak krkolomně hledáte nějaký útok, který by tohle opatření zastavilo. Kdybyste dělal zabezpečení baráku, tak přece taky nebudete postupovat tak, že si řeknete: „Mám zeď. Představme si zloděje, který se nemůže zdí probourat. Výborně, máme zabezpečeno, zloděj se zdí neprobourá.“ A bylo by vám úplně jedno, že v té zdi máte otevřené dveře.

DoS není o zahlcení linky, ale o tom, že naslouchající procesy lze zahltit.

DoS je  odepření služby, kterého lze docílit například zahlcením linky.