-
31. Data: 2006-08-20 20:09:00
Temat: Re: Neostrada siedliskiem wirusów sieciowych
Od: G...@S...pro.onet.pl (Grzegorz Janoszka)
On Sun, 20 Aug 2006 15:20:27 +0200 I had a dream that robbo2k <r...@o...pl> wrote:
>Alez oczywiscie chcesz inne porty neo 128 kb/s za 500zl.
>Sa kraje w ktorych blokowanie portu 25 przez ISP jest OBOWIAZKOWE
Twój blok ogłosił niepodległość?
--
Grzegorz Janoszka
-
32. Data: 2006-08-20 20:34:24
Temat: Re: Neostrada siedliski em wirusów sieciowy ch
Od: Borg <b...@b...lan>
Tomek Kruk <f...@p...pl> wrote in
news:rpmge21s82tgg0gmq336nkas6f97ssk4fi@4ax.com:
> Sun, 20 Aug 2006 09:28:08 +0200, użyszkodnik Szymon Wyrembak <_@_.eu>
> napisał:
>
>> > > Dawanie każdemu "po publiku" czy sobie tego życzy czy nie to
>> > > zwyczajne marnotrawienie przestrzeni adresowej.
>> Ale upraszcza to bardzo ew. dochodzenie w razie nadużyć; bez tego
>> trzeba
>> by robić logi połączeń (bo zakładam, że druga strona nie sprawdzi
>> identem kto się kryje za tym natem).
>
> mam wrażenie że z jednorazowym uruchomieniem brandzlomatu stale
> logującego połaczenia (a konkretnie pakiety SYN i ewentualnie FIN z
> maskarady) jest mniej roboty jak z narzekającymi użyszkodnikami którym
> z powodu powieszenia niezabezpieczonej windy na publiku wiecznie coś
> dolega, zaś przy obecnych pojemnościach nośników danych (w domyśle
> płyt DVD) przechowywanie tych danych (przy okazji składowania innych
> logów) nie powinno być problemem
>
> dodać wypada kwestie że z punktu widzenia sieci obsługującej dajmy na
> to 200 klikaczo-surferów (takich mamy wiele w Polsce) znacznie
> efektywniej cenowo będzie wykupić symetryka + n x DSL dla WWW niż
> łacze "z prawdziwego zdarzenia" z klasą C
>
No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
Ja wlasnie mysle nad naklepaniem takiego programiku w C co by robil
human readable logs z flowow IP, tak zeby to za duzo miejsca nie zzeralo.
Narazie Linux. Puzniej BSD.
-
33. Data: 2006-08-20 21:07:45
Temat: Re: Neostrada siedliski em wirusów sieciowy ch
Od: icek <i...@p...onet.pl>
Borg napisał(a):
> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
>
> Ja wlasnie mysle nad naklepaniem takiego programiku w C co by robil
> human readable logs z flowow IP, tak zeby to za duzo miejsca nie zzeralo.
> Narazie Linux. Puzniej BSD.
bede mógł testować..
szukam czegoś takiego do logowania na Linuxie
ale znalezc nie moge :(
--
pozdros
icek
-
34. Data: 2006-08-20 21:51:50
Temat: Re: Neostrada siedliski em wirusów sieciowy ch
Od: Paweł Małachowski <p...@t...niewazne>
Borg wrote:
> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
Nawet bez payloadu, to chyba przesada. ;P
> Ja wlasnie mysle nad naklepaniem takiego programiku w C co by robil
> human readable logs z flowow IP, tak zeby to za duzo miejsca nie zzeralo.
> Narazie Linux. Puzniej BSD.
Human readable stoi w sprzeczności w minimalizacją zajętości miejsca. :>
Istnieje wiele aplikacji, które pozyskują dane z pcap, jądra (np. z pf-a
w BSD) lub eksportera flowów, którymi te dane można sensownie
poagregować po userach/czasie/usługach, zeskładować w plikach
binarnych (które rotujesz i palisz na płytki) lub bazie danych
i generować różnorodne raporty i wykresiki.
Ale robi się NTG. ;)
--
Paweł Małachowski
-
35. Data: 2006-08-20 22:33:33
Temat: Re: Neostrada siedliski em wirusów sieciowy ch
Od: Jakub Wartak <v...@4...pl>
Borg wrote:
> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
No dobra zakladamy ze jest NAT. Jak jest NAT to musi byc jakis
connection-tracking. Jezeli jest to w zasadzie mozna zalozyc ze kazde nowe
polaczenie TCP o fladze innej niz TCP_SYN bedzie dropniete. Wiec odpadaja
NULL|XMAS|FIN-skany itd.
Dwa: NAT ma pelno wad, i jakos nie wyobrazam sobie zeby jakikolwiek wiekszy
operator dawal prywatne IP, bo istnieja setki protokolow ktore z NATem zbyt
dobrze(czytac: wcale) nie wspolpracuja. NAT jest fajny dla
firm/organizacji.
Trzy: Logowanie wszystkiego to jakas mrzonka, o ile jeszcze logowanie
src_ip(przed natem), src_port(przed i po nacie), dst_port, dst_ip + czas
jest do zrealizowania, to jakos sobie nie wyobrazam technicznie zeby
jakikolwiek router agregujacy DSLAMy robil to na jakimkolwiek zadawalajacym
poziomie (ASIC ?)
Cztery: identd sie nie sprawdza bo malo ktora app. z tego korzysta ( chyba
juz tylko irc ? ).
Biorac teraz pod uwage cos takiego ze ma miejsce wlamanie z natowanego
komputera i projektant aplikacji sobie tylko zaloguje
$_SERVER['REMOTE_ADDR'] bez portu to takie cale logowanie mozna wyslac
do /dev/null.
Przyklad ?? Apache:
81.219.XXX.XX - - [21/Aug/2006:00:18:32 +0200] [...]
i gdzie tutaj src_port ?
--
Jakub Wartak
http://vnull.pcnet.com.pl/
-
36. Data: 2006-08-20 22:53:10
Temat: Re: [POLIP] Re: Neostrada siedliski em wirusów sieciowy ch
Od: Krzysztof Młynarski <k...@s...pl>
Borg napisał(a):
> Ja wlasnie mysle nad naklepaniem takiego programiku w C co by robil
> human readable logs z flowow IP, tak zeby to za duzo miejsca nie zzeralo.
> Narazie Linux. Puzniej BSD.
Coś jak Argus?:
<http://www.qosient.com/argus/>
-K.
-
37. Data: 2006-08-21 05:40:19
Temat: Re: Neostrada siedliskiem wirusów sieciowych
Od: robbo2k <r...@o...pl>
Grzegorz Janoszka napisał(a):
> On Sun, 20 Aug 2006 15:20:27 +0200 I had a dream that robbo2k <r...@o...pl>
wrote:
>> Alez oczywiscie chcesz inne porty neo 128 kb/s za 500zl.
>> Sa kraje w ktorych blokowanie portu 25 przez ISP jest OBOWIAZKOWE
>
> Twój blok ogłosił niepodległość?
Nie mieszkam w bloku, ale ustawa o spamie zaklada taki obowiazek na ISP
klient ktory chce miec port 25 MUSI sobie zamowic taka usluge i ponosi
odpowiedzialnosc. DO wysylania poczty sluzy zupelnie inny port i
wiekszosc portali w tym kraju port 465 udostepnia wiec gdzie tu problem.
Kraj ten jest piekny i lezy w Ameryce co by nie mowic jest bardziej
cywilizowany niz Polska. Przerabiali ten sam problem co u nas wyciecie
portu 25 przez samych ISP powoduje ze userzy choc im port 25 nie
potrzebny to i tak sie przeniosa do jednego ktory sie wylamie z umowy
miedzy ISP, stad ustawa.
