Blacklisty pro velké sítě na IPv6

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #75 kdy: 22. 09. 2017, 16:57:09 »
Bohužel, taková je praxe. Zákazník si objedná zhotovitele webu. Ten to namastí do WP, Joomly, ..., s pluginami se nemaže, přepíše si je k obrazu svému (proč by něco přetěžoval), a pak vypne aktualizace, aby se dodávka sama od sebe nesesypala. Zákazník převezme, a než dojde k průšvihu, trvá to třeba měsíce. Vy, jako správce serveru nemáte možnost zákazníkovi moc kecat do toho, jestli koupil dobře nebo špatně udělaný systém. Naopak, když to někdo prolomí, tak zákazník už nejde reklamovat ke zhotoviteli, ten mu přeci předal web funkční. Takže logicky se obrací na správce serveru. Ano, můžete to zákazníkovi vysvětlit. Některý vám bude věřit, jiný nebude, ale obě skupiny budou nespokojené.
Trochu mi uniká ta souvislost, proč když je zfušovaná aplikace, má být zfušovaná i její správa. Pokud používáte fail2ban jako alibi před hloupými zákazníky, abyste jim mohl namluvit, že to bylo zabezpečené, ale jednalo se o velmi sofistikovaný útok, a následně je zkásnout ještě za řešení napadeného serveru, měl byste si uvědomit, že na odborném fóru vám na tohle přeci jen lidé nenaletí.

Stejnou logikou byste mohl označit mod_security / OSWAP / NAXSI jako zbytečné žrouty výkonu, které řeší blbě napsané aplikace. V tom máte pravdu, ale opět, v praxi je to level zabezpečení, který kompenzuje problémy vzniknuvší někde, kam zasáhnout nemůžete.
Ano, řeší, nebo spíš „řeší“, to blbě napsané aplikace. Ale aspoň se to snaží zastavit útok, který to detekuje. Ne jako fail2ban, která nechá několik útoků proběhnout, pak se konečně probere a zabanuje cokoli, co přišlo po útoku.

Ale podle stejné logiky by se dalo říct, že ISP by také mohli vzít na vědomí, že skrývat různé zákazníky, kteří spolu nemají nic společného, za stejnou IP adresu, je špatná praxe
Prozradím vám to tajemství, proč se používá NAT. Není to proto, že by to ISP bavilo, nebo že by nevěděli, čím by si ještě mohli zkomplikovat síť. NAT se používá proto, že IPv4 adres je už spoustu let nedostatek, a pořád se to zhoršuje. On by ten ISP rád dal každému zákazníkovi tolik veřejných IPv4 adres, o kolik si zákazník řekne – jenže ISP je nemá a nikdo mu je nedá.

Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů. Uživatel, který se chce dostat na nějaký web a zobrazí se mu chyba, přeci také vždycky zkusí stránku obnovit, ne jako nějaký hloupý robot, který jde hned dál. Toho by se mělo využít. Ve spojení s fail2ban budete mít takřka neprůstřelný web. Teda pokud na ně někdo nezaútočí. Není zač.


Lol Phirae

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #76 kdy: 22. 09. 2017, 17:13:46 »
měl byste si uvědomit, že na odborném fóru vám na tohle přeci jen lidé nenaletí.

Ono zas tak odborné není, když sem píše i takový debil jako Jirsák.  ;D

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #77 kdy: 22. 09. 2017, 17:25:34 »
Trochu mi uniká ta souvislost, proč když je zfušovaná aplikace, má být zfušovaná i její správa.
F2b je poslední instance, která může ještě něco zachytit. Nechápu, proč mi pořád vnucujete, že by to měla být první, nebo jediná. Cena nasazení a správy je blízká nule, o efektu se neshodneme, já tvrdím, že je pozitivní. False positives prakticky nemám, na f2b dojde zřídka kdy.

Ano, řeší, nebo spíš „řeší“, to blbě napsané aplikace. Ale aspoň se to snaží zastavit útok, který to detekuje. Ne jako fail2ban, která nechá několik útoků proběhnout, pak se konečně probere a zabanuje cokoli, co přišlo po útoku.
Jenže mod_security je poměrně strojově náročný, a v době probíhajícího útoku výkonový peak nemusíte ustát. Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat. Nechytejte mě za slovo, prosím, i já vím, že spoustu threadů odřízne prakticky bezpracně. A na ty ostatní mám nastavený f2b, a po překročení hodně vysoko nastaveného prahu je IP na pár (desítek) minut zablokovaná. A do samotného mod_security už by většina threadů stejně neměla dojí, protože jsou odchyceny dříve. Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.

Prozradím vám to tajemství, proč se používá NAT. Není to proto, že by to ISP bavilo, nebo že by nevěděli, čím by si ještě mohli zkomplikovat síť. NAT se používá proto, že IPv4 adres je už spoustu let nedostatek, a pořád se to zhoršuje. On by ten ISP rád dal každému zákazníkovi tolik veřejných IPv4 adres, o kolik si zákazník řekne – jenže ISP je nemá a nikdo mu je nedá.
Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí. Kdyby to bylo tak, jak říkáte vy, tak především velcí ISP by dávno NATOVALI, ale je zajímavé, že to dělají jen ti malí? Proč asi?

Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů.
Greylisting je opět až další level ochrany. Spousta spojení se dá ihned detekovat jako naprosto legitimní, a projdou bez zdržení (stačí používat SPF). Dále existují udržované DNS realtime whitelisty, které také rozumný admin pořídí a nasadí jako bypass. Greylisting se pak aplikuje už jen na ty, kteří na svoji doménu prdí, a nemají ji nastavenou tak, jak žádá rok 2017. Nejčastěji pak jde o zdržení prvního e-mailu z domény o cca 20 minut, a je poměrně bezpečné nechat pro tu samou IP adresu greylisting bypassnutý i několik týdnů - tj. zdržení na příjmu je např. jednou za měsíc. (Vetší mailové služby, které odesílají SMTP z více IP, bývají dost spolehlivě na whitelistech, takže se to rozhodně nedotkne žádných freemailů).

Takže pořád dokolečka: nevnucujte mi prosím, že zmiňované technologie jsou všespásné, nebo ochrana první volby. To jsem nikdy netvrdil. Také netvrdím, že to jsou metody, které se ve větším měřítku nedají plnohodnotně nahradit lepší technologií. Dají, ale ne každý má takový rozsah potřeb, aby si mohl dovolit investice do nich rozpustit. Pak se samozřejmě nabízí, jestli není vhodnější přejít na profesionální outsourcovanou službu, která má vše už v ceně. Někdy ano, někdy ne.

Mám pocit, že vše vidíte děsně černobíle, že ostatní podezíráte, že jako jedinou ochranu i jako jediný bypass mají f2b, denyhosts, greylisting, DNS BL apod. - ale to je přeci hovadina, rozumný admin tyto nástroje používá s nastavenou vahou a s nastaveným dopadem.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Blacklisty pro velké sítě na IPv6
« Odpověď #78 kdy: 22. 09. 2017, 17:46:09 »
Připadá mi, že uživatelé fail2ban jsou málo inovativní a nehledají inspiraci i jinde. Už tady padlo, že na poštovních serverech se používá greylisting – úplně to samé se přeci může použít i u webových serverů. Uživatel, který se chce dostat na nějaký web a zobrazí se mu chyba, přeci také vždycky zkusí stránku obnovit, ne jako nějaký hloupý robot, který jde hned dál. Toho by se mělo využít. Ve spojení s fail2ban budete mít takřka neprůstřelný web. Teda pokud na ně někdo nezaútočí. Není zač.

Graylisting na webu je jiste dobry napad. Zkusme si predstavit, jak by to fungoval: Zkusim vlezt na web, server mi treba pul hodiny bude odmitat spojeni. Nasledne, kdyz vytrvam, se mi konecne stranka zobrazi. Tedy tou dobou uz bych se na to vysral a sel o dum dal.

