On 3 Sty, 16:15, Tomasz Śląski <t...@k...org.pl> wrote:

> To wielka sztuka i umiejętność wystawić głowę i
> powiedzeć: tak, to mój projekt,

Dzięki za słowa otuchy, no rzeczywiście nie jest łatwo wyjść między
wilki ;). Chciałbym tylko podkreślić, że ja przy tym projekcie
napracowałem się najmniej - ot, nadstawiam za niego głowę - natomiast
rzeczywistą robotę wykonało paru znakomitych gości. Jest to istotne
podkreślenie chociażby dlatego, że jeden z głównych sprawców
zamieszania jest na Wam na tym forum od dawna doskonale znany i już
nawet bodajże był wymieniany ;)

On 3 Sty, 22:48, kayo <k...@g...com> wrote:

> Jako ten "młody - gniewny" poczułem się wywołany do tablicy.
> Cieszę się że TP zaczęła działać w kierunku poprawy bezpieczeństwa
> sieci. Jednak zaczęła nie z tej strony co trzeba. Wycinanie bądź co
> bądź części internetu (niewielkiej ale jednak). nie jest mile
> widziane.

Akurat nie o tego "młodego gniewnego" mi chodziło, ale widzę, że stary
numer ze stołem i nożycami wciąż działa ;). I dobrze, bo akurat Twoją
korespondencję widzialem i na blogu, i na żywo. Mniejsza, o to, czy
zgadzam się z Twoją argumentacją - dlaczego, po co i jak zrobiliśmy
starałem się już wyżej uzasadnić - w twoim przypadku bulwersująca jest
historia kontaktów z Błękitną Linią. Czytając to poczułem sie
zażenowany, nie mam słów na określenie kompetencji i postawy ludzi, z
ktorymi rozmawiałeś. Owszem, moje osobiste doświadczenia z infoliniami
konkurencji (żona w swojej knajpce ma akurat innego dostawcę) nie
wskazują na to, żeby gdzie indziej było znacząco lepiej, ale w
najmniejszym stopniu nie usprawiedliwia to tego, czego doświadczyłeś.
Pracuję w tej samej firmie, co powoduje, że dzięki ciężkiej pracy
konsultanta (albo kilku) czuję się jak idiota...mogę tylko w imieniu
TP jak katarynka powtarzać: przepraszam.

> Wprowadzając rozwiązanie blackholingu powinna poprzedzić,
> kilkutygodniowa kampania informacyjna. Pozwoliłoby to na delikatne
> wprowadzenie blokad. Przynajmniej na Blue Line wiedzieli by bardzo
> dobrze o tym.

Było kilka powodów, dla których zdecydowalismy się uruchomić to jak
najszybciej. O części nie mogę mówić, bo są to wewnętrzne sprawy TP,
ale ważną rolę grała też potrzeba uruchomienia jak najwcześniej przed
Świętami. Po pierwsze dlatego, że w tym okresie mnoży się z reguły
sporo różnego rodzaju paskudztwa, im szybciej się to uda nieco
ukrócić, tym lepiej. Po drugie - kalendarz świąteczny w Polsce w tym
roku był taki, że wielu ludzi decydowało się wyjechać, siłą rzeczy
często rezygnując z korzystania z Internetu. To z kolei, biorąc pod
uwagę całą bazę abonentów, dawało nadzieję, że operacja w pierwszej,
najbardziej restrykcyjnej fazie będzie nieco mniej bolesna dla
"pacjenta".

> Jakoś nie
> było większego szumu, gdy zaczęto blokować portów dla sieci Windows
> (porty 135,137,138,139,445) i jakoś udało się wprowadzić możliwość
> zdjęcia tych blokad dla użytkowników. Czy nie można pod to podpiąć
> innych portów?

Tu pewną rolę odgrywa psychologia. Porty netbiosowe, RPC/DCOM,
messenger są statystycznie klientom mało potrzebne od strony WANu, a
nierzadko wykorzystywane do ataków. Zależy nam na tym, żeby jak
najmniejsza liczba klientów je sobie odblokowywała, i zasadniczo
klienci rzadko to robią. W przypadku portu 25 chcielibyśmy, żeby nikt
z niego nie korzystał ;), ale obawiam się, że nasze oczekiwania w tym
przypadku mogą się nieco rozminąć z oczekiwaniami klientów. Połączenie
wszystkiego razem mogłoby spowodować, że z powodu zwiększonej chęci
odblokowania portu 25 zdecydowanie większa ilość klientów mogłaby
skończyć z otwartymi pozostałymi portami, więc efekt docelowy mógłby
być mizerny. Z kolei tworzenie "wariantów" pozwalających na wybór
blokowanych portów do mnożenie polityk, czyli przy skali takiego
operatora problemy zarządzania/wydajności sprzętu itp. Dodatkowo te
różne warianty musimy jeszcze technicznie mnożyć x2, bo dla
statycznych i dynamicznych ip trochę jednak inaczej to trzeba
realizować.

On 3 Sty, 22:51, D...@g...com wrote:

> Wracając do tematu fajnie że zaczynacie dbać o klientów ale jak
> proponujecie nie limitowany internet (bez cenzury) to dlaczego mam
> zablokowane gimp.org i dostęp do serwera esr.rootnode.net. Za ten
> ostatni zapłaciłem i nagle lipa. Z tego co udało mi się zorientować
> admini rootnode pracują także nad tym aby z ich sieci nie można było
> sterować botnetem.

Po pierwsze - proszę, tylko nie mówmy o cenzurze. Cenzura kojarzy mi
się raczej z przymusową kontrolą treści, tego nie robimy. Nie ma
znaczenia, jakie serwisy i usługi są dostępne pod danym IP - nas
interesuje tylko i wyłącznie to, czy w sposób świadomy lub nieświadomy
za pośrednictwem jakiejś usługi pod danym adresem nie jest realizowana
kontrola nad botnetem. Nie mamy teraz możliwości blokowania
poszczególnych protokołów/portów, to już chyba wcześniej w tym wątku
było poruszane. Precyzja BGP jest, jaka jest - jeżeli pod blokowanym
IP śmiga sobie wiele usług, lecą wszystkie.

Teraz trochę więcej napiszę o esr.rootnode.net, na tym przykładzie
łatwiej będzie pewne rzeczy wyjaśnić. Fakty są następujące: 1.
honeypoty zaraportowały adres jako jeden z bardziej aktywnych C&C -
przez dłuższy czas utrzymywał się w czołówce. 2. Wiem, że
administratorzy pracują, tak deklarował pewien sympatyczny kolega, z
którym nawet sam korespondowałem 3. Dla potrzeb administracji adres
został ręcznie odblokowany (umieszczony na tzw. białej liście) - mimo
utrzymującej się dużej aktywności jako serwer sterujący nie był przez
pewien czas blokowany. 4. Mimo deklaracji sympatycznego
przedstawiciela rootnode i wytężonej pracy administratorów serwer
dalej był raportowany jako aktywny C&C - został zatem usunięty z
białej listy i od tej pory czas, przez jaki pozostanie zablokowany
zależy tylko i wyłącznie od tego, kiedy jego działalność jako
kontrolera stanie się historią. Są promyki nadziei, że sytuację udało
się administratorom opanować, mam nadzieję, że w przyszłym tygodniu
blokada odejdzie w zapomnienie

Teraz taka ciekawostka...esr.rootnode.net to 89.248.166.198. Ripe
wskazuje Ecatel, taką fajną holenderska hostingownię. Ecatel jest
fajny, bo sprawia wielu ISP ostatnio sporo radości:
http://www.sudosecure.net/archives/333
, http://www.matchent.com/wpress/?q=node/421. No, ale to nie może być
prawda, bo to by sugerowało, że TP jednak czasem wie, co robi ;)

On 2 Sty, 16:14, Michal Jankowski <m...@f...edu.pl> wrote:

> Duze telekomy w rozwinietych krajach Unii Europejskiej powycinaly 25
> bez mrugniecia okiem.

Hmm...mamy, jak by to powiedzieć, bliski kontakt i intensywne stosunki
z jednym z takim dużych telekomów. Rzeczywiście, nawet nie mrugnął i
innych też zachęca. Dosyć płynnie przechodzi tylko do porządku
dziennego nad faktem, że praktycznie 100% jego abonentów używa jego
serwerów pocztowych. Czyli dokładnie odwrotnie niż u nas. Mała rzecz,
a cieszy, bo operacja komplikuje się na paru płaszczyznach,
niekoniecznie technicznych.

Coś mi mówi, że na pogrzeb portu 25 jeszcze chwilkę poczekamy, co nie
znaczy, że wyróżniający się dostawcy treści po tym porcie nie dostaną
wcześniej propozycji nie do odrzucenia. Pro publico bono...

Dobranoc Państwu,

RJ