Ja mam pytanie techniczne. Czy dodanie prefixu BEZ_OCHRONY- do nazwy
użytkownika wyłącza te blokady? Takich informacji mi udzielono na
infolinii TP. To prawda? Trochę głupio się zastanawiać czy stronę
wycięła TP i mogę z niej jednak skorzystać przez tunel, czy coś na
prawdę nie działa.

do góry

slawek22 napisał(a):
> Ja mam pytanie techniczne. Czy dodanie prefixu BEZ_OCHRONY- do nazwy
> użytkownika wyłącza te blokady? Takich informacji mi udzielono na
> infolinii TP. To prawda? Trochę głupio się zastanawiać czy stronę
> wycięła TP i mogę z niej jednak skorzystać przez tunel, czy coś na
> prawdę nie działa.

Nie. Blackholing jest robiony na szkielecie, gdzie nie ma informacji o userach. Po
prostu wszystko
leci do czarnej dziury.

wer

do góry

Dnia Tue, 06 Jan 2009 11:53:59 +0100, b...@n...pl napisał(a):

>> A co do 25tcp. Dla neo to faktycznie powinno byc blokowane.
>>
>
> Polityka wycinania kolejnych portów, blackholingu to jest dobra na krótką metę. W
dłuższym czasie
> okaże się, że wykonano masę niepotrzebnej pracy. Już zetknąłem się z wirusami,
które korzystają z
> konta pocztowego usera. Pobierają dane z outlooka i ślą przez konto
> spam.
Oczywiscie masz racje, po zablokowaniu wyjscia bezposrednio do MXow
spamerzy nie beda mieli wyjscia jak krasc tozsamosci i ustawienia
serwerow poczty wychadzacej, jednak jakosciowo to inny mechanizm, znacznie
latwiejszy do kontroli. Ten spam przejdzie przez serwer submisji dostawcy i
tam moze byc przeanalizowany i przyciety.

Z ciekawostek zamiast/oprocz ciecia 25/tcp mozna rozwazyc filtrowanie
zapytan DNS tnace zapytania o MXy. Outtluk majac wpisany serwer poczty
wychodzacej bedzie sie pytal o rekord A.

--
Jaroslaw "Jaros" Berezowski

do góry

In pl.internet.polip b...@n...pl <b...@n...pl> wrote:

> Polityka wycinania kolejnych portów, blackholingu to jest dobra na krótką metę. W
dłuższym czasie
> okaże się, że wykonano masę niepotrzebnej pracy. Już zetknąłem się z wirusami,
które korzystają z
> konta pocztowego usera.

Chyba nie rozróżniacie w czym rzecz. Właściele botnetów, nie używają ich
tylko i włącznie do rozsyłania spamu/wirusów, nie rozumiem czemu.
Przykładowe wycięcie portu 25 na stacjach end-userów, nie rozwiąże innych
problemów jak flood syn+ack+fin/tcp, flood udp, czy icmp. Wycięcie kontrolera
botnetu, poniekąd ten problem rozwiązuje.

--
ŁT

do góry

In pl.internet.polip b...@n...pl <b...@n...pl> wrote:

> Polityka wycinania kolejnych portów, blackholingu to jest dobra na krótką metę. W
dłuższym czasie
> okaże się, że wykonano masę niepotrzebnej pracy. Już zetknąłem się z wirusami,
które korzystają z
> konta pocztowego usera.

Chyba nie rozróżniacie w czym rzecz. Właściele botnetów, nie używają ich
tylko i włącznie do rozsyłania spamu/wirusów.
Przykładowe wycięcie portu 25 na stacjach end-userów, nie rozwiąże innych
problemów jak flood syn+ack+fin/tcp, flood udp, czy icmp. Wycięcie kontrolera
botnetu, poniekąd ten problem rozwiązuje.


--
ŁT

do góry

Dnia Tue, 6 Jan 2009 13:11:41 +0100, Jaroslaw Berezowski napisał(a):

> Dnia Tue, 06 Jan 2009 11:53:59 +0100, b...@n...pl napisał(a):
>
>>> A co do 25tcp. Dla neo to faktycznie powinno byc blokowane.
>>>
>>
>> Polityka wycinania kolejnych portów, blackholingu to jest dobra na krótką metę. W
dłuższym czasie
>> okaże się, że wykonano masę niepotrzebnej pracy. Już zetknąłem się z wirusami,
które korzystają z
>> konta pocztowego usera. Pobierają dane z outlooka i ślą przez konto
>> spam.
> Oczywiscie masz racje, po zablokowaniu wyjscia bezposrednio do MXow
> spamerzy nie beda mieli wyjscia jak krasc tozsamosci i ustawienia
> serwerow poczty wychadzacej, jednak jakosciowo to inny mechanizm, znacznie
> latwiejszy do kontroli. Ten spam przejdzie przez serwer submisji dostawcy i
> tam moze byc przeanalizowany i przyciety.
>
> Z ciekawostek zamiast/oprocz ciecia 25/tcp mozna rozwazyc filtrowanie
> zapytan DNS tnace zapytania o MXy. Outtluk majac wpisany serwer poczty
> wychodzacej bedzie sie pytal o rekord A.

Przerabialem to ostatnio u siebie.
Typ zapytania nie jest na okreslonym miejscu od poczatku tylko od konca :)
Trzeba zajrzec do srodka pakietu. Nie jest takie proste.

U mnie testowo dzialalo na okolo 3000 klientow.
Dla wiekszej ilosci troche bym sie bal.

do góry

On Jan 6, 8:51 am, robert jakub <r...@r...org.pl> wrote:
>   oj, mam wrazenie jakbym czytal wypowiedzi McColo... dlaczego nas
>   odcieliscie, tracimy duzo kasy na tym, ze nas blokujecie. naszym
>   zrodlem dochodu jest kontrolowanie botnetow i wysylanie spamu
>   czy ddos. ((-;
No cóż, nie jestem w stanie Ci udowodnić, że tak nie jest (tak samo,
jak Ty nie jesteś w stanie udowodnić, że tak jest). Z mojej strony
tylko mogę zapewnić, że się w takie klocki nie bawię. Co więcej, od
paru dni leci sobie tcpdump i loguje cały ruch na zablokowanym IP (w
teorii i tak z niego już nie korzystamy, w praktyce jeszcze mogą być
jakieś stare domeny, które go wskazują - póki co nie widzę nic prócz
standardowych wormów HTTP, paru pobranych pliczków .jpg oraz
regularnych pingów od OVH... i to w tym problem od samego początku,
tam nic innego nie powinno być)

A gdybyś czytał całość dyskusji...

>   oj, bo widzisz. wystarczylo sie skontaktowac z karpiem. wszystko
>   by opowiedzial. ale moze lepiej jest publicznie sie uzalac na polipie?
>   oj... tak. sila polipa - zapomnialem ((-;
... to byś wiedział, że piszę tu z racji olania mnie przez TPCERT.
Chciałęm tylko informację, jak w praktyce wyglądała ta "działalność"
mojego hosta, która uznana została za stwarzanie niebezpieczeństwa.

Pozdrawiam,
--
ru

do góry

robert jakub <r...@r...org.pl> writes:

> oj, bo widzisz. wystarczylo sie skontaktowac z karpiem. wszystko
> by opowiedzial. ale moze lepiej jest publicznie sie uzalac na polipie?
> oj... tak. sila polipa - zapomnialem ((-;

Mam nadzieję, że "wystarczylo skontaktowac sie z karpiem" to nie jest
oficjalne zalecenie do klientów TP, jak mają reklamować problemy...
8-)

A co do siły polipa - dopiero rozkręcenie dyskusji na polipie wywołało
odpowiedź, więc chyba faktycznie.

MJ

do góry

On 6 Sty, 12:42, "b...@n...pl" <b...@n...pl> wrote:
> slawek22 napisał(a):
>
> > Ja mam pytanie techniczne. Czy dodanie prefixu BEZ_OCHRONY- do nazwy
> > użytkownika wyłącza te blokady? Takich informacji mi udzielono na
> > infolinii TP. To prawda? Trochę głupio się zastanawiać czy stronę
> > wycięła TP i mogę z niej jednak skorzystać przez tunel, czy coś na
> > prawdę nie działa.
>
> Nie. Blackholing jest robiony na szkielecie, gdzie nie ma informacji o userach. Po
prostu wszystko
> leci do czarnej dziury.
>
> wer

Dzięki, po drugiej rozmowie na infolinii udzielono mi takich
informacji, więc wyłączyłem BEZ_OCHRONY - z resztą jak mówisz nie
rozwiązuje to problemu.

Jak w ogóle podmiot który ma 90% rynku dostępowego w PL, monopolista
może sobie wycinać na routerach czyjeś witryny. Jakoś dla żadnej innej
sieci np. gimp.org czy timetouptime.com nie jest zagrożeniem. Telefonu
do kogokolwiek odpowiedzialnego za ten skandal też uzyskać niestety
nie mogłem. Z resztą nie byłoby problemu gdyby tą "świetną" usługę
dało się wyłączyć.

Czy taki sam scoring planujecie zaimplementować dla swoich klientów?
Na przykład dla puli IP wykorzystywanej przez neostradę?

IRC-ok, ale w jaki sposób bezpieczeństwo sieci ma poprawić wycięcie
dostępu do WWW? Czy jest dostęp do listy zablokowanych witryn i
scoringu? Jeśli TP ma się zamiar zachowywać jak słoń w składzie
porcelany to chyba wypadałoby upublicznić listę tych komarów które
chce się ubić przy użyciu czołgu (rozwalając przy okazji wszystko
dookoła). Na razie mamy looking glass i infolinię, na której "nie mogą
nic powiedzieć" (z resztą to nie ich wina).

Ktoś tu stwierdził, że poziom infolinii jest niski i pracują tam
niekompetentne osoby. Moim zdaniem to nieprawda. Ja bym sobie życzył
więcej kompetencji w innych działach i bardziej przemyślanych decyzji
a zwłaszcza bardziej przemyślanych decyzji. Na przykład w dziale
związanym z bezpieczeństwem sieciowym ;)

>Wycięcie kontrolera botnetu, poniekąd ten problem rozwiązuje.
Czy witryna GIMP.org jest kontrolerem botnetu?

do góry

> Mam nadzieję, że "wystarczylo skontaktowac sie z karpiem" to nie jest
> oficjalne zalecenie do klientów TP, jak mają reklamować problemy...
> 8-)



O nie! Ja protestuje :-) Nie chce pracowac w Blekitnej Linii! :-)

k.

do góry