eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipTP nie lubi GIMPa czy co?Re: TP nie lubi GIMPa czy co?
  • Data: 2009-01-03 14:52:39
    Temat: Re: TP nie lubi GIMPa czy co?
    Od: r...@g...com szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    On 3 Sty, 14:18, "l...@g...com"
    <l...@g...com> wrote:
    > 1. Na jakich _dokładnie_ zasadach wybierane są IP do zablokowania? Nie
    > chodzi mi o score czy algorytm jego obliczania, ale żeby dało się
    > sprawdzić, na podstawie której listy - jakich przesłanek, dany adres
    > IP "nie działa". Obecnie nie ma żadnych informacji na ten temat poza
    > "W przypadku zaistnienia wątpliwości prosimy o kontakt z zespołem TP
    > CERT". Sprzyja to pojawianiu się teorii spiskowych oraz zakładów, co
    > następne zablokują?

    Dziękuję ślicznie za to pytanie, mam nadzieję, że odpowiedź nieco
    wyjaśni, nawet pomimo tego, że nie może być aktualnie pełna :(

    Na początek co do samego "blackholingu". W pierwszych oficjalnych
    komunikatach celowo nie używalismy tego terminu - dlatego, że jest
    jest ono z jednej strony technicznie precyzyjne i wyjaśnia jaki
    mechanizm sieciowy wykorzystujemy, z drugiej strony niestety może
    wprowadzić w błąd jeżeli chodzi o odpowiedź na pytanie co i po co
    blokujemy. BGP-blackholingu inaczej nieco można użyć do reakcji na
    ddos w toku, inaczej używamy tego w naszym przypadku...Jeżeli DNS
    będzie określone domeny resolvował do 127.0.0.1 to też to będzie w
    sumie "blackholing"...;)

    My używamy aktualnie BGP blackholingu do blokowania adresów, pod
    którymi znajdują się wedle najlepszej wiedzy naszej i współpracujących
    dostawców serwery C&C botnetów pewnych klas. Aktualnie nie korzystamy
    bezpośrednio z publicznie dostępnych BL, a z definicji nie z BL
    zawierających "źródła spamu". Nazw firm z którymi współpracujemy nie
    chcę teraz podawać między innymi dlatego, że rozwiązanie jest wciąż
    testowe i źródła mogą się zmienić. W przypadku, kiedy pomysł
    pozostanie z nami na dłużej (czyli okaże się skuteczny) na pewno nie
    będę miał problemu ze wskazaniem ludzi i firm, z którymi dzielimy ten
    sukces. Przy czym wciąż może to oznaczać, że nie będzie możliwości
    wskazania na jakąkolwiek publicznie dostępną czarną listę - z tego
    prostego powodu, że wykorzystywane przez nas nie będą publiczne. Nie
    mam silnych obaw z tym związanych - w biznesie jest tak, że silny
    związek o charakterze komercyjnym pomiędzy firmami, które dbają o
    swoją markę (i przyszłe relacje ;), jest często wystarczającą
    gwarancją jakości danych.

    Prośba o kontakt z CERTem wynika z tego, że otrzymując prośbę jesteśmy
    w stanie (jeżeli nie są to nasze dane na podstawie umowy z dostawcą)
    zweryfikować bezpośrednie przesłanki (logi) uzasadniające blokowanie
    adresu, i taki, a nie inny "scoring". Proszę jednocześnie o
    wyrozumiałość - nie zawsze te logi będziemy w stanie automatycznie
    dostarczyć bezpośrednio zainteresowanym (chociażby dlatego, że mogą
    zawierać adresy honeypotów etc), czasem musimy ograniczyć się do
    potwierdzenia, że tego a tego dnia o tej i o tej godzinie ruch
    kontrolny z danego adresu został zarejestrowany i zweryfikowany. Może
    to wyglądać na "sąd kapturowy", ale nie taka jest nasza intencja, i
    nie ma to nic wspólnego z arogancją. Jedyne, o co mogę prosić to
    odrobina zaufania - jeżeli nie do TP, to do mojego zespołu, który
    tworzyłem cztery lata temu w opozycji do tego, czego jako klient i
    pracownik w TP nie lubię, i o zmianę czego bezustannie obiecuję
    walczyć ;).

    > 2. Jaka jest procedura reweryfikacji hosta? To się chyba samo wyjaśni
    > po ujawnieniu z jakich BL korzysta TPSA.

    W dużym stopniu automatyczna + "białkowe" wspomaganie na wypadek
    błędów, które mogą zdarzyć się w najlepszej rodzinie. Zagrożenia są
    automatycznie weryfikowane co mniej więcej siedem minut - więc daje to
    dosyć dobry pogląd na temat rzeczywistej aktywności danego hosta.
    Istnieje poziom graniczny, poniżej którego host zostaje automatycznie
    odblokowany, i nie ulegnie powtórnej blokadzie, jeżeli nie powróci do
    złych nawyków. Pamiętliwi nie jesteśmy ;)

    > 3. Dlaczego błękitna linia jak zwykle niczego nie wie? Czyli odwieczna
    > bolączka zarówno klientów TP jak i dostawców usług, którzy muszą
    > namawiać klientów do dzwonienia na błękitną linię, tylko po to aby TP
    > odbiła piłeczkę "my nie mamy żadnych serwerów DNS, nic nam o tym nie
    > wiadomo".

    Pracuję w tej samej firmie, więc mogę tylko przeprosić i obiecać, że
    zrobię awanturę :(. Dostarczyliśmy do contact centre wszystkie
    niezbędne informacje i procedury - niestety prawdopodobnie ze względu
    na okres świąteczny (duża rotacja personelu?) informacje nie
    rozpropagowały się wystarczająco szybko.

    >
    > Co do "działania" ircnetu, to irc ping na poziomie 2-3 sekund nie
    > pomaga w rozmowie. Całe szczęście, że mam normalne połączenie do
    > internetu.

    Wiem, że jest to utrudnienie - odpowiadałem powyżej w pewnej
    konwencji, którą nawiasem mówiąc, potrafię u rozmówców docenić ;)...

    Co do IRCa - wiele wskazuje na to, że to będą przejściowe trudności.
    Między innymi również dlatego cieszę się, że najbardziej intensywna
    dyskusja toczy się na polipie, bo wpada tu sporo osób, które mogą nam
    pomóc. My już swój ruch wykonaliśmy - mam nadzieję, że coraz większej
    liczbie osób wydaje się on rozsądny - sygnalizując, że TP nie planuje
    pozostawać bierna w obliczu zagrożeń w Internecie. Myślę, że już
    niedługo w wyniku całej akcji obudzimy się w nieco (na początek
    odrobinę) lepszym świecie ;).

    Pozdrawiam serdecznie,

    Rafał Jaczyński, TP

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: