Vlákno názorů k článku Síťařské desatero při připojování sítě do internetu od Zen - " A některé služby internetu, respektive protokoly, nechceme...
-
Zen (neregistrovaný)
" A některé služby internetu, respektive protokoly, nechceme vnitřním systémům naší sítě zpřístupnit (tj. „nechceme je pustit ven“). Typicky to mohou být poštovní služby protokolu SMTP (TCP/25), kdy chceme případně napadeným systémům zabránit v přímém rozesílání spamu."
A uzivatele nas budou lyncovat, protoze nebudou moci poslat postu pres svuj postovni server. IMHO je dalaeko vhodnejsi monitorovat provoz na "postovnich" portech (nejen! port 25) a v pripade abnormalniho vzrustu provozu zakrocit.
"Ale praxe ukazuje, že je vhodné i u menších sítí aplikovat minimálně pravidlo, že dovnitř sítě pustíme pouze pakety již navázaných TCP spojení."
Cimz efektivne zakazeme veskere sluzby poskytovane ven, ze. Navstevu rozzureneho spravce serveru/aplikace muzeme ocekavat v blizke budoucnosti (dobu, nez dotycny zjisti, odkud vitr fouka venujeme nacviku bojovych umeni).
-
Ondřej CaletkaZlatý podporovatelA uzivatele nas budou lyncovat, protoze nebudou moci poslat postu pres svuj postovni server. IMHO je dalaeko vhodnejsi monitorovat provoz na "postovnich" portech (nejen! port 25) a v pripade abnormalniho vzrustu provozu zakrocit.
Pro předávání pošty relaying mailserveru slouží port tcp/587, služba submission. Používat pro takové účely port tcp/25 je vzhledem k současnému stavu internetu nerozumné.
"Ale praxe ukazuje, že je vhodné i u menších sítí aplikovat minimálně pravidlo, že dovnitř sítě pustíme pouze pakety již navázaných TCP spojení."
Cimz efektivne zakazeme veskere sluzby poskytovane ven, ze.Tohle je praxe z doby, kdy byl dostatek IPv4 adres na oadresování všech zařízení, tedy i stanic. Dneska stejný účel mimoděk splní NAT, a těch pár veřejných adres, které dotyčná síť vyžebrá bude jistě použito především na serverové služby.
-
„tak vazne enni aniz adny duvod resit zrovna port 25 nejak extra.“
Zrovna 25 by se za předpokladu, že všichni budou používat submission port, řešila docela hezky a to opt-out blokováním kdy jen ti, kteří skutečně chtějí provozovat poštovní server si vyžádají od providera odblokování. Neříkám, zda je to dobře nebo špatně, ale v praxi na blokovanou či podmínečně blokovanou 25 narážím velmi často a provozovatelé daných sítí to za dobrý nápad považují.
-
Ja som klientom jednej takej siete a povazujem to tiez za dobry napad. Uz len kvoli tomu, ze ak chcem prevadzkovat svoj smtp-out server na adrese z rozsahu tohto providera, je ovela mensia sanca, ze sa cely rozsah dostane na blacklisty kvoli zopar somarom. Problem je, ak to dany provider neodblokuje ani na poziadanie, to je uz iny pripad.
-
j (neregistrovaný)
Somar je tak leda ten isp, tvuj rozsah dostanu na blacklist lusknutim prstu ... on to nekdo normalni pouziva? Vazne nevim, proc bych se mel s nekym dohadovat o tom, jaky porty budu smet milostive na sve zaplacene lince pouzivat.
BTW: Kdyz sme u toho, dle RFC by meli vsichni pro odesilani pouzivat mailserver providera => mel by pro vsechny svoje ovecky fungovat jako open relay.
-
„Kdyz sme u toho, dle RFC by meli vsichni pro odesilani pouzivat mailserver providera“
To je pěkná cypovina. Teda netvrdím, že to v nějakém RFC není napsané, od té doby, co o standardech něco vím, tak bych za ně ruku do ohně nedal. Ale kvůli podobně jalovým nápadům (v kontextu doby a použití, samozřejmě) jako je tento, vypadá elektronická pošta tak, jak vypadá.
-
Praktik (neregistrovaný)
Takhle to ale v praxi nefunguje. Mnohem důležitější než jakási blízkost serveru je jeho spolehlivost - takže je mnohem výhodnější posílat maily přes svůj prověřený spolehlivý server, než přes nějaký náhodně vylosovaný jen proto že je "nejbližší". Navíc pro tu vaši teorii "nejbližšího serveru" není žádná opora ani v klientském software - tam se prostě nastavuje jeden SMTP server a hotovo, žádné měnění v závislosti na tom jaké je zrovna síťové připojení jsem ještě neviděl.
-
UnInformed (neregistrovaný)
Si ještě matně pamatuji, že když v Česku Internet a e-mail začínal, tak se i doporučovalo dávat do "adresy" mail servery které se mají použít. Možná jich svého času někdo používal i více (mělo to jít - řetěz mail serverů až k tomu se schrankou). Nebylo to ale prakticky třeba dělat, veřejný (free) mail tehdy fungoval celkem spolehlivě.
