On 2009-01-05 21:53, konrad rzentarzewski wrote:

> blackholing jako reakcja na incydent i ochrona core - OK. blackholing
> prewencyjny - bullshit, prewencja to niedopuszczenie do podłączenia
> zarażonych stacji do sieci (skoro jest AFAYR IPS) a nie kombinowanie
> jak nie dopuścić do eskalacji konkretnego (jednego - kto powiedział
> że botnet musi mieć C&C?) typu zagrożenia. mam na myśli - c'mon -
> zagrożenia nie pojawiły się z dnia na dzień!

Ale to nie jest prewencyjne - przecież blokowane są IP tylko hostów
które *już coś zbroiły* - tj. ślą sobie info, od bota do bota,
atakują, etc. Nie wiem czy koledzy blokują coś oprócz botnetów
spamerskich. Ale to chyba dosyć naturalne, że takie również można
śledzić.

Zagrożenia nie pojawiły się z dnia na dzień, co więcej - ewoluują
szybciej i nie ma dzisiaj jednego (choćby dużego i składającego się
z wielu klocków) skutecznego rozwiązania na wszystkie bolączki IP.
Ale można obcinać duże fragmenty problemów przez zastosowanie
odpowiednich mechanizmów.

Jeśli TP wdrożyłaby zarządzalnego IPSa - wrzask byłby jeszcze większy,
bo ilość incydentów ('wystrzeliła mi regułka #58131.01 a nie powinna!')
byłby ogromny. A tak - packa duża jest, jest trochę 'strat', ale to
wszystko da się odbrobić, a świadomość użytkowników rośnie.

Ktoś przed chwilą rzucił, żeby wyświetlać jakiś komunikat zamiast
blokowanych stron WWW - i to bardzo dobry pomysł jest, choć nie wiem
jak z jego realizacją. Trzeba organizacyjnie rozszerzyć pomysł
blackholingy na sinkholing, redirecty etc - ale to też da się zrobić.
Ale może nie wszystko od razu.

No i - cytując - c'mon - w końcu to chyba na tej liście siedzą
ludzie więdzący generalnie więcej niż przeciętni sieciowcy? No to
jak nie tu, to gdzie taki mechanizm można rozłożyć na kawałki i
przedyskutować zamiast obrażać się?

> trzeba było napisać od razu - botnety wśród klientów&TP są
> zagrożeniem dla ich sieci core, a nie opowiadać bajki o
> szczepionkach, antybiotykach. czopkach chyba :)

A to ja nie wiem czy tak jest :D

> ależ niech sobie blackhole'ują /32 ze swojej sieci, jeśli wykryją
> tam C&C. nawet pewnie mają prawo aktywnie skanować należące do siebie
> klasy w ich poszukiwaniu.

Ruch z ich hostów na zewnątrz szkodzi (potencjalnie) innym sieciom.
To że przy okazji udaje się 'odspamować' część adresacji IP TP to
miły bonus. Rozumiesz to?

Na konferencjach często pytają mnie ludzie - nie wiem czy dołączać
się do Twojego projektu, bo łącze mamy tylko 2Mbit/s. Pewnie że tak -
po pierwsze każde 2Mbit/s robi różnicę, po drugie jak to dobry
obywatel internetu - staramy się dbać nie tylko żeby nasz szlag nie
trafił - ale również o to, żebyśmy nie przyłożyli rąk do trafienia
kogoś innego. Ot tak, po prostu. Nawet jeśli ten ktoś jest w
Nowej Zelandii, Syberii albo znajduje się na stacji kosmicznej.

Bo to 'dobra praktyka' jest. BCP znaczy :)

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net