Blokování IP adres a bezpečnost

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #30 kdy: 13. 05. 2013, 23:38:39 »
Omlouvám se DbBg, moje poznámka o hlavičkach ukazuje pouze to že o tom nic nevím, navíc pouzivam slova jen jsou možná z doby analogové.

To je v pohodě, tou otázkou jsem chtěl akorát naznačit, že ze samotného obsahu těch hlaviček to poznat nejde.

Citace
Diskuze se dostala do stadia, zda je mozny hodne bezpečný internet ( možná az ideálne, či idealisticky ). Jenomže obávám se a diskuze to take naznačuje,  že již jsme přímými účastníky. Na globální urovni totalitní staty žádají  kontrolu internetu v podstatě jeho vlastnictví státem. Na urovni našeho statu stat za peníze daňových poplatníků stát buduje bezpečný ( jak jsem se nyni dozvěděl udajne bezpečný    ) IT goverment.  Uživatele by mohla zajímat bezpečnost jeho routeru, připojení do banky, ........     Ještě jednu věc z hlediska demokracie svobody internetu ( jsou to navíc dva možná zasadne uplne odlisne vefibjqk s technickeho tak i lidsky společenskeho hlediska ) ,  nejde pouze o velkeho bratra jde totiž i o to jak se snaží Mirek Prýmek naznačit o základní demokratickou slušnost.  Tedy moje svoboda končí tam kde začíná svoboda druheho a necin jinému to co nechceš aby cinili tobě.    Ovšem je otázka zda to je technicky proveditelne a zda příliš mnoha lidem včetně části správy státu a dokonce celé západní civilizace současný stqv spíše nevyhovuje.  Zrovna dnes jwem resil podvrzenou falešnou práci na internetu, navic směrem k me velmi těžce postizene kamaradce graficce. Mám problem i s inzertnim portalem na kterém byl zveřejněn. Pokud budou internety dva budu na obou přes dva proviidery. - Nakonec v Německu si pry už taky jen tak nakoupíte anonymní ( nebo anonymne ) SIM kartu.  Tedy nic nepredstavitelneho.

Osobně si nemyslím, že by problém důvěryhodnosti bylo nutné řešit na síťové vrstvě. Na vyšších vrstvách je spousta možností, jak systémy zabezpečit, třeba pomocí certifikátů a podobných věcí. Samozřejmě slušný provider dělá pokud možno to, co je v jeho silách, aby podvodným činnostem zabránil, nespoofovatelnost adres je jednou z nich.


Tom Liberec

Re:Blokování IP adres a bezpečnost
« Odpověď #31 kdy: 14. 05. 2013, 01:04:15 »
Takže to vidíte spíše na neustále drobné právní bitky mezi soukromymi vlastníky siti, připojení,  služeb, účastníky a státy jenž by rády ziskaly kontrolu ? Ve kterých se budou soudit a stíhat případne mediálne moralizovat spíše mali, slabi ? Zatím co utoky ze site zustanou anonymní, nedohledatelne, dohledání nevynutitelne ?

Re:Blokování IP adres a bezpečnost
« Odpověď #32 kdy: 14. 05. 2013, 07:37:33 »
Problém je imho příliš složitý na to, aby jej bylo nutné řešit - přináší totiž příliš mnoho práce a rizik na příliš málo přínosů.
A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.

Tak jsme se nakonec celkem shodli :)

Re:Blokování IP adres a bezpečnost
« Odpověď #33 kdy: 14. 05. 2013, 08:44:51 »
Pokud by pokus ovládnout internet státem či nějakou unií útočil přímo na tyto síťové vrstvy s výše uvedenými záminkami byl by to domnívám se poměrně velký útok na soukromý majetek, soukromé sítě. Toho si zřejmě všimneme pokud by se k tomu schylovalo. Předpokládám, že se tedy půjde právní a morální cestou proti uživatelům. Navíc dohledání útoků ze zahraničí zřejmě nebude vynutitelné a velké množství států nebude schopno si v tomto udělat pořádek, dohledávat ( A je to vůbec možné ? ) a zabraňovat ani na svém vlastním dvorku.
Bylo zde zmíněno zneužívání zvýhodněných pozic státem, státní organizací například v oblasti spamu a datových schránek. Další přímo skvělá budoucnost by tedy mohla přijít od s tohoto směru.

j

Re:Blokování IP adres a bezpečnost
« Odpověď #34 kdy: 14. 05. 2013, 09:37:17 »
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.

Boze ... nauc se neco o routovani ... zjevne v tom mas naprosto zcela zasadni hokej..

Malej priklad, jo? Mejme 3 site A,B,C.  Rekneme ze ja mam sit A. Vim, ze mam spoj s B a vim ze mam spoj s C, ale nevim a vedet nemuzu, zda jsou spojeny navzajem. Rekneme, ze i takovej spoj existuje (trojuhelnik).

Za normalnich okolnosti mi chodi nejaka IPcka 1.2/16 ze site B a nejaka 3.4/16 ze site C. I nastavim si (v souladu s tvoji predstavou), filtr tak, ze jinak tomu byt nemuze. Mno a nyni prijde bagrista, a prekopne spoj do site C. Jelikoz je provozovatel site C chytry, a dohodl se s provozovatelem site B, zacnou mi jeho pakety chodit ze site B, jenze ja mu je zahazuju, protoze tam prece nemaji co delat.

Ted bys moh vytahnout, ze me se pres BGP zmeni smerovani ... o cemz mi prijde info (trebas) ze site B (taky muze prijit uplne odjinud, trebas ze site X). Jenze BGP mi rika, KAM mam pakety posilat. Absolutne vubec nic nerika o tom, odkud mi budou pakety chodit.

Ono se totiz muze klidne stat, ze bagrista prekopne jen drat od C k A, ale opacne to bude chodit vpohode => presmeruje se jen jeden smer spoje (coz je v netu celkem bezna vec, ze pakety tam a zpet chodi jinudy).

A to sme u blbyho trojuhelniku, kde by se dalo s trochou snahy zjistit, ze ten propoj BC existuje. Ted si prestav, ze takovych siti jsou tisice, desetitisice, a topologii neznas, ani znat nemuzes. Takze vis co se ti velmy rychle stane? Ze te B i C poslou dohaje, odpojej si svoje daty k tobe, a muzes si sitovat na vlastnim, zcela bezpecnem pisecku.

---
Tady bych jeste podoktnul dalsi novinku ... celej net funguje (kupodivu) na zaklade doporuceni - zadna narizeni, zadne povinosti, pouze doporuceni. A prave na urovni smerovani to funguje velmi dobre. Na vyssich urovnich uz o poznani hur - presne proto, ze si do toho pridava leckdo vsemozna "vylepseni".

BTW: Nevsim sem si, ze by trebas takovy GTSce vadilo, ze mi prijde 5k spamu denne, to je muj problem, je na me, jak si stim poradim na svem serveru. Stejne tak je kazdyho problem, jak si poradi s DOSem. ISP to vyresi tlustejma dratama.


Re:Blokování IP adres a bezpečnost
« Odpověď #35 kdy: 14. 05. 2013, 09:50:18 »
Jenze BGP mi rika, KAM mam pakety posilat. Absolutne vubec nic nerika o tom, odkud mi budou pakety chodit.
Jo. A tim vsim ses snazil dokazat, ze nemuze (z principu) existovat protokol, ktery by delal v principu totez, ale v opacnem smeru?

Tak v tom pripade jsem to nepochopil. Asi v tom teda mam "zcela zasadni hokej" ::)

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #36 kdy: 14. 05. 2013, 10:09:29 »
Jenze BGP mi rika, KAM mam pakety posilat. Absolutne vubec nic nerika o tom, odkud mi budou pakety chodit.
Jo. A tim vsim ses snazil dokazat, ze nemuze (z principu) existovat protokol, ktery by delal v principu totez, ale v opacnem smeru?

