Nie tak dawno temu pomagałem znajomej osobie z Bydgoszczy, od niedawna
używającej Neostrady, w reinstalacji i zabezpieczeniu systemu w domowym
komputerze (osoba ta, nie używając firewalla, złapała wirusa sieciowego od
razu po podłączeniu się do Neostrady). W ciągu ~2h od rozpoczęcia
pierwszego połączenia okazało się, że firewall zablokował ponad 4000
pakietów wysyłanych z kilkuset adresów IP. Wszystkie te adresy należały do
zawirusowanych komputerów użytkowników Neostrady, głównie z Bydgoszczy i
Wrocławia. Prawie wszystkie ataki były skierowane na port 445. Chwilami
ataki były tak silne, że pochłaniały całe pasmo downloadu (256kbit/s), a
działanie firewalla zabierało prawie wszystkie zasoby procesora.

Również używam łącza DSL, ale u innego operatora i tutaj próby ataków nie
zdarzają się najwyżej 2-3 razy w ciągu kilku godzin działania komputera,
poza tym bardzo rzadko wychodzą z sieci tego samego operatora.

Wielu moich znajomych (nie są to studenci informatyki ani nauk technicznych)
używa Neostrady, nieuaktualnianego Windows XP bez SP2, Internet Explorera,
Outlook Expressa i - co najgorsze - nie stosuje żadnego firewalla, myśląc,
że zwykły program antywirusowy wystarczy. Aż strach pomyśleć, co się może
gnieździć w ich komputerach (o wycieku adresów z czyjegoś programu
pocztowego już się kiedyś przekonałem w bardzo nieprzyjemny sposób).

Czy sytuacja z liczbą ataków wirusów sieciowych w Neostradzie wygląda _aż
tak_ źle w całym kraju, czy to może Bydgoszcz jest feralna?
TPSA ma to niestety w głębokim poważaniu, a od osoby, o której pisałem,
pracownicy punktu, gdzie nabyta została usługa, nie chcieli nawet przyjąć
skargi z dołączonym logiem z firewalla.

Dlaczego pakiety kierowane na porty charakterystyczne dla wirusów nie
mogłyby być po prostu blokowane przez TPSA w Neostradzie?

do góry

> Czy sytuacja z liczbą ataków wirusów sieciowych w Neostradzie wygląda _aż
> tak_ źle w całym kraju, czy to może Bydgoszcz jest feralna?

cała Polska gratuluje windzianym neostradowcom

zyga

do góry

> Dlaczego pakiety kierowane na porty charakterystyczne dla wirusów nie
> mogłyby być po prostu blokowane przez TPSA w Neostradzie?

a jakiez to porty sa charakterystyczne ? moze np. zablokowac 80 ?
operator to nie cerber, ma dostarczac lacze, a nie czuwac na uzyszkodnikami,
zeby sobie krzywdy nie zrobili;
kiedys korzystalem z kablowki, admin byl z czasow prl i uznal, ze poczte
mozna wysylac tylko przez jego smtp, zeby zapobiegac mailbombom; wynioslem
sie stamtad czym predzej, teraz mam neo, transfer 120 kB i nie narzekam

loksim

do góry

> Dlaczego pakiety kierowane na porty charakterystyczne dla wirusów nie
> mogłyby być po prostu blokowane przez TPSA w Neostradzie?

jednej sprawy nie rozumiem, TPSA jest gold parnerem Cisco, czy oni nie maja
czsami w ofercie jakichs PIXow IDSow i innych urzadzen ktore powinny takie
sprawy zalatwiac? czy raczej nie, bo po co?

Adam

do góry

Dnia 2006-08-19, o godzinie 18:28:56, użytkownik *Marcin Ciesielski*
napisał(a) w wiadomości: <news:46245601.NiQMzDFs0y@Marcin_Ciesielski>

> Czy sytuacja z liczbą ataków wirusów sieciowych w Neostradzie wygląda _aż
> tak_ źle w całym kraju, czy to może Bydgoszcz jest feralna?

Nigdy nie spotkałem się aż z takimi problemami, a Neostradę mam od 2,5 lat.
Owszem, jest całkiem sporo prób połączeń na port 445, ale nie obciąża to w
widoczny sposób łącza lub systemu.

> Dlaczego pakiety kierowane na porty charakterystyczne dla wirusów nie
> mogłyby być po prostu blokowane przez TPSA w Neostradzie?

Bo byłoby to głupie
Najpierw uznają za niebezpieczny port 445, a później każdy inny, po którym
leci najwięcej danych i tym sposobem zostanie jedynie "bezpieczny" port 80.
Poza tym ma czegoś takiego jak "porty charakterystyczne dla wirusów".
A ja nie po to płacę ciężkie pieniądze, żeby ktoś decydował za mnie, co
jest dla mnie lepsze.

--
Pozdrawiam
Pink

do góry

Date: Sat, 19 Aug 2006 18:28:56 +0200
From: Marcin Ciesielski

> Czy sytuacja z liczbą ataków wirusów sieciowych w Neostradzie wygląda
> _aż tak_ źle w całym kraju, czy to może Bydgoszcz jest feralna?

