eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.internet.polipTPSA nullroutuje nie swoje IP › Re: TPSA nullroutuje nie swoje IP
« poprzedni post
następny post »
  • Data: 2008-11-03 00:30:13
    Temat: Re: TPSA nullroutuje nie swoje IP
    Od: "xarafaxz@[tnij_ta]gmail.com" <xarafaxz@_tnij_ta_gmail.com> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Marcin Kulas wrote:

    > Jest to jakiś argument, ale wtedy Ty masz więcej roboty, jak ktoś
    > z Twojej sieci narozrabia (a w dużych sieciach dzieje się to co chwilę)
    > i to do Ciebie należy potem szukanie kto danego dnia o danej godzinie
    > miał podany IP, by urwać łeb abuserowi i nasikać do szyi, a potem jeszcze
    > dyskutować z poszkodowanymi.
    > Jeśli tego nie będziesz robił, to trachną Ci całą pulę i wtedy możesz
    > mieć problem z utrzymaniem klientów, którym poczta/cokolwiek przestanie
    > do świata docierać.
    > W przypadku stałego IP dajesz strzelbę w ręce poszkodowanego. Jeśli chce,
    > może wyciąć w pień jeden IP i obie strony mają mniej roboty.
    >

    Dzierżawę tj, dokładny czas, adres ip, mac CPE oraz modemu kablowego ładnie
    zrzucam sobie do Postgres-a. I od tego momentu identyfikacja szkodnika to
    mniej niż minuta. Przed spoofingiem zabezpieczają jeszcze inne techniki.
    Jak ktoś korzysta z radius-a i pppoe to są nawet dostępne gotowe
    rozwiązania. Jeżeli chodzi o strzelbę to ma ona niestety duży rozrzut:
    ostatnio mam problemy z firmą trend micro, która umieściła mi 1 adres na
    rbl (jeszcze w 2006, bo był tam nat dla userów, teraz jest firmowa poczta,
    od lat adres jest czysty) a niektóre osoby muszą wysyłać maile do
    instytucji, które z oprogramowania tej, niepoważnej, firmy korzystają.

    > Gdybm chciał zgłaszać każdy spam do abuse/CERT-u, musiałbym to robić
    > automatycznie. Najprawdopodobniej po kilku dniach zostałbym sam wycięty
    > za spamowanie ich skrzynek. Dużo prościej i szybciej jest wycinać
    > od ręki u siebie. Abuse/CERT bym zostawił na grubsze incydenty.
    >
    > Kiedyś z automatu karmiłem SpamCopa. Sprawność takiego mechanizmu
    > była średnia w porównaniu z tym czego używam teraz.
    > Bardziej mi się opłaca utrzymywać własnego RBL-a, którego karmię
    > tym czym chcę, a potem zasilam nim wszystkie swoje maszyny. Mniej
    > roboty i false positives, a więcej pożytku dla klientów.
    >

    Co do zgłoszeń CERT to narazie można powiedzieć że się bardzo nudzę.
    Ostatnie miałem podczas akcji "Simone". Pewnie to zasługa tego że ze
    spambotami w swojej sieci walcze sam. Oczywiście za pomocą automatów jak
    najbardziej. Różnica jest taka że ja zawsze wiem kogo zbanuje, a dla ciebie
    to będzie tylko adres IP za którym po 2h, albo nawet w tej chwili jeżeli to
    NAT, może się kryć niewinna osoba. W ipv6 będzie to można pewnie o 180
    stopni odwrócić, ale do tego długa droga.

    Myślę że powinno powstać ujednolicone prawo i procedury postępowania ze
    zgłoszeniami.

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj

« poprzedni post
następny post »

Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Grupy

Szukaj w grupach

Polecamy

Artykuły promowane

newsletter rss

Eksperci egospodarka.pl

1 1 1

Najnowsze w serwisie

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: