-
Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!new
s.nask.pl!news.nask.org.pl!newshub.sdsu.edu!postnews.google.com!w39g2000prb.goo
glegroups.com!not-for-mail
From: r...@g...com
Newsgroups: pl.internet.polip
Subject: Re: TP nie lubi GIMPa czy co?
Date: Fri, 2 Jan 2009 17:50:10 -0800 (PST)
Organization: http://groups.google.com
Lines: 138
Message-ID: <b...@w...googlegroups.com>
References: <2...@c...fuw.edu.pl> <gj92hi$l57$1@cougar.axelspringer.pl>
<2...@c...fuw.edu.pl>
<nphlz8jnbhgb$.dlg@falcon.sloth.hell.pl>
<2...@c...fuw.edu.pl>
<1...@f...sloth.hell.pl>
<2...@c...fuw.edu.pl> <gjds3q$gci$2@portraits.wsisiz.edu.pl>
<m...@m...localdomain>
<gjjlg7$rii$1@portraits.wsisiz.edu.pl>
<m...@m...localdomain>
<gjl9j8$fmp$2@portraits.wsisiz.edu.pl> <2...@c...fuw.edu.pl>
<gjm8cd$7tr$1@atlantis.news.neostrada.pl>
NNTP-Posting-Host: 83.5.133.46
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1230947410 20064 127.0.0.1 (3 Jan 2009 01:50:10 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Sat, 3 Jan 2009 01:50:10 +0000 (UTC)
Complaints-To: g...@g...com
Injection-Info: w39g2000prb.googlegroups.com; posting-host=83.5.133.46;
posting-account=6fecFgoAAAC6HJt5aVjZGidg-amZ81tT
User-Agent: G2/1.0
X-HTTP-UserAgent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; [eburo
v2.0]; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR
3.0.04506.30; MS-RTC LM 8),gzip(gfe),gzip(gfe)
Xref: news-archive.icm.edu.pl pl.internet.polip:88127
[ ukryj nagłówki ]No dobra. Widzę, że emocje opadły...dobry moment, żebym coś
powiedział.
To ja odpowiadam za uruchomienie blackholingu w TP oraz to, czy i w
jakim zakresie okaże się adekwatny do celów, które chcemy za jego
pomocą osiągnąć. Tam gdzie wchodzi w grę bezpieczeństwo IT i sieci, to
ja wspieram tych rewelacyjnych gości, którym nieustannie chce się
zmieniać coś więcej, niż własne biurko. Nie podnoszę osobiście sesji
BGP - na to jestem za leniwy i za głupi - ale jeżeli chcecie pytać o
decyzje, ja jestem tym, do którego możecie sobie postrzelać.
Pozwólcie, że nie odpiszę indywidualnie każdemu - sporo jest tych
postów, ale postaram się wyjaśnić najważniejsze kwestie, o jakie
pytaliście. Na ile oczywiście moje lenistwo pozwoli ;).
Sprawa pierwsza - po co. Motywację mamy prostą - ja osobiście uważam,
że TP powinna więcej w zakresie bezpieczeństwa swoim klientom
oferować, ten punkt widzenia podziela już Zarząd i coraz więcej
rozsądnych ludzi w TP. Pomysł ogólny jest taki, żeby poddać siebie i
pacjenta (segmencik sieci, na który mamy wpływ) kuracji
antybiotykowej, po to, żeby pogonić trochę złe bakterie (botnety na
przykład), co jednocześnie powinno pomóc zdecydowanie na objawy
choroby (spam, ddosy, phishing etc). Ktoś, kiedyś, spóźnił się ze
szczepionką, dlatego leczyć trzeba - i to różnymi lekami, bo nie ma
uniwersalnego antybiotyku na wszystko. Owszem, na pilne objawy (spam),
możemy zaaplikować coś dedykowanego, ale zła to praktyka, zeby
zajmować się tylko objawami, nie przyczynami. Pacjent na razie trochę
marudzi, mówi, że nie za to płaci, żeby dostawać gorzkie pigułki, że
nie możemy mu kazać zostać w łóżku, bo to ogranicza wolność i lekarz
za rogiem mówi, że dobrze pomasować wystarczy - cóż, postaramy się
przekonać go, że współpracując może pomóc, również sobie. Nie
wszystkie rozwiązania będą miały charakter tak radykalny (z punktu
widzenia abonentów), jak blackholing, ale też z powodów, które
postaram się wyjaśnić poniżej nie wszystkie zostana wprowadzone od
razu. No i nad szczepionkami też pracujemy.
Teraz o blackholingu i innych pomysłach, które padały (dalsze losy
portu 25 chociażby). W dużym telekomie zwykle jest tak, że pomysł,
żeby mógł się wydarzyć musi spełniać łącznie przynajmniej następujące
warunki: a) być wykonalny b) realizować przynajmniej częściowo ważne
cele c) nie powodować irytacji klientów skutkującej znacznym churnem
d) nie dawać klientom formalnych podstaw do zerwania umowy e) być
opłacalny (czyli bardzo tani lub przychodowy) lub konieczny np.
regulacyjnie. f) nie irytować regulatora (ponad miarę ;)
Czy nasz blackholing spełnia np. warunek b)? Miał na celu odcięcie
albo przynajmniej znaczące utrudnienie życia pewnej klasie botnetów,
centralnie sterowanych, np. z IRCa. Dużo ludzie mówią o tym, że
botnety oparte na ircu to zabytek, że pomijalna ilość etc. - my
powiedzieliśmy "sprawdzam". Na razie przez czas trwania blackholingu
smtp wychodzący spadł o ok. 40% i póki co trend jest spadkowy, na
senderbase tpnet oscyluje wokół pozycji 4-5 zamiast 1-2. W przyszłym
tygodniu powinno się ustabilizować, będą wnioski. Na razie wychodzi to
trochę tak, jak z fast fluxem - ogólnie się przyjęło, że fajnie jest
się tak maskować i kto tak się z C&C i contentem nie kryje ten łoś i
lamer. Ergo, na pewno większość botnetów tego używa. Dżentelmeni z
Arbora ostatnio się napięli i spróbowali w polu oszacować, jak jest -
i pomylili się in minus tak dwa i pół raza w stosunku do własnych
założeń. Na palcach dwóch rąk mogli botnety aktywne w danej chwili
policzyć - mało coś, jak na wiodącą technologię.
Weźmy warunek c - wieść gminna niesie, że chcieli dobrze, wyszło jak
zwykle. No to popatrzmy - blokujemy aktualnie ponad 6000 IP. W
przeciągu dwóch tygodni funcjonowania zostaliśmy dosłownie zawaleni
mailami z pretensjami, w liczbie łącznie bodajże kilkunastu sztuk.
Zdecydowana większość zgłasza problem z irc i nieszczęsnym gimpem. Z
ircem sytuacja rozwiąże się prawdopodobnie w przeciągu tygodnia, bo z
opami jak mi się wydaje jesteśmy wbrew pozorom po tej samej stronie i
to zwykle rozsądni ludzie są. Pozostaje gimp i jeszcze ze dwa jak
widziałem adresy, które kogoś zabolały. Ułamki promila w odniesieniu
do bazy abonentów i blokowanych adresów. Po prostu klęska.
Blokowanie portu 25 - super pomysł i na liście "to do", problem ma
tylko szczególnie z warunkiem d, nieszczególnie w porównaniu do
blackholingu może wyglądać c i f, no i jest lekiem z gatunku
zwalczających objawy, nie antybiotykiem. Myślę, że w jakiejś wersji ma
szansę pojawić się w tym roku - ale ze względu na literki parę rzeczy
musi być zgrane ze sobą. Są jeszcze inne pomysły w tym jeden mój
ulubiony - większość literek znakomicie, oprócz e niestety. No i
drobny problem z a) - prosto z laba producentów jadą do nas pudła
duże, szumiące, żywe, z migającymi diodami...i niestety wracają w
workach. Pożyjemy, zobaczymy.
Co do zasad działania naszego blackholingu - Karpio to dosyć dobrze
opisał. Ja dodam, że adresy nie pochodzą z poszukiwania ircd lub
podsłuchiwania komunikacji, jak się niektórym młodym gniewnym wydaje.
Tak się nie wykrywa i nie analizuje botnetów, większości chyba nie
muszę tego tłumaczyć. Współpracujemy z więcej niż jednym partnerem,
nie opieramy się tylko na polskich źródłach - na ten temat więcej
teraz nie będę mówił. System scoringu służy do tego, żeby obserwować
zachowanie IP przez dłuższy okres czasu i wybierać, czy chcemy
blokować wyłącznie najbardziej aktywne C&C, czy również mniej
agresywne. Jest możliwość odblokowania każdego IP indywidualnie, w
celu umożliwienia administratorowi dostępu i poprawy bezpieczeństwa.
Rozwiązanie działa testowo - a testy mają na celu między innymi
określenie kompromisu pomiędzy skutecznością i poziomem irytacji
klientów, mam nadzieję, że uda nam się znaleźć złoty środek. Dobra
wiadomość jest taka, że aktualnie pracujemy z najostrzejszejszą
polityką, zła jest taka - że zablokowanym polskim ircom i gimpowi nie
pomogła by nawet polityka najłagodniejsza z rozsądnych.
To na razie tyle. Jeżeli kogoś dręczą jeszcze jakieś pytania - niech
pyta. Tylko please - _zanim_ pobiegnie przeklejać na jakiegos bloga,
jak niektórzy...młodzi gniewni...;)
Pozdrawiam,
Rafał Jaczyński
Dyrektor Departamentu Zarządzania Bezpieczeństwem Systemów
Teleinformatycznych, TP S.A.
Następne wpisy z tego wątku
- 03.01.09 07:35 januszek
- 03.01.09 09:03 Jan Kowalski
- 03.01.09 12:01 r...@g...com
- 03.01.09 13:18 l...@g...com
- 03.01.09 13:58 Jakub Jankowski
- 03.01.09 14:52 r...@g...com
- 03.01.09 15:09 Krzysztof Halasa
- 03.01.09 15:15 Tomasz Śląski
- 03.01.09 18:47 Grzegorz Janoszka
- 03.01.09 21:20 Marcin Gryszkalis
- 03.01.09 21:40 Krzysztof Oledzki
- 03.01.09 21:48 kayo
- 03.01.09 21:51 D...@g...com
- 03.01.09 22:00 D...@g...com
- 03.01.09 23:00 Matt Rutkowski
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-11-24 Aby WKOOOORWIĆ ekofaszystów ;-)
- 2024-11-22 OC - podwyżka
- 2024-11-22 wyszedł z domu bez buta
- 2024-11-22 Bieda hud.
- 2024-11-24 DS1813-10 się psuje
- 2024-11-23 Białystok => Inżynier bezpieczeństwa aplikacji <=
- 2024-11-23 Szczecin => QA Engineer <=
- 2024-11-23 Warszawa => SEO Specialist (15-20h tygodniowo) <=
- 2024-11-22 Warszawa => Kierownik Działu Spedycji Międzynarodowej <=
- 2024-11-22 Warszawa => Senior Account Manager <=
- 2024-11-22 Warszawa => Key Account Manager <=
- 2024-11-22 Warszawa => DevOps Specialist <=
- 2024-11-22 Kraków => IT Expert (Network Systems area) <=
- 2024-11-22 Warszawa => Infrastructure Automation Engineer <=
- 2024-11-22 Warszawa => Presales / Inżynier Wsparcia Technicznego IT <=