Blacklisty pro velké sítě na IPv6

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #45 kdy: 20. 09. 2017, 14:50:23 »
Realita je taková, že z botnetů (které jsou na těch blacklistech převážně) jde spousta útoků po mnoho měsíců a správci těch botnetů tam přidávají nové exploity.
Na blacklistech není botnet, na blacklistech jsou IP adresy. Ono když na vaše zařízení zaútočí nějaký takový uzel botnetu, tak rovnou zaútočí – nefunguje to tak, že by se nejprve slušně představil a sdělil vám, ze kterého je botnetu, abyste si ho na základě toho mohl zablokovat. To, že správce botnetu přidává nové exploity, se vůbec nevylučuje s tím, co jsem napsal.

A jak jsem psal, ano něco ten blacklist stojí (třeba jeden DNS dotaz), ale to je nic proti tomu co by sežrala následná analýza, která se pochopitelně dělá, ale pro řádově méně requestů.
To je ale váš problém, že něco musíte sám před sebou schovat, abyste to pak nemusel analyzovat.

Blacklisty se nepoužívají jako jediná ochrana, ale jako jeden ze stupňů.
Stupňovaná obrana je hloupost. K čemu jsou ty slabší stupně, když za nimi následují silnější?

Proto se používají blacklisty, aby se snížili náklady.
Zavedení a údržba blacklistu a řešení jeho následků taky stojí náklady. Pokud máte náklady s tím, že něco analyzujete zbytečně, doporučil bych zabývat se spíš tím, proč to zbytečně analyzujete.

I ten fail2ban má své opodstatnění, kdybys totiž spravoval nějakou síť tak bys moc dobře věděl, že jedna IP adresa jednu chvíli zkouší bruteforce přihlášení přes SSH a druhou třeba přes IMAP.
Já to vím. Akorát že mezi „IP adresa zkouší“ a „opodstatnění“ není žádná přímá souvislost, to byste teprve musel odůvodnit, že to zkoušení je nějaký problém a že nejlepší řešení toho problému je fail2ban.

Slaď svůj vnitřní stav s realitou a pak můžem o něčem diskutovat.
Problém je, že vy nerozlišujete, co je realita, a co jsou nějaké vaše představy o souvislostech, které ani nedokážete formulovat. „IP adresa zkouší“ je realita, ale pak teprve musíte zjistit, jestli to je dobře nebo špatně, pokud se to špatně, tak proč, a pak teprve můžete vymýšlet, jak tomu, co je na tom špatně, zabránit.


Re:Blacklisty pro velké sítě na IPv6
« Odpověď #46 kdy: 20. 09. 2017, 17:07:48 »
Stupňovaná obrana je hloupost. K čemu jsou ty slabší stupně, když za nimi následují silnější?

Jaké silnější?
1. Jak to budete řešit v prostředí, kde nemůžete ihned vše aktualizovat.
2. Jak budete řešit 0day?
3. Jak budete řešit vulnerabilities, kreré jsou známé, ale fix zatím není? (Viz CVE a doba odstranění).

Na okraj, ze samotných CVE často plyne doporučení hotfixu na jiném levelu zabezpečení, mnohé CVE mají severitu nižší, pokud máte splněné podmínky vícestupňového zabezpečení.

Zbláznil se svět, nebo pan Jirsák opravdu ztratil soudnost?

Unknown

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #47 kdy: 20. 09. 2017, 17:35:51 »
Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné.

Dneska uz pri prekroceni urciteho cisla zacnou stavkovat sluzby jako Google, ukazou hlasku o podezrelem provozu a pred pokracovanim chteji vyplnit Captchu.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #48 kdy: 20. 09. 2017, 17:50:11 »
Jaké silnější?
Takové silnější, že dokáží zastavit útok podle toho, že jde o útok, ne podle toho, že se útočník náhodou trefí do nějakého náhodného seznamu IP adres.

1. Jak to budete řešit v prostředí, kde nemůžete ihned vše aktualizovat.
2. Jak budete řešit 0day?
3. Jak budete řešit vulnerabilities, kreré jsou známé, ale fix zatím není? (Viz CVE a doba odstranění).
Úplně stejně, jako před pěti hodinami.

Na okraj, ze samotných CVE často plyne doporučení hotfixu na jiném levelu zabezpečení, mnohé CVE mají severitu nižší, pokud máte splněné podmínky vícestupňového zabezpečení.
Jenže blokování přístupu podle náhodného seznamu IP adres není zabezpečení. Uvědomte si konečně, že mezi aktuálním útokem a IP adresami, ze kterých přišel nějaký předchozí útok, není žádná souvislost. Za prvé aktuální útok nijak nesouvisí s předchozími útoky, za druhé IP adresa nijak neidentifikuje útočníka. Je to jako kdybyste v bance otevřel trezor a „zabezpečil“ ho tak, že před něj postavíte hlídače, který vyhodí každého, kdo se představí jako Karel – protože jednou vám jistý Karel dal v hospodě ránu pěstí. Že není žádná souvislost mezi ránou pěstí v hospodě a vyloupením banky? Že se lupič–muž klidně může představit jako Boženka a hlídač ho pustí? To jsou pro vás nepodstatné detaily, protože vy máte trezor zabezpečený.

Místo spekulování nad tím, jestli se zbláznil svět, popište, jak váš fail2ban zareaguje v případě, na který jste se sám ptal. Útočník objeví nějakou 0day zranitelnost v nějakém široce používaném systému, seznam IP adres, kde takový systém běží už má, a nebude se s tím nijak mazat, prostě spustí exploit ze svého počítače.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #49 kdy: 20. 09. 2017, 19:08:02 »
Takové silnější, že dokáží zastavit útok podle toho, že jde o útok, ne podle toho, že se útočník náhodou trefí do nějakého náhodného seznamu IP adres.
Ale jaké to jsou?

Jenže blokování přístupu podle náhodného seznamu IP adres není zabezpečení. Uvědomte si konečně, že mezi aktuálním útokem a IP adresami, ze kterých přišel nějaký předchozí útok, není žádná souvislost. Za prvé aktuální útok nijak nesouvisí s předchozími útoky, za druhé IP adresa nijak neidentifikuje útočníka.
Naopak. Jaká je pravděpodobnost, že botnet na zavirovaném PC zaútočí na ten samý server, jako ten samý uživatel bude chtít na ten samý server přistupovat legitimně? Vzhledem k tomu, jak jste mi popisoval stochastiku chování výběru IP adres botnety, měl byste uznat, že taková situace je krajně nepravděpodobná.

IP adresa v podstatě identifikuje útočníka. Míra NATOVÁNÍ není tak velká.

Je to jako kdybyste v bance otevřel trezor a „zabezpečil“ ho tak, že před něj postavíte hlídače, který vyhodí každého, kdo se představí jako Karel – protože jednou vám jistý Karel dal v hospodě ránu pěstí. Že není žádná souvislost mezi ránou pěstí v hospodě a vyloupením banky? Že se lupič–muž klidně může představit jako Boženka a hlídač ho pustí? To jsou pro vás nepodstatné detaily, protože vy máte trezor zabezpečený.
To ne. Ale budu-li vědět, že na malém městě se pohybuje opilý černovlasý muž se zbraní v kabátu, tak patrně budu jako ředitel banky instruovat ochranku, aby takové muže podrobili důkladné kontrole. Malé město = zúžení pravděpodobnosti, popis muže = zúžení pravděpodobnosti, instrukce ochrance = blacklist.

Místo spekulování nad tím, jestli se zbláznil svět, popište, jak váš fail2ban zareaguje v případě, na který jste se sám ptal. Útočník objeví nějakou 0day zranitelnost v nějakém široce používaném systému, seznam IP adres, kde takový systém běží už má, a nebude se s tím nijak mazat, prostě spustí exploit ze svého počítače.
No např. mod_security/OSWAP definuje dostatek generických pravidel, že např. exploity na webu dokáže s určitou účinností zadržet. F2b pak navíc IP preventivně zablokuje, aby se útočník ani nemohl snažit. Nezadrží to 100 %, ale určitě je to bezpečnější, než bez toho. Mimochodem, spousta velkých společností má OSWAP pravidla jako povinnost v základním zadání projektu.


Tomas2

  • ****
  • 310
    • Zobrazit profil
    • E-mail
Re:Blacklisty pro velké sítě na IPv6
« Odpověď #50 kdy: 20. 09. 2017, 21:56:34 »
vzhledem k tomu jak tady Filip Jirsák celý den prokrastinuje (pokud je to placený diskutující, omlouvám se mu), moc praxe nestíhá nabrat, tak mluví jen o teorii.

Blokování zdroje, který dělá problémy je běžná praxe, ani ne tak, že se pak cítím bezpečnějí, ale aspoň mám méně dat k analýze, ale přicházím o dlouhodobou statistiku, což je škoda, já jsem ten od dat. Pokud někdo přetěžuje zdroje, zaslouží si utnout tipec, ono stačí na pár minut.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #51 kdy: 20. 09. 2017, 22:23:54 »
Ale jaké to jsou?
Nejprve jsem vám to napsal. To jste zřejmě přehlédla a ptal jste se znova, tak jsem vám znovu dal odkaz na ten původní komentář. Ten jste zřejmě také přehlédl. Tak já nevím, jak vám to mám sdělit. Přejete si to ve verších, zazpívat, nebo jak je možné docílit toho, abyste ty příklady konečně vzal na vědomí a přestal se pořád dokola ptát na to samé, když už jste odpověď dostal a žádným způsobem jste na ni nereagoval?

Naopak. Jaká je pravděpodobnost, že botnet na zavirovaném PC zaútočí na ten samý server, jako ten samý uživatel bude chtít na ten samý server přistupovat legitimně? Vzhledem k tomu, jak jste mi popisoval stochastiku chování výběru IP adres botnety, měl byste uznat, že taková situace je krajně nepravděpodobná.
Vy to popisujete tak, že máte na blacklistu trvale všechny uzly všech botnetů – takže vám IP adresy na tom blacklistu zřejmě musí vydržet docela dlouho. IP adresy se někdy přidělují dynamicky, používá se NAT – takže vůbec nejde o to, že by uživatel ze zavirovaného PC chtěl použít vaši službu. Jde o to, že legitimní uživatel může náhodou vystupovat pod IP adresou, kterou se u vás před nějakým časem dostala na blacklist a ještě tam stále je.

Představte si to třeba na Informačním systému datových schránek. Například máte odeslat daňové přiznání a spoléháte na to, že ho můžete do půlnoci odeslat elektronicky, nebo vyrazíte na dovolenou do nějaké trochu exotičtější země s tím, že na případné zprávy dokážete do deseti dnů zareagovat, nebo že zvládnete do 8 dnů odpovědět na dotaz ke kontrolnímu hlášení. A pak byste se najednou do datových schránek nepřihlásil, protože fail2ban, zaplatil byste mastnou pokutu FÚ a kdybyste si stěžoval, dozvěděl byste se jen: „No jó, Jižní Amerika, to blokujeme rovnou po Céčkách…“ Měl byste radost z toho, že pravděpodobnost byla nízká?

IP adresa v podstatě identifikuje útočníka. Míra NATOVÁNÍ není tak velká.
No jo, když vy si pod NATem představujete domácí router. Představte si aspoň nějakého menšího ISP, který má třeba tisíc klientů, takže několik tisíc zařízení a uživatelů. IP adres má dost, takže bude pro NAT používat velkoryse třeba 4 C sítě. Tím, že se na blacklist dostane jediná IP adresa z toho rozsahu, může být negativně ovlivněno těch několik tisíc uživatelů. Pokud je ten NAT udělaný tak, že uživatel může být schovaný za kteroukoli IP adresou, jednou za čas prostě bude schovaný za tou špatnou a na vaší službu se nedostane. A bude to ještě o to nepříjemnější, že se to bude dít naprosto náhodně, a když už na to zapomene, objeví se to znova.

