Sam zdaje się napisałem nieco zbyt skrótowo i czuję się w obowiązku
kilka myśli rozwinąć. Ale to dobrze, jest miejsce do dyskusji.

Zacznę może od dwóch spraw, które zdaje się źle zinterpretowałeś. Po
pierwsze - Blue Line. Zauważ, że nie użyłem tego słowa ani razu w
poprzednim poście. Zdaję sobie sprawę, że BL ma inne główne cele, a
szybkie przeszkolenie personelu odnośnie metod wycinania adresów na
routerach brzegowych przez inny, niekoniecznie się tym zajmujący
departament może przynieść mniej niż spektakularne efekty. Nie to jest
moim zdaniem przyczyną zaskoczenia zaistniałą sytuacją. Jest nią brak
informacji podanej z wyprzedzeniem. Mnie wystarczyłaby notka na CERT,
że "za dwa tygodnie wprowadzamy testowo taką a taką technologię, w
taki a taki sposób, co tak a tak wpłynie na dostępność takich a takich
usług". Kropka. Nawet jeśli sam bym jej nie przeczytał, nie miałbym
nic do zarzucenia.

Jestem też w stanie przyjąć na wiarę, że sytuacja w polskim internecie
była niewesoła i konieczne było zastosowanie doraźnych rozwiązań
(lepsze jest działające rozwiązanie teraz niż doskonałe nigdy). I
absolutnie zgadzam się, że zdecydowana większość klientów &tp tego nie
zauważyła i prawdopodobnie wystarczy im wiedzieć, że "są bezpieczni" a
ewentualne "connection timed out" zwalą na serwer i szybko o tym
zapomną. Ale należy tu dostrzec pewien dualizm - i to jest właśnie ta
druga sprawa - czym innym jest odcięcie zarażonej maszyny Anny K. od
sieci, a czym innym mnie w roli klienta jakiejś usługi - od zarażonego
serwera. Różnica jest taka, że Anna K. nie zdaje sobie sprawy z
zagrożeń, i jest tutaj "ofiarą" - wysyła spam. Ja jestem klientem,
który potrafi zabezpieczyć swoją maszynę, a nie może uzyskać dostępu
(o dostęp w takim kontekście chodziło mi, gdy pisałem o jego
ograniczaniu) do usług, co do których mam pewność. Jakie niesie to
implikacje? Na przykładzie:

Załóżmy, że mam prawa commitu do jakiegoś CVSa na zagranicznym
serwerze z wieloma użytkownikami i usługami. Działa tam, przypuśćmy,
svn, jakiś serwer www, ssh, jabberd, ircd, itp. Jeśli ktoś wykorzystał
jeden z dziesiątków kanałów na owym ircu do próby kontrolowania
botnetu (takie ciche założenie poczyniłem we wszystkich wymienionych
przeze mnie przypadkach w poprzednim poście - przekonująca jest już
sama argumentacja p. Rafała o zagrożeniach dot. wirtualizacji w
różnych serwerowniach), odcina to wszystkich użytkowników wszystkich
usług tej maszyny pochodzących z sieci &tp. Co jeśli byłbym jedynym
użytkownikiem tej maszyny z tej sieci? Spada na mnie konieczność
skontaktowania się z ludźmi zarządzającymi ircdem, poinformowania ich
o problemie i liczenia w duchu na to, że uda im się to załatać w
rozsądnym czasie. Przykłady można mnożyć. Packa więc działa (ubiła
C&C) ale ma dość drobne oczka. Na tyle drobne, że ja nie mogę
korzystać z sieci tak jak to zwykle robię. I pół biedy, jeśli to tylko
hobby.

