Blokování IP adres a bezpečnost

petík

Re:Blokování IP adres a bezpečnost
« Odpověď #75 kdy: 18. 05. 2013, 09:16:17 »
Ještě mě napadlo přirovnání k tomu spoofování:
chceme zakázat pistolku, která má anonymní kulky a necháme povolený kulomet, který je má podepsané.

Nakonec se k tomu filtrování stejně přistoupí, protože když tyto útoky budou čím dál častější a jeden odborník řekne: "Nedá se s tím nic dělat" a druhý řekne: "Je potřeba to detekovat u zdroje, bude to trvat 10 let a stát 1E9$" - tak hádejte, co si politici vyberou.

Nejlevnější (90%) řešení by stejně byl normální update do windows, který by odeslání spoofovaného packetu zabránil, připadně povolil jen po odkliknutí otravné obrazovky (s nabonzováním do centrály :-)  a omezil jejich počet. V Linuxu by to snad také neměl být zásadní problém - a aspoň nové routery by tak mohly být chráněny.

Stejně už existují systémy, které se šíří jako virus do klientských počítačů a tam umožňují podobné operace (ještě kdybych si tak vzpomněl, kde jsem to četl :-(


student

Re:Blokování IP adres a bezpečnost
« Odpověď #76 kdy: 19. 05. 2013, 01:22:05 »
Musi? Vazne? lol ... trasa nejakych 10 hopu, mimo jine sit GTS ... uplne vpohode dorazi paket, kterej bude mit src v privatnim rozsahu ... nemluve o tom, ze ISP muze mit nekolik desitek rozsahu.
Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.
ISP kasle na moralne povinnosti, ked mu to neprinesie zisk (v horsom pripade mu to zisk vezme).

Jestli je běžný, že ISPs kašlou na best practices a nedělají nic, co nutně nemusí, tak to je pak zbytečná  debata, to máš pravdu.
Oni na to ani nemusia uplne kaslat. Mozno im staci zvazit si plusy a minusy takejto ochrany:
Plusy:
+budeme sa citit moralne lepsi; ocistime internet od 1/1000000 zriedkavych utokov.
Minusy:
-treba kupit HW; sprava siete bude narocnejsia
-treba pravidelne inovovat HW (zvysovanie poctu zakaznikov, zavadzanie IPv6, ...)
-treba platit odbornika, co bude HW nastavovat
-vacsie riziko, ze sa nieco pokazi (HW failure), co znamena odliv zakaznikov az mozno poriadne pokuty (SLA)
-vacsie riziko, ze zakaznikom nebude nieco fungovat (multihoming), co znamena dalsi odliv zakaznikov
-riziko spomalenia siete, ked sa na inovaciu zabudne - zase mozny odliv zakaznikov

A teraz si vyberaj z pohladu managera.

Re:Blokování IP adres a bezpečnost
« Odpověď #77 kdy: 20. 05. 2013, 11:11:44 »
Zdravím,
také se přidám :)
Mirek Prýmek už dal odkazy na relevantní best practice(BP). Pokud by byla zavedena všude, bude na Internetu méně podvrhování zdrojové adresy.


Pokud nejsou BP zavedena všude, můžeme tvořit nové a nové protokoly, ale situaci to, si myslím, vůbec nepomůže... nový protokol by zavedla část z poskytvatelů z těch které následují BP... otázka je jak se stavět k těm co nový protokol nezavedli, nebo naopak jej využívají špatně... Odpojit je od peeringu? K tomu by, typuju, museli všichni přespat peeringové smlouvy, aby toto umožňovali.

Ale kam se vlastně posuneme novým protokolem?
Kdyby již nyní peeringové smlouvy vyžadovali implementaci BP u partnerů a zároveň vyžadovali, že partner dále peeruje pouze s tranzitními sítěmi které implementují BP, bylo by vše ok. Nový protokol by byl podle mne zbytečný. Pokud zavedu nový protokol a budu vyžadovat jeho implementaci u peeringového partnera v čem přesně je přínos?

RE: student kdy: 19. 05. 2013, 01:22:05
To jenom podporuje myšlenku, že nový protokol není schůdná možnost. Nový protokol=vyšší komplexnost=vyšší náklady SP.

Tom Liberec

Re:Blokování IP adres a bezpečnost
« Odpověď #78 kdy: 20. 05. 2013, 14:12:19 »
Na titulní stránce je vyjádření od NIX.cz, které domnívám se vystihuje podstatu problému. Vždy bude poměrně dost lidí, kteří budou žádat velmi levné připojení k internetu. - Pokud si nemohou přečíst své internetové "noviny" na svém oblíbeném portálu nic tak hrozného se neděje. Pokud se nedostanou ke svému e-mailu je to trochu horší. Pokud se nedostanou k internetovému bankovnictví je to horší a třeba to některé časem povede k zamyšlení zda nevyžadovat nasazení některých opatření u svého poskytovatele.

Teprve až bude otázka stát takto : " Kolik peněz nebo nepříjemností mně stojí levné internetové připojení ? "  Tak teprve tehdy se věci dají do pohybu. V podstatě pokud má někdo na seznamu firemní e-mail je na něm aby se konečně podíval co má napsaného ve smlouvě.

j

Re:Blokování IP adres a bezpečnost
« Odpověď #79 kdy: 20. 05. 2013, 20:20:26 »
Pokud jde o redundanci kritickejch prvku, o to by se mel snazit kazdej seriozni ISP (nemluvim o nakym Frantovi z vesnice co ma mikrotik a pres wifi sdili konektivitu se sousedy). A samotne filtrovani se na cene cele infrastruktury ISP projevi mozna procentem, nebo dvema...
Jiste, fitr stanice je kritickej prvek v siti ... kterej nikdo nanic nepotrebuje, takze proc by ho tam vubec daval? A proc vytahuju DDOS? Protoze nekteri, jako trebas ty, nedokazou pochopit, ze to filtrovani je naprosto knicemu. Nic jako "malej" dos neexistuje. Co myslis, jak asi tak velkej problem je najit rekneme 1 000 stroju v sitich 10ti nejvetsich ceskych provideru, ktere budou generovat takovy zcela trivialni utok, jako ze budou proste a jednoduse neustale refreshovat mainpage webu? A co myslis, kolik % webu i takto trivialni a velmy slaby utok, bez jakehokoli podvrhovani IPcek ustoji? 10%? A co myslis, jak velky problem je, takovy utok realizovat s 10 000 nebo 100 000 stroji? A ne, nepotrebuju na to ani budovat zadny botnet ... staci kdyz hodim na web trivialni script a reknu lidem "proste si to pustte". K cemu ze ti bude to, ze ISP utrati v globalu miliardy za filtrovani IPcek? ... voiala ... naprosto knicemu, jen se na tom pak vyrobcu tech krabek slusne napakuje. Presne totez, jako akce "nove lekarnicky do aut".

2Peti: Ty si vazne myslis, ze tux nebo widle ti jek tak pro plezir poslou pakety s podvrzenejam IPckama ? lol Jenze jaksi je to SW, a SW se da modifikovat. Navic i ty widle (kupodivu) umi routovat => musel bys z nich (a samo z tuxe a nakonec uplne ze vseho) vykuchat prave to routovani. On totiz paket se zmenenou IP umi odeslat i kazdy krabkorouter za pak stovaku.

...
Presne tak, stejne jako kazdy podnikatel - potrebuju to? Prinese mi to neco? Vydela mi to neco? ... vzdy je odpoved NE. Mimochodem, pro pobaveni, jedno z mnoha RFC kuprikladu  rika, ze IP adresa, by mela mit reverz. Tim spis, pokud na ni bezi nejaky server ... mno a tak si vezmenez nejvetsi ceske vydavatelstvi IT literatury ... (kde se mimo jine podobnyma vecma jen hmezi) a ... prdlajs. Jejich mail srv (jeste nedavno) reverz nemel, a predstavoval se asi nejak "#$asdhaio3298cas" ... coz je taky popsano v RFC - ze v helo ma byt dnslike jmeno.