A i kdyby slo jen o reload stranky, tak take pekne dekuju. Web, kde se veci zobrazuji az na druhy, treti,....., n-ty pokus, me opravdu nezajima. Staci, ze se to kolikrat deje tady na Rootu, kde muzou vsichni byt vygraylistingovani i nekolik hodin. Krome toho, jak dlouho by trvalo, nez by prohlizece samy elaly reload u vedomi, ze kdejaky debil ma na weby graylisting?

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #79 kdy: 22. 09. 2017, 18:06:24 »
F2b je poslední instance, která může ještě něco zachytit.
Zase „může“ a „něco“. Máte tam implementované také náhodné uzavírání spojení? To také může něco zachytit.

Nechápu, proč mi pořád vnucujete, že by to měla být první, nebo jediná.
Protože pokud je někde bezpečnostní opatření proti nějakému typu útoku, nedává smysl před to nebo za to dávat ještě slabší opatření proti stejnému typu útoku. Když někam dáte bezpečnostní dveře, nedává žádný smysl jako další bezpečnostní opatření před ně ani za ně dávat ještě jedny normální dveře.

Cena nasazení a správy je blízká nule, o efektu se neshodneme, já tvrdím, že je pozitivní.
Problém je v tom, že to vzbuzuje zdání, že jste pro bezpečnost udělal něco dalšího, takže získáte pocit, že už to stačí – takže vám to efektivně zabrání dělat skutečná bezpečnostní opatření.

na f2b dojde zřídka kdy.
Pozoruhodné je, že si stále myslíte, že útočník bude tak laskav a udělá vše pro to, aby tím „zřídka kdy“ byl zrovna on.

Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat.
To je právě ten problém, že fail2ban žádný útok nedetekuje, jenom se probudí, když už je po útoku.

Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.
A do trezoru umístíte kasičku s visacím zámkem z tržnice a do ní ještě lísteček „prosím, neberte to“. Protože když zloděje nezastavil profi trezor, zámek z tržnice jistě uspěje.

Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí.
Proč si vymýšlíte věci, o kterých vůbec nic nevíte? V Evropě už pět let platí, že jeden člen RIPE dostane jednou 1024 IP adres, a tím to končí. Další IPv4 adresy může získat buď podvodem, kdy se zakládají fiktivní noví ISP (ale proti tomu už se podnikají nějaká opatření), a nebo nákupem od někoho, kdo má velké „zásoby“ ještě z doby, kdy bylo IPv4 adres habakuk a univerzity nebo velké firmy získaly na dnešní poměry obrovské bloky. Případně se něco dá „vytěžit“ v Africe.

Mám pocit, že vše vidíte děsně černobíle, že ostatní podezíráte, že jako jedinou ochranu i jako jediný bypass mají f2b, denyhosts, greylisting, DNS BL apod. - ale to je přeci hovadina, rozumný admin tyto nástroje používá s nastavenou vahou a s nastaveným dopadem.
Nikoli. Já akorát ty, kteří pořád dokola píší o „může něco zachytit“ a „vícestupňové ochraně“, podezírám, že tam něco plácnou, a vůbec nepřemýšlí o tom, před čím a jak to má chránit a jak to souvisí s ostatními mechanismy obrany. A pak si řeknou „už jsem zabezpečování věnoval dvě hodiny, to už musí stačit, mám zabezpečeno“. Pokud nad zabezpečením někdo přemýšlí, musí si okamžitě, jakmile někdo zmíní blacklist IP adres, položit otázku: „A co když útočník na tom blacklistu nebude?“ Pokud si na ni odpoví a stále ještě si myslí, že má dostatečně zabezpečený systém, musí si vzápětí položit otázku: „Co by se tedy stalo, kdyby tam ten fail2ban vůbec nebyl?“


Re:Blacklisty pro velké sítě na IPv6
« Odpověď #80 kdy: 22. 09. 2017, 18:09:24 »
Graylisting na webu je jiste dobry napad.
Moje chyba, měl jsem nakonec dát bazinga!

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #81 kdy: 22. 09. 2017, 18:16:51 »
Proč si vymýšlíte věci, o kterých vůbec nic nevíte? V Evropě už pět let platí, že jeden člen RIPE dostane jednou 1024 IP adres, a tím to končí. Další IPv4 adresy může získat buď podvodem, kdy se zakládají fiktivní noví ISP (ale proti tomu už se podnikají nějaká opatření), a nebo nákupem od někoho, kdo má velké „zásoby“ ještě z doby, kdy bylo IPv4 adres habakuk a univerzity nebo velké firmy získaly na dnešní poměry obrovské bloky. Případně se něco dá „vytěžit“ v Africe.

Omlouvám se, v tomto máte pravdu.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #82 kdy: 22. 09. 2017, 18:41:24 »
Omlouvám se, v tomto máte pravdu.
OK, stane se…

PetrM

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #83 kdy: 23. 09. 2017, 06:27:45 »

Jenže mod_security je poměrně strojově náročný, a v době probíhajícího útoku výkonový peak nemusíte ustát. Jde o to, v jaké fázi dokáže ten konkrétní útok detekovat. Nechytejte mě za slovo, prosím, i já vím, že spoustu threadů odřízne prakticky bezpracně. A na ty ostatní mám nastavený f2b, a po překročení hodně vysoko nastaveného prahu je IP na pár (desítek) minut zablokovaná. A do samotného mod_security už by většina threadů stejně neměla dojí, protože jsou odchyceny dříve. Ta ochrana je vícestupňová, a raději volí menší, ale definované zlo, než bezbrannost, kdyby předchozí level ochrany nezabral.

Ok, takže na několikátým stupni je analytický nástroj, na který málo kdy dojde. Málo kdy = zlomek regulérního provozu? Pokud to je 2% provozu ("málo kdy" bude patrně míň) a analytický nástroj sežere 80% toho, co normálně aplikace na tom serveru běžící, furt to není technicky problém - a pokud neprobíhá útok, rezervana analytiku může posílit server.

Kdybyste byl ISP, tak byste věděl, že IPv4 stále získat jdou. Není to tak volné, jako před lety, uznávám, ale nemožné to rozhodně není; pro přístupové služby je RIPE přidělí. Kdyby to bylo tak, jak říkáte vy, tak především velcí ISP by dávno NATOVALI, ale je zajímavé, že to dělají jen ti malí? Proč asi?

NAT se dělá i jako kšeft. U O2 neplatíš výpalný -> natujeme. Je O2 dostatečně malý ISP?

A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...

Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Blacklisty pro velké sítě na IPv6
« Odpověď #84 kdy: 23. 09. 2017, 10:50:51 »
A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...

To takhle někdo dělá? Pěkné zvěrstvo, podobné blokování nesmí ovlivnit běžný provoz, thresholdy by se měly nastavovat o dva, tři a ideálně více řádů nad běžným provozem, pokud tak někdo řeší špatný návrh aplikace, ať je mu země lehká...

Jistou vinu nesou samozřejmě i zákazníci, kdyby takhle masivně neobjednávali pizzu k obědu, žádné blokování by nenastalo :)

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #85 kdy: 23. 09. 2017, 11:19:17 »
A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...

No zde si ale myslím, že si musí rozmyslet i ten majitel pizzerie, co je pro něj menší zlo a za jakou cenu. V praxi se většinou dozvíte, že 50 Kč měsíčně už je velký rozdíl, a že raději riskne malý výpadek.

V praxi samozřejmě problém, jaký popisujete, nenastává. Prahy detekce jsou hodně vysoko, aby zásah nenapáchal víc škody, než užitku. Ku příkladu se můžeme bavit o limitu na nová spojení přesahující rate 200 spojení / sec. s burstem 1000. Pokud naopak nějaká IP tento limit překročí, tak má pravděpodobně stejně dost problémů i na své straně, a stejně by postupně začala ohrožovat provoz serveru. V takový moment je podle mě prostě na místě celou IP na pár desítek minut odstavit.