>
-
38. Data: 2006-08-21 05:45:17
Temat: Re: Neostrada siedliski em wirusów sieciowy ch
Od: robbo2k <r...@o...pl>
Jakub Wartak napisał(a):
> Dwa: NAT ma pelno wad, i jakos nie wyobrazam sobie zeby jakikolwiek wiekszy
> operator dawal prywatne IP, bo istnieja setki protokolow ktore z NATem zbyt
> dobrze(czytac: wcale) nie wspolpracuja. NAT jest fajny dla
> firm/organizacji.
Przyklady ? Wiem wiem emule :) Przejscie do NATa jest banalne
obnizyc cene neo o 25% o ile user stanie za NATem w tym ograniczenia
portow w imie bezpieczenstwa. Nie pojda na to ?
>
> Biorac teraz pod uwage cos takiego ze ma miejsce wlamanie z natowanego
> komputera i projektant aplikacji sobie tylko zaloguje
> $_SERVER['REMOTE_ADDR'] bez portu to takie cale logowanie mozna wyslac
> do /dev/null.
>
> Przyklad ?? Apache:
> 81.219.XXX.XX - - [21/Aug/2006:00:18:32 +0200] [...]
> i gdzie tutaj src_port ?
A na grzyba ci port skoro w moich logach wiem ze to 10.13.16.15 chcial
pomacac 82.219.xxx.xx
>
-
39. Data: 2006-08-21 06:18:58
Temat: Re: Neostrada siedliski em wirusów sieciowy ch
Od: Tomek Kruk <f...@p...pl>
Sun, 20 Aug 2006 20:34:24 +0000 (UTC), użyszkodnik Borg
<b...@b...lan> napisał:
> No i jestes w bledzie... Zakladasz ze w twojej sieci sa tylko lusersi..
> A co kiedy znajdzie sie jakis bystrzak co bedzie chcial cos napsuc?
> Logowanie samych TCP SYN/FIN to zamalo.. trzeba logowac *wszystko*
odnosze wrażenie że logi z NATa w których jest tylko SYN/FIN zawierają
więcej użytecznych informacji ułatwiających późniejsze śledztwo jak
wystawienie gostka na publicznym adresie IP
-
40. Data: 2006-08-21 06:32:12
Temat: Re: Neostrada siedliskiem wirusów sieciowych
Od: Tomek Kruk <f...@p...pl>
Sun, 20 Aug 2006 15:13:38 +0000 (UTC), użyszkodnik Tomasz Paszkowski
<t...@o...pl> napisał:
> > z powodu powieszenia niezabezpieczonej windy na publiku wiecznie coś
> > dolega, zaś przy obecnych pojemnościach nośników danych (w domyśle
> > płyt DVD) przechowywanie tych danych (przy okazji składowania innych
> > logów) nie powinno być problemem
> Dla 1,5 mln użytkowników neostrady to nie będzie problemem ?
ciekawostka przyrodnicza, przy 10 milionach linii telefonicznych
wychoidzi że na co 7 linii jest zamountowana neostrada, wliczamy
oczywiście ISDNy liczone podwójnie (czyli na za 3 linii ISDN jest
neostrada), grube ISDNy liczone x30 (4.5 neostrady per dostęp)
a wracając do tematu przewodniego wątku nie widze osobiście powodu
żeby duży operator był w jakikolwiek sposób traktowany ulgowo w
jakiejkolwiek kwestii. Ma miliony klientów to ma miliardy dochodów
więc niech z tych miliardów pokrywa koszty prowadzenia działalności i
obsługuje klientów na poziomie nie gorszym jak sieć blokowa w której
wszystko mozna załatwić od ręki u jednej osoby.
do góry
![Nowe mieszkania: czy mniejsze rynki to niższe ceny? [© pressfoto na Freepik]](https://s3.egospodarka.pl/grafika2/mieszkania-od-deweloperow/Nowe-mieszkania-czy-mniejsze-rynki-to-nizsze-ceny-263281-50x33crop.jpg "Nowe mieszkania: czy mniejsze rynki to niższe ceny? [© pressfoto na Freepik]")
Nowe mieszkania: czy mniejsze rynki to niższe ceny?
