Filozofija Europroneta koja mi ne ide u glavu

Udruženje Linux Korisnika ULK: Opšta diskusija
1

Zdravo,

pitanje samo jedno za ekipu koja je na ovim kablovskim … operaterima interneta, koji im je ovo fol za zabranom pinga iz mreze i zatvaranjem portova ( 22 ) , ne kontam nikako

Koliko ja znam to nema veze sa security issues ,

Sta mislite o ovome

Hvala
Pozdrav

2

Ping ima neke veze sa security issues dok su 22 blokirali vjerovatno radi “ne-drzanja” servera(iako me onda cudi sto nisu i npr 80 blokirali).Bihnet je to rijesio tako sto te diskonektuje svakih 7 sati i promjeni ti IP.Ja bi prihvatio i to da bihnet radi samo da ne diskonektuje tj. da bude 24/7 konekcija

3

Ni jedno ni drugo nema veze s pameću.

RFC1122 - Requirements for Internet Hosts – Communication Layers

Port 22 možda zbog bruteforce napada na SSH? Evo mogućih načina odbrane: http://www.la-samhna.de/library/brutessh.html
Naravno, prema istoj logici, trebalo bi ukinuti sve MS Windows mašine sa Interneta.

Što se tiče automatskog diskontektovanja, to se obično radi iz 2 razloga, da vam se malo randomizuje IP adresa (i nemate fiksnu adresu), i zbog billinga.

P.S.
Naravno, isto tako mi ne ide u glavu da najveći ISP u državi blokira port 25. Slippery slope? Sutra će nam zabraniti da preko Skype-a pričate sa prijateljima u inostranstvu (ili će nam ponuditi sličnu uslugu za nešto novca), prekosutra ćemo svi plaćati takse na emailove, …, i to više neće biti internet kakvim ga znamo.

4

[quote=Adis]Ni jedno ni drugo nema veze s pameću.

RFC1122 - Requirements for Internet Hosts – Communication Layers

Port 22 možda zbog bruteforce napada na SSH? Evo mogućih načina odbrane: http://www.la-samhna.de/library/brutessh.html
Naravno, prema istoj logici, trebalo bi ukinuti sve MS Windows mašine sa Interneta.

Što se tiče automatskog diskontektovanja, to se obično radi iz 2 razloga, da vam se malo randomizuje IP adresa (i nemate fiksnu adresu), i zbog billinga.

P.S.
Naravno, isto tako mi ne ide u glavu da najveći ISP u državi blokira port 25. Slippery slope? Sutra će nam zabraniti da preko Skype-a pričate sa prijateljima u inostranstvu (ili će nam ponuditi sličnu uslugu za nešto novca), prekosutra ćemo svi plaćati takse na emailove, …, i to više neće biti internet kakvim ga znamo.[/quote]
ma jok… nije isto blokirati skypov traffic i unijeti jednu liniju u ACLu na cisco routeru :wink: Iako njihov potez razumijem, implementacija mi se nikako ne svidja. Kao ni mnogim poslovnim korisnicima ADSL usluga ( Delegate Access npr. ).

Pozdrav

Ice

5

“Ispravan” način da se ovo uradi jeste napraviti jedan fin web interfejs pomoću kojeg korisnik može otvarati i zatvarati portove za svoj link, pri čemu su određeni portovi default zatvoreni (npr. 25). Time se reducira problem spama, trojanaca i slično, a opet se korisniku daju sve mogućnosti ako zna da ih iskoristi. No problem je što domaći ISPovi imaju jedan krkanski, pijačarski stav prema uslugama koje pružaju, pa je sve što se radi u funkciji čiste zarade uključujući i laganje u reklamama, a kvalitetu ko j… jer su svi isti takvi.

A što se tiče pinga, mnogi “sigurnosni eksperti” smatraju zabranu pinga najosnovnijom sigurnosnom mjerom pa je čak neko nekad davno na ovaj forum postao “osnove iptablesa” što je uključivalo i zabranu pinga. Zar to nije čisti security through opscurity kojim se ukida jedan nevjerovatno koristan i bezopasan internet servis?