To ne. Ale budu-li vědět, že na malém městě se pohybuje opilý černovlasý muž se zbraní v kabátu, tak patrně budu jako ředitel banky instruovat ochranku, aby takové muže podrobili důkladné kontrole. Malé město = zúžení pravděpodobnosti, popis muže = zúžení pravděpodobnosti, instrukce ochrance = blacklist.
Ano, to je přesný popis vašeho přístupu. Když přijde s viditelnou zbraní plešatý muž v maskáčích, tak ho ochranka ponechá projít bez kontroly, protože přece neodpovídá popisu. Když ten opilý muž při opileckých toulkách městem kabát ztratí, ochranka ho opět pustí bez kontroly, protože přece neodpovídá popisu. Ale když se ten opilý muž z toho vyspí, ukáže se, že v kabátu měl banán a ne zbraň, tak ho stejně druhý den budou důkladně kontrolovat, zatímco vedle ti muži s viditelnými zbraněmi budou volně přicházet a odcházet.

No např. mod_security/OSWAP definuje dostatek generických pravidel, že např. exploity na webu dokáže s určitou účinností zadržet.
To nikdo nerozporuje. Akorát že to není blacklist IP adres, o kterém je tu celou dobu řeč.

Nezadrží to 100 %, ale určitě je to bezpečnější, než bez toho.
Víte, já jsem docela racionálně uvažující člověk, a na tyhle věci jako astrologie, homeopatika nebo fail2ban nevěřím. Vždycky mi někdo tvrdí, že to sice není na 100 %, ale nějaký vliv tam určitě je. Což se vskutku nedá popřít, pokud by se někdo pokusil dokázat, že vliv je nulový, dříve či později by dospěl ke sporu. Nicméně ten vliv je neměřitelný, daleko za jakoukoli statistickou chybou, je na úrovni šumu pozadí – a je obrovská spousta věcí, které mají vliv podstatně větší.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #52 kdy: 20. 09. 2017, 22:28:18 »
aspoň mám méně dat k analýze
Ano, to je vůbec nejpádnější důvod pro nasazení fail2ban – aby se vám neplnily logy… Nenapadlo vás někdy, že když nějaká data nechcete analyzovat, nemusíte je před sebou schovávat, ale můžete je při analýze prostě ignorovat? Ještě že neděláte třeba analýzu návštěvnosti webu, to byste zakázal zaměstnancům chodit na web vlastní firmy, aby vám nekazili statistiky.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #53 kdy: 20. 09. 2017, 22:36:04 »
vzhledem k tomu jak tady Filip Jirsák celý den prokrastinuje (pokud je to placený diskutující, omlouvám se mu), moc praxe nestíhá nabrat, tak mluví jen o teorii.
Prokrastinace je nějaký nový eufemismus k činnosti, které se dříve říkalo "blbnout"? :)

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #54 kdy: 20. 09. 2017, 22:56:57 »
Nejprve jsem vám to napsal. To jste zřejmě přehlédla a ptal jste se znova, tak jsem vám znovu dal odkaz na ten původní komentář. Ten jste zřejmě také přehlédl. Tak já nevím, jak vám to mám sdělit. Přejete si to ve verších, zazpívat, nebo jak je možné docílit toho, abyste ty příklady konečně vzal na vědomí a přestal se pořád dokola ptát na to samé, když už jste odpověď dostal a žádným způsobem jste na ni nereagoval?
Psal jste něco o záplatování a robustních aplikacích. K tomu byly další dotazy, jak byste to řešil v praxi, která není nikdy ideální. Robustní aplikace a fixy jsou samozřejmě také nutné, ale není to přeci jediná vrstva ochrany.

Vy to popisujete tak, že máte na blacklistu trvale všechny uzly všech botnetů – takže vám IP adresy na tom blacklistu zřejmě musí vydržet docela dlouho. IP adresy se někdy přidělují dynamicky, používá se NAT – takže vůbec nejde o to, že by uživatel ze zavirovaného PC chtěl použít vaši službu. Jde o to, že legitimní uživatel může náhodou vystupovat pod IP adresou, kterou se u vás před nějakým časem dostala na blacklist a ještě tam stále je.
1. dnes už snad není moc takových ISP, kteří by dělali takovou magoriádu, jako že by točili NAT IP adresy. Mapování bývá pevné (rozdělené hashem). Měnit IP adresu způsobí problémy některým službám a nic to nikomu nepřinese. Pokud má někdo takového ISP, zcela zaslouženě ho asi brzy opustí.
2. Pokud botnet, podle Vaší teorie, udělá jeden úzce zaměřený útok, na blacklist se nedostane a neřešíme problém.
3. Pokud podle mé teorie provede víc pokusů v sérii, dostane se na blacklist zaslouženě, a i kdyby to odřízlo několik legitimních uživatelů, nebude ta škoda příliš vysoká.
4. Riziko, že na daný server bude přistupovat z NATOVANÉ IP adresy jak bot, tak legitimní uživatel, vidím jako sakra nízké. NAT 1:80, serverů statisíce, pravděpodobnost?

Představte si to třeba na Informačním systému datových schránek. Například máte odeslat daňové přiznání a spoléháte na to, že ho můžete do půlnoci odeslat elektronicky, nebo vyrazíte na dovolenou do nějaké trochu exotičtější země s tím, že na případné zprávy dokážete do deseti dnů zareagovat, nebo že zvládnete do 8 dnů odpovědět na dotaz ke kontrolnímu hlášení. A pak byste se najednou do datových schránek nepřihlásil, protože fail2ban, zaplatil byste mastnou pokutu FÚ a kdybyste si stěžoval, dozvěděl byste se jen: „No jó, Jižní Amerika, to blokujeme rovnou po Céčkách…“ Měl byste radost z toho, že pravděpodobnost byla nízká?
Podle typu služby se jistě ladí typ zabezpečení a přísnost. Datové schránky Vás jistě na určitý čas odříznou. Z exotické země se vůbec nemusíte do českých služeb dostat, není to úplně neobvyklé. Pokud jedete na delší dobu pryč, odjakživa dodnes se doporučuje zmocnit jinou osobu k procesněprávním úkonům (na procesněprávní úkony lze sepsat generální plnou moc).

No jo, když vy si pod NATem představujete domácí router. Představte si aspoň nějakého menšího ISP, který má třeba tisíc klientů, takže několik tisíc zařízení a uživatelů. IP adres má dost, takže bude pro NAT používat velkoryse třeba 4 C sítě. Tím, že se na blacklist dostane jediná IP adresa z toho rozsahu, může být negativně ovlivněno těch několik tisíc uživatelů. Pokud je ten NAT udělaný tak, že uživatel může být schovaný za kteroukoli IP adresou, jednou za čas prostě bude schovaný za tou špatnou a na vaší službu se nedostane. A bude to ještě o to nepříjemnější, že se to bude dít naprosto náhodně, a když už na to zapomene, objeví se to znova.
Ale houby. Kromě nějakých zoufalejších freenetů (znám víc freenetů, a spousta z nich je velmi profesionálních), ISP používají veřejné IP adresy, v nejhorším případě NAT v poměru blízkém 1:1. K tomu jednoduše vedou technické potřeby.

Ano, to je přesný popis vašeho přístupu. Když přijde s viditelnou zbraní plešatý muž v maskáčích, tak ho ochranka ponechá projít bez kontroly, protože přece neodpovídá popisu. Když ten opilý muž při opileckých toulkách městem kabát ztratí, ochranka ho opět pustí bez kontroly, protože přece neodpovídá popisu. Ale když se ten opilý muž z toho vyspí, ukáže se, že v kabátu měl banán a ne zbraň, tak ho stejně druhý den budou důkladně kontrolovat, zatímco vedle ti muži s viditelnými zbraněmi budou volně přicházet a odcházet.
Kdepak. Ochranka je trénovaná na to, aby běžná rizika uměla rozpoznat. Popis podezřelého muže, který se zrovna včera opilý potuloval po městě, to bylo jen krátkodobé konkrétní opatření.

To nikdo nerozporuje. Akorát že to není blacklist IP adres, o kterém je tu celou dobu řeč.
Nevím jak u Vás, ale běžnou praxí je prohnat logy z mod_security skrz fail2ban a četně "zlobivé" IP adresy na čas odříznout, abych ulevil náročným pravidlům mod_security.

Víte, já jsem docela racionálně uvažující člověk, a na tyhle věci jako astrologie, homeopatika nebo fail2ban nevěřím. Vždycky mi někdo tvrdí, že to sice není na 100 %, ale nějaký vliv tam určitě je.
Za to hovoří výsledky. Počet banovaných IP adres, pokles CPU po aplikaci BL.
Místo blbnutí raději racionálně zvažte, co je NAT, a jak se používá. Když mi tvrdíte, že je normální, aby ISP masivně NATOVAL a ještě rotoval IP adresy, nemohu nabýt jiného dojmu, že bydlíte v nějaké díře, kde normální ISP není, a síť spravuje militantní síťař, který ještě nikdy nebyl konfrontován s tisícovkami přípojek a gigabity průtoků.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #55 kdy: 21. 09. 2017, 07:26:18 »
Psal jste něco o záplatování a robustních aplikacích. K tomu byly další dotazy, jak byste to řešil v praxi, která není nikdy ideální. Robustní aplikace a fixy jsou samozřejmě také nutné, ale není to přeci jediná vrstva ochrany.
Nechápu, proč se na něco opakovaně ptáte, a ani jednou si nepřečtete odpověď.

1. dnes už snad není moc takových ISP, kteří by dělali takovou magoriádu, jako že by točili NAT IP adresy. Mapování bývá pevné (rozdělené hashem). Měnit IP adresu způsobí problémy některým službám a nic to nikomu nepřinese. Pokud má někdo takového ISP, zcela zaslouženě ho asi brzy opustí.
Vy jako provozovatel serveru můžete ovlivnit, jak vaši klienti NATují? Asi těžko. Takže musíte předpokládat tu pro vás nejméně příznivou variantu. Navíc jak IPv4 adresy docházejí, budou se ISP snažit využívat ty zbývající efektivněji, což znamená mimo jiné sdružovat NAT do větších skupin, které budou pracovat společně – pak je možné agregační poměr zvětšovat.

2. Pokud botnet, podle Vaší teorie, udělá jeden úzce zaměřený útok, na blacklist se nedostane a neřešíme problém.
Řešíme, protože pak je ten váš blacklist k ničemu.

3. Pokud podle mé teorie provede víc pokusů v sérii, dostane se na blacklist zaslouženě, a i kdyby to odřízlo několik legitimních uživatelů, nebude ta škoda příliš vysoká.
To máte dost zvláštní přístup k provozování služby, když klidně úplně zbytečně odříznete legitimní uživatele. Nebylo by nejlepší v takovém případě službu úplně vypnout? Zablokuje se tím 100 % útoků a škoda nebude příliš vysoká.

4. Riziko, že na daný server bude přistupovat z NATOVANÉ IP adresy jak bot, tak legitimní uživatel, vidím jako sakra nízké. NAT 1:80, serverů statisíce, pravděpodobnost?
Jaké statisíce serverů? Víte, jaká zařízení se stávají součástí botnetů? Špatně zabezpečená malá zařízení (routery, webkamery, NASy), neudržované SOHO počítače s Windows, neudržované servery, které provozuje někdo, kdo tomu nerozumí – takže to budou buď levné VPS, nebo opět počítače někde doma ve sklepě nebo v kanceláři v nějakém kumbálu. Takže jsou to hlavně zařízení v SOHO sítích, kde se ale zároveň vyskytují i ti legitimní uživatelé.

