eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipRe: TP nie lubi GIMPa czy co?Re: TP nie lubi GIMPa czy co?
  • Data: 2009-01-05 22:44:04
    Temat: Re: TP nie lubi GIMPa czy co?
    Od: Łukasz Bromirski <t...@1...0.0.1> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    On 2009-01-05 23:03, f...@g...com wrote:
    > Sam zdaje się napisałem nieco zbyt skrótowo i czuję się w obowiązku
    > kilka myśli rozwinąć. Ale to dobrze, jest miejsce do dyskusji.
    >
    > Zacznę może od dwóch spraw, które zdaje się źle zinterpretowałeś. Po
    > pierwsze - Blue Line. [...] Kropka. Nawet jeśli sam bym jej nie
    > przeczytał, nie miałbym nic do zarzucenia.

    Masz oczywiście rację. Moim skromnym zdaniem.

    > Ale należy tu dostrzec pewien dualizm - i to jest właśnie ta druga
    > sprawa - czym innym jest odcięcie zarażonej maszyny Anny K. od sieci,
    > a czym innym mnie w roli klienta jakiejś usługi - od zarażonego
    > serwera.

    Oczywiście, ale zwróć uwagę, że prawdopodobnie po prostu na starcie
    inaczej się nie dało. I należy zrozumieć Twoje decyzje (nie chciałem
    Cię ani nikogo urazić mówiąc o piaskownicach, przepraszam jeśli tak
    się stało), tylko weź pod uwagę realia - nie chodzi o 'polski'
    internet, tylko o światowy internet. Nie ma znaczenia czy zaatakuje
    dzisiaj wp.pl czy washingtonpost.com - obie strony są dokładnie
    'tak daleko' z mojego punktu widzenia. Wszystko stało się globalne,
    czy się to komuś podoba czy nie. Zagrożenia również.

    Jasne, że klienci w niewiedzy lub z pełną świadomością - będą
    odchodzić od takiego operatora. Ale odnoszę wrażenie, że prędzej
    czy później takie zabezpieczenia staną się standardem oferowanym
    dokładnie w takiej formie jak dzisiaj pudełko z routerem z portem
    USB - plug'n'play. Staną się doskonalsze, będą w stanie rozpoznać
    więcej zagrożeń, blokować bardziej wybiórczo - ale coś trzeba robić
    żeby mogły być doskonalsze.

    BGP flowspec? Fajnie, ale jak ludzie od architektury routerów nowej
    generacji zobaczyli, że ktoś od bezpieczeństwa chce im wcisnąć
    na głowę walczenie w stylu stanowego firewalla do sieci szkieletowej,
    ktoś złapał się za głowę i powiedział - stop - to trochę chyba nie
    tak. W czasach, gdy powstają projekty takie jak LISP[1], bo widać
    już że skalowanie tablic routingu w sieci IPv6 z punktu widzenia
    dzisiejszej technologii wygląda słabo, nikt nie będzie rozważał tego
    typu zastosowań do skali milionów wpisów. Generalnie oprócz
    usług 'dla klienta' powoli konsensus że firewall dobrze mieć staje
    się dyskusyjny - prościej zDoSować usługę za firewallem niż bez niej,
    biorąc pod uwagę rozwój mocy obliczeniowej i skalowalności serwerów
    na których usługi pracują. Stąd powstają inne technologie, które
    dadzą - być może - dokładność filtrowania ruchu na poziomie
    'behawioralnej analizy ruchu sieciowego' (haha :) ), ale zwróć
    uwagę na wzorzec - zróbmy coś, co da się wykonać *dzisiaj* (flowspec
    i wielkie kudos dla Roberta Raszuka), a po drodze dopracujemy się
    czegoś co da nam szansę za rok, dwa, pięć.

    > Jeśli ktoś wykorzystał jeden z dziesiątków kanałów na owym ircu do próby
    > kontrolowania botnetu (takie ciche założenie poczyniłem we wszystkich
    > wymienionych przeze mnie przypadkach w poprzednim poście -
    > przekonująca jest już sama argumentacja p. Rafała o zagrożeniach dot.
    > wirtualizacji w różnych serwerowniach), odcina to wszystkich
    > użytkowników wszystkich usług tej maszyny pochodzących z sieci&tp.

    Ależ oczywiście, ale patrz wyżej - dokładność przyjdzie z czasem.
    Myślę, że aktualna dokładność jest akceptowalna dla większości
    użytkowników.

    > Nic nie zabrania rozszerzyć tej listy (czy dodać dostawców
    > owych list) punktując *na przykład* serwery TOR (wg osobnych
    > kryteriów oczywiście). I nie ma żadnych gwarancji co do tego jakie
    > adresy będą wycinane a jakie nie za, powiedzmy, pół roku. W dużych
    > korporacjach nie wszystkie decyzje podejmują najlepsi do tego
    > ludzie.

    Oczywiście. I dlatego napisałem, że nie lubię dużych korporacji :)

    > Gdyby była to opcja, domyślnie włączona dla wszystkich użytkowników,
    > ale dająca się wyłączyć przez klienta, któremu na tym zależy, to
    > bym temu tylko przyklasnął i przytupnął. Bo jak napisałem kilka
    > zdań powyżej, z czasem problem pewnie rozwiązał by się sam.

    Zgadzam się z tym co napisałeś, tylko weź pod uwagę, że (z całym
    szacunkiem), prawdopodobnie nie jesteś w stanie 24h na dobę
    monitorować ruchu do/z sieci generowanego z Twojego komputera,
    sieci, etc tak dokładnie, jak zespoły ludzi pracujące non-stop.
    Co więcej (znowu - z całym szacunkiem), pewnie nie znasz każdej
    technologii a już z dużym prawdopodobieństwem - czołówki aktualnej
    radosnej twórczości botnetoszkodników. A taki zespół ma większe
    prawdopodobieństwo znać, lub wymienić się wiedzą jak skutecznie je
    zwalczać z innymi zespołami na świecie. Po to powstało m.in. [2],
    po to istnieją CERTy. Jasne, że wybór i wolność jest ważna, a jak
    chcesz się zabić - to Twoja wola. Ale weź pod uwagę, że po drodze
    zginąć mogą inni a w tym momencie można przejść do interesujących
    wywodów filozoficznych - co jak sądze, w sferze czystej techniki nie
    ma wielkiego sensu.

    [1]. http://www.nanog.org/mtg-0706/Presentations/lightnin
    g-farinacci.pdf
    [2]. http://puck.nether.net/mailman/listinfo/nsp-security

    --
    "Don't expect me to cry for all the | Łukasz Bromirski
    reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: