Blacklisty pro velké sítě na IPv6

[ByCzech]

Zbláznil se svět, nebo pan Jirsák opravdu ztratil soudnost?

Nemůže ztratit něco, co nikdy neměl

[Reklama]

[Filip Jirsák]

Dneska uz pri prekroceni urciteho cisla zacnou stavkovat sluzby jako Google, ukazou hlasku o podezrelem provozu a pred pokracovanim chteji vyplnit Captchu.

Ano, toto je přesná demonstrace chyb systému podobnému fail2ban, až na to, že blokován bude uživatel i při naprosto legálních dotazech.

Google ale uživatele neblokuje, jenom musí vyplnit CAPTCHA. Mezi zablokováním uživatele, se kterým nemůže vůbec nic udělat, a jeho ověřením přes CAPTCHA je diametrální rozdíl.

[Tomas2]

aspoň mám méně dat k analýze

Ano, to je vůbec nejpádnější důvod pro nasazení fail2ban – aby se vám neplnily logy… Nenapadlo vás někdy, že když nějaká data nechcete analyzovat, nemusíte je před sebou schovávat, ale můžete je při analýze prostě ignorovat? Ještě že neděláte třeba analýzu návštěvnosti webu, to byste zakázal zaměstnancům chodit na web vlastní firmy, aby vám nekazili statistiky.

Tady někdo nepochopil ironii. Mám rád data k analýze a proto nerad používám fail2ban, zbytečně mě jich zbavuje, služba se musí ochránit i bez něho a pokud mám legitimní důvod k blokování (bezpečnost, přetížení linky atd.), potřebuji robustnější řešení.

Pokud se bavíme o webových službách, blokování příchozích jen proto, že mě štvou, je opavdu hodně špatné, chudák nevinný návštěvník často netuší co se děje a pro něj "mu nefunguje internet". Řešením na zatížení je posílit aplikaci nebo předsadit bránu typu tu od cloudfare.

Google search a jeho captcha, kterou umí sám rozlousknout přes rozpoznávání textu? Jo tenhle vtip google dělá už hezkou řádku let.

[JardaP .]

Hm, uz se vidim, jak si predstrkavam Cloudflare pred domaci Rasberry se ssh.

[Tomas2]

Hm, uz se vidim, jak si predstrkavam Cloudflare pred domaci Rasberry se ssh.

Pokud na domácím rpi pod ssh provozuješ webovou službu, myslím, že cloudflare je ta poslední divnost, která tě trápí. Právě proto jsem ten odstavec začínal podmínkou...

Na vlastním zařízení pro vlastní potřebu si můžeš blokovat cokoliv lde libosti, o tom tady myslím v celém dlouhém vlákně nikdo se ani nezmínil.

[Reklama]

[JardaP .]

Na vlastním zařízení pro vlastní potřebu si můžeš blokovat cokoliv lde libosti, o tom tady myslím v celém dlouhém vlákně nikdo se ani nezmínil.

Porad nevidim, proc by nektere sluzby nemohli byt blokovany nejakym blocklistem i treba na firemnim serveru (Fail2ban, Denyhosts ci neco jineho). Sluzba, to neni jen webserver.

[Hektor]

No bavím se. Jirsák zřejmě umí magicky beznákladově rozlišit co je správné připojení a co ne. Proto jednoduše co nechce do následné drahé analýzy nepustí. Prostě magic. Normální člověk bez nadpřirozených schopností v prvním kole analýzy, použije levný  blacklist. A ještě pro Jirsáka googlitelný termín, aby se poučil o víceúrovňové bezpečnosti: "Defense in depth".

[KStanley]

Pan Jirsák má pravdu. Řešení fail2ban si dovolím přirovnat k automobilovému provozu, kde by nějaké brány sledovaly vozidla a pokud by RZ vozidla byla na blacklistu, tak ho do provozu nepustí. Co ale zabrání tomu, aby např. alkoholik nasedl do jiného vozidla? Co když někdo zneužil moje vozidlo a já teď jako legitimní uživatel nemohu jezdit? A přesně jak říká pan Jirsák, na blacklist se RZ dostane, až když je nahlášeno, že se chová divně (např. se motá, naráží, ...), ale to už dávno mohlo napáchat vážnou škodu. Takže místo hledání skutečného řešení, říkáme, že filtr je fajn, má slušnou účinnost a pár nevinně zablokovaných je akceptovatelná ztráta. (Mimochodem obdobnou rétoriku má dnes i Finanční správa na zádržáky). Děkuji ne.

[Miroslav Šilhavý]

Pan Jirsák má pravdu. Řešení fail2ban si dovolím přirovnat k automobilovému provozu, kde by nějaké brány sledovaly vozidla a pokud by RZ vozidla byla na blacklistu, tak ho do provozu nepustí. Co ale zabrání tomu, aby např. alkoholik nasedl do jiného vozidla? Co když někdo zneužil moje vozidlo a já teď jako legitimní uživatel nemohu jezdit? A přesně jak říká pan Jirsák, na blacklist se RZ dostane, až když je nahlášeno, že se chová divně (např. se motá, naráží, ...), ale to už dávno mohlo napáchat vážnou škodu. Takže místo hledání skutečného řešení, říkáme, že filtr je fajn, má slušnou účinnost a pár nevinně zablokovaných je akceptovatelná ztráta. (Mimochodem obdobnou rétoriku má dnes i Finanční správa na zádržáky). Děkuji ne.

To všechno je o penězích. Pokud Vám zákazník / zákazníci mastí weby na profláklých redakčních systémech, co stránka, to 40 SQL dotazů atp., odmítá aktualizovat (stojí to peníze!), vyžaduje apache/.htaccess, tak je prakticky mimo realitu hledat jiné řešení. O robustních aplikacích, a řešení problémů tam, kde vznikají, si pak můžete jen nechat zdát.

[KStanley]

OK, může být a asi i je. Pak ale neříkejte, že děláte správné řešení, ale řešení, které za dané peníze umíte udělat a pan Jirsák má pravdu. Takto to vypadá, že fail2ban je správné řešení, ne není, je ale relativně jednoduché a levné, můžete v případě problémů vykázat činnost, že jste pro ochranu něco udělali, že je to řešení, které používá většin, atd., ale pořád to nebude správné řešení.

[KStanley]

A ještě jedna věc, jak se dost často řeší problémy. Nedávno byl na webu článek, jak na kulinářských trzích jedna kuchařka amatérka trestuhodně nakládala s vejci, až z toho přes 100 účastníků mělo salmonelu. A výstup? Musíme zpřísnit pravidla. Proč proboha? Chyba byla, že se nevyřešil problém u té jedné účastnice.  Takto přísnější pravidla postihnou všechny účastníky. Stejně tak je to dnes v automobilovém provozu, stále vyšší pokuty, přísnější pravidla, bodový systém, ale ožralci a zfetovanci jezdí dál. Daňové úniky? Máme kontrolní hlášení, EET,  elektronická daňová přiznání (data FS dostává přímo do systému) a výstup kde nic tu nic. Jen pokuty pro malé živnostníky, že nevydal účtenku, neměl pověšenou ceduli o EET. Omlouvám se, že sem pletu Babiše, ale ten je taky přesvědčen, jak to krásně odfiltroval. A stejné je to i v jiných odvětvích. Čas od času by to chtělo přestat rezignovat na snahu hledat skutečné řešení.

[Filip Jirsák]

To všechno je o penězích. Pokud Vám zákazník / zákazníci mastí weby na profláklých redakčních systémech, co stránka, to 40 SQL dotazů atp., odmítá aktualizovat (stojí to peníze!), vyžaduje apache/.htaccess, tak je prakticky mimo realitu hledat jiné řešení. O robustních aplikacích, a řešení problémů tam, kde vznikají, si pak můžete jen nechat zdát.

Akorát že fail2ban není řešení takové situace. Ano, může se stát, že fail2ban někdy omylem zastaví útok na takovou aplikaci. Ale to nic nemění na tom, že máte extrémně děravý server.

Profláklé redakční mají ve výchozí instalaci nastavenou automatickou aktualizaci, aby to stálo peníze, musí to zase někdo vědomě pokazit. Mnohem víc peněz pak bude stát řešení napadeného serveru.