6

Prilika za flame …
ICMP nije harmless ako se zloupotrebljava u formi DDoS ili brute mass port-scan kombinacija. Svi profi FW to imaju kao opciju a ISP/cable operatori nisu samo carrieri nego i odgovorni ( do određene mjere ) za politiky bezbjednosti svoje mreže, pogotovo ako po diskrecionom pravu :slight_smile: procijene da tu ima nečega …što je potencijalni security hole.

7

Ako je tako onda treba popraviti ICMP ili određene “implementacije”.

Isključivati ICMP na serveru na kojem vrtite neki public servis (web, mail) je ultra stupidno. Trese se gora, vi rodili miša …

8

[quote=IceBreaker][quote=Adis]Ni jedno ni drugo nema veze s pameću.

RFC1122 - Requirements for Internet Hosts – Communication Layers

Port 22 možda zbog bruteforce napada na SSH? Evo mogućih načina odbrane: http://www.la-samhna.de/library/brutessh.html
Naravno, prema istoj logici, trebalo bi ukinuti sve MS Windows mašine sa Interneta.

Što se tiče automatskog diskontektovanja, to se obično radi iz 2 razloga, da vam se malo randomizuje IP adresa (i nemate fiksnu adresu), i zbog billinga.

P.S.
Naravno, isto tako mi ne ide u glavu da najveći ISP u državi blokira port 25. Slippery slope? Sutra će nam zabraniti da preko Skype-a pričate sa prijateljima u inostranstvu (ili će nam ponuditi sličnu uslugu za nešto novca), prekosutra ćemo svi plaćati takse na emailove, …, i to više neće biti internet kakvim ga znamo.[/quote]
ma jok… nije isto blokirati skypov traffic i unijeti jednu liniju u ACLu na cisco routeru :wink: Iako njihov potez razumijem, implementacija mi se nikako ne svidja. Kao ni mnogim poslovnim korisnicima ADSL usluga ( Delegate Access npr. ).

Pozdrav

Ice[/quote]
Ice, za tvoju informaciju nema ACLova na Cisco routerima, sve stvari što su radili (blokada porta 25) se izvršila na DSLAM-u. Kakva je svrha blokiranja porta 25 na ruteru kad bi opet sav taj saobraćaj dolazio do rutera. Ovim su nekako napravili manji SMTP saobraćaj prema vani ali im se serveri unutra tope :smiley:

9

@excorcism - naravno da se blokada vrsi na DSLAMu. Ali blokiranje porta 25 je na DSLAMu jednostavno kao i unosenje jednog pravila na ACLu, dok je blokiranje skype traffica nesto sto ce se mreznim inzenjerim u BHTelecomu popiti krv na slamcicu :slight_smile: Naravno - blokiranje bi se trebalo vrsiti sto blize korisniku kako nezeljeni promet nebi dolazio i opterecavao backbone mrezu ( bez razloga naravno ).

@vedran - ICMP je protokol a ne servis, ali to je vec poznato. Koristan jeste - ali ne bas sve ICMP poruke. Ja iskreno na svojim serverima dopustam samo 3 vrste poruka. “security through opscurity” je u tom slucaju bezvezan, jer se samim time ukida mogucnost provjere dostupnosti servera ( mrezne dostupnosti ). Sad ce neko reci - pa mogu ja se konektirati na port 80 pa vidjeti da li je web server dostupan. Naravno, ali time se bezze optrecuje web server ( npr. apache ). To sto nasi ISPovi imaju monopol i korisniku ne zele dati nikakvu kontrolu ( osim pregleda potrosenog prometa ) je zalosno.

@dragon - DDoS se sve cesce “izvodi” UDP paketima. Razlog? I sam ga znas, ne trebam ti navoditi. Fazoni tipa broadcast preko citavog mreznog podrucja su vec “iskljuceni”.

@adis - zastita porta 22 na serverima gdje bi isti samo administratorima trebao biti dostupan, se efektivnije moze postici port knocking implementacijom… npr.

[quote]#!/bin/bash
i=/sbin/iptables ## IPTables binary
sp=22 ## port to secure
p1=88 ## port to touch first
p2=888 ## port to touch second
p3=8888 ## port to touch third
tot=10 ## time out in seconds

$i -N kc
$i -N kc1
$i -N kc2

$i -A INPUT -m state --state NEW -p tcp --dport $sp -m recent --rcheck --name portKnock --seconds $tot -j kc
$i -A INPUT -m state --state NEW -p tcp --dport $p1 -m recent --name portKnock2 --set -j DROP
$i -A INPUT -m state --state NEW -p tcp --dport $p2 -m recent --rcheck --name portKnock2 --seconds $tot -j kc1
$i -A INPUT -m state --state NEW -p tcp --dport $p3 -m recent --rcheck --name portKnock1 --seconds $tot -j kc2

$i -A kc -m recent --name portKnock --remove -j ACCEPT

$i -A kc1 -m recent --name portKnock2 --remove
$i -A kc1 -m recent --name portKnock1 --set -j DROP

$i -A kc2 -m recent --name portKnock1 --remove
$i -A kc2 -m recent --name portKnock --set -j DROP

$i -A INPUT -m state --state NEW -m tcp -p tcp --dport $[p1 - 1] -m recent --name portKnock2 --remove -j DROP
$i -A INPUT -m state --state NEW -m tcp -p tcp --dport $[p1 + 1] -m recent --name portKnock2 --remove -j DROP
$i -A INPUT -m state --state NEW -m tcp -p tcp --dport $[p2 - 1] -m recent --name portKnock1 --remove -j DROP
$i -A INPUT -m state --state NEW -m tcp -p tcp --dport $[p2 + 1] -m recent --name portKnock1 --remove -j DROP
$i -A INPUT -m state --state NEW -m tcp -p tcp --dport $[p3 - 1] -m recent --name portKnock --remove -j DROP
$i -A INPUT -m state --state NEW -m tcp -p tcp --dport $[p3 + 1] -m recent --name portKnock --remove -j DROP[/quote]
Pretty simple :smiley:

Pozdrav

Ice

10

[quote=IceBreaker]@excorcism - … dok je blokiranje skype traffica nesto sto ce se mreznim inzenjerim u BHTelecomu popiti krv na slamcicu :slight_smile:
Ice[/quote]
Profi-apliance FW uređaji tipa FortiNet/FortiGate … as a piece of cake …rješavaju Skype-ache …:slight_smile:
http://kc.forticare.com/default.asp?id=1036&Lang=1&SID=
… koristim FortiOS v.3.0

11

@dragon - postoje profi appliances - to mi je poznato… ali eto ja kao student informatike uvijek polazim od obicne kutije sa iptablesima a ne od uredjaja vrijednih 100k gdje i sama sekretarica moze saltati P2P traffic kako joj prahne :wink: Iako sam polako sklapam slican uredjaj - moram se vise pozabaviti sa skypovim prometom i analizom paketa…

Pozdrav

Ice

12

@Ice:
Pa sumnjam da BiHNet ne koristi nešto slično. Kako znam, samo je Symantec ( od QSS-a SA ) u više primjeraka u pitanju i samo u tom kontekstu je ovaj drugi apliance spomenut. A sve studentske vježbe će kad-tad dati svoj pozitivni efekat … Sretno…
P.S.
FG je ipak puno jeftiniji od spomenute cifre …

13

evo danas se zezao sa mail serverom nabacio postfix + dyndns.org… kad nemere port 25… “oko kuće” može, vani nema šanse… čuo sam za BiHnet ali EPN zar i vi? ccc

ps:
FTP/HTTP/VNC/SSH itd može… taman mi je još ovo falilo… da li se ikako može “pritisnuti” EPN pa da puste ovaj port 25, jah ima li još ko sa EPN-a i da je probao LISTEN 25-ticu?

CHORUS
gazi, gazi, gazi spammere, spammere eee
gazi, gazi, gazi spammere, spammere eee…