eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipTP nie lubi GIMPa czy co?Re: TP nie lubi GIMPa czy co?
  • Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
    s.nask.pl!news.nask.org.pl!newshub.sdsu.edu!postnews.google.com!w39g2000prb.goo
    glegroups.com!not-for-mail
    From: r...@g...com
    Newsgroups: pl.internet.polip
    Subject: Re: TP nie lubi GIMPa czy co?
    Date: Fri, 2 Jan 2009 17:50:10 -0800 (PST)
    Organization: http://groups.google.com
    Lines: 138
    Message-ID: <b...@w...googlegroups.com>
    References: <2...@c...fuw.edu.pl> <gj92hi$l57$1@cougar.axelspringer.pl>
    <2...@c...fuw.edu.pl>
    <nphlz8jnbhgb$.dlg@falcon.sloth.hell.pl>
    <2...@c...fuw.edu.pl>
    <1...@f...sloth.hell.pl>
    <2...@c...fuw.edu.pl> <gjds3q$gci$2@portraits.wsisiz.edu.pl>
    <m...@m...localdomain>
    <gjjlg7$rii$1@portraits.wsisiz.edu.pl>
    <m...@m...localdomain>
    <gjl9j8$fmp$2@portraits.wsisiz.edu.pl> <2...@c...fuw.edu.pl>
    <gjm8cd$7tr$1@atlantis.news.neostrada.pl>
    NNTP-Posting-Host: 83.5.133.46
    Mime-Version: 1.0
    Content-Type: text/plain; charset=ISO-8859-2
    Content-Transfer-Encoding: quoted-printable
    X-Trace: posting.google.com 1230947410 20064 127.0.0.1 (3 Jan 2009 01:50:10 GMT)
    X-Complaints-To: g...@g...com
    NNTP-Posting-Date: Sat, 3 Jan 2009 01:50:10 +0000 (UTC)
    Complaints-To: g...@g...com
    Injection-Info: w39g2000prb.googlegroups.com; posting-host=83.5.133.46;
    posting-account=6fecFgoAAAC6HJt5aVjZGidg-amZ81tT
    User-Agent: G2/1.0
    X-HTTP-UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; [eburo
    v2.0]; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR
    3.0.04506.30; MS-RTC LM 8),gzip(gfe),gzip(gfe)
    Xref: news-archive.icm.edu.pl pl.internet.polip:88127
    [ ukryj nagłówki ]

    No dobra. Widzę, że emocje opadły...dobry moment, żebym coś
    powiedział.

    To ja odpowiadam za uruchomienie blackholingu w TP oraz to, czy i w
    jakim zakresie okaże się adekwatny do celów, które chcemy za jego
    pomocą osiągnąć. Tam gdzie wchodzi w grę bezpieczeństwo IT i sieci, to
    ja wspieram tych rewelacyjnych gości, którym nieustannie chce się
    zmieniać coś więcej, niż własne biurko. Nie podnoszę osobiście sesji
    BGP - na to jestem za leniwy i za głupi - ale jeżeli chcecie pytać o
    decyzje, ja jestem tym, do którego możecie sobie postrzelać.
    Pozwólcie, że nie odpiszę indywidualnie każdemu - sporo jest tych
    postów, ale postaram się wyjaśnić najważniejsze kwestie, o jakie
    pytaliście. Na ile oczywiście moje lenistwo pozwoli ;).

    Sprawa pierwsza - po co. Motywację mamy prostą - ja osobiście uważam,
    że TP powinna więcej w zakresie bezpieczeństwa swoim klientom
    oferować, ten punkt widzenia podziela już Zarząd i coraz więcej
    rozsądnych ludzi w TP. Pomysł ogólny jest taki, żeby poddać siebie i
    pacjenta (segmencik sieci, na który mamy wpływ) kuracji
    antybiotykowej, po to, żeby pogonić trochę złe bakterie (botnety na
    przykład), co jednocześnie powinno pomóc zdecydowanie na objawy
    choroby (spam, ddosy, phishing etc). Ktoś, kiedyś, spóźnił się ze
    szczepionką, dlatego leczyć trzeba - i to różnymi lekami, bo nie ma
    uniwersalnego antybiotyku na wszystko. Owszem, na pilne objawy (spam),
    możemy zaaplikować coś dedykowanego, ale zła to praktyka, zeby
    zajmować się tylko objawami, nie przyczynami. Pacjent na razie trochę
    marudzi, mówi, że nie za to płaci, żeby dostawać gorzkie pigułki, że
    nie możemy mu kazać zostać w łóżku, bo to ogranicza wolność i lekarz
    za rogiem mówi, że dobrze pomasować wystarczy - cóż, postaramy się
    przekonać go, że współpracując może pomóc, również sobie. Nie
    wszystkie rozwiązania będą miały charakter tak radykalny (z punktu
    widzenia abonentów), jak blackholing, ale też z powodów, które
    postaram się wyjaśnić poniżej nie wszystkie zostana wprowadzone od
    razu. No i nad szczepionkami też pracujemy.

