Hejka,

przyszedl mi do mojej malej glowki pomysl, ktorego moj krotki sercz na
googlach nie pokazal, wiec po krotce chcialbym go opisac zeby dowiedziec
sie czy bedzie zainteresowanie czyms takim.

Co powiecie na stworzenie listy uslug sieciowych z ich odpowiednim
pogrupowaniem, tak by mozna bylo jej potem uzyc np. do generowania
regolek dla QoS i/lub firewalla? ja wiem ze jest /etc/services, czy
jakies tam strony z listami portow, ale one nie sa zbyt dobrym zrodlem
informacji, szczegolnie ze pokazuja tylko domyslne porty roznych
aplikacji. A mi chodzilo by o cos bardziej... hmm... flexible.
Lista mogla by wygladac mw. tak:

host protocol port-range group description

np.

any tcp 80 basic "http protocol"
any tcp 443 basic "https protocol"
any tcp 20:21 basic "ftp protocol"
xxx.xxx.xxx.xxx tcp communication "IRC"
xxx.xxx.xxx.xxx tcp xxx communication "Gadu Gadu"
xxx.xxx.xxx.xxx udp xxx game "Battlenet"
xxx.xxx.xxx.xxx udp yyy game "Battlenet Ziutka na nie std. porcie"
itd.

do tego webowy mechanizm dodawania (z autoryzacja wpisow przez adminow)
pozwolilo by to np. we w miare ludzki sposob utrzymac priorytetowanie
uslug takich jak http czy mail na nie std. portach itp.
Rzucam idee... pytanie czy sa na to wogole chetni... a moze slabo
szukalem i jest cos takiego...

--
Goblin

do góry

Osoba podpisana jako Goblin <g...@p...pl> w artykule
<news:4051acc9$1@krzyma> pisze:
> Rzucam idee... pytanie czy sa na to wogole chetni... a moze slabo
> szukalem i jest cos takiego...

Bardzo słabo szukałeś.
http://www.google.pl/search?q=well+known+ports

--
Andrzej P. Woźniak u...@p...onet.pl (zamień z<->h w adresie)
Lepiej nic się nie odzywać i udawać głupiego,
niż się odezwać i rozwiać wszelkie wątpliwosci" (Mark Twain).

do góry

On Fri, 12 Mar 2004 13:16:59 +0100 I had a dream that Goblin <g...@p...pl>
wrote:
> do tego webowy mechanizm dodawania (z autoryzacja wpisow przez adminow)
> pozwolilo by to np. we w miare ludzki sposob utrzymac priorytetowanie
> uslug takich jak http czy mail na nie std. portach itp.
> Rzucam idee... pytanie czy sa na to wogole chetni... a moze slabo
> szukalem i jest cos takiego...

Po pierwsze takie coś zrobi Ci ileśdziesiąt regułek, a jak się człowiek
dobrze zastanowi, to cały QoS ma w kilkunastu regułkach (każda bierze
czas procesora).
Po drugie: wszystkie porty są na sieci opisane :)

--
Grzegorz Janoszka odpowiadając POPRAW adres

UWAGA, mam specyficzne poczucie humoru! Na newsach wyrażam swoje prywatne
specyficzne poglądy, a nie moich byłych, obecnych i przyszłych pracodawców.

do góry

> Bardzo słabo szukałeś.
> http://www.google.pl/search?q=well+known+ports

opatrze i nie widze... przynajmniej w ilus tam linkach od poczatku...
wszystkie daja mw. tyle co /etc/services... nawet jesli wiecej portow
opisanych maja to w takiej formie raczej nie przydadza sie do
automagicznego klasyfikowania ruchu w QoS i nie umozliwiaja powiedzenia
ze na danym zestawie host-port stoi jakas usluga ktora defaulta ma na
innym porcie.

--
Goblin

do góry

Osoba podpisana jako Goblin <g...@p...pl> w artykule
<news:4051c5af@krzyma> pisze:
>> Bardzo słabo szukałeś.
>> http://www.google.pl/search?q=well+known+ports
>
> opatrze i nie widze... przynajmniej w ilus tam linkach od poczatku...
> wszystkie daja mw. tyle co /etc/services... nawet jesli wiecej portow
> opisanych maja to w takiej formie raczej nie przydadza sie do
> automagicznego klasyfikowania ruchu w QoS i nie umozliwiaja powiedzenia
> ze na danym zestawie host-port stoi jakas usluga ktora defaulta ma na
> innym porcie.

Jeśli coś jest nietypowe, to nie pownno być załatwiane bezmyślnie
automagiczną regułką. Przeczy to podstawowym zasadom bezpieczeństwa.

--
Andrzej P. Woźniak u...@p...onet.pl (zamień z<->h w adresie)
...admin z przypadku często pewnych rzeczy nie wie/nie zna/nie umie/
nie ma w zwyczaju. Znam z własnego doświadczenia. A to się potem mści.
Także na nim samym. Mariusz Kruk na pl.comp.os.advocacy

do góry

On Fri, 12 Mar 2004, Goblin wrote:

> wszystkie daja mw. tyle co /etc/services... nawet jesli wiecej portow
> opisanych maja to w takiej formie raczej nie przydadza sie do
> automagicznego klasyfikowania ruchu w QoS

I wlasnie doszedles do sedna.
Sama klasyfikacja tylko po portach od czasu wyjscia Kazaa2 nie da Ci nic
sensownego...
A jakbys chcial wyliczac hosty, to Ci zycia nie starczy...
Po prostu nie tedy droga.


pozdrawiam

majek
--
"If you want something done...do yourself!"
Jean-Baptiste Emmanuel Zorg

do góry

> Jeśli coś jest nietypowe, to nie pownno być załatwiane bezmyślnie
> automagiczną regułką. Przeczy to podstawowym zasadom bezpieczeństwa.

Dlaczego twierdzisz ze bezmyslnie... czy kozystanie z baz antyspamowych
dzialajacych tak jak np. polspam jest bezmyslne i przeczy zasadom bezp.?
a przeciez o mechanizm tego typu by chodzilo... whatever... jak nie ma
takiej potrzeby to nie... :)

--
Goblin.

do góry

> Po pierwsze takie coś zrobi Ci ileśdziesiąt regułek, a jak się człowiek
> dobrze zastanowi, to cały QoS ma w kilkunastu regułkach (każda bierze
> czas procesora).

Wole iles regolek wiecej miec i za to miec lepsze efekty w postaci
zadowolenia userow niz mniej i mniej tegoz zadowolenia...

> Po drugie: wszystkie porty są na sieci opisane :)

w poprzednim poscie pisalem ze to co jest w sieci nie pozwala na dodanie
"unikalnych" uslug i nietypowych zestawow adres-port... ale chyba jak
zwykle wymyslam cos niepotrzebnego ogolnie... a na wlasne potrzeby to mi
plik txt wystarczy... nicto...

--
Goblin.

do góry

Osoba podpisana jako Goblin <g...@p...pl> w artykule
<news:40523f33$1@krzyma> pisze:
>> Jeśli coś jest nietypowe, to nie pownno być załatwiane bezmyślnie
>> automagiczną regułką. Przeczy to podstawowym zasadom bezpieczeństwa.
>
> Dlaczego twierdzisz ze bezmyslnie...

Dlatego, że tak właśnie ludzie robią. Nie twierdzę, że akurat Ty tak
robisz, tylko, że nie powinieneś... Sam piszesz, że chodzi o sprawy
nietypowe, czyli o wyjątki. A wyjątki właśnie dlategosą wyjątkami, że nie
można ich traktować rutynowo.

> czy kozystanie z baz antyspamowych
> dzialajacych tak jak np. polspam jest bezmyslne i przeczy zasadom bezp.?

Bywa. Nie na darmo na mordpliku są zadawane pytania o polecane rbl i ich
restrykcyjność i nie na darmo zawsze pada odpowiedź, że jakiekolwiek
rozwiązanie wybierzesz, i tak będziesz musiał skorygować ich zakres i
zrobić whitelist. Sam polspam też nie był najlepszym rozwiązaniem.
Wreszcie spam nie jest już czymś wyjątkowym czy nietypowym...

> a przeciez o mechanizm tego typu by chodzilo... whatever... jak nie ma
> takiej potrzeby to nie... :)

Nawet ogólne reguły typu "w sieci firmowej blokuj wszystko co się da, w
sieci blokowej ma działać wszystko, co się da" są tylko zaleceniami, a ich
bezmyślne stosowanie przynosi więcej szkody niż pożytku. W obu przypadkach
powinieneś mieć blacklist i whitelist, niekoniecznie na porty czy adresy.
Coraz częściej będą to listy usług, bo do kazaa dołączają kolejne
programy, które mogą korzystać z dobrze znanych (i nieblokowanych) portów.
Na koniec dodam, że niezależnie od tego, co to będą za listy, ze względu
na możliwość ich praktycznego użycia powinny być one jak najkrótsze, czyli
reguły powinny być jak najbardziej ogólne zamiast bardzo szczegółowych, a
taki właśnie drobiazgowy wykaz zamierzałeś sporządzić.

--
Andrzej P. Woźniak u...@p...onet.pl (zamień z<->h w adresie)
Harbour - 32-bitowy kompilator Clippera - już v.0.43 free software
http://www.harbour.pl.eu.org/ (nieaktualna, pliki na ftp)

do góry

On Fri, 12 Mar 2004 23:45:14 +0100 I had a dream that Goblin <g...@p...pl>
wrote:
>> Po pierwsze takie coś zrobi Ci ileśdziesiąt regułek, a jak się człowiek
>> dobrze zastanowi, to cały QoS ma w kilkunastu regułkach (każda bierze
>> czas procesora).
> Wole iles regolek wiecej miec i za to miec lepsze efekty w postaci
> zadowolenia userow niz mniej i mniej tegoz zadowolenia...

Może są tacy, co osiągają zadowolenie userów przy kilku regułkach na
krzyż? :)

--
Grzegorz Janoszka odpowiadając POPRAW adres

UWAGA, mam specyficzne poczucie humoru! Na newsach wyrażam swoje prywatne
specyficzne poglądy, a nie moich byłych, obecnych i przyszłych pracodawców.

do góry