Podle typu služby se jistě ladí typ zabezpečení a přísnost.
Ano, naštěstí, takže fail2ban na nějakém blogu nakonec opravdu nemusí vadit mnoha lidem.

Datové schránky Vás jistě na určitý čas odříznou.
To je právě váš problém, že dáváte přednost vlastním názorům před fakty. Provozovatel datových schránek si naštěstí nic takového nemůže dovolit, a naštěstí to neprovozují úplní amatéři. Kdy vám datové schránky mohou odepřít přístup je napsáno v provozním řádu, a je to jediný případ, který zabraňuje útoku hrubou silou na hesla uživatelů datových schránek.

Pokud jedete na delší dobu pryč
Týden? A nechtěl byste někomu pro jistotu dávat plnou moc, když jdete na oběd?

Ale houby. Kromě nějakých zoufalejších freenetů (znám víc freenetů, a spousta z nich je velmi profesionálních), ISP používají veřejné IP adresy, v nejhorším případě NAT v poměru blízkém 1:1. K tomu jednoduše vedou technické potřeby.
No jistě, nedostatek IPv4 adres je výmysl, uživatelé, kteří bojují s NATem jsou výmysl, všichni používají veřejné IP adresy.

Za to hovoří výsledky. Počet banovaných IP adres
Aha, takže pro vás je dobrým výsledkem provozu služby co největší počet zabanovaných IP adres. Jak už jsem psal, mám pro vás radu, jak si výsledky ještě zlepšit: zabanujte úplně všechny IP adresy.

Místo blbnutí raději racionálně zvažte, co je NAT, a jak se používá.
Děkuji, ale o vaše vybájené představy o fungování NATU nemám zájem.

Když mi tvrdíte, že je normální, aby ISP masivně NATOVAL a ještě rotoval IP adresy
Nikde jsem netvrdil, že je to normální. Provozovatel serveru ale nemůže ovlivnit, jestli jeho klienti budou NATovat normálně nebo nenormální. Navíc NATování bohužel normální je, vítejte v roce 2017.

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #56 kdy: 21. 09. 2017, 08:14:26 »
Týden? A nechtěl byste někomu pro jistotu dávat plnou moc, když jdete na oběd?
Ano, týden. Např. nám všem je známé ono "slavné" blokové čištění ulic, kdy provozovatel komunikace musí umístit značky 7 dní dopředu. Je soudy mnohokrát judikováno, že o tomto všichni vlastníci vozidel vědí, a když jedou na týden pryč, musí si zajistit "hlídání" auta, nebo počítat s následky. S fikcí doručování je to to samé. Nikdo Vás nenutí, ale následky znáte.

No jistě, nedostatek IPv4 adres je výmysl, uživatelé, kteří bojují s NATem jsou výmysl, všichni používají veřejné IP adresy.
Dovolím si tvrdit, že většina přípojek má veřejnou IP adresu. Bavím se o tom, že NATOVAT na straně ISP je čuňárna. V rámci přípojku už je to v pořádku, protože přípojka má svého vlastníka (= tedy správce, který má přehled, co se v rámci natu děje).

Aha, takže pro vás je dobrým výsledkem provozu služby co největší počet zabanovaných IP adres. Jak už jsem psal, mám pro vás radu, jak si výsledky ještě zlepšit: zabanujte úplně všechny IP adresy.
Jasně, přesně o tom se tu celou dobu bavíme. Všichni zde chtějí mít na blacklistu určitě miliony IP adres.