To jest problem na skalę światową. Zobacz, kto jest na pierwszym miejscu:
http://www.senderbase.org/
Ilość poczty w tym zestawieniu poczty jest *całkowita*, ale można się
domyślać, że większość z tego to wirusy i spam, co przekłada się również
na bezpośrednie ataki.

> TPSA ma to niestety w głębokim poważaniu, a od osoby, o której pisałem,
> pracownicy punktu, gdzie nabyta została usługa, nie chcieli nawet przyjąć
> skargi z dołączonym logiem z firewalla.

TPSA ma w głębokim poważaniu również fakt, że jest 9 na świecie ISP
z największą liczbą notorycznych spamerów:
http://www.spamhaus.org/statistics/networks.lasso

> Dlaczego pakiety kierowane na porty charakterystyczne dla wirusów nie
> mogłyby być po prostu blokowane przez TPSA w Neostradzie?

To już pytanie do TPSA. :/

Pozdrawiam,
R.

--
RangersBL: http://dnsbl.rangers.eu.org/ *temporarily down*
"I've always wanted to be an executioner, that's why I became a sysadmin."
-- Jim Howes at news.admin.net-abuse.email

do góry

Spinacz biurowy, Marcin Ciesielski <m...@o...nospam.pl>!

> Dlaczego pakiety kierowane na porty charakterystyczne dla wirusów nie
> mogłyby być po prostu blokowane przez TPSA w Neostradzie?

Nie wiem, jak to wygląda technicznie z ich urządzeniami, ale mogliby
zrobić tak, jak w Aster. Albo kupujesz publiczny adres IP i nikt ci
się nie wtrąca ani niczego nie filtruje, albo prywatny i jesteś za
NATem (oczywiście z identem) i dodatkowym firewallem, tak że nawet
pozostałe osoby z tej sieci nie mają do ciebie routingu.

Generalnie, patrząc na target, do którego jest skierowana Neostrada
(zmienne IP, limity, niski upload), skłaniałbym się do postawienia
kilku NATów i całkowitego wycięcia routingu ze wszystkiego spoza
tego NATa. Plus wycięcie SMTP i umożliwienie dostępu jedynie do
tepsianego SMTP z autoryzacją. Ja (i pewnie większość z tej grupy)
w życiu nie skorzystałbym z takiego łącza, albo ostatecznie zestawiłbym
sobie VPNa z czymś normalnym, ale znakomita większość użytkowników Neo
byłaby po prostu bezpieczniejsza - w obie strony, raz że nie syfiliby
za bardzo a dwa, że ten syf miałby do nich trudniejszy dostęp.

--
http://www.chmurka.net/ :: FidoNet 2:480/138 :: GG 1234 :: Grono 123
Licencja SWL nr SP5-25-0730 :: QTH Locator KO02MF :: GSM 514 710 213
Nie jesteś reprezentatywnym przypadkiem w czymkolwiek ;) (C) Bylinek
W prezencie dla spamerów: http://polish-939790584783.spampoison.com/

do góry

Spinacz biurowy, loksim <loksim4WON_SPAM@won_spampoczta.onet.lp>!

> kiedys korzystalem z kablowki, admin byl z czasow prl i uznal, ze poczte
> mozna wysylac tylko przez jego smtp, zeby zapobiegac mailbombom;

I dobrze. Większości to bez różnicy. Jakbym był na miejscu admina, to po
prostu wystarczyłoby przyjść, powiedzieć jak jest - że się znasz, że wiesz
o co chodzi, że nie rozsyłasz wirusów ani innych dziwnych rzeczy, i nie
byłoby problemu z włączeniem.

> wynioslem sie stamtad czym predzej,

Też bym się wyniósł. Inny target, po prostu. Neostrada jest dla klikaczy,
dla profesjonalnych klientów jest DSL.

--
http://www.chmurka.net/ :: FidoNet 2:480/138 :: GG 1234 :: Grono 123
Licencja SWL nr SP5-25-0730 :: QTH Locator KO02MF :: GSM 514 710 213
Kazdy kiedys upada, ale nie podnosza sie tylko przegrani. Case@apcoh
W prezencie dla spamerów: http://polish-792840261598.spampoison.com/

do góry

> Ja (i pewnie większość z tej grupy)
> w życiu nie skorzystałbym z takiego łącza

problem w tym, ze nie wszedzie zadziala dsl, a neo na 128 sie zsynchronizuje
nawet na skraju lasu i na srodku pastwiska

loksim

do góry

Dnia 2006-08-19, o godzinie 22:01:06, użytkownik *loksim* napisał(a) w
wiadomości: <news:ec7qm1$c9f$1@news.onet.pl>

>> Ja (i pewnie większość z tej grupy)
>> w życiu nie skorzystałbym z takiego łącza
>
> problem w tym, ze nie wszedzie zadziala dsl, a neo na 128 sie zsynchronizuje
> nawet na skraju lasu i na srodku pastwiska

A to dlaczego?
Przecież to jest dokładnie ta sama technologia i jeżeli Neo 128 będzie
działać to i najwolniejsza opcja iDSL prawie na pewno też pójdzie.

--
Pozdrawiam
Pink

do góry