I podczas gdy "korelowanie informacji", jak zostało to dość ogólnikowo
opisane, na podstawie komend C&C, honeypotów, sond itd nie budzi
żadnych zastrzeżeń - zdaję sobie sprawę że *obecnie* przyjęte kryteria
dotyczą botnetów - to należy zauważyć, że tutaj "sky is the limit".
Nic nie zabrania rozszerzyć tej listy (czy dodać dostawców owych list)
punktując *na przykład* serwery TOR (wg osobnych kryteriów
oczywiście). I nie ma żadnych gwarancji co do tego jakie adresy będą
wycinane a jakie nie za, powiedzmy, pół roku. W dużych korporacjach
nie wszystkie decyzje podejmują najlepsi do tego ludzie.

Więc "zabieram zabawki i zamykam sklepik". Jakkolwiek infantylnie to
brzmi, irracjonalnym z mojej strony byłoby pozostawać przy usłudze,
korzystając z której muszę zestawiać tunele przez inne sieci, by
skorzystać z zasobów, z których do niedawna korzystałem normalnie lub
brać na siebie obowiązek niesienia pochodni poprzez ciemności
internetu (i narażać się na zjedzenie przez grue). Bo traciłbym na to
czas. A czas to pieniądz. Więc będę uciekał, i zapewne masz rację, że
inni dostawcy pójdą w ślady &tp. Lecz wolę dostęp do sieci, nad którym
sam mam kontrolę, niż taki z wymienianym piaskiem. I może, gdy za kilka
(naście?) lat rozmiar oczek w pacce stanie się dla mnie akceptowalny
(poruszono już w tym wątku kilka potencjalnych rozwiązań), to wrócę do
operatora mającego najlepszą ofertę nie zwracając uwagi na to, czy
"oferuje" BGP blackholing.

Jednak podczas gdy packa bije i mnie (pośrednio), to nie to mnie boli.
Boli mnie to, że nie mam możliwości z niej zrezygnować. Gdyby była to
opcja, domyślnie włączona dla wszystkich użytkowników, ale dająca się
wyłączyć przez klienta, któremu na tym zależy, to bym temu tylko
przyklasnął i przytupnął. Bo jak napisałem kilka zdań powyżej, z
czasem problem pewnie rozwiązał by się sam. Ale tak nie jest. W chwili
obecnej jestem więc de facto bez wyjścia. I zapewne nie ja jeden.

Pozdrawiam,
JM

do góry

Punkt widzenia zalezy od punktu siedzenia....

Fakt, ze uzytkownicy nie moga dostac sie do takiej czy innej strony,
uslugi sieciowej to w wielu przypadkach taka szkoda jak niewygoda.

Dla firm, korporacji walka z DDoS'ami i spamem to straty rzedu paru
milionow USD w skali roku. Np. do naszego korporacyjnego AS'a (8883)
regolarnie, dziesiat razy w roku mamy ddos'y pochodzace z korei
(glownie kornet), chin, rumunii. Mimo licznych kontaktow z adminami,
telefonami, pismami reakcji brak.

Mamy rowniez pare maszyn w PL. Swego czasu jeden z operatorow
ogolnopolskich stwierdzil, ze z ddos'em musimy sami sobie poradzic bo
ten w przesylany content nie ingeruje, nie ma tez srodkow technicznych
do walki z takim atakiem. Co wtedy ma zrobic klient gdzie kazda
minuta przestoju to potezne straty a w dluzszej perspektywie przy
takim stanie rzeczy jeszcze wieksze konsekwencje finansowe?

--
Matt Rutkowski

do góry

On 2009-01-05 21:53, konrad rzentarzewski wrote:

> blackholing jako reakcja na incydent i ochrona core - OK. blackholing
> prewencyjny - bullshit, prewencja to niedopuszczenie do podłączenia
> zarażonych stacji do sieci (skoro jest AFAYR IPS) a nie kombinowanie
> jak nie dopuścić do eskalacji konkretnego (jednego - kto powiedział
> że botnet musi mieć C&C?) typu zagrożenia. mam na myśli - c'mon -
> zagrożenia nie pojawiły się z dnia na dzień!