Nikde jsem netvrdil, že je to normální. Provozovatel serveru ale nemůže ovlivnit, jestli jeho klienti budou NATovat normálně nebo nenormální. Navíc NATování bohužel normální je, vítejte v roce 2017.
Psal jsem o masivním NATOVÁNÍ na straně ISP. To naštěstí normální není, kromě pár zoufalých sítí, kde správci neumějí IP adresy získat a spavovat. NATY na straně přípojek nepovažuji za zlo, ale to asi není to, co tu řešíme. Asi je jedno, jestli odstřihnu jedno PC, nebo celou domácnost či malou firmu. Vyšli jsme z Vašich tezí, představ, že by za jednou IP adresou mohlo být třeba 5000 navzájem si cizích lidí. A to je prostě pitomost.

Tomáš Polomský

Re:ipv6 a blacklisty
« Odpověď #57 kdy: 21. 09. 2017, 08:43:46 »
Ještě jsem v praxi nepotkal botnet, který koordinoval napříč tisícovky počítačů to, kdo jaký typ útoku provádí. Taková koordinace by byla za jedno náročná, za druhé nebezpečná i pro autora botnetu. Možná takové existují, ale rozhodně to není častá výzva pro adminy.
Omluvte prosím tuto otázku, nepovažuji se za experta na bezpečnost a proto může být naprosto zcestná. Máte k dispozici takové analytické nástroje, které by vám dokázaly odlišit tento typ koordinovaného útoku od náhodného útoku z více strojů? Tedy jinými slovy, jste si jistý, že jste koordinovaný útok už nezažil, jenom o tom nevíte? V případě cíleného útoku na vaši síť totiž si útočník může počkat a poslat vám testy rozložené v čase.
Zase „může“. A taky může pravděpodobnost DoSu zvýšit.
Proboha, jak?
U dynamicky přidělovaných adres (poskytovatelé internetu, univerzity...) můžete tak postupně nechat blokovat jednotlivé uživatele. A pokud máte fail2ban "chytrý", že zablokuje celý rozsah v případě blokací několika ip z celého rozsahu je to ještě snažší.

Tomáš Polomský

Re:Blacklisty pro velké sítě na IPv6
« Odpověď #58 kdy: 21. 09. 2017, 09:02:02 »
Vy asi nejste síťař? Za NAT se dá spolehlivě schovat privátní síť v poměru cca 1:80 (1 veřejná IP vs. 80 privátních). Vyšší poměr už není příliš doporučovaný. Ve velkém NAT ani provádět nejde, protože se musí v reálném čase procházet tabulka conntracku - a to je početně příliš náročné.

Dneska uz pri prekroceni urciteho cisla zacnou stavkovat sluzby jako Google, ukazou hlasku o podezrelem provozu a pred pokracovanim chteji vyplnit Captchu.
Ano, toto je přesná demonstrace chyb systému podobnému fail2ban, až na to, že blokován bude uživatel i při naprosto legálních dotazech.

Re:ipv6 a blacklisty
« Odpověď #59 kdy: 21. 09. 2017, 09:14:54 »
Máte k dispozici takové analytické nástroje, které by vám dokázaly odlišit tento typ koordinovaného útoku od náhodného útoku z více strojů? Tedy jinými slovy, jste si jistý, že jste koordinovaný útok už nezažil, jenom o tom nevíte?
Ano, takové nástroje k dispozici jsou. Distribuované útoky zjistíte nejčastěji (začínající) nedostupností služby, poté hledáte společný znak, kterým by se dalo zabránit přístupu jen těm, kteří útočí. Fail2ban distribuvaný útok nezjistí.

U dynamicky přidělovaných adres (poskytovatelé internetu, univerzity...) můžete tak postupně nechat blokovat jednotlivé uživatele. A pokud máte fail2ban "chytrý", že zablokuje celý rozsah v případě blokací několika ip z celého rozsahu je to ještě snažší.
Nepovažuji za dobrou praktiku blokovat trvale, či celé sítě. Většinou se snažím blokovat jen přístup na služby, na které bylo útočeno, jen z jediné IP adresy a ještě k tomu na omezenou dobu. Tedy, jen na dobu, než se bot "přežene". Obvykle stačí desítky minut.