Blokování IP adres a bezpečnost

j

Re:Blokování IP adres a bezpečnost
« Odpověď #15 kdy: 13. 05. 2013, 19:53:27 »
Ještě jedno malý doplnění:

Pokud vím, docela vážně se diskutuje o tom, že by se mohlo v budoucnu stát nutností zavést nějaký "nový bezpečnější internet". Třeba právě s vlastností jednoznačné dohledatelnosti původce každé komunikace. "Starý internet" by se pak nechal vyhnít pro ty, kdo ho budou chtít. S důležitým dodatkem - propojení "starého" a "nového" internetu je z principu dost těžko možné.

Pokud někdo tvrdí, že na ("současném") internetu se nikdo nemusí o nic starat a všechno mu může být jedno bez ohledu na ostatní, tak jenom nahrává tomu, aby se taková budoucnost fakt naplnila. A dám ruku do ohně, že bude v první řadě lidí, kteří budou kňučet cosi o Vlkém Bratrovi...
Sak at takovou sit nekdo zavede ... uz vidim ty nadsene miliony lidi, kteri se do ni chteji pridat.


Re:Blokování IP adres a bezpečnost
« Odpověď #16 kdy: 13. 05. 2013, 20:11:49 »
To neni hloupy argument to je realita.
Spamy jsou taky realita. Tak s nimi teda nebudeme nic dělat.

Pokud zjednodusim a reknu ze silnice jsou statni, tak nasemu statu je taky zcela jedno, ze vozite v aute
Nemyslím si, že by něčemu pomáhala vymýšlet nesedící přirovnání. Tohle kulhá na jednu nohu, to druhé (chození na magistrále) na obě.

Internet, ve kterém se budou uživatelé cítit bezpečněji, podniky a státní instaituce nebudou muset řešit DDOSy a nebudou chodit spamy, je v zájmu v podstatě všech zúčastněných. Jestli si myslíš, že není v zájmu ISPs, tak v tom se prostě neshodneme.

Že se nějakému lokálnímu ISP tohle nechce řešit, neumí to nebo to znamená dodatečné náklady a proto to nebude dělat, dokud nebude muset, to přece nic nemění na tom, že by bylo v zájmu všech ostatních, kdyby to dělal.


Kdo ze to sou "prislusne organy" pro ty miliony soukromych siti po svete? A jejich majitele kupodivu takovy traffic za neregulerni nepovazuji. Ano, prislusny majitel si jiste muze se svou siti delat co chce, muze ji klidne celou zrusit ... nebo trebas jako telecum vracet povrzene DNS odpovedi, nebo jako telco operatori blokovat VoIP provoz ...
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?

Z praktickeho hlediska ma kazda trochu vetsi sit konektivitu s vice nez jednou dalsi siti ... a to plati zcela rekurzivne, s tim, ze prevazna cast ISP jednoduse nezna (a ani nepotrebuje znat) topologii svych sousedu, natoz jejich sousedu. Tudiz nevi a ani vedet nemuze, jaka komunikace potece prave pres jeho sit.
Mně na tom jenom zaráží, že v druhém směru to funguje. Divné. Když pošlu packet na adresu A.B.C.D, tak dojde na jedno konkrétní místo. Ovšem kdybysme chtěli to samé v opačném směru, tak by to byl útok na samu podstatu internetu, peeringová centra by shořela, anděl by zatroubil na trubku a hnusná fialová monstra by sežrala všechny krásné bílé králíčky tím nejodpornějším představitelným způsobem.

Pokud se dva subjekty dohodnou na nejakyme tom propoji, pak se prevazne resi predevsim kapacity, nikoli to, jake IP kde potecou, proste proto, ze to nikoho nezajima - je to totiz naprosto nezajimavy problem.
Otázka není, jak to je. Otázka je, jestli je představitelné, že by to bylo jinak.

Sak at takovou sit nekdo zavede ... uz vidim ty nadsene miliony lidi, kteri se do ni chteji pridat.
Jistě, proč by se někdo zajímal o síť, kde nejsou spamy, ddosy... Síť, o které mi banka řekne, že to je jediná síť, ve které hodlá provozovat svoje bankovnictví a internetové platby. Proč bych se o ni zajímal, raději si vyberu tu druhou, kde už zůstal jenom mallware, warez a porno.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #17 kdy: 13. 05. 2013, 20:21:40 »
Kdo ze to sou "prislusne organy" pro ty miliony soukromych siti po svete? A jejich majitele kupodivu takovy traffic za neregulerni nepovazuji. Ano, prislusny majitel si jiste muze se svou siti delat co chce, muze ji klidne celou zrusit ... nebo trebas jako telecum vracet povrzene DNS odpovedi, nebo jako telco operatori blokovat VoIP provoz ...
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?

jistě :-)
Citace


Z praktickeho hlediska ma kazda trochu vetsi sit konektivitu s vice nez jednou dalsi siti ... a to plati zcela rekurzivne, s tim, ze prevazna cast ISP jednoduse nezna (a ani nepotrebuje znat) topologii svych sousedu, natoz jejich sousedu. Tudiz nevi a ani vedet nemuze, jaka komunikace potece prave pres jeho sit.
Mně na tom jenom zaráží, že v druhém směru to funguje. Divné. Když pošlu packet na adresu A.B.C.D, tak dojde na jedno konkrétní místo. Ovšem kdybysme chtěli to samé v opačném směru, tak by to byl útok na samu podstatu internetu, peeringová centra by shořela, anděl by zatroubil na trubku a hnusná fialová monstra by sežrala všechny krásné bílé králíčky tím nejodpornějším představitelným způsobem.

Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.

Citace
Sak at takovou sit nekdo zavede ... uz vidim ty nadsene miliony lidi, kteri se do ni chteji pridat.
Jistě, proč by se někdo zajímal o síť, kde nejsou spamy, ddosy... Síť, o které mi banka řekne, že to je jediná síť, ve které hodlá provozovat svoje bankovnictví a internetové platby. Proč bych se o ni zajímal, raději si vyberu tu druhou, kde už zůstal jenom mallware, warez a porno.
Nespoofovatelnost IP nezajistí ani jedno.

Re:Blokování IP adres a bezpečnost
« Odpověď #18 kdy: 13. 05. 2013, 20:31:24 »
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?
jistě :-)
Citace
A ostatní teda udělají co? Řeknou si "ok, má na to právo" a nebudou na to nijak reagovat?

Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Počkej, co nejde nastavit?

Existuje protokol, pomoci kterého když pošlu paket na adresu A.B.C.D, tak je správně na danou adresu doručen.
Já říkám, že si dovedu představit, že by existoval protokol/proces (teď nemyslím nutně počítačový), který by říkal, že z daného drátu můžou vylézt jenom pakety z rozsahu X,Y a Z a všechny ostatní jsou neregulerní. A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.

Nespoofovatelnost IP nezajistí ani jedno.
To jsem ani netvrdil. Podívej se, na co to byla reakce.

Re:Blokování IP adres a bezpečnost
« Odpověď #19 kdy: 13. 05. 2013, 20:33:39 »
Tak ještě jednou správně...
jistě :-)
A ostatní teda udělají co? Řeknou si "ok, má na to právo" a nebudou na to nijak reagovat?

Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Počkej, co nejde nastavit?

Existuje protokol, pomoci kterého když pošlu paket na adresu A.B.C.D, tak je správně na danou adresu doručen.
Já říkám, že si dovedu představit, že by existoval protokol/proces (teď nemyslím nutně počítačový), který by říkal, že z daného drátu můžou vylézt jenom pakety z rozsahu X,Y a Z a všechny ostatní jsou neregulerní. A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.

Nespoofovatelnost IP nezajistí ani jedno.
To jsem ani netvrdil. Podívej se, na co to byla reakce.


j

Re:Blokování IP adres a bezpečnost
« Odpověď #20 kdy: 13. 05. 2013, 20:35:38 »
Citace
Spamy jsou taky realita. Tak s nimi teda nebudeme nic dělat.

Spamy neexistuji ... neni nic jednodussiho, nez akceptovat smtp pouze podepsane validnim a duveryhodnym (= znam ho) klicem ...

Nehlede na to, ze vzhledem k tomu, jaky spam generuje provoz (uvadi se az 1/3 veskereho provozu) je zajimave, ze to ISPckum nijak nevadi a vubec nic s tim nedelaji ... proc by meli resit tech 0,00005% paketu s podvrzenou IP?

Citace
Nemyslím si, že by něčemu pomáhala vymýšlet nesedící přirovnání. Tohle kulhá na jednu nohu, to druhé (chození na magistrále) na obě.

Internet, ve kterém se budou uživatelé cítit bezpečněji, podniky a státní instaituce nebudou muset řešit DDOSy a nebudou chodit spamy, je v zájmu v podstatě všech zúčastněných. Jestli si myslíš, že není v zájmu ISPs, tak v tom se prostě neshodneme.

Že se nějakému lokálnímu ISP tohle nechce řešit, neumí to nebo to znamená dodatečné náklady a proto to nebude dělat, dokud nebude muset, to přece nic nemění na tom, že by bylo v zájmu všech ostatních, kdyby to dělal.
Tak prirovnani sedi naprosto presne.

Coze, zeby komercnim subjektum - tedy nejvetsim rozesilacum spamu - vyhovovalo, kdyby spam rozesilat neslo? Tak proc uz davno nepresnesly komunikaci trebas na jabber, skype, icq, ... neni prece nic jednodussiho, a neautorizovany kontakt ma proste smulu. Aha, ale to by zaroven neslo rozesilat ten spam ... hm ... takze ony ty komercni subjekty by to chtely tak, aby oni spam rozesilat mohly, ale jim aby nechodil ...
A ano, mame tu prece jeden uzasny "nespamovy" system - datove schranky -  vnich rozesila spam jen ten jeden vyvoleny provozovatele, ceska posta. A jeste si za prijem toho spamu platime, tak je to preci spravne, tak to ma byt.

Statni instituce necht si za ty rozkradene stamiliardy nechaji vybudovat vlastni oddelenou sit. Kdyz muze mit vlastni sit CD, vlastni sit maji energeticke rozvody ... proc ne stat.

Citace
Zkusím ještě jednou, naposledy: může si špatně nakonfigurovat border routery tak, že nebudou správně kooperovat s ostatními ASs?
Ale jiste ze muze, stejne jako ho jeho sousedi muzou zcela svobodne z vlastniho (a pouze vlastniho) rozhodnuti odpojit. Kdyz vypropaguju do netu ze moje IP jsou 10/8, a ostatni to v routovacich tabulkach nechaji, tak proste ty IPcka budou moje.

Citace
Mně na tom jenom zaráží, že v druhém směru to funguje. Divné. Když pošlu packet na adresu A.B.C.D, tak dojde na jedno konkrétní místo. Ovšem kdybysme chtěli to samé v opačném směru, tak by to byl útok na samu podstatu internetu, peeringová centra by shořela, anděl by zatroubil na trubku a hnusná fialová monstra by sežrala všechny krásné bílé králíčky tím nejodpornějším představitelným způsobem.
Co ze funguje korektne? Kdyz poslu paket na adresu a.b.c.d, tak vim uplne stejne kulovy, jesli sel optimalni cestou, stejne jako vim kulovy, jestli mi odpovida spravnej stroj. A uplne stejne tak by se nekomu cestou nemuselo libit, ze posilam pakety zrovna na a.b.c.d a moh by mi je zablokovat. Nebo mi taky muze vratit podvrzenoou odpoved ... a ona kupodivu projde. Co vic, on dokonce muze (a telco operatori to vsichni tri delaj) ten paket vzit a vymenit jeho obsah ... a to, kupodivu, nikomu divny neprijde - ze se zeptam na IP adresu nejakyho serveru a nekdo cestou mi vrati falesnou odpoved je OK ...

Citace
Otázka není, jak to je. Otázka je, jestli je představitelné, že by to bylo jinak.
Je predstavitelne, ze budou organi statu strilet lidi na ulicich na potkani? Zcela jiste to je nejen predstavitelne, ono to je i realizovatelne, dokonce to tu uz mockrat bylo ... chceme stejny system zavadet na internetu?

Citace
Jistě, proč by se někdo zajímal o síť, kde nejsou spamy, ddosy... Síť, o které mi banka řekne, že to je jediná síť, ve které hodlá provozovat svoje bankovnictví a internetové platby. Proč bych se o ni zajímal, raději si vyberu tu druhou, kde už zůstal jenom mallware, warez a porno.

Ja bych vazne chtel videt banku, ktera svym desitkam tisic klientu rekne, at si nechaj domu vykopat par stovek kilometru kabelu, protoze se snima jinak nehodla bavit. Mimochodem, to tu uz taky bylo(defakto monopolni postaveni jedineho vyvoleneho), proto je v CR zdaleka nevyssi penetrace wifin na svete. Zcehoz je zcela zrejme, ze lide o takove "uzasne" site vubec nestojej.

Re:Blokování IP adres a bezpečnost
« Odpověď #21 kdy: 13. 05. 2013, 20:40:31 »
Spamy neexistuji ... neni nic jednodussiho, nez akceptovat smtp pouze podepsane validnim a duveryhodnym (= znam ho) klicem ...
To je samozřejmě nesmysl.

vzhledem k tomu, jaky spam generuje provoz (uvadi se az 1/3 veskereho provozu) je zajimave, ze to ISPckum nijak nevadi a vubec nic s tim nedelaji
Nevadí? Nic s tím nedělají? Hm.

[zbytek už komentovat nebudu, to by ke konstruktivní debatě stejně nevedlo]

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #22 kdy: 13. 05. 2013, 20:44:59 »
jistě :-)
A ostatní teda udělají co? Řeknou si "ok, má na to právo" a nebudou na to nijak reagovat?

To záleží na rozhodnutí dotyčného peerovače.


Citace
Chtít to můžeme, ovšem na úrovni směrování mezi AS to nejde nastavit.
Počkej, co nejde nastavit?

Existuje protokol, pomoci kterého když pošlu paket na adresu A.B.C.D, tak je správně na danou adresu doručen.
Já říkám, že si dovedu představit, že by existoval protokol/proces (teď nemyslím nutně počítačový), který by říkal, že z daného drátu můžou vylézt jenom pakety z rozsahu X,Y a Z a všechny ostatní jsou neregulerní. A odhaduju, že nebyl zaveden jenom proto, že spoofování není až tak závažný problém, aby to stálo za to.

Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.



Re:Blokování IP adres a bezpečnost
« Odpověď #23 kdy: 13. 05. 2013, 20:55:27 »
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.

student

Re:Blokování IP adres a bezpečnost
« Odpověď #24 kdy: 13. 05. 2013, 21:48:10 »
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.
Akurat mas problem, ze ty nie si jedinym mostom medzi jednotlivymi castami (ktore by mali byt urcene pripojkami). A kedze su prepojene aj inak, tak mozu ist data "tou zlou" cestou.

Zoznam rozsahov si mozes spravit, ale aj keby si mal garantovanu vzdy najkratsiu cestu, tak je problem tam, ze nepeerujes s kazdym. Teda sa ti moze stat, ze mas pripojku (alebo potom aj viac) pre zahranicie, ale v nej uz nedokazes rozlisit, ci ti to niekto smeruje z Ruska, Ciny alebo mozno Slovenska.

Tento isty problem je pre tranzitnych providerov, ak myslis na zodpovednost kazdeho za seba.

ondro

Re:Blokování IP adres a bezpečnost
« Odpověď #25 kdy: 13. 05. 2013, 22:14:52 »
M.Prymek je priklad idealistickeho "socialistu". Siet bez spamu a vsetkeho toho "bordelu" jednoducho nejde postavit. Pardon ide ale o by to musel byt horsi teror a sliedenie ako v Cine, S. Koreji a v podbnych krajinach dokopy.

Az sa podari vyhubyt trestne ciny, obchod s drogami, znizit na nulu autohavarie, tak potom je sanca na internet podla tvojich predstav.

Spomen si na prvy spam v historii. Tu mas priklad, ze spamu sa nemas sancu zbavit. To iste plati aj pre ostatne. Padlo uz velmi vela dobrych argumentov a ty odmietas priznat, ze ta tvoja predstava je nerealna a trochu "mimo".
Kto by v tvojom svete rozhodoval,co je este regularne a co nie? Lebo toto je otazka, na ktoru by si narazil pri budovani tvojho idealneho internetu. Tam by si aj skoncil.

Re:Blokování IP adres a bezpečnost
« Odpověď #26 kdy: 13. 05. 2013, 22:30:07 »
M.Prymek je priklad idealistickeho "socialistu". Siet bez spamu a vsetkeho toho "bordelu" jednoducho nejde postavit. Pardon ide ale o by to musel byt horsi teror a sliedenie ako v Cine, S. Koreji a v podbnych krajinach dokopy.
No, možná si raději přečti, druhý odstavec tohodle http://forum.root.cz/index.php?topic=6494.msg62964#msg62964 pomalu a nahlas. Třeba změníš názor.

-----------
Ale zpátky k tématu: mám pocit, že nikdo pořádně nevíme, jak to vlastně mezi ASs reálně funguje, tak toho špekulování nechme ne? :)

Ať je to jak chce, minimálně by mělo jít zavést nějaké administrativní opatření, že každý AS si má hlídat svůj vnitřek - a s těma, kdo si ho nehlídají, se nikdo nebude bavit, nebo za nějakých ostřejších podmínek.

Pro ty, kdo si chtějí počíst:
http://www.rbeverly.net/research/papers/spoofer-sruti05.pdf
http://tools.ietf.org/html/draft-bi-savi-pisl-00

Tom Liberec

Re:Blokování IP adres a bezpečnost
« Odpověď #27 kdy: 13. 05. 2013, 23:00:37 »
Omlouvám se DbBg, moje poznámka o hlavičkach ukazuje pouze to že o tom nic nevím, navíc pouzivam slova jen jsou možná z doby analogové.
Diskuze se dostala do stadia, zda je mozny hodne bezpečný internet ( možná az ideálne, či idealisticky ). Jenomže obávám se a diskuze to take naznačuje,  že již jsme přímými účastníky. Na globální urovni totalitní staty žádají  kontrolu internetu v podstatě jeho vlastnictví státem. Na urovni našeho statu stat za peníze daňových poplatníků stát buduje bezpečný ( jak jsem se nyni dozvěděl udajne bezpečný    ) IT goverment.  Uživatele by mohla zajímat bezpečnost jeho routeru, připojení do banky, ........     Ještě jednu věc z hlediska demokracie svobody internetu ( jsou to navíc dva možná zasadne uplne odlisne vefibjqk s technickeho tak i lidsky společenskeho hlediska ) ,  nejde pouze o velkeho bratra jde totiž i o to jak se snaží Mirek Prýmek naznačit o základní demokratickou slušnost.  Tedy moje svoboda končí tam kde začíná svoboda druheho a necin jinému to co nechceš aby cinili tobě.    Ovšem je otázka zda to je technicky proveditelne a zda příliš mnoha lidem včetně části správy státu a dokonce celé západní civilizace současný stqv spíše nevyhovuje.  Zrovna dnes jwem resil podvrzenou falešnou práci na internetu, navic směrem k me velmi těžce postizene kamaradce graficce. Mám problem i s inzertnim portalem na kterém byl zveřejněn. Pokud budou internety dva budu na obou přes dva proviidery. - Nakonec v Německu si pry už taky jen tak nakoupíte anonymní ( nebo anonymne ) SIM kartu.  Tedy nic nepredstavitelneho.

Tom Liberec

Re:Blokování IP adres a bezpečnost
« Odpověď #28 kdy: 13. 05. 2013, 23:17:57 »
Ještě jedna věc k tomu nahrávání úplné cenzury  internetu a jiné nesvobody. Stát nebo EU to nebude řešit technicky ani demokraticky. Udělá to jako s pedofilnim pornem. Neschopen řešit a dohledat výrobu uvali omezeni na poptávku.  Tedy jak se zde pise v přímeru pistole budou zakazany nebot kulomety staty nebudou schopny všechny nalézt. - protoze koukat na fotku s čímkoli je společensky daleko nebezpečnější než prznit decka. Stát za extremistku prohlasil i ekonomku Svihlikovou ..... zatímco ECB a Fed skupují dluhopisy a kvantitativne uvolňují.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Blokování IP adres a bezpečnost
« Odpověď #29 kdy: 13. 05. 2013, 23:31:47 »
Jistě je možné takový protokol zkonstruovat. Problém je v tom, že v praxi ti vždycky vyjde, že na tom peerujícím drátu můžeš přijmout všechny zdrojové adresy, tj. takový protokol na nic není.
Jakto? Všechny koncové uzly a sítě mají jasně dané rozsahy. Jediné, co pak můžu dělat, je slučovat je dohromady. Vždycky a všude pak budu mít seznam rozsahů, které z konkrétního drátu můžou legitimně vypadnout. Stejně jako mám seznam, které cílové sítě jsou na kterém drátu.

Jo, o tom slučování to je. Tím slučováním se v praxi vytvoří něco jako tranzitivní uzávěr relace, tj. v podstatě všechny sítě, které se v internetu vyskytují.

Ta situace má samozřejmě několik rovin:

1. obecná: tranzitní provider by měl propouštět všechny routy přes tranzitivní uzávěr svých sousedů.

2. BGP umožňuje vytvářet směrovací politiky mezi peery, které nejsou šířeny dále, tj. neexistuje globální znalost, která by umožňovala spočítat odkud ty pakety vlastně mohou přicházet. Tranzitní provider může zvolit cestu, která se jinému může jevit jako suboptimální a tudíž nesprávná (neví totiž, jakými pravidly se soused řídí). (a to se ještě nezmiňuju o věcech jako je agregace, filtrování a pod.)

3. aby celé nespoofování fungovalo, tak je nutné, aby nespoofovací pravidla dodržovali všichni (díky tomu tranzitivnímu uzávěru z bodu 1.) Stačí jediný, kdo to nedodržuje a je to zbytečné.

4. existuje dokonce RFC, které říká, že AS by neměl generovat source IP, které mu nepatří, číslo jsem zapomněl, ale stejně se tím málokdo řídí.


Problém je imho příliš složitý na to, aby jej bylo nutné řešit - přináší totiž příliš mnoho práce a rizik na příliš málo přínosů.