Ale to nie jest prewencyjne - przecież blokowane są IP tylko hostów
które *już coś zbroiły* - tj. ślą sobie info, od bota do bota,
atakują, etc. Nie wiem czy koledzy blokują coś oprócz botnetów
spamerskich. Ale to chyba dosyć naturalne, że takie również można
śledzić.

Zagrożenia nie pojawiły się z dnia na dzień, co więcej - ewoluują
szybciej i nie ma dzisiaj jednego (choćby dużego i składającego się
z wielu klocków) skutecznego rozwiązania na wszystkie bolączki IP.
Ale można obcinać duże fragmenty problemów przez zastosowanie
odpowiednich mechanizmów.

Jeśli TP wdrożyłaby zarządzalnego IPSa - wrzask byłby jeszcze większy,
bo ilość incydentów ('wystrzeliła mi regułka #58131.01 a nie powinna!')
byłby ogromny. A tak - packa duża jest, jest trochę 'strat', ale to
wszystko da się odbrobić, a świadomość użytkowników rośnie.

Ktoś przed chwilą rzucił, żeby wyświetlać jakiś komunikat zamiast
blokowanych stron WWW - i to bardzo dobry pomysł jest, choć nie wiem
jak z jego realizacją. Trzeba organizacyjnie rozszerzyć pomysł
blackholingy na sinkholing, redirecty etc - ale to też da się zrobić.
Ale może nie wszystko od razu.

No i - cytując - c'mon - w końcu to chyba na tej liście siedzą
ludzie więdzący generalnie więcej niż przeciętni sieciowcy? No to
jak nie tu, to gdzie taki mechanizm można rozłożyć na kawałki i
przedyskutować zamiast obrażać się?

> trzeba było napisać od razu - botnety wśród klientów&TP są
> zagrożeniem dla ich sieci core, a nie opowiadać bajki o
> szczepionkach, antybiotykach. czopkach chyba :)

A to ja nie wiem czy tak jest :D

> ależ niech sobie blackhole'ują /32 ze swojej sieci, jeśli wykryją
> tam C&C. nawet pewnie mają prawo aktywnie skanować należące do siebie
> klasy w ich poszukiwaniu.

Ruch z ich hostów na zewnątrz szkodzi (potencjalnie) innym sieciom.
To że przy okazji udaje się 'odspamować' część adresacji IP TP to
miły bonus. Rozumiesz to?

Na konferencjach często pytają mnie ludzie - nie wiem czy dołączać
się do Twojego projektu, bo łącze mamy tylko 2Mbit/s. Pewnie że tak -
po pierwsze każde 2Mbit/s robi różnicę, po drugie jak to dobry
obywatel internetu - staramy się dbać nie tylko żeby nasz szlag nie
trafił - ale również o to, żebyśmy nie przyłożyli rąk do trafienia
kogoś innego. Ot tak, po prostu. Nawet jeśli ten ktoś jest w
Nowej Zelandii, Syberii albo znajduje się na stacji kosmicznej.

Bo to 'dobra praktyka' jest. BCP znaczy :)

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

Użyszkodnik Łukasz Bromirski napisał:

>> trzeba było napisać od razu - botnety wśród klientów&TP są
>> zagrożeniem dla ich sieci core, a nie opowiadać bajki o
>> szczepionkach, antybiotykach. czopkach chyba :)
>
> A to ja nie wiem czy tak jest :D

Sądzę, że między innymi packa na muchy jest nieco większa, własnie z powodu
narastającej konieczności odcinania smrodów _z_ sieci TP _do_ świata _i_ /
_lub_ do core TP ;-)

--
TOM

do góry

On 2009-01-05 23:03, f...@g...com wrote:
> Sam zdaje się napisałem nieco zbyt skrótowo i czuję się w obowiązku
> kilka myśli rozwinąć. Ale to dobrze, jest miejsce do dyskusji.
>
> Zacznę może od dwóch spraw, które zdaje się źle zinterpretowałeś. Po
> pierwsze - Blue Line. [...] Kropka. Nawet jeśli sam bym jej nie
> przeczytał, nie miałbym nic do zarzucenia.

Masz oczywiście rację. Moim skromnym zdaniem.

> Ale należy tu dostrzec pewien dualizm - i to jest właśnie ta druga
> sprawa - czym innym jest odcięcie zarażonej maszyny Anny K. od sieci,
> a czym innym mnie w roli klienta jakiejś usługi - od zarażonego
> serwera.

Oczywiście, ale zwróć uwagę, że prawdopodobnie po prostu na starcie
inaczej się nie dało. I należy zrozumieć Twoje decyzje (nie chciałem
Cię ani nikogo urazić mówiąc o piaskownicach, przepraszam jeśli tak
się stało), tylko weź pod uwagę realia - nie chodzi o 'polski'
internet, tylko o światowy internet. Nie ma znaczenia czy zaatakuje
dzisiaj wp.pl czy washingtonpost.com - obie strony są dokładnie
'tak daleko' z mojego punktu widzenia. Wszystko stało się globalne,
czy się to komuś podoba czy nie. Zagrożenia również.

Jasne, że klienci w niewiedzy lub z pełną świadomością - będą
odchodzić od takiego operatora. Ale odnoszę wrażenie, że prędzej
czy później takie zabezpieczenia staną się standardem oferowanym
dokładnie w takiej formie jak dzisiaj pudełko z routerem z portem
USB - plug'n'play. Staną się doskonalsze, będą w stanie rozpoznać
więcej zagrożeń, blokować bardziej wybiórczo - ale coś trzeba robić
żeby mogły być doskonalsze.

BGP flowspec? Fajnie, ale jak ludzie od architektury routerów nowej
generacji zobaczyli, że ktoś od bezpieczeństwa chce im wcisnąć
na głowę walczenie w stylu stanowego firewalla do sieci szkieletowej,
ktoś złapał się za głowę i powiedział - stop - to trochę chyba nie
tak. W czasach, gdy powstają projekty takie jak LISP[1], bo widać
już że skalowanie tablic routingu w sieci IPv6 z punktu widzenia
dzisiejszej technologii wygląda słabo, nikt nie będzie rozważał tego
typu zastosowań do skali milionów wpisów. Generalnie oprócz
usług 'dla klienta' powoli konsensus że firewall dobrze mieć staje
się dyskusyjny - prościej zDoSować usługę za firewallem niż bez niej,
biorąc pod uwagę rozwój mocy obliczeniowej i skalowalności serwerów
na których usługi pracują. Stąd powstają inne technologie, które
dadzą - być może - dokładność filtrowania ruchu na poziomie
'behawioralnej analizy ruchu sieciowego' (haha :) ), ale zwróć
uwagę na wzorzec - zróbmy coś, co da się wykonać *dzisiaj* (flowspec
i wielkie kudos dla Roberta Raszuka), a po drodze dopracujemy się
czegoś co da nam szansę za rok, dwa, pięć.

> Jeśli ktoś wykorzystał jeden z dziesiątków kanałów na owym ircu do próby
> kontrolowania botnetu (takie ciche założenie poczyniłem we wszystkich
> wymienionych przeze mnie przypadkach w poprzednim poście -
> przekonująca jest już sama argumentacja p. Rafała o zagrożeniach dot.
> wirtualizacji w różnych serwerowniach), odcina to wszystkich
> użytkowników wszystkich usług tej maszyny pochodzących z sieci&tp.

Ależ oczywiście, ale patrz wyżej - dokładność przyjdzie z czasem.
Myślę, że aktualna dokładność jest akceptowalna dla większości
użytkowników.

> Nic nie zabrania rozszerzyć tej listy (czy dodać dostawców
> owych list) punktując *na przykład* serwery TOR (wg osobnych
> kryteriów oczywiście). I nie ma żadnych gwarancji co do tego jakie
> adresy będą wycinane a jakie nie za, powiedzmy, pół roku. W dużych
> korporacjach nie wszystkie decyzje podejmują najlepsi do tego
> ludzie.

Oczywiście. I dlatego napisałem, że nie lubię dużych korporacji :)

> Gdyby była to opcja, domyślnie włączona dla wszystkich użytkowników,
> ale dająca się wyłączyć przez klienta, któremu na tym zależy, to
> bym temu tylko przyklasnął i przytupnął. Bo jak napisałem kilka
> zdań powyżej, z czasem problem pewnie rozwiązał by się sam.

Zgadzam się z tym co napisałeś, tylko weź pod uwagę, że (z całym
szacunkiem), prawdopodobnie nie jesteś w stanie 24h na dobę
monitorować ruchu do/z sieci generowanego z Twojego komputera,
sieci, etc tak dokładnie, jak zespoły ludzi pracujące non-stop.
Co więcej (znowu - z całym szacunkiem), pewnie nie znasz każdej
technologii a już z dużym prawdopodobieństwem - czołówki aktualnej
radosnej twórczości botnetoszkodników. A taki zespół ma większe
prawdopodobieństwo znać, lub wymienić się wiedzą jak skutecznie je
zwalczać z innymi zespołami na świecie. Po to powstało m.in. [2],
po to istnieją CERTy. Jasne, że wybór i wolność jest ważna, a jak
chcesz się zabić - to Twoja wola. Ale weź pod uwagę, że po drodze
zginąć mogą inni a w tym momencie można przejść do interesujących
wywodów filozoficznych - co jak sądze, w sferze czystej techniki nie
ma wielkiego sensu.

[1]. http://www.nanog.org/mtg-0706/Presentations/lightnin
g-farinacci.pdf
[2]. http://puck.nether.net/mailman/listinfo/nsp-security

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

skx wrote:

> > można pogdybać w przypadku
> > rootnode - nie znam szczegółowo zasad hostowania w Ecatelu, poziomu
> > wirtualizacji środowisk, praw dostępu, jakie mają osoby z rootnode
> > etc.
> Stowarzyszenie trzyma w tej serwerowni własne maszyny.

gadałem dzisiaj z jednym z adminów RN, czyta niniejszy wątek, nie
udziela się, usiłują sprawe ogarnąć











--
http://net.czarne.net/ <- łącze w świat pilnie potrzebne !!!
Dach elektrowni w Czernobylu mial byc zbudowany z materialow
ognioodpornych ale tych nie bylo,a dach byc musial,wiec
zostal zbudowany z materialow palnych

do góry

futszaK napisał(a):

>> > można pogdybać w przypadku
>> > rootnode - nie znam szczegółowo zasad hostowania w Ecatelu, poziomu
>> > wirtualizacji środowisk, praw dostępu, jakie mają osoby z rootnode
>> > etc.
>> Stowarzyszenie trzyma w tej serwerowni własne maszyny.
>
> gadałem dzisiaj z jednym z adminów RN, czyta niniejszy wątek, nie
> udziela się, usiłują sprawe ogarnąć

Wiem, przeklejasz nam posty stąd na listę.

>
>
>
>
>
>
>
>
>
>
>

A to spoiler?


--
skx.

do góry

Po ostatnich postach zrozumiałem, dlaczego Łukasz tak się kryguje i
przeprasza sugerując w tym miejscu, że TP S.A. tym razem być może
nieco racji ma. Czas się pożegnać, nie chciałbym nikomu sprawiać
dyskomfortu - ja _jestem_ zwykłym zjadaczem chleba, więc może po
prostu pewnych punktów widzenia nie da się pogodzić. Co ja zresztą
mogę wyjaśnić komuś, kto wie, mimo, że mu strach myśleć?

Mam nadzieję, że wielbiciele bajek znaleźli to, czego szukali -
przynajmniej rozrywkę, a może i gdzieniegdzie morał. Nieprzekonanych
nie przekonam, zresztą moim celem było raczej doinformowanie.
Zainteresowani szczegółami i tak się dowiedzą bezpośrednio od nas, na
PNLOGu już w przyszlym tygodniu będzie okazja. Więcej już raczej tutaj
bez sensu pisać, bo podstawy były nieco już postów w tył, no i trochę
się robi ciężko szukać.... Kontakt ze mną w razie potrzeby nie jest
trudno uzyskać - podobno nawet docierając przez kogoś kto zna kogoś,
kto zna...trafia się w naszym piekiełku najdalej po drugim "hopie".

Na koniec dwie sprawy - wyręczając klientów w dokonywaniu wyboru
pomyślałem, że wyręczę ich również w mitrędze zainteresowywania
tematem regulatorów rynku. PRZED uruchomieniem blackholingu wysłaliśmy
zatem pismo do prezesów UKE i UOKiK informując o planowanym testowym
uruchomieniu, wyjaśniając powody i ogólne zasady i proponując wspólną
analizę rezultatów po określonym czasie. Nie cieszył się ten pomysł
początkowo zrozumieniem - bo jak to, pisać donos na samego siebie? -
ale ja nalegałem, mądrzy ludzie doradzali i myślę, że uda się dyskusję
rozpocząć. Przepraszam za zepsucie oczekiwania na moment, kiedy
"sprawa otrze się o UOKiK".

Rzecz druga - mam taki feler, że zwykle mocno angażuję się w
wykonywaną pracę (lubię ją) i zależy mi mocno na sukcesie firmy, w
której pracuję (ją też lubię). Odejście każdego klienta, z dowolnych
powodów, mnie martwi, i denerwuje, że nie udało się go zatrzymać.
Niestety, podstawą działania w poważnym biznesie jest podejmowanie
decyzji - bez nierealnego założenia, że uda się zadowolić wszystkich.
Jeżeli zyski przewyższają w oczekiwanym stopniu straty, decyzja była
dobra. Mimo, że żal każdego niezadowolonego.

Życzę Państwu w Nowym Roku wielu decyzji przynoszących więcej zysków,
niż strat. Mimo, że jest mowa o stratach, to są bardzo dobre życzenia.

Pozdrawiam,
Rafał Jaczyński

do góry

On 2009-01-06 00:05, r...@g...com wrote:

> Życzę Państwu w Nowym Roku wielu decyzji przynoszących więcej
> zysków, niż strat. Mimo, że jest mowa o stratach, to są bardzo dobre
> życzenia.

W nowomowie to chyba by było:

"Małego wzrostu negatywnego czynnika niedoskonałości świadczonych
usług dla Szanownego Klienta" :)

Krakersa? :D MSPANC :)

Rafał słusznie napisał - na PLNOGu (przyszły tydzień) będzie okazja
do pogadania, będzie panel, będzie dużo czasu przed/po/w trakcie.
Wiem że to nie jedyne forum, ale skoro koledzy z TP będą, to może jednak
warto?

--
"Don't expect me to cry for all the | Łukasz Bromirski
reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.net

do góry

Użyszkodnik Łukasz Bromirski napisał:

> Rafał słusznie napisał - na PLNOGu (przyszły tydzień) będzie okazja
> do pogadania, będzie panel, będzie dużo czasu przed/po/w trakcie.
> Wiem że to nie jedyne forum, ale skoro koledzy z TP będą, to może jednak
> warto?

Właśnie miałem pytać o PLNOGa, ale widzę, że agenda już przewiduje panele na
temat czarnodziurowania. Będzie o czym gadać :)

--
TOM

do góry