A ano, ja jim ty jejich maily sklidem poslu do /dev/null, ale je to moje rozhodnuti na mem serveru. Nemuzu po nikom dalsim chtit, aby delal totez - a to ani proto, ze by pak "internet byl lepsi".

Ok, tak mám asi zkreslené představy. Měl jsem za to, že ("morální") povinností ISP je dělat trochu víc než jenom vzít jeden drát, píchnout ho do routeru, vedle píchnout druhý drát a vyinkasovat prachy.
1) funguje to
2) trebas si predstav, ze ISP vyuziva privatni rozsahy jako management sit. Ten fitrbazmek by tudiz musel bejt nekde na hranici ... a jelikoz tech hranic je vic (v mem pripade pokud vim 3-4), tak by musel ty krabice mit 4(a dle vyse uvedeneho nazoru samo min 8, aby jeji vypadek neohrozil provoz).  A ted si predstav, ze ten "pidiISP" ma pripojku "smesny" Gbit ... filtrovat Gbit uz neni uplne zadek a rozhodne to neni krabicka za par tisicovek. Uroutovat Gbit bych si troufnul se svym PC, ale s filtrovanim by to myslis slo do pekny zadele. Rekneme, ze ten ISP ma +- 1k klientu. A rekneme ze ta jedna "krabka" bude stat 200k (podotykam, ze tolik stoji lepsejsi "blbej" switch). 4 krabky za 800k (nebo 8 krabek za 1M6) ... to vychazi na kazdyho zakose +- litr az dva. To se nezda jako moc .. jenze pri marzi rekneme 200Kc/zakaznik .... je to jeho rocni net ... a to uz je zcela mimo realitu. Pokud pujdem na desetinu, tak se dostaneme na cenu HW nekde kolem 80k ... deleno 4ma ... a za to se neda poridit vpostatne nic, co by zvladlo Gbit filtrovat.


Re:Blokování IP adres a bezpečnost
« Odpověď #80 kdy: 20. 05. 2013, 21:04:30 »
Presne tak, stejne jako kazdy podnikatel - potrebuju to? Prinese mi to neco? Vydela mi to neco? ... vzdy je odpoved NE.
Je spousta firem, které investují do věcí, které samy o sobě "nic nepřínáší". Říká se tomu social responsibility. Když se to umí prodat, má to i nějaký finanční efekt.

a jelikoz tech hranic je vic (v mem pripade pokud vim 3-4), tak by musel ty krabice mit 4(a dle vyse uvedeneho nazoru samo min 8, aby jeji vypadek neohrozil provoz).  A ted si predstav, ze ten "pidiISP" ma pripojku "smesny" Gbit ...
Asi připomenu, co jsem už naťukl: docela běžně ISPs (i "malí" - spíš bych si tipl, že převážně ti) blokují odchozí provoz na port 25. Ještě běžněji dělají NAT. A pokud vím, mají různě po cestě všelijaké routry (jak už tady někdo psal, jeden router na barák apod.), které můžou dělat totéž na menších tocích.

Neznám prostředí ISPs, ale nejde mi do hlavy, že by to bylo tak dramatický, jak to popisuješ.

Tom Liberec

Re:Blokování IP adres a bezpečnost
« Odpověď #81 kdy: 20. 05. 2013, 22:13:01 »
Ano, jde o náklady a obchod s těmito službami. Takže jde i o mne jako zákazníka. Tedy pokud já se dozvím, že můj provider se nefiltrováním podílel na např. chodu bootnetu a s toho důvodu se např.lidé nemohli dostat ke svému internetovému bankovnictví, zřejmě změním poskytovatele internetu !

Tedy, žádný nátlak od státu, žádné lékárničky. Prostě normální trh. Ovšem má to podstatný háček a to sice. Jak já se to a zda vůbec jako koncový zákazník dozvím? A kolik koncových zákazníků bude o takovou informaci stát, navíc je tu ve hře i otázka trestného činu pomluvy. Obráceně však zřejmě lze jen velmi těžko podat nějaký podnět k šetření na Český telekomunikační úřad.

Obecně je okolo poskytování internetu až příliš mnoho vakua ( neznalostí na straně koncových klientů ) a obávám se, že někteří provideři na to hřeší. Jednoduchý dotaz. Za jakých podmínek smí být vedeno připojení ke koncovému zákazníkovi volně po fasádě, bytového domu ve vlastnictví města, případně jakou linkou ?   

j

Re:Blokování IP adres a bezpečnost
« Odpověď #82 kdy: 20. 05. 2013, 23:01:52 »
Je spousta firem, které investují do věcí, které samy o sobě "nic nepřínáší". Říká se tomu social responsibility. Když se to umí prodat, má to i nějaký finanční efekt.
Ano, takove velmi rychle a brzo krachnou. Fakt by me zajimalo, jak zpenezis to, ze zakaznikum zvednes % nefunkcnosti sluzeb na netu.


Citace
Asi připomenu, co jsem už naťukl: docela běžně ISPs (i "malí" - spíš bych si tipl, že převážně ti) blokují odchozí provoz na port 25. Ještě běžněji dělají NAT. A pokud vím, mají různě po cestě všelijaké routry (jak už tady někdo psal, jeden router na barák apod.), které můžou dělat totéž na menších tocích.

Neznám prostředí ISPs, ale nejde mi do hlavy, že by to bylo tak dramatický, jak to popisuješ.

ISP blokujici porty 25 neni ISP ... ze ... to je tak nejakej franta z horni dolni co preprodava svejm 50ti spoluvesnicanum svoje DSL. A misto par krabek koupit par desitek krabek, a exponencielne tim zeslozitit administraci, pocet vypadku ... mno ... to jiste kazdyho potesi.

2Tom: A kdyz tvi sousede v siti budou zcela neanonymne dosovat tvoji banku a ta blokne celej rozsah, tak budes chtit, aby ISP filtroval ... i tebe, protoze priste, se toho DOSu muzes ucastnit trebas i ty? A japa asi tak TVUJ ISP ovlivni to, ze ja pouziju TVOJE IPcko? zeby ... presne ... naprosto ... nijak? Co myslis, jak je (trebas) slozity dostat neci mailserver na nektery pouzivanejsi blacklist? Lusknutim prstu.... proto to nikdo rozumnej nepouziva.
Navic to, ze nekomu nefunguje jeho sluzba (trebas ty bance) je proste vzdy a vyhradne jejich chyba. Je to naprosto stejny, jako kdyz market udela kampan na fullHD tv za 3k ... a ma v cely republice jednu ... a pak se strasne divi, kdyz tam nabehne 10k lidi a jeste se o to porvou ...
Bance prece nikdo nebrani v tom, zajistit si konektivitu k tvemu ISP naprimo ... pokud ti bude chtit poskytnout garantovane sluzby. Jenze to by se prozmenu nelibilo tobe ... kdybys tomu ISP nebo ty bance musel platit par desitek tisic mesicne.

Mimochodem, zjisti si, jak funguje ethernet a IP protokol ... neni tam nikde ani slovo o tom, ze by neco nekde nejak melo fungovat. Vzdy je tam jen informace, ze se sit/jednotlivy zarizeni/... budou snazit paket dorucit "jak nejlepe je to mozne". Pokud chces, aby ti nekdo zajistil zcela garantovanou sluzbu, obrat se trebas na FDDI.

Tom Liberec

Re:Blokování IP adres a bezpečnost
« Odpověď #83 kdy: 20. 05. 2013, 23:17:07 »
Osobně nemám problém. Mám tři na sobě nezávislá internetová připojení. Internetové bankovnictví potřebuji dvakrát měsíčně. A providerů je v Liberci dost na to abych si mohl jako koncový zákazník vybírat. I ke smlouvě mohu přistupovat jinak.

j

Re:Blokování IP adres a bezpečnost
« Odpověď #84 kdy: 20. 05. 2013, 23:29:11 »
Samo ze si muzes vybirat ... ale jak by se ti libilo, kdyby vsichni zdrazili na dvojnasobek, protoze si chteji koupit ty filtrovaci krabice ...

Uvedom si, ze narozdil od hlasu je net naprosto extremne konkurecni prostredi (samo, to holt taky znamena, ze v horni dolni se nevyplati provozovat cokoli nikomu ...), tudiz sou marze stlaceny na minimum. Konektivita jako takova nestoji prakticky vubec nic (a nemluvim o 1:bambilion). Takze proc by mel ISP utracet za neco, co stoji spoustu penez, kdyz zrychleni linky o rad bude stat setinu? Vem si, ze pri cene nekde na urovni 10k (linka s SLAckem v licencovanym pasmu) mi opakovane nabizej zrychleni linky (ktery nepotrebuju) na dvonasobek za tisicovku az dve ... jednoduse proto, ze ta konektivita nic nestoji, ve srovnani s tim HW, na kterym to jede (porizovaci cena spoje cca 1/4M).

Takze co myslis, co je pro tvyho ISP dulezitejsi ... tech par set/tisic  ... klientu, kteri chtej 100Mbit za 3kilca ... nebo ty, kterej chces resit nejakej virtualni problem nekoho naprosto ciziho? Co myslis, kolik % z tech "trikilacu" by melo pochopeni pro to, ze budou platit petikilo, aby nahodou zrovna od jejich providera ten jeden clovek s Mbitem uploadu negeneroval DOS s podvrzenejma IPckama?

Tom Liberec

Re:Blokování IP adres a bezpečnost
« Odpověď #85 kdy: 21. 05. 2013, 01:24:43 »
Pokud chce někdo bydlet v horní dolní a mít tam internet holt se bude muset starat trochu víc a víc to bude i stát. A bude na jeho zvážení zda se mu to vyplatí. Zároveň je otázkou zda ten kdo je poskytovatel může nebo by měl řešit co a proč chce zákazník. Domnívám se, že by se poskytovatel neměl stavět do role obránce nízkých cen připojení pro koncové zákazníky.

Pravdou však je, že je to možná velmi nafouknutý problém. Je dost možné, že Adam Golecký z NIXu brání vlastně pouze obchodní zájem své firmy, když navrhuje, propaguje používání filtrace podle BCP38. Nebo že nemá pravdu Rhinox : "...If everyone worldwide implemented RFC 2827 filtering, the Internet would be a much safer place because hiding behind IP spoofing attacks would be nearly impossible for attackers..."

Do kamene tesat, do kamene! Nebo jeste lepe psat do smlovy s kazdym ISP (zejmena koncovym prodejcem konektivity), jako podminku prideleni nakeho IP-rozsahu...

Jako spíše komix mi zatím přijdou takovéto apely, http://www.root.cz/clanky/role-uzivatelu-pri-boji-s-kybernetickymi-utoky/  na uživatele internetu. Většina lidí se nezamýšlí ani nad tím co sdílí za informace. Jde tedy o to, za co v budoucnosti budou koncoví uživatelé zodpovědní. Přesněji zda bude nějaký § který je bude zodpovědnými činit. Zatím pouze Anonymous vyzývají dotazem k poskytnutí počítače a připojení k DDOS útoku na státní správu, politické strany a banky.

