http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/ Sat, 11 Feb 2012 07:22:49 +0100 Sprawą powinni zainteresować się wszyscy użytkownicy dostępu do internetu oferowanego przez Telekomunikację Polską, gdyż firma ta bez ich zgody blokuje im dostęp do niektórych usług w internecie. Podane informacje są bardziej szczegółowe niż we wcześniej dodanych znaleziskach. http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2035916 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2035916 Tue, 09 Feb 2010 13:15:10 +0100 ]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2035941 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2035941 Tue, 09 Feb 2010 13:22:39 +0100 ]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039752 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039752 Wed, 10 Feb 2010 12:19:32 +0100 ]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039765 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039765 Wed, 10 Feb 2010 12:22:40 +0100 ]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040163 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040163 Wed, 10 Feb 2010 14:07:55 +0100
Rozumiem, że ktoś może czuć się blokadą jego serwisu poszkodowany ale to co napisałeś to czystej wody populizm.
Powodem blokady nie była strona. Pod tym samym adresem co serwer HTTP działał serwer IRC, który wg. TP CERT zagrażał bezpieczeństwu ich sieci.
Aktualnie adresy www.gimp.org (128.101.240.213) oraz irc.gimp.org (92.33.0.168) są różne i nie są aktualnie blackhole'owane.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2037393 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2037393 Tue, 09 Feb 2010 20:07:54 +0100 ]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039316 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039316 Wed, 10 Feb 2010 09:57:45 +0100
Wszyscy poważni administratorzy sieci WAN stosują czasem blackholing czyli kierowanie części ruchu donikąd w sytuacji gdy ruch ten zagraża ich sieci: ataki DoS, sterowanie botnetem wewnątrz sieci itp.
Jedyne co wyróżnia TP CERT to fakt, że robi to systemowo i się tym chwali.

To od administratorów sieci i serwerów zależy czy ich infrastruktura będzie stanowiła zagrożenie dla innych użytkowników internetu.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039415 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039415 Wed, 10 Feb 2010 10:32:58 +0100
>To od administratorów sieci i serwerów zależy czy ich infrastruktura będzie stanowiła zagrożenie dla innych użytkowników internetu.

Problem polega na tym, że TPSA do niedawna nie podejmowała kroków związanych z "uzdrowieniem" własnej infrastruktury. Blackholują przecież nieswoje IP.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039534 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039534 Wed, 10 Feb 2010 11:16:08 +0100
Nikt się nie kontaktuje bo o ile pamiętam proces jest w dużym stopniu zautomatyzowany. Poza tym ciężko skontaktować się z blackhole'wanym hostem.
Każdy administrator sieci/serwera powinien śledzić ruch i odpowiednio reagować zanim zacznie stanowić to zagrożenie dla innych sieci.
Sugerujesz, że można trafić do :997 bez powodu?

@Makdaam: "Problem polega na tym, że TPSA do niedawna nie podejmowała kroków związanych z "uzdrowieniem" własnej infrastruktury. Blackholują przecież nieswoje IP."

A jakie mają inne wyjście, jakoś się przecież bronić trzeba? Filtrowanie po usługach na taką skalę jest nierealne.
Przecież tak samo robi się ze spamem.
Poza tym gdy wprowadzono, w dodatku o ile pamiętam opcjonalną, blokadę portu 25 zamiast aplauzu był jeszcze większy raban.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039711