Jestli to ještě dnes, u veřejných mail-serverů, funguje nevím. Tím myslím, zda se ty servery těchto instrunkcí drží, nebo jedou podle vlastních pravidel.
Nějaké experimenty z poslední doby?
-
j (neregistrovaný)
SMTP server posila DHCP, kazdej rozumnej klient si to umi vzit. A da se predpokladat, ze server providera ke kterymu sem prave pripojen je z pohledu site radove spolehlivejsi, nez server nekde na druhy strane planety ... ke keterymu se aktualne trebas ani nepripojim, protoste proto, ze nekde cestou zrovna neco nejde.
-
Praktik (neregistrovaný)
Ano, do DHCP se dá nacpat kdeco, ale problém je vždy s tím najít klienty kteří to dokáží používat. "kazdej rozumnej klient si to umi vzit" prostě není pravda. A co se týká spolehlivosti serverů na druhý straně planety tak možná žiju na jiný planetě, ale já s tím problém nemám. Pořádný server na pořádném hardware s patřičnou redundancí (včetně síťového připojení) u kvalitního providera je pro mě dostatečně spolehlivý, nemám důvod místo toho své maily svěřovat nějakému náhodnému SMTP serveru u kterého nemám zaručeno vůbec nic.
Za svých mladých let jsem instaloval SMTP servery i ve firmách které měly pouze občas vytočený dial-up, maily se tím přenášet daly (ve spolupráci se SMTP serverem u providera), ale od té doby už se toho hodně změnilo, dnes už je všude kde se pohybuje dostatek lidí připojení k internetu natolik spolehlivé že se na podobné hacky už naštěstí můžeme vykašlat.
-
Sten (neregistrovaný)
A uzivatele nas budou lyncovat, protoze nebudou moci poslat postu pres svuj postovni server. IMHO je dalaeko vhodnejsi monitorovat provoz na "postovnich" portech (nejen! port 25) a v pripade abnormalniho vzrustu provozu zakrocit.
Pro odesílání pošty slouží port 587. Abnormální provoz na jiných portech než 25 nechť si řídí samy poštovní servery. Ono úplně stačí, když někdo použije TLS, a nemáte podle čeho zakročovat (posílá ta stanice 50 000 spamů nebo jen fotky z dovolené?).
Cimz efektivne zakazeme veskere sluzby poskytovane ven, ze. Navstevu rozzureneho spravce serveru/aplikace muzeme ocekavat v blizke budoucnosti (dobu, nez dotycny zjisti, odkud vitr fouka venujeme nacviku bojovych umeni).
Veškeré P2P služby stejně používají hole punching a serverové služby v malých sítích si holt musí vyjednat výjimku.
-
Z vlastního zařízení, které není v síti, si samozřejmě může uživatel dělat cokoliv. :-)
Síťaři ale musí zabezpečit, aby si uživatel to vlastní zařízení nemohl zapojit do firemní sítě. Jedno shození portu na catalystu píchnutím nefiremního notebooku do zásuvky, které navíc automaticky založí bezpečnostní incident, uživatele poučí :-) -
Tak k realitě. Pro všechny tyto případy je určená "návštěvnická síť". Pokud se někdo připojí do interní sítě, systém ho obratem "bonzne".
Případně na jiné síti (opět z praxe) se po připojení nefiremního zařízení zablokuje port na switchi.
Ale setkal jsem se i se sítěmi, kde si každý dělal co chtěl. Naštěstí od takových můžu dát ruce pryč :-)
-
Ovšem za předpokladu, že používají HTTP, protože v sítích, kde je požadována vyšší bezpečnost je HTTPS povoleno jenom na předem definované servery :-)
Moje původní myšlenka ale byla o tom, jak nastavovat a obcházet odesílání soukromé pošty. Spíš to, že schvaluji "zakázat pětadvacítku" na i na "benevolentních" firemních sítích, protože pak si někdo přinese domácí notebook (kde nemá antivir a "pracuje" pod adminem) a najednou se začnete divit, proč je vaše IP adresa na SPAM listu... Mimochodem, to je příklad z praxe, ne teorie :-)
-
j (neregistrovaný)
Jop ... uz sem jednomu BFUcku resil tunelovani cehokoli v html ... fungovalo to vpohode. (samo, upozornil sem ho predem, ze se to dotycnemu provozovateli site asi moc libit nebude)
Mimochodem, realita je ta, ze mailserver rozhodne nebezi na IPcku gw do netu, tohle muze provozovat leda blazen. Prave proto, ze pres tu GW muze lozit ledacos. Sam se o neco takovyho staram, a presto ze GW a predstrceny postfix mezi na jednom stroji, tak to ma ruzne IPcka.
-
Martin Pustka (neregistrovaný)
Jen dodám, že cílem článku bylo sepsat několik základních pravidel, která by síťař měl zajistit při připojení sítě do Internetu tak, aby alespoň omezil rizika technického zneužití své sítě nebo její kompromitaci třeba pro některé typy útoků.
Moje praxe i tato diskuse pod článkem ukazuje, že některá z pravidel nejsou známa nebo nejsou aplikována a to bez ohledu na to z jaké jsou sféry jsou administrátoři. Zajištění směrování, filtrace by se měly aplikovat nejen v univerzitních sítích.
