On 2009-01-05 23:03, fijam7@gmail.com wrote:
> Sam zdaje się napisałem nieco zbyt skrótowo i czuję się w obowiązku
> kilka myśli rozwinąć. Ale to dobrze, jest miejsce do dyskusji.
>
> Zacznę może od dwóch spraw, które zdaje się źle zinterpretowałeś. Po
> pierwsze - Blue Line. [...] Kropka. Nawet jeśli sam bym jej nie
> przeczytał, nie miałbym nic do zarzucenia.
Masz oczywiście rację. Moim skromnym zdaniem.
> Ale należy tu dostrzec pewien dualizm - i to jest właśnie ta druga
> sprawa - czym innym jest odcięcie zarażonej maszyny Anny K. od sieci,
> a czym innym mnie w roli klienta jakiejś usługi - od zarażonego
> serwera.
Oczywiście, ale zwróć uwagę, że prawdopodobnie po prostu na starcie
inaczej się nie dało. I należy zrozumieć Twoje decyzje (nie chciałem
Cię ani nikogo urazić mówiąc o piaskownicach, przepraszam jeśli tak
się stało), tylko weź pod uwagę realia - nie chodzi o 'polski'
internet, tylko o światowy internet. Nie ma znaczenia czy zaatakuje
dzisiaj wp.pl czy washingtonpost.com - obie strony są dokładnie
'tak daleko' z mojego punktu widzenia. Wszystko stało się globalne,
czy się to komuś podoba czy nie. Zagrożenia również.
Jasne, że klienci w niewiedzy lub z pełną świadomością - będą
odchodzić od takiego operatora. Ale odnoszę wrażenie, że prędzej
czy później takie zabezpieczenia staną się standardem oferowanym
dokładnie w takiej formie jak dzisiaj pudełko z routerem z portem
USB - plug'n'play. Staną się doskonalsze, będą w stanie rozpoznać
więcej zagrożeń, blokować bardziej wybiórczo - ale coś trzeba robić
żeby mogły być doskonalsze.
BGP flowspec? Fajnie, ale jak ludzie od architektury routerów nowej
generacji zobaczyli, że ktoś od bezpieczeństwa chce im wcisnąć
na głowę walczenie w stylu stanowego firewalla do sieci szkieletowej,
ktoś złapał się za głowę i powiedział - stop - to trochę chyba nie
tak. W czasach, gdy powstają projekty takie jak LISP[1], bo widać
już że skalowanie tablic routingu w sieci IPv6 z punktu widzenia
dzisiejszej technologii wygląda słabo, nikt nie będzie rozważał tego
typu zastosowań do skali milionów wpisów. Generalnie oprócz
usług 'dla klienta' powoli konsensus że firewall dobrze mieć staje
się dyskusyjny - prościej zDoSować usługę za firewallem niż bez niej,
biorąc pod uwagę rozwój mocy obliczeniowej i skalowalności serwerów
na których usługi pracują. Stąd powstają inne technologie, które
dadzą - być może - dokładność filtrowania ruchu na poziomie
'behawioralnej analizy ruchu sieciowego' (haha :) ), ale zwróć
uwagę na wzorzec - zróbmy coś, co da się wykonać *dzisiaj* (flowspec
i wielkie kudos dla Roberta Raszuka), a po drodze dopracujemy się
czegoś co da nam szansę za rok, dwa, pięć.
> Jeśli ktoś wykorzystał jeden z dziesiątków kanałów na owym ircu do próby
> kontrolowania botnetu (takie ciche założenie poczyniłem we wszystkich
> wymienionych przeze mnie przypadkach w poprzednim poście -
> przekonująca jest już sama argumentacja p. Rafała o zagrożeniach dot.
> wirtualizacji w różnych serwerowniach), odcina to wszystkich
> użytkowników wszystkich usług tej maszyny pochodzących z sieci&tp.
Ależ oczywiście, ale patrz wyżej - dokładność przyjdzie z czasem.
Myślę, że aktualna dokładność jest akceptowalna dla większości
użytkowników.
> Nic nie zabrania rozszerzyć tej listy (czy dodać dostawców
> owych list) punktując *na przykład* serwery TOR (wg osobnych
> kryteriów oczywiście). I nie ma żadnych gwarancji co do tego jakie
> adresy będą wycinane a jakie nie za, powiedzmy, pół roku. W dużych
> korporacjach nie wszystkie decyzje podejmują najlepsi do tego
> ludzie.
Oczywiście. I dlatego napisałem, że nie lubię dużych korporacji :)
> Gdyby była to opcja, domyślnie włączona dla wszystkich użytkowników,
> ale dająca się wyłączyć przez klienta, któremu na tym zależy, to
> bym temu tylko przyklasnął i przytupnął. Bo jak napisałem kilka
> zdań powyżej, z czasem problem pewnie rozwiązał by się sam.
Zgadzam się z tym co napisałeś, tylko weź pod uwagę, że (z całym
szacunkiem), prawdopodobnie nie jesteś w stanie 24h na dobę
monitorować ruchu do/z sieci generowanego z Twojego komputera,
sieci, etc tak dokładnie, jak zespoły ludzi pracujące non-stop.
Co więcej (znowu - z całym szacunkiem), pewnie nie znasz każdej
technologii a już z dużym prawdopodobieństwem - czołówki aktualnej
radosnej twórczości botnetoszkodników. A taki zespół ma większe
prawdopodobieństwo znać, lub wymienić się wiedzą jak skutecznie je
zwalczać z innymi zespołami na świecie. Po to powstało m.in. [2],
po to istnieją CERTy. Jasne, że wybór i wolność jest ważna, a jak
chcesz się zabić - to Twoja wola. Ale weź pod uwagę, że po drodze
zginąć mogą inni a w tym momencie można przejść do interesujących
wywodów filozoficznych - co jak sądze, w sferze czystej techniki nie
ma wielkiego sensu.
[1]. http://www.nanog.org/mtg-0706/Presentations/lightning-farinacci.pdf
[2]. http://puck.nether.net/mailman/listinfo/nsp-security
-- "Don't expect me to cry for all the | Łukasz Bromirski reasons you had to die" -- Kurt Cobain | http://lukasz.bromirski.netReceived on Mon Jan 5 23:45:09 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Tue 06 Jan 2009 - 00:40:01 MET