Názory k článku NIX.CZ připravuje obranu proti útokům na české sítě
-
Tomas (neregistrovaný)
Souhlas s nazorem p. Filipa.
A ted trosku z jineho soudku. Chapu ze neni s dnesnimi aplikacemi neni zcela jednoduche naimplementovat DoS ochranu, ale presto. Osobne jsem presvedcen ze by byla nejlepsi ochrana vytvorit uskupeni poskytovatelu, kteri budou pripadne DoS utoky filtrovat na zdroji. O vyfiltrovani podvrzenych IP adres ani nemluve!!
Tedy tlacit na ISP a pripojne body site internetu. Nenechavat to dojit do site a pak resit "jen" dopady.
O tomto konceptu kdy za to jaky bordel kdo pripoji do internetu(ted je mysleno spam a DoS, fake ip) zodpovida poskytovatel/peering, jsem slysel jiz davno. Ted jen nevim proc se vsichni na to vys**li. -
Tak ten "jinej soudek" je hodne velky scifi... Jak by jste takovyhle filtrovani chtel nasadit u tranzitniho operatora? Podle ceho chcete poznat ze to je provoz z podvrzenejch adres? Tohle muzete pznat tak maximalne u nejakyho malyho wifi poskytovatele na jeho pristupovym portu, ale ne u velkejch tranzitnich siti. Kdyby to bylo tak jednoduchy jak si to tady predstavujete tak uz to davno vsichni pzuivaj.
-
Rhinox (neregistrovaný)
Uplne staci, kdyz bude kazdej ISP filtrovat traffic ze sve site. Zamezit spoofovani zdrojovych adres, a problem je vyresen. Dal bych to jako podminku k prideleni adresniho prostoru, a ICANN/IANA by si to mel pohlidat...
Tychle aktivity NIX-u sice vitam, jenze filtrovat ddos na strane prijemce je podstatne vetsi problem, nez filtrovat odchozi traffic u ISP...
-
Rhinox (neregistrovaný)
Kolik bude takovejch uzivatelu? 0.1%? Vem to das, no at jich je u koncoveho ISP trebas tisic (a to uz je lehce nadprumer, ISP kterej ma milion klientu). To snad neni problem vytvorit tolik vyjimek ve filtrovani? Mimochodem, znam jednoho spis mensiho regionalniho ISP. Ma par tisic ne-firemnich klientu. Dle jeho slov vyjimky ve filtrovani zdrojovych adres musel delat pro dva (!) klienty...
Vono zduvodnit si proc neco nejde udelat je vzdy snazsi, nez neco udelat. Takze kdyz budeme jeste chvili hledat, jiste najdeme neco, proc to udelat nejde...
-
Problém není ve výjimkách u koncového ISP. Problém je v tom, že by těmi výjimkami ISP porušil ta vaše pravidla ICANN/IANA. Nebo by ta pravidla nemohla být tak tvrdá, a pak by zase byl problém s jejich kontrolou a vymáháním.
Já neříkám, že to nejde. Mně by se dokonce líbilo, kdyby každý vlastník sítě byl zodpovědný za provoz do ostatních sítí ve větším rozsahu, než jenom že má správné odchozí adresy. Ale jde o to, jak to udělat tak, aby to pokud možno nepostihlo legitimní provoz a aby to bylo reálně použitelné.
-
petík (neregistrovaný)
Podle mě je pro situaci výjimek nutné aplikovat odlišná pravidla. Ty packety prostě budou méněcenné (ISP o nich bude vědět) a pokud bude "výjimečná situace" (=běžný neomezený internet nepojede a bude snaha aktivovat omezený internet), tak se daleko nedostanou. Pokud bude "běžná situace", tak výjimky budou normálně procházet.
Vyhlášení příslušného "výjimečného stavu" provede centrálně pro stát pověřená organizace. Realizace změny chování provede nějaký automatický skript u ISP zapojených do "bezpečné sítě".
Pokud se nebude nikdo chtít ujmout té odpovědnosti, tak ISP jen dostane informaci, že jiné ISP s ním chce komunikovat jen v "bezpečném režimu" a že mu tedy má svůj tok vyčistit na požadovanou úroveň.
Toto všechno by mělo běžet "automaticky" - tedy ne že někdo začne telefonovat jinému ISP, ale že se dohodnutým protokolem SW jednoho ISP spojí se SW druhého ISP a předají si své požadavky.
-
j (neregistrovaný)
jasne, takze kdyz si ja dohodnu konektivitu se dvema (nebo vice) ISPckama, tak jeste budu muset misto prosty konfigurace bgpcka nebo neceho podobnyho reportovat - nejlepe vlastni krvi podespany a notasky overeny - IPcka, ktery zrovna hodlam pouzivat ... a to nejspis i vcetne toho, ze hodlam posilat (trebas) pakety se zdrojovou IP jednoho pres spojeni druheho ISP ...
Kazdyho kdo zacne jen premejslet o filtrovani netu by bylo treba pribit na nejblizsi vrata!
-
Připravující se na kariéru mstícího se útočníka (neregistrovaný)
V klidu, myslím že pod tímto článkem budou kromě tebe jen zaplacení jedinci.
Co se vlastní myšlenky v článku týká. Není špatná, ale ani světoborná (navíc bylo router zmíněn jako by o něm všichni věděli). Myslím, ale že dnes to řeší společnosti podobně akorát na úrovni více propojení.
Co se týká snahy vyvolat chaos a vnutit všem myšlenku "pokud to neuděláme sami stát nás přinutí"... Být vaším zákazníkem, už jen kvůli tomu bych úplně zastavil a hodně dlouho (jak sám uznám za vhodné) přemýšlel zda vůbec o služby NIXu a NICu stojím.
Kdyby stát tlačil i na uživatele vašich služeb... opustit příliš znepříjemňovaný byznys, nebo zemi kde služby poskytuji, či mám jen sídlo, je řešení které bych bral také v úvahu.Já jako zákazník vašich zákazníků o extra bezpečné připojení nestojím. Naopak chci ještě větší uvolnění pravidel která jsou na mne aplikována a nemohu služby vypovědět protože neexistuje adekvátní konkurence. U některých služeb ale již dnes schází jen pověstná kapka abych je přestal definitivně odebírat úplně a trvale (řekněme na rok, dva a pak vyzkoušel k jakým změnám došlo).
-
martin kalenda (neregistrovaný)
podle me to neni nirvana ale lepsi nez nic. opravdu si myslim ze je cas na sw reseni. ale je to boj s mlyny v soucasne dobe testovani rev proxy na cca stovce serveru a nepolozi. chtelo byto nejakej segment kam to nasmerovat (tj neco jako blackhole ale na obet) a tam to prohnat klasickym firewallem.
tj penize by se meli rvat do obecneho reseni jako sdilenej segment pro stat banky a vse "lokalni" je sice fajn ale to muzeme udelat takovej czechternet a odriznout internet uplne. tj pracovat na "routeros/ios" pro x86 i za cenu nutnosti v dc tahat fyzicky 20ti metrovej kabel fyzicky behem utoku
-
Tak znovu. Jak chcete urcit kterej provoz ma filtrovat tranzitni AS? Prosim poradne odbornikum kteri takovehle veci resi denne jak to maji delat a kde maji vzit informaci ktere IP adresy mame a ktere nemame preposilat? Existuji samozrejme filtry na BGP, ale tim nevyresite zdaleka vsechno. Vy si pod pojmem ISP porad prestavujete mistniho wifi poskytovatele s jednim uplinkem, ale takhle internet opravdu nevypada.
-
j (neregistrovaný)
Oni predpokladaji, ze ty male k filtrovani donuti a koho nedonuti toho odpoji ... a tranzitum naridej, ze nesmej tranzitovat nic z neschvalenych siti ... ;D.
Takze rozparcelujeme net na pidisite vsemoznych zajmovych uskupeni, protoze jakasi pravidla jakehosi NIXu nikdo dodrzovat nebude. On tady totiz zjevne nekdo nechape, ze pokud chce nekdo provozovat nejaky ten "velky business", tak mu nic nebrani v tom, poridit si vyhrazene linky(a klidne az ke svym koncakum) - coz samosebou plati i pro statni spravu.
BTW: Sem koukal, ze data od meho ISP uz pres NIX temer netecou, a zjevne neni jediny, kdo od nich dava ruce pryc.
-
petík (neregistrovaný)
K odpojení "nespolehlivých" dojde jen v době útoku, který by jinak vedl k nefunkčnosti všeho. To znamená, že v tomto výjimečném stavu pojede aspoň něco - prostě podmnožina síťového provozu, ekvivalent ostrovního režimu u energetických přenosových sítí.
Stejně toto řeší jen podvrženou zdrojovou IP adresu. Pokud dojde k útoku z botnetu, který leží i ve "spolehlivých" sítích, tak bude docházet k odpojování mnoha uživatelů schovaných za NATem s útočníkem - což ale povede jen k urychlení přechodu na IPv6.
Skoro bych navrhoval řešit tuto "spolehlivou" síť jen nad IPv6 :-)
-
Realista (neregistrovaný)
To je přeci jasné - soudit se budete muset s tím kdo se vám zavázal že ta VPN připojení budou stále funkční. V případě že se vám k tomuto nikdo nezavázal se nejspíš soudit nebude mít cenu. Americký model že se zásadně soudím vždy a když není s kým tak si někoho náhodně vyberu bych k nám netahal.
-
m (neregistrovaný)
Vacsina providerov ma vo svojich standartnych VOP napisane, ze garantuju poskytovanu rychlost pripojenia, odozvu a stabilitu len vramci svojej siete.
Ak chcete superspolahlivu vpn tak si hold musite vyriesit nejaky prenajaty okruh hoc napriec viacerymi providermi. Takto sa to v mission critical situaciach casto robi avsak nerarajte s tym, ze to bude za par drobnych. Vacsnou to cele zastresi jeden vas primarny operator. Sudit potom mozete jeho :-)
-
Realista (neregistrovaný)
Tak to máte asi na Slovensku lepší ISP. Neznám jediného českého ISP který by takové silné tvrzení ve VOP měl - nejspíš to tam nedávají právě proto aby si mohli dělat co chtějí a nebylo možné se s nimi soudit. Jiná věc je že se stabilitu ve své síti rozumní ISP snaží udržovat čistě jen proto aby nebyli horší než konkurence - ale jak už jsem napsal, smluvně se k tomu zákazníkům nezavazují.
-
j (neregistrovaný)
A co myslis, ze asi tak udela ten "nespolehlivy" ??? Hmmm ?? nj, naoplatku odstreli cely tvoje ASko a klientum rozesle, ze tahle sit nebude dostupna, nebot ji provozujou idioti. A sem vazne zvedav, jak to budes vysvetlovat svym klientum ... uz to vidim jako zivy. "no vite, on probihal nejaky ten dos, a tak sme si z vlastni vule odstrelili pulku internetu ... a oni se snami ted taky nechteji bavit" ...
Uz vidim, jak budes korejcum v nosovicich vysvetlovat, ze korejskej provider te ma vprdeli, ale tys ho zablokoval, protoze on ti na tvoje pravidla kasle. A oni kvuli tomu nemohli dva dny komunikovat domu, cimz si jim zpusobil 10M$ skodu ... hmm ...
-
KapitanRUM (neregistrovaný)
Jak jsem tady nadával na CZ.NIC s tím jejich projektem "čtvrté říše" nebo jak tomu říkají, tak těmto lidem držím palce, je to dobrovolné, velmi pěkně řešené, nikdo není do ničeho nucen a může se rozhodnout, jestli ten provoz chce řešit u sebe, nebo odstřihnout včas. MOC pěkné!
-
Připravující se na kariéru mstícího se útočníka (neregistrovaný)
Google (radši bych dal od něj ruce pryč, jeho služby katastrofa důvera ve nezneužívání nula) vás prý také ochrání před DDOS útokem. Přesměruje prý útok do své sítě, která ho pohltí. To jsem četl jako "jedno-větnou "zprávu" na Živě".
Zmíněn je i další komerční subjekt Cloudflare (jenž to má řešit podobně), takže nemyslím že pokud tohle potřebuje někdo řešit musí nutně přistupovat na hru NIXu.
Myslím že méně se spoléhat na služby NIXu a volit raději více úzkoprofilových cestiček by bylo obecně lepší. Když vás to tak udělá dostatek tak konečně bude Internet vypadat tak jak by měl (co nejvíce bodů propojených s co nejvíce body), pak již jen zrušit úplně všechna zbytečná omezení ať data tečou. -
j (neregistrovaný)
Takovej nebezpecnej nazor ... bacha na to, brzo te prijdou zastrelit ... vis jak me tu dycky kritizujou za to, kdyz reknu ze nechapu, proc dva ISP ve stejnym meste a stejny mistnosti stejnyho baraku nemaj mezi sebou propoj, a kdyz se bavim se sousedem, leze to pres NIX?
Osobne se budu ovsem nejvic smat, az to zrealizujou, a zjistej, ze je to uplne khownu. Neni nic snazsiho, nez provozovat DDOS z realnych IPcek ... a neni nic jednodussiho, nez z kazdyho stroje vygenerovat nekolik malo kbit ... zcela "korektniho" provozu. Kdyz tech stroju bude dost, tak se muzou jit klouzat => vymejsli se tu naprosta hovadina.
-
p (neregistrovaný)
Nevim, kdo s touto myslenkou prisel jako prvni, ale minimalne v DE-CIXu uz blackholing bezi: http://de-cix.net/products-services/de-cix-frankfurt/blackholing/
-
- Digital Broadcast Engineer
- Junior/senior IT Business analytik/čka
- Technical Project Manager - SCRUM Master
- JAVA DEVELOPER HPP i IČO
- IT Business Analyst
- Junior Java Developer
-
- Zkušenosti generála tajné služby: Práce s informacemi
- Projektové řízení krok za krokem
- Seznamy na SharePointu 3: zobrazení pro přehlednou práci s daty
- Seznamy na SharePointu 1: vytvářejte seznamy a sloupce
- Jak začít s budováním značky zaměstnavatele (Employer Branding)
- Jak správně napsat pracovní inzerát
-
- Junior/senior IT Business analytik/čka
- JAVA DEVELOPER HPP i IČO
- IT Service Manager (m/ž)
- IT Business Analyst
- Tester
- Senior/Medior Java Developer
-
- No More Czenglish I
- Zkušenosti generála tajné služby: Práce s informacemi
- NLP koučink II. - Praktické techniky pro život
- Seznamy na SharePointu 3: zobrazení pro přehlednou práci s daty
- Jak správně napsat pracovní inzerát
- Německé předložky stručně a jasně
ČLÁNKY DO MAILU