Niby sytuacja znana od dawna, ale dalej nikt nic nie sprawdza przed zablokowaniem. Jakiś mail ostrzegawczy czy coś w tym typie. Poza tym zero reakcji na akcje administratorów zablokowanych serwerów. Jakaś kultura powinna być.
Dokładnie, temat nie jest już taki nowy, więc nie wiem czy wart wykopywania. Inna rzecz, że jeżeli robią to dla bezpieczeństwa użytkowników, to chyba można to zrozumieć.
@Bexftk: "ale to przecież nic nowego już od jakiegoś czasu tepsa w trosce o użytkowników blokowała/blokuje podejrzane strony w rodzaju gimp.org"
Rozumiem, że ktoś może czuć się blokadą jego serwisu poszkodowany ale to co napisałeś to czystej wody populizm. Powodem blokady nie była strona. Pod tym samym adresem co serwer HTTP działał serwer IRC, który wg. TP CERT zagrażał bezpieczeństwu ich sieci.
Aktualnie adresy www.gimp.org (128.101.240.213) oraz irc.gimp.org (92.33.0.168) są różne i nie są aktualnie blackhole'owane.
Wszyscy poważni administratorzy sieci WAN stosują czasem blackholing czyli kierowanie części ruchu donikąd w sytuacji gdy ruch ten zagraża ich sieci: ataki DoS, sterowanie botnetem wewnątrz sieci itp.
Jedyne co wyróżnia TP CERT to fakt, że robi to systemowo i się tym chwali.
To od administratorów sieci i serwerów zależy czy ich infrastruktura będzie stanowiła zagrożenie dla innych użytkowników internetu.
Nikt nie miałby TPSA blackholingu w obecnej formie za złe, gdyby kontaktowali się z adminami blokowanych serwerów, albo przynajmniej im sensownie odpowiadali. Niestety z listą złych IP niskiej jakości takie kwiatki będą powszechne.
>To od administratorów sieci i serwerów zależy czy ich infrastruktura będzie stanowiła zagrożenie dla innych użytkowników internetu.
Problem polega na tym, że TPSA do niedawna nie podejmowała kroków związanych z "uzdrowieniem" własnej infrastruktury. Blackholują przecież nieswoje IP.
@Makdaam: "Nikt nie miałby TPSA blackholingu w obecnej formie za złe, gdyby kontaktowali się z adminami blokowanych serwerów, albo przynajmniej im sensownie odpowiadali. Niestety z listą złych IP niskiej jakości takie kwiatki będą powszechne."
Nikt się nie kontaktuje bo o ile pamiętam proces jest w dużym stopniu zautomatyzowany. Poza tym ciężko skontaktować się z blackhole'wanym hostem.
Każdy administrator sieci/serwera powinien śledzić ruch i odpowiednio reagować zanim zacznie stanowić to zagrożenie dla innych sieci.
Sugerujesz, że można trafić do :997 bez powodu?
@Makdaam: "Problem polega na tym, że TPSA do niedawna nie podejmowała kroków związanych z "uzdrowieniem" własnej infrastruktury. Blackholują przecież nieswoje IP."
A jakie mają inne wyjście, jakoś się przecież bronić trzeba? Filtrowanie po usługach na taką skalę jest nierealne.
Przecież tak samo robi się ze spamem.
Poza tym gdy wprowadzono, w dodatku o ile pamiętam opcjonalną, blokadę portu 25 zamiast aplauzu był jeszcze większy raban.
"Każdy administrator sieci/serwera powinien śledzić ruch i odpowiednio reagować zanim zacznie stanowić to zagrożenie dla innych sieci."
Mam uprawnienia operatora w tej sieci, więc widzę co się dzieje - i gwarantuję, że żadnych botnetów itp nie ma. A co innego na ircu może stwarzać zagrożenie dla innych?
@k4be: "gwarantuję, że żadnych botnetów itp nie ma. A co innego na ircu może stwarzać zagrożenie dla innych?"
O ile rozumiem intencję TP CERT to chodzi o odcięcie właścicieli bootnet'ów od kontrolowanych przez nich zombie w sieci TP.
Nie znam się zbytnio na IRCu ale możliwe, że trzeba wdrożyć jakieś mechanizmy uwierzytelniania, K-line wg. jakiegoś wiarygodnego RBLa, postawić boota CAPTCHA, filtrować komunikaty na obecność znanych sygnatur poleceń sterujących bootnet'ów itp.
Filtrowanie poleceń jest. A same boty WIDAĆ - to dziesiątki, albo setki użytkowników łączących się i zachowujących się w charakterystyczny sposób. W tak małej sieci takie coś jest od razu widoczne (każdy łączący się użytkownik powoduje wysłanie komunikatu do operatorów), i można z łatwością usunąć albo zablokować. Wiem, bo raz już były.
@NotMe
>Nikt się nie kontaktuje bo o ile pamiętam proces jest w dużym stopniu zautomatyzowany.
Jak to wpływa na sprawność odpowiadania adminom zablokowanych serwerów?
>Sugerujesz, że można trafić do :997 bez powodu?
Takie sugestie padły już dawno na polipie, gdy irc.pl dodał filtrowanie po RBLach i odpowiedzi na /version i nic to nie pomogło (ani nie zmniejszyło liczby użytkowników, ani nie spowodowało zmniejszenia punktacji na blackliście).
>Filtrowanie po usługach na taką skalę jest nierealne.
To chyba przyszedł do TPSA ktoś kto nie wiedział, że się nie da i filtrują port 25. Może po prostu ktoś przeczytał polipową dyskusję nt. blackholingu w TP i wprowadził taką blokadę?
>zamiast aplauzu był jeszcze większy raban.
Medialny szum, przecież można port 25 odblokować przez prefix przy logowaniu.
>Nie znam się zbytnio na IRCu ale możliwe, że trzeba wdrożyć jakieś mechanizmy uwierzytelniania, K-line wg. jakiegoś wiarygodnego RBLa, postawić boota CAPTCHA, filtrować komunikaty...
...spalić modem w mikrofalówce w czasie gdy wykręca impulsowo 0202122, ale tak, żeby wykręcanie 1 przypadło dokłanie o północy przy pełni księżyca...
Przy obecnym zainteresowaniu ludzi IRCem naprawdę wystarczy sprawny admin.
Nie interesowałem się szczególnie tą sprawą jako, że z IRC'em od dawna nie mam do czynienia.
Wygląda na to, że nie działa to zbyt dobrze.
Mimo wszystko myślę, że wykop nie jest zbyt dobrym miejscem na takie informacje - ludzie wykopują głównie na hasło "TP blokuje" analogicznie jak w przypadku blokady portu 25.
Pamiętam czasy gdy, o ironio, to IRCNet blokował użytkowników TP. Słusznie zresztą - dla tych co nie wiedzą: ze względu na brak możliwości identyfikacji szkodników, w czasach dial-up'u wszyscy używali loginu ppp i takiegoż hasła, a IPki były zmienne, więc wycięto całą sieć TP.
Niestety chyba użytkownicy IRC obecnie są już mniejszością zagrożoną wyginięciem. Pozostaje mieć nadzieję na pomoc UKE.
PS: Pisząc o filtrowaniu miałem na myśli głęboką inspekcję ruchu wychodzącego od klientów TP.
Komentarze (16)
Reklamy Google
-
-
-
Otomoto.plChevrolet Corvette KRAKOW, 189000 PLN
BMW 320 Terespol, 50000 PLN
Opel Movano L3H2 Z Niemiec 100% Bezwypadkowy Grudziąz, 23500 PLN