Vyskytly se i názory a něco na nich může být, že poslední DDOS útoky byly takovým "bezpečnostním školením" a "promo" akcí právě prodejců bezpečnostních řešení nebo tréninkem na zcela jiný cíl.

petík

Re:Blokování IP adres a bezpečnost
« Odpověď #86 kdy: 21. 05. 2013, 08:31:08 »
V okamžiku, kdy na běžném internetu často nepojede elektronické bankovnictví a přístup na důležité weby -  vznikne poptávka zákazníků po řešení situace. A tito zákazníci si potom rádi připlatí za nějakou omezenou konektivitu na bezpečném kanálu - který bude mít na důležitých webech vyhrazenou kapacitu a bude pod stálým dohledem. Není potřeba mít gigabity - je potřeba, když nic nefunguje mít aspoň přístup 56k - je to výrazně cennější než 0.

Adam Golecký: " Pak je tu ještě jedna možnost: teoreticky by se všechny sítě používající filtraci podle BCP38 mohly domluvit a spojit se v NIXu do jedné VLAN. Pak by věděly, že v tomhle prostoru je bezpečněji."

j

Re:Blokování IP adres a bezpečnost
« Odpověď #87 kdy: 21. 05. 2013, 09:05:59 »
2petík: Sem vazne zvedav, jak oni donuti sve peery a pak predevsich peery tech peeru a jejich peery ... aby neco takovyho delali. Jiste, muzou se od nich odpojit ... a sitovat si sami mezi sebou.

A to vubec nemluvim o tom, ze sem tahas naprosty kravinium. Co si pamatuju, nikdy v historii nedoslo k tomu, ze by byla zahlcena konektivita nejakyho ISP. A pokud zbuchne server, muzes mit klidne 100Gbit optiku primo na ten server, bude ti to nanic.

Re:Blokování IP adres a bezpečnost
« Odpověď #88 kdy: 21. 05. 2013, 09:32:29 »
Reakce povolanějšího na j-ova tvrzení:
Citace
na hranicnich routerech veskery provoz k nam a od nas prochazi filtrem, ktery zahazuje to, co v danem smeru nema co delat. [...]  u kazdeho zakaznika (vsichni maji verejnou) je na MT filtr (generovany automatem), ktery od nej nepusti nic nez jemu pridelene IP [...] IMHO naklady zanedbatelne. A pokud by vsichni ISP filtrovali na hranicich sve site, bylo by o problem mene.

Reakce na j-em udávané náklady:
Citace
tak tohle je totalni nesmysl. Kazdej ISP ma nekde nejake zarizeni, kterym prochazi cely tok (alespon nejake casti jeho zakazniku) a na nem se dela accounting/omezovani toku, NAT apod. Do nej pridat par filtru uz nestoji nic. Rozumny ISP ma vlastni AS a filtrovat na BGP routerech toky od/k nadrizenych peeru neni IMHO problem.

https://ispforum.cz/viewtopic.php?f=51&t=12153

j

Re:Blokování IP adres a bezpečnost
« Odpověď #89 kdy: 21. 05. 2013, 10:23:05 »
Ja chci videt, jak ten mamlas (neb jinak se to napsat neda) na bgp routeru pozna, co mu od toho peera prave ma/nema chodit ... fakt to chci videt ...

Nemluve o tom, ze ten clovek absolutne vubec nema paru o tom, jakou zatez vygeneruje filtrovani nejakyho trafficu - kde se nebavime o Mbitech, ale Gbitech. Oni si totiz ISPcka ty krabice za miliony porizujou jen tak pro srandu ... nebo trebas v NIXu se switchuje taky jen tak zzadeke ... sak by se tam dal flanout prece router, a tech par stovek Gbit routovat, jeste pri tom filtrovat a NATovat ... nic to nestoji ...

A tudiz se k tomu dal nema smyslu vyjadrovat. Takovycho cloveka bych si do site nepustil.