Blokování IP adres a bezpečnost

[Mirek Prýmek]

Kazdy ISP musi minimalne filtrovat pakety z privatnich rozsahu. Chtel bych videt, jak by ho ty dve tri pravidla navic staly tak straslive penize a mely takovy dopad na spolehlivost...

[Reklama]

[Rhinox]

2Rhinox - rika ti neco point of failure? I kdyby to nestalo vubec nic, je to dalsi prvek kde se muze neco podelat.

Ano, je to jeden z (treba) petiset sitovejch prvku, ktere se muzou podelat. Jenze za prve, existuje take neco jako "redundancy" (rika to pro zmenu neco tobe?), a nake to filtrovani (alespon na vstupni traffic) snad ma kazdej ISP, jinak by pri ddos byl bezbrannej jak nemluvne...

[samalama]

2Rhinox - rika ti neco point of failure? I kdyby to nestalo vubec nic, je to dalsi prvek kde se muze neco podelat.

omg. jeden nas lokalny provider ma primitivnu infrastrukturu: koncovy zakaznik - metalika do switcha v pivnici bytovky (niekolko bytoviek tvori jeden C blok 192.168.X.Y - cize max. cca 250 klientov), zo switcha optika potiahnuta do serverovne, resp. "routrovne", kde kazdy blok siete obhospodaruje jeden router, potom nasleduje NAT a odtial cez hlavnu gw do inetu. dasli wifi ISP ma podobnu infrastukruru, s trochu viac privatnymi sietami. vsetko su to mikrotiky, Ubiquiti, freebsd,... kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!

[Mirek Prýmek]

kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!

Kdyz je tam NAT, tak by to bylo celkem zbytecny

[petík]

Já chci přidat bit do IPv6 protokolu, který bude nastaven providerem pro jím garantovaně nespoofovaný obsah.
Pakety s negarantovaným odesilatelem tam prostě dostanou 0, ale nebudou zahozeny.
V případě DDOS útoků bude možno omezit prostředky vyhrazené na negarantované packety a garantované packety tak pojedou dál.

Současně by se měl zavést anti DDOS protokol, který umožní napadenému počítači požádat providera útočící adresy o dočasné omezení provozu mezi útočníkem a cílem. Provider by po detekci nadstandarního provozu útočník - napadený provedl dočasné omezení a emailem informoval klienta.

[Reklama]

[samalama]

kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!

Kdyz je tam NAT, tak by to bylo celkem zbytecny

to mi je jasne. uviedol som to len ako priklad.

[student]

Kazdy ISP musi minimalne filtrovat pakety z privatnich rozsahu.

To je len teoria; v praxi som sa skor stretol s nefiltrovanim - dokonca raz davno sa mi v SSH logu objavilo par pokusov o pripojenie / utok (?) z 10-koveho privatneho rozsahu, comu som sa vtedy dost divil, ale teraz uz sa nedivim nicomu - vidim, ze niektore cesty su jednoduchsie a lacnejsie a preto su pouzivane.

Skus si pingnut z nejakeho serveru v serverovni par IP z privatnych rozsahov.
Napriklad ja mam vo vzdialenosti 6 hopov od jedneho serveru nejaku 192.168.0.10 (ide to cez verejnu siet).

je to asi tak stejny, jako kdybych mel barak vedle amazonky a stavel hraz na tom 10cm potucku co do ni tece.

Presne tak to vnimam aj ja.

[Tom Liberec]

Ohledně tématu bsch se rád zeptal co by to znamenalo pro používání TOR, Bitcoin,  Silk Road. Dost možná by si totiž každé s techto slov zasloužilo vlastní téma. Klidně přiznávám, že o tom vím houby, nicméně mi není jedno v jakém právním, technickém a společenském prostredi jsme nuceni existovat. Stát totiž nestíhá ani daleko základnejsi veci a je dokonce schopen navrhovat a zavádět do praxe zákony zcela odtržene od právního prostředí státu.

[Jenda]

Ohledně tématu bsch se rád zeptal co by to znamenalo pro používání TOR, Bitcoin,  Silk Road. Dost možná by si totiž každé s techto slov zasloužilo vlastní téma. Klidně přiznávám, že o tom vím houby, nicméně mi není jedno v jakém právním, technickém a společenském prostredi jsme nuceni existovat. Stát totiž nestíhá ani daleko základnejsi veci a je dokonce schopen navrhovat a zavádět do praxe zákony zcela odtržene od právního prostředí státu.

Nejspíš by nadšenci rozjeli paralelní internet, kde by se stále udržoval současný stav. Něco jako je třeba CzFree. Horší by bylo, kdyby stát zakázal provoz takových datových sítí obecně. Pak by asi část porušovala a část zatnula zuby. Obdobně jako je to u všech ostatních oblastí, do kterých se stát s*re a neměl by.

[Tom Liberec]

Naprosty souhlas.  Bohužel si takových věcí vetsina lidi vsimne az ve chvíli kdy ma stát ruku v jejich peněžence  nebo mu chytrá úřednice sedící  20 let na stejné netržní židli polopaticky vysvětluje svuj názor na spravedlnost, či morálku.

[j]

Kazdy ISP musi minimalne filtrovat pakety z privatnich rozsahu. Chtel bych videt, jak by ho ty dve tri pravidla navic staly tak straslive penize a mely takovy dopad na spolehlivost...

Musi? Vazne? lol ... trasa nejakych 10 hopu, mimo jine sit GTS ... uplne vpohode dorazi paket, kterej bude mit src v privatnim rozsahu ... nemluve o tom, ze ISP muze mit nekolik desitek rozsahu.

Ano, je to jeden z (treba) petiset sitovejch prvku, ktere se muzou podelat. Jenze za prve, existuje take neco jako "redundancy" (rika to pro zmenu neco tobe?), a nake to filtrovani (alespon na vstupni traffic) snad ma kazdej ISP, jinak by pri ddos byl bezbrannej jak nemluvne...

lol ... jak pomuze filtrovani proti DDOSu? Zeby naprosto nijak? Takze podle tebe, si ma ISP ty krabice (za penize samo) koupit radsi dve, nebo rovnou tri ... hmm ... i kdyby to mel bejt prastenej mikrotik ... tak to sme uz na peknych par desitkach tisic. Pokud ten provider bude trochu vetsi, tak se vpohode pohybujem v milionech.

omg. jeden nas lokalny provider ma primitivnu infrastrukturu: koncovy zakaznik - metalika do switcha v pivnici bytovky (niekolko bytoviek tvori jeden C blok 192.168.X.Y - cize max. cca 250 klientov), zo switcha optika potiahnuta do serverovne, resp. "routrovne", kde kazdy blok siete obhospodaruje jeden router, potom nasleduje NAT a odtial cez hlavnu gw do inetu. dasli wifi ISP ma podobnu infrastukruru, s trochu viac privatnymi sietami. vsetko su to mikrotiky, Ubiquiti, freebsd,... kde je problem tam drbnut anti spoof ochranu na niektory prvok siete?!

omg ... a proc by to delal? proc by mel utracet dalsi penize? Co mas za problem stim, si na zahrade postavit vlastni atomovej kryt? Sak to zadnej problem neni, ne?

[Rhinox]

lol ... jak pomuze filtrovani proti DDOSu? Zeby naprosto nijak? Takze podle tebe, si ma ISP ty krabice (za penize samo) koupit radsi dve, nebo rovnou tri ... hmm ... i kdyby to mel bejt prastenej mikrotik ... tak to sme uz na peknych par desitkach tisic. Pokud ten provider bude trochu vetsi, tak se vpohode pohybujem v milionech.

ddos se tady uz probiral, nevim proc to zas oteviras. Strucne a jasne: kdyz ti ddos-traffic saturuje tvou linku, filtrovani na tvem konci ti uz nepomuze nijak. Jenze prumernej ISP by mel mit svou konektivitu posazenou "trochu" vyse nez koncovej zakaznik, tudiz ma sanci ze pri ddos-u mensiho rozmeru jeste nebude mit downlink plnej. A to je ta chvile kdy mu filtrovani pomuze. Samozrejme, ddos rozmeru 100Gbps je uz neco jinyho, u toho i "velci hraci" budou mit problemy...

Pokud jde o redundanci kritickejch prvku, o to by se mel snazit kazdej seriozni ISP (nemluvim o nakym Frantovi z vesnice co ma mikrotik a pres wifi sdili konektivitu se sousedy). A samotne filtrovani se na cene cele infrastruktury ISP projevi mozna procentem, nebo dvema...

[Mirek Prýmek]

Musi? Vazne? lol ... trasa nejakych 10 hopu, mimo jine sit GTS ... uplne vpohode dorazi paket, kterej bude mit src v privatnim rozsahu ... nemluve o tom, ze ISP muze mit nekolik desitek rozsahu.

Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.

Jestli je běžný, že ISPs kašlou na best practices a nedělají nic, co nutně nemusí, tak to je pak zbytečná  debata, to máš pravdu.

viz
http://tools.ietf.org/html/rfc2827#page-5
http://tools.ietf.org/html/rfc3013 - 4.3 a 4.4
- oboje popisuje to, co jsem říkal, jako doporučený postup

Filtrujte přístupy na hranici sítě
Protože k provedení těchto útoků je nutná schopnost produkovat falešné IP adresy, měli by administrátoři takové falešné
adresy filtrovat na hranici sítě. Dokumenty IETF Request for Comments (RFC) RFC 2827, RFC 3704 a RFC 3013 popisují
současné nejlepší praktiky implementace této ochrany. Před rozhodnutím o tom, které změny uplatníte, je důležité znát
konfiguraci vaší sítě a požadavky na jednotlivé služby.

http://www.nic.cz/page/464/bezpecnostni-chyba-v-dns,-upgrade-doporucen/

[Mirek Prýmek]

A ještě jeden citát:

If properly implemented, RFC 2827 can reduce certain types of IP spoofing attacks against your network and can also prevent IP spoofing attacks (beyond the local range) from being launched against others from your site. If everyone worldwide implemented RFC 2827 filtering, the Internet would be a much safer place because hiding behind IP spoofing attacks would be nearly impossible for attackers.

http://www.ciscopress.com/articles/article.asp?p=174313&seqNum=3 - General Design Considerations for Secure Networks

Lidi z Cisca v tom asi taky mají "zcela zásadní hokej"

[Rhinox]

"...If everyone worldwide implemented RFC 2827 filtering, the Internet would be a much safer place because hiding behind IP spoofing attacks would be nearly impossible for attackers..."

Do kamene tesat, do kamene! Nebo jeste lepe psat do smlovy s kazdym ISP (zejmena koncovym prodejcem konektivity), jako podminku prideleni nakeho IP-rozsahu...