    Teraz o blackholingu i innych pomysłach, które padały (dalsze losy
    portu 25 chociażby). W dużym telekomie zwykle jest tak, że pomysł,
    żeby mógł się wydarzyć musi spełniać łącznie przynajmniej następujące
    warunki: a) być wykonalny b) realizować przynajmniej częściowo ważne
    cele c) nie powodować irytacji klientów skutkującej znacznym churnem
    d) nie dawać klientom formalnych podstaw do zerwania umowy e) być
    opłacalny (czyli bardzo tani lub przychodowy) lub konieczny np.
    regulacyjnie. f) nie irytować regulatora (ponad miarę ;)

    Czy nasz blackholing spełnia np. warunek b)? Miał na celu odcięcie
    albo przynajmniej znaczące utrudnienie życia pewnej klasie botnetów,
    centralnie sterowanych, np. z IRCa. Dużo ludzie mówią o tym, że
    botnety oparte na ircu to zabytek, że pomijalna ilość etc. - my
    powiedzieliśmy "sprawdzam". Na razie przez czas trwania blackholingu
    smtp wychodzący spadł o ok. 40% i póki co trend jest spadkowy, na
    senderbase tpnet oscyluje wokół pozycji 4-5 zamiast 1-2. W przyszłym
    tygodniu powinno się ustabilizować, będą wnioski. Na razie wychodzi to
    trochę tak, jak z fast fluxem - ogólnie się przyjęło, że fajnie jest
    się tak maskować i kto tak się z C&C i contentem nie kryje ten łoś i
    lamer. Ergo, na pewno większość botnetów tego używa. Dżentelmeni z
    Arbora ostatnio się napięli i spróbowali w polu oszacować, jak jest -
    i pomylili się in minus tak dwa i pół raza w stosunku do własnych
    założeń. Na palcach dwóch rąk mogli botnety aktywne w danej chwili
    policzyć - mało coś, jak na wiodącą technologię.

    Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
    zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
    przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
    mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
    Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
    ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
    opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
    to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
    widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
    do bazy abonentów i blokowanych adresów. Po prostu klęska.

    Blokowanie portu 25 - super pomysł i na liście "to do", problem ma
    tylko szczególnie z warunkiem d, nieszczególnie w porównaniu do
    blackholingu może wyglądać c i f, no i jest lekiem z gatunku
    zwalczających objawy, nie antybiotykiem. Myślę, że w jakiejś wersji ma
    szansę pojawić się w tym roku - ale ze względu na literki parę rzeczy
    musi być zgrane ze sobą. Są jeszcze inne pomysły w tym jeden mój
    ulubiony - większość literek znakomicie, oprócz e niestety. No i
    drobny problem z a) - prosto z laba producentów jadą do nas pudła
    duże, szumiące, żywe, z migającymi diodami...i niestety wracają w
    workach. Pożyjemy, zobaczymy.

    Co do zasad działania naszego blackholingu - Karpio to dosyć dobrze
    opisał. Ja dodam, że adresy nie pochodzą z poszukiwania ircd lub
    podsłuchiwania komunikacji, jak się niektórym młodym gniewnym wydaje.
    Tak się nie wykrywa i nie analizuje botnetów, większości chyba nie
    muszę tego tłumaczyć. Współpracujemy z więcej niż jednym partnerem,
    nie opieramy się tylko na polskich źródłach - na ten temat więcej
    teraz nie będę mówił. System scoringu służy do tego, żeby obserwować
    zachowanie IP przez dłuższy okres czasu i wybierać, czy chcemy
    blokować wyłącznie najbardziej aktywne C&C, czy również mniej
    agresywne. Jest możliwość odblokowania każdego IP indywidualnie, w
    celu umożliwienia administratorowi dostępu i poprawy bezpieczeństwa.
    Rozwiązanie działa testowo - a testy mają na celu między innymi
    określenie kompromisu pomiędzy skutecznością i poziomem irytacji
    klientów, mam nadzieję, że uda nam się znaleźć złoty środek. Dobra
    wiadomość jest taka, że aktualnie pracujemy z najostrzejszejszą
    polityką, zła jest taka - że zablokowanym polskim ircom i gimpowi nie
    pomogła by nawet polityka najłagodniejsza z rozsądnych.

    To na razie tyle. Jeżeli kogoś dręczą jeszcze jakieś pytania - niech
    pyta. Tylko please - _zanim_ pobiegnie przeklejać na jakiegos bloga,
    jak niektórzy...młodzi gniewni...;)

    Pozdrawiam,

    Rafał Jaczyński
    Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów
    Teleinformatycznych, TP S.A.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: