-
51. Data: 2006-08-21 12:13:37
Temat: Re: [POLIP] Re: Neostrada siedliskiem wirusów sieciowych
Od: Krzysztof Młynarski <k...@s...pl>
robbo2k napisał(a):
> on the provider's network. Use of port 25 by end-users should be
> permitted on an as-needed
Słowem nie jest to wielka blokada, skoro jest "permitted on an as-needed
basis". Już bałem się, że chodzi o kraj faszyzujący, w którym klient ma
prawo zapłacić za łącze i cieszyć się, że ISP w swej łaskawości pozwala
mu na ruch na porcie 80/TCP do wybranych lokalizacji. ;-)
-K.
-
52. Data: 2006-08-21 12:14:32
Temat: Re: [POLIP] Re: Neostrada siedliskiem wirusów sieciowych
Od: Krzysztof Młynarski <k...@s...pl>
robbo2k napisał(a):
>>> Przerabiali ten sam problem co u nas wyciecie portu 25 przez samych
>>> ISP powoduje ze userzy choc im port 25 nie potrzebny to i tak sie
>>> przeniosa do jednego ktory sie wylamie z umowy miedzy ISP, stad ustawa.
>>
>> Sorry, ale to jest jakiś nonsens.
>
> Nonsens to serwery pocztowe na neostradzie
Powiedz to biedakowi, który ma środki tylko na Neo 128, a jest
paranoikiem i chce mieć swoją pocztę u siebie - bo lubi.
-K.
-
53. Data: 2006-08-21 12:45:10
Temat: Re: [POLIP] Re: Neostrada siedliskiem wirusów sieciowych
Od: Paweł Małachowski <p...@t...niewazne>
Krzysztof Młynarski wrote:
>> Nonsens to serwery pocztowe na neostradzie
>
> Powiedz to biedakowi, który ma środki tylko na Neo 128, a jest
> paranoikiem i chce mieć swoją pocztę u siebie - bo lubi.
A ja chcę mieć sejf, a stać mnie tylko na pudełka.
Paranoja kosztuje.
NMSP,
--
Paweł Małachowski
-
54. Data: 2006-08-21 13:14:29
Temat: Re: [POLIP] Re: Neostrada siedliskiem wirusów sieciowych
Od: robbo2k <r...@o...pl>
Krzysztof Młynarski napisał(a):
> robbo2k napisał(a):
>
>>>> Przerabiali ten sam problem co u nas wyciecie portu 25 przez samych
>>>> ISP powoduje ze userzy choc im port 25 nie potrzebny to i tak sie
>>>> przeniosa do jednego ktory sie wylamie z umowy miedzy ISP, stad
>>>> ustawa.
>>>
>>> Sorry, ale to jest jakiś nonsens.
>>
>> Nonsens to serwery pocztowe na neostradzie
>
> Powiedz to biedakowi, który ma środki tylko na Neo 128, a jest
> paranoikiem i chce mieć swoją pocztę u siebie - bo lubi.
Czy mialbys pretensje do goscia ktora zabil ci dziecko starym rupciem
i ma tlumaczenie ze "nie stac mnie na badanie techniczne i serwisowanie
i jezdze trupem ktory mi sie rozlecial".
-
55. Data: 2006-08-21 14:13:23
Temat: Re: [POLIP] Re: Neostrada siedliskiem wirusów sieciowych
Od: Krzysztof Młynarski <k...@s...pl>
robbo2k napisał(a):
>> Powiedz to biedakowi, który ma środki tylko na Neo 128, a jest
>> paranoikiem i chce mieć swoją pocztę u siebie - bo lubi.
>
> Czy mialbys pretensje do goscia ktora zabil ci dziecko starym rupciem
> i ma tlumaczenie ze "nie stac mnie na badanie techniczne i serwisowanie
> i jezdze trupem ktory mi sie rozlecial".
Z definicji jeżeli nie stać go na badanie, to nie jeździ, gdyż w
przeciwnym przypadku pierwszy napotkany patrol policji zabierze mu dowód
rejestracyjny i auto. Słowem - pudło.
-K.
-
56. Data: 2006-08-21 16:12:45
Temat: Re: [POLIP] Re: Neostrada siedliski em wirusów sieciowy ch
Od: Borg <b...@b...lan>
Krzysztof Młynarski <k...@s...pl> wrote in
news:mailman.193.1156114405.460.polip@man.lodz.pl:
> http://www.qosient.com/argus/
Arguz wydaje mi sie troche przerosniety jak na potrzeby malej
sieci. (Ale moze sie mysle, przydaly by sie przykladowe raporty
i info jak to wyglada w praktyce).
Wszystko co potrzebuje to logi rotowane co 24 lub 1 godz:
(W zaleznosci od ruchu)
time proto sip[:sport] dip[:port] [nip[:nport]]
Payload nie jest mi potrzebny.. Oczewiscie logowanie jest per flow,
czyli pierwszy pakiet aka "inicjujacy", potem w zaleznosci czy to jest
UDP/TCP/ICMP/GRE/... to mamy odpowiedni czas zycia flowu..
np 30 secs na UDP i 300 na TCP (wszysko konfigurowalne)
Mysle ze cos takiego wystarczy do okreslenia usera.
-
57. Data: 2006-08-21 16:38:24
Temat: Re: [POLIP] Re: Neostrada siedliski em wirusów sieciowy ch
Od: Krzysztof Młynarski <k...@s...pl>
Borg napisał(a):
> Payload nie jest mi potrzebny.. Oczewiscie logowanie jest per flow,
> czyli pierwszy pakiet aka "inicjujacy", potem w zaleznosci czy to jest
> UDP/TCP/ICMP/GRE/... to mamy odpowiedni czas zycia flowu..
> np 30 secs na UDP i 300 na TCP (wszysko konfigurowalne)
>
Dokładnie. Ja po prostu zastanawiam się, czy nie warto najpierw
przetestować takiego Argusa, zanim zaczniesz katować się pisaniem czegoś
od zera. Może się okazać, że zaoszczędzisz nieco czasu.
-K.
-
58. Data: 2006-08-21 18:53:07
Temat: Re: Neostrada siedliski em wirusów sieciowy ch
Od: Borg <b...@b...lan>
Jakub Wartak <v...@4...pl> wrote in
news:ecao0l$t08$1@atlantis.news.tpi.pl:
> Borg wrote:
>
>> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
>> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
>> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
>
> No dobra zakladamy ze jest NAT. Jak jest NAT to musi byc jakis
> connection-tracking. Jezeli jest to w zasadzie mozna zalozyc ze kazde
> nowe polaczenie TCP o fladze innej niz TCP_SYN bedzie dropniete. Wiec
> odpadaja NULL|XMAS|FIN-skany itd.
>
Ale dlaczego chcesz to dropowac? Niech zaloguje.. to tylko jeden maly wpis
a potem mozna przegladac np po fakcie co ktos kombinowal.
> Dwa: NAT ma pelno wad, i jakos nie wyobrazam sobie zeby jakikolwiek
> wiekszy operator dawal prywatne IP, bo istnieja setki protokolow ktore z
> NATem zbyt dobrze(czytac: wcale) nie wspolpracuja. NAT jest fajny dla
> firm/organizacji.
>
Nawet wogole nie jest fajny. Niema zalet, poza jedna ze oszczedzamy adresy
IP. To wszystko. Jaka roznica czy organizacja ma statefull firewall dla
userow czy NAT? Zadna.. A widzac jak rozdaja IPv6 to ciemnosc widze.. ot
co.. Ale robi sie juz NTG ;)
stare ale jare: http://www.benet.uu3.net/fun/rfc1606.txt
Ciekawe ze juz wtedy gosc mial wizje.. prorok jak dla mnie ;)
> Trzy: Logowanie wszystkiego to jakas mrzonka, o ile jeszcze logowanie
> src_ip(przed natem), src_port(przed i po nacie), dst_port, dst_ip + czas
> jest do zrealizowania, to jakos sobie nie wyobrazam technicznie zeby
> jakikolwiek router agregujacy DSLAMy robil to na jakimkolwiek
> zadawalajacym poziomie (ASIC ?)
>
Ale po co operator dajacy publiczne IP ma cos logowac? Wiem wiem.. jeszcze
jest sprawa spoof'a.. Bo np trzeba udowodnic klientowi ze faktycznie to on
wysylal.. Ale to juz inna bajka..
> Cztery: identd sie nie sprawdza bo malo ktora app. z tego korzysta (
> chyba juz tylko irc ? ).
>
Zalezy od ustawien.. telnetd potrafi sprawdzac.. sshd.. ftpd ;) Ale
faktycznie w dzisiejszych czasach przydaje sie tylko do IRCa :)
> Biorac teraz pod uwage cos takiego ze ma miejsce wlamanie z natowanego
> komputera i projektant aplikacji sobie tylko zaloguje
> $_SERVER['REMOTE_ADDR'] bez portu to takie cale logowanie mozna wyslac
> do /dev/null.
>
> Przyklad ?? Apache:
> 81.219.XXX.XX - - [21/Aug/2006:00:18:32 +0200] [...]
> i gdzie tutaj src_port ?
>
No i tylko po dacie mozna jechac... Jesli gosc nie przedstawia logow w
ktorych czas jest zsynchronizowany to na drzewo z takim logiem, bo nie
przedstawia zadnej wartosci. A my chronimy klienta puki na 99.99% dowody
nie beda wskazywac na niego.
-
59. Data: 2006-08-21 19:51:04
Temat: Re: [POLIP] Re: Neostrada siedliskiem wirusów sieciowych
Od: robbo2k <r...@o...pl>
Krzysztof Młynarski napisał(a):
> robbo2k napisał(a):
>
>>> Powiedz to biedakowi, który ma środki tylko na Neo 128, a jest
>>> paranoikiem i chce mieć swoją pocztę u siebie - bo lubi.
>>
>> Czy mialbys pretensje do goscia ktora zabil ci dziecko starym rupciem
>> i ma tlumaczenie ze "nie stac mnie na badanie techniczne i
>> serwisowanie i jezdze trupem ktory mi sie rozlecial".
>
> Z definicji jeżeli nie stać go na badanie, to nie jeździ, gdyż w
> przeciwnym przypadku pierwszy napotkany patrol policji zabierze mu dowód
> rejestracyjny i auto. Słowem - pudło.
Jesli nie stac go na lacze providerskie, pierwszy napotkany admin
odetnie mu port 25
-
60. Data: 2006-08-21 22:19:08
Temat: Re: [POLIP] Re: Neostrada siedliskiem wirusów sieciowych
Od: Krzysztof Halasa <k...@p...waw.pl>
Krzysztof Młynarski <k...@s...pl> writes:
> Słowem nie jest to wielka blokada, skoro jest "permitted on an
> as-needed basis". Już bałem się, że chodzi o kraj faszyzujący, w
> którym klient ma prawo zapłacić za łącze i cieszyć się, że ISP w swej
> łaskawości pozwala mu na ruch na porcie 80/TCP do wybranych
> lokalizacji. ;-)
A dodatkowo nikt na razie nie wykazal, ze takie cos zmienia sytuacje
na lepsze w widoczny sposob.
--
Krzysztof Halasa