Tak v tom pripade jsem to nepochopil. Asi v tom teda mam "zcela zasadni hokej" ::)

Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)

j

Re:Blokování IP adres a bezpečnost
« Odpověď #37 kdy: 14. 05. 2013, 10:10:21 »
Boze ... ne nemuze, protoze by ti byl zcela nicemu. Navic by vyrazne zhorsil fungovani site. I tomu BGP nejakou dobu trva, nez se prepne. A navic, jak ti asi tak mam poslat, kudy ti pakety prijdou, kdyz to sam nevim? BGP resi jen a pouze vyber, mezi tema 2, 3, 10ti rozhranima, a rika ti "tuhle cilovou IP posli prave ted na rozhrani X", jenze i to BGP muze dojit do stavu, ze je stejne dobre pouzit rozhrani X, Y i Z ... a pak to taky udela - zcela nahodne nebo dle nejakeho algoritmu.

Tudiz ti stejne zdrojove IP mozou prichazet zcela v zavislosti na situaci z nekolika ruznych rozhrani zaroven. V extremnim pripade ze !!!VSECH!!!. Tudiz ve finale zjistis, ze stejne musis akceptovat vsechny IP na VSECH rozhranich. Tudiz je kravinium vyrabet protokol, kterej dojde presne k tomuhle zaveru.

Uvedom si jeste jednu zcela zasadni vec, BGP resi opravdu jen a pouze tebe a tvoje nejblizsi sousedy, je mu uzadeke, kudy ty pakety budou posilat tvi sousedi, nemluve o jejich sousedech. Ten tvuj protokol by musel resit naprosto celej internet, protoze bys musel oznamit sousedovi, ze mu budes posilat Ipcka, on by to musel oznamit svymu sousedovi a ten zase svymu ... a nez bys to vsechno udelal, tak se spojeni davno rozpadne, pripadne se mezi tim neco zmenilo, takze se muze zacit posilat nanovo.

Re:Blokování IP adres a bezpečnost
« Odpověď #38 kdy: 14. 05. 2013, 10:32:13 »
Na to není dokonce potřeba žádný protokol. Říká se tomu RPF - reverse path filtering, akorát se současnými potřebami interAS routingu není úplně kompatibilní (a jak jsem už říkal, tranzitivní uzávěr tu RPF poněkud degraduje)
Jo. Akorát ten je spíš určený dovnitř AS, kde jsou cesty jasné a hierarchické, ne?

Ale něco podobného jsem právě myslel - prostě by se začalo omezením provozu od netransitních AS na jenom jejich adresy, u transitních potom jenom z adres netransitních AS, které jsou přes ně _aktuálně_ routované atd. Jasně že u některých hodně propojených sítí už to bude problém, ale lepší něco než nic...

samalama

Re:Blokování IP adres a bezpečnost
« Odpověď #39 kdy: 14. 05. 2013, 11:27:28 »
podla mna hovorite vsetci o inom :). mirek ma asi na mysli, a s tym sa stoznujem aj ja, ze blokovat IP spoofing by sa mal uz na najnizsej urovni pripojenia - koncovy zakaznik. kazde pripojenie musi (?) ist cez nejaky router. a prave tam by sa to malo filtrovat, nie? nieviem ako to je pri velkych poskytovateloch, ale lokany provideri maju vacsinou nejaky rozsah. takze tam by nemal byt problem to odkontrolovat na koncovych (vzhladom k zdrojovej IP) routroch. alebo sa mylim?