[Miroslav Šilhavý]

OK, může být a asi i je. Pak ale neříkejte, že děláte správné řešení, ale řešení, které za dané peníze umíte udělat a pan Jirsák má pravdu. Takto to vypadá, že fail2ban je správné řešení, ne není, je ale relativně jednoduché a levné, můžete v případě problémů vykázat činnost, že jste pro ochranu něco udělali, že je to řešení, které používá většin, atd., ale pořád to nebude správné řešení.

Když si přečtete moje posty od začátku, tak od začátku je vepsaná podmínka / předpoklad, že se jedná o menší zlo, než nezavádět žádné řešení tam, kde prostě ideálního stavu dosáhnout nemůžete. Další, co jsem vepisoval bylo, že blokaci je nutné nastavit jen na nutně krátkou dobu (než útok přejde - bývají to desítky minut), a blokaci co nejvíc cílit na konkrétní službu, ne na celý server.

Správné řešení = já za správné považuji optimum. Za optimum musím považovat to, co jsem schopný reálně zavést. V první řadě je nutné snažit se mít vše zafixované. V druhé řadě vybrat technologie, které se dají v dané situaci udržet. Ve třetí řadě mít zpětný vliv na samotný vývoj aplikace.

Bohužel, v praxi vývoj s administrátory moc nespolupracuje. Vývoj splní funkční požadavky, které jsou zároveň akceptačními kritérii. Mimofunkční požadavky se už nikdo moc nežene vyhodnocovat, a všichni v řetězci si následné problémy přehazují jako horký brambor. Ve chvíli, kdy vývoj nepracuje kooperativně, ale alibisticky a konfrontačně, pak adminovi nezbývá akceptovat pravidla hry.

Projektů, kde si můžete dovolit dělat věci lépe, těch je bohužel jen zlomek.

Vaší pozornosti ještě předkládám projekt https://fe.nix.cz/ sdružení NIX, který má za cíl v případech DDoS útoků odříznout dokonce celé AS, u kterých správci neakceptují určitou úroveň zabezpečení, správy a podpory. Kdybyste se na to díval tak přísně, jak píšete, musel byste tento projekt také odsoudit. Ale myslím, že pány z NIX nepodezíráte z toho, že by to byli úplní pitomci, ne?

[Lol Phirae]

Jirsáku, ty už sis zas vysadil prášky?

 

[Miroslav Šilhavý]

Profláklé redakční mají ve výchozí instalaci nastavenou automatickou aktualizaci, aby to stálo peníze, musí to zase někdo vědomě pokazit. Mnohem víc peněz pak bude stát řešení napadeného serveru.

Bohužel, taková je praxe. Zákazník si objedná zhotovitele webu. Ten to namastí do WP, Joomly, ..., s pluginami se nemaže, přepíše si je k obrazu svému (proč by něco přetěžoval), a pak vypne aktualizace, aby se dodávka sama od sebe nesesypala. Zákazník převezme, a než dojde k průšvihu, trvá to třeba měsíce. Vy, jako správce serveru nemáte možnost zákazníkovi moc kecat do toho, jestli koupil dobře nebo špatně udělaný systém. Naopak, když to někdo prolomí, tak zákazník už nejde reklamovat ke zhotoviteli, ten mu přeci předal web funkční. Takže logicky se obrací na správce serveru. Ano, můžete to zákazníkovi vysvětlit. Některý vám bude věřit, jiný nebude, ale obě skupiny budou nespokojené.

Stejnou logikou byste mohl označit mod_security / OSWAP / NAXSI jako zbytečné žrouty výkonu, které řeší blbě napsané aplikace. V tom máte pravdu, ale opět, v praxi je to level zabezpečení, který kompenzuje problémy vzniknuvší někde, kam zasáhnout nemůžete.

Ještě se vrátím k naší diskusi o blokování a NAT. Vy tvrdíte, že by admini by to měli přijmout jako realitu, že NAT existuje, a že IP není dost jednoznačný identifikátor přípojky. Budiž. Ale podle stejné logiky by se dalo říct, že ISP by také mohli vzít na vědomí, že skrývat různé zákazníky, kteří spolu nemají nic společného, za stejnou IP adresu, je špatná praxe. Pravda bude patrně někde mezi těmito dvěma tvrzeními, a řešení bude o tom, kdo jakou míru zásahu do komfortu akceptuje.