Názory k článku Za hranice síťařského desatera

> Stavovy firewall na border routeru. Uh. To snizi propustnost tak 10x a navic se to velmi snadno DOSi.

No jasně, protože firewall dělá víc věcí, než jen hází pakety z rozhraní na rozhraní. Ale proto taky musíš mít firewall jehož propustnost >= kapacitě linky.

> Blokujeme zlou IP - no to jiste. Na jednu utocici IP adresu zvysoka dlabeme ta nebude ani videt na grafech trafiku.

Samozřejmě, že pokud s někým nechceme komunikovat, tak ho musíme zablokovat. Mimochodem, ve statistikách vidět půjde, směrovače v NetFlow to zachytí. A jaká je tedy Leninova best-practice při blokaci?

> Nainstalujeme si nejakou sracku do BGP aby nekdo jiny rozhodoval o tom co blokujeme. No to urcite. Kdo bude platit penale ze SLA kdyz to zablokuje neco co nema?

Komu to právo blokace dáš, ten ho bude mít. Když ho nebudeš chtít někomu ze svého týmu předat, tak ho nepředáš. Co tohle je za argument?

> Blokovat nekoho kdo skenuje. Neskenuji nahodou lidi z cizich decoy adres, jelikoz to nmap umi?

Skenování je jedním z projevů některých malware. Když PC uředníka sítě Tvé firmy bude skenovat, tak to bude divné, ne?

D.

Plně souhlasím, akademické "zkušenosti" se zde prezentují jako velmi potřebné. Ale jak většina praktiků potvrdí, znalosti přinesené ze školy jsou v praxi téměř bezcenné a spíše škodí.

Ad stavovy firewall: PCI DSS requirement 1.3.6
Neudelal jsi na nas zadny dojem.

Jenze PCI compliant nebyva cela sit, zeano. Maximalne nejaky dobre zabezpeceny cluster za - stavovym - firewallem. Takze se kluci nehadejte kdyz kazdy mluvite o necem jinem ;)

Lenine, tohle není návod pro ISP ;-)

Stavovy firewall na border routeru. Uh. To snizi propustnost tak 10x a navic se to velmi snadno DOSi.

DoSí to celkem nesnadno, pokud je to dobře nastavené, Linux na Atomu (!) zvládne i milion paketů za sekundu a milion najednou aktivních spojení, FreeBSD je ještě výkonnější. Ve firmě je to nutnost, navíc vyžadovaná příslušnými certifikáty.

Blokujeme zlou IP - no to jiste. Na jednu utocici IP adresu zvysoka dlabeme ta nebude ani videt na grafech trafiku.

Takhle se dá blokovat celý rozsah, ne jen jedna IP. I když použitelnost mi taky přijde dost k ničemu.

Nainstalujeme si nejakou sracku do BGP aby nekdo jiny rozhodoval o tom co blokujeme. No to urcite. Kdo bude platit penale ze SLA kdyz to zablokuje neco co nema?

Komu ta práva dáš, ten je bude mít ;-) Jinak tohle je spíš článek pro správce sítí ve firmách, tam se žádné SLA řešit nebude, maximálně tak dostane příkaz daný rozsah opět povolit.

Blokovat nekoho kdo skenuje. Neskenuji nahodou lidi z cizich decoy adres, jelikoz to nmap umi?

Ne, nmap to sice umí, ale těžko pak bude dostávat odpovědi. Navíc se tím dá udělat early warning system pro různý malware ve vnitřní síti — jde totiž o typický příznak většiny virů.

Reverse path filter - to je taky uplne k nicemu pokud mate vice nez 1 uplink.

Není, pokud to umíš nastavit ;-)

Prostě jsi tu na nikoho neudělal žádný dojem.

Deska stála 180 USD, Intel Atom Dual-Core. Milion pps se stavovým firewallem zvládala. Milion spojení jsem našel na Googlu, že by netfilter měl dát taky, ale tolik jsem nikdy nepotřeboval.

S výkonnějším hardwarem zvládá linuxový netfilter i výrazně více.

Taky si myslim. Sitovy provoz neni vubec nijak extremne narocny, vzdyt jsou to vsechno operace v pameti a CPU.

Samozrejme, pokud jsou firewall pravidla sprasena jak noc, tak to je pak jista degradace urcite mozna, ale ja osobne sem zatim nikdy nemel zadne vykonostni problemy s filtrovanim jakehokoliv traffiku a to i na uplne smesnych hardwarech, pred 10 lety.

Komu ta práva dáš, ten je bude mít ;-) Jinak tohle je spíš článek pro správce sítí ve firmách, tam se žádné SLA řešit nebude, maximálně tak dostane příkaz daný rozsah opět povolit.

- takze statni sprava???

DoSí to celkem nesnadno, pokud je to dobře nastavené, Linux na Atomu (!) zvládne i milion paketů za sekundu a milion najednou aktivních spojení, FreeBSD je ještě výkonnější. Ve firmě je to nutnost, navíc vyžadovaná příslušnými certifikáty.

1M paketu/s = standardni velikost paketu 1500b x 1M = 1,5Tb/s - zajimava sirka pasma, takove rozhrani ma urcite kazda embedded deska s Atomem, chci ji videt

1M aktivnich spojeni - protokol TCP/IPv4 ma 64k portu, nevim, jak muzes navat 1M spojeni

Tady zas někdo umí počítat :-) 1 Mpps × 1500 B = 1,5 GBps = 12 Gbps = 6 GLAN síťovek full duplex ;-)

Protokol TCP má sice jen 64k portů, ale má také 4G adres a spojení se ukládají jako tuple (zdroj(IP, port), cíl(IP, port))

A když správce sítě nasadí příslušná pravidla (viz ten minulý článek), tak by se mu nemuselo stát, že napadené stanice v jeho síti budou úspěšnou součástí DDoS útoků s generovanými adresami.

Omlouvam se, je to 12 Gbps - jadrem sdeleni bylo, ze to HW zalozeny na Intel Atom jen tezko utahne

Niekto sa sekol v desatinnej ciarke.
Jedna sa priblizne o 11 Gb/s pri plnych paketoch.
A pri testovacej prevadzke pri obmedzenej dlzke paketov do 130B by na to stacil aj gigabit.

"Cílem jeho členů je pomáhat provozovatelům internetových sítí"

Zasadni chyba, v tom ramecku mate nepravdivou informaci. Cilem clenu je vyrobit a zajistit si tepla korytka umoznujici zcela neomezenou buzeraci kazdeho na siti.

Presne!!! :DD

Come on, to si opravdu dokazete predstavit dnesni dobu bez toho, aby stat mel nejaky institut pro cim dal castejsi kyber utoky?

IMHO je to uplne prirozeny vyvoj kazde moderni zeme/statu a buzerace zde neni ucelem.

Muzete byt vic specificky s tim "cim dal castejsi" ? Pokud vim tady byl jen jeden a tyhle pochybne instituty v nem sehraly marginalni roli (krom kvant zvastu a sebezviditelno­vani).

Nejedna se jen o ty ddos utoky, ktere probehly relativne nedavno. Jsou i jine utoky, ktere nejsou viditelne, napriklad cilene na konkretni firmy, jako kradeze dat, know how atd. Tech ruznych typu utoku je dneska takova spousta, ze by to vydalo na celou serii clanku, co vsechno dneska hrozi a co se deje.

Kazdopadne ja byt firma, ktera je cilem nejakeho kyber utoku, tak jsem rad, ze se mam na koho obratit, ze je zde nejaka instituce, ktera se temito vecmi zabyva a ma je aspon trochu na starosti, takze dokaze poskytnout firme aspon nejakou podporu ci pomocnou ruku v techto situacich.

Co chci rict je to, ze moderni doba takovy institut (CSIRT) IMHO vyzaduje, protoze kyber utoky jsou cim dal castejsi, uz je to pomalu denni realita. A v budoucnu to klidne muze byt denni chleba (zatim vsechno k tomu speje IMHO).

Takze pro me je to naprosto pochopitelne a prirozene, ze vznikaji CSIRTy vsude po svete.

Aha takze asi nic konkretniho krom automaticke hlasky "kyberutoky jsou cim dal castejsi" z vas nedostanu.

Bud v tom jedete s nima a nebo si to malujete hodne ruzove. Uz vidim jak CSIRTaci poskytuji pomocnou ruku. Jsou to lidi odtrzeni od reality, kteri se nestaraji o zaden realny system. Ostatne jejich dosavadni projevy tomu nasvedcuji.

Takze aby si obhajili svou marnou existenci vymysli formular, ktery budete vyplnovat a kdyz ne tak fasnete flastr. Takze krom pomocne ruky v podobe CTU a statistickeho uradu pribude jeste tato. Doufam, ze si to uzijete. Idelane to jeste napojit na nejaky system certifikovanych operatoru a dodavatelu aby z toho byl dostatecny vyvar pro vsechny.

Kazda solidni firma si bezpecnostni problemy dokaze resit sama (ci na komercni bazi) aniz by na to potrebovala velectene CSIRTi mudrlanty. Pokud CSIRTy chcou ukazat, ze k necemu jsou mohou svoji connost delat komercne a nesrat se ostatnim do zivota skrze legislativu.

Ano, ty cileny utoky poradaji vlady US, GB ... a nepochybne i ta nase - odposlouchavanim veskery komunikace pocinaje, ze ...

Ja pro takovy firmy delam, vime? A sem to ja, kdo stoji mezi temi daty a internetem. Samo v zavislosti na pranich/moznos­tech/... ktery mi da majitel. Ale rozhodne se ten majitel nehodla s nikym delit o to, jak co kde ma nastaveno, nebot zverejnit pripadny pruser === o 1000radu vetsi pruser.

Boze ... jak ti pomuze, ze budes !muset! nekomu reportovat, vyplnovat formulare ... a (otazka casu) jim dat pro jistotu i admina vsude (je prece treba teroristy smirovat vzdy a vsude ...) .. ???

Aha, absolutne nijak. Zadny "cim dal castejsi" utoky neexistuji, jen se o tom vic plka v mediich, cehoz tihle hownodilove zneuzivaj.

Prirozeny vyvoj je ten, ze se stat nesere do veci, ktery fungujou. A net (narozdil od deravych silnic a dalsi "statni" infrastruktury) funguje nadobycejne dobre. Sak se podivej - i prity hruze mas dneska bezne Mbit misto kbit ... a to za smesnych rekneme 20 let. Srovnej to se silnicema - ty sou deravejsi cim dal vic a jezdi se po nich cim dal hur. A to aut pribejva radove min nez roste stahovanych dat.

Cize stat sa snazi vyriesit derave cesty tym ze sa naserie do ISP a donuti vsetkych sediet za PC a nepouzivat cesty? To bol iba pokus o joke, ale fakt je ze stat sa pokusi infiltrovat komunikaciu. Koniec koncov PRISM je pekna ukazka. Prekvapujuce je to, ze to niekoho este prekvapilo. CSIRT v nasich koncinach je len taky zaciatok. Momentalne posobia smiesne, ale ono sa to po par smerniciach EU a odklepnutych zakonoch zmeni a s kazdou dalsou prijatou smerniciu to bude horsie a ISP ktory chcu fungovat v ramci zakona to _budu_musiet_ akceptovat pokial chcu mat statut telekomunikacnej firmy. Pokial s tym nebudeme nic robit potom to znamena ze taketo veci chceme. A dostaneme to co si zasluzime.

Velmi pekne popsane mechanismy. Vystizny a cileny obsah. Jen vice takovych clanku. V dnesnim prehrselu balastu a zbytecnych odstavcu je radost takovy clanek najit. Diky.