Re:Blokování IP adres a bezpečnost
« Odpověď #40 kdy: 14. 05. 2013, 12:02:34 »
Připojuji se. Právě to je dna z věcí o kterou mi jde abych jako koncový uživatel nedělal problémy dál. Zejména mi jde tedy o Wi-Fi router, jenž má také paměť a kromě aktualizace firmware asi jak se zde psalo nemohu nic moc udělat. další věcí je pokud použiji nějaký anonymizér IP.

Jim

Re:Blokování IP adres a bezpečnost
« Odpověď #41 kdy: 14. 05. 2013, 12:26:06 »
Připojuji se. Právě to je dna z věcí o kterou mi jde abych jako koncový uživatel nedělal problémy dál. Zejména mi jde tedy o Wi-Fi router, jenž má také paměť a kromě aktualizace firmware asi jak se zde psalo nemohu nic moc udělat. další věcí je pokud použiji nějaký anonymizér IP.
Na Vašem místě bych podobné problémy asi neřešil. Za 1. se mi trochu zdá že si pletete spoof adresy a využití proxy serveru, za 2. velice pochybuji že by spoofovaná IP vůbec prošla přes Vaši infrastrukturu, za 3. nespoofnete adresu aniž byste o tom věděl. :)

Jakub

samalama

Re:Blokování IP adres a bezpečnost
« Odpověď #42 kdy: 14. 05. 2013, 12:43:05 »
za 2. velice pochybuji že by spoofovaná IP vůbec prošla přes Vaši infrastrukturu
ak je pc priamo v sieti ISP (nie je za domacim routrom, ktory by tiez mal blokovat spoofing), preco by nemala?

za 3. nespoofnete adresu aniž byste o tom věděl. :)

Jakub

tak nejaka marienka asi nema ani ponatie, ze jej ruzovy noteboocik je sucastou nejakeho botnetu, ktory prave nieco dosuje.

Jim

Re:Blokování IP adres a bezpečnost
« Odpověď #43 kdy: 14. 05. 2013, 12:53:04 »
Citace
ak je pc priamo v sieti ISP (nie je za domacim routrom, ktory by tiez mal blokovat spoofing), preco by nemala?
Tipuji že je pán za domácím routerem, schválně. :) Ale máte pravdu, toto jsem neměl předpokládat. Na druhou stranu jsem napsal jen že pochybuji, což vlastně zpochybněno nebylo.  :D

Rhinox

Re:Blokování IP adres a bezpečnost
« Odpověď #44 kdy: 14. 05. 2013, 13:38:03 »
...Za normalnich okolnosti mi chodi nejaka IPcka 1.2/16 ze site B a nejaka 3.4/16 ze site C. I nastavim si (v souladu s tvoji predstavou), filtr tak, ze jinak tomu byt nemuze. Mno a nyni prijde bagrista, a prekopne spoj do site C. Jelikoz je provozovatel site C chytry, a dohodl se s provozovatelem site B, zacnou mi jeho pakety chodit ze site B, jenze ja mu je zahazuju, protoze tam prece nemaji co delat...

Jo, mas sice pravdu, jenze ja myslim ze jde predevsim o filtrovani u koncovych prodejcu konektivity, kde je konec koncu nejvic "zombie" masin, soucasti nakyho botnetu. Ono vzdycky je nelepsi resit problem co nejbliz mistu, kde vznikl. Tam se to da obvykle vyresit nejjednoduseji (jak pisi nize).

Kdyz mam ja, jako ISP na nake regionalni urovni pridelen rozsah ipv4 "a.b/16", pak od mych klientu nemuzou chodit pakety se zdrojovou adresou z jine podsite! A kdyby takove pakety od klienta prisli, pak je zdrojova adresa zjevne podvrzena a to nejmin co muzu jako ISP udelat je jednoduse takove pakety zahazovat (pripadne upozornit svyho klienta, ze z jeho pocitace jde do netu neco podezrelyho, at se mu na to nekdo podiva). Pres domaci routr nakeho Vencu z zadekakova nema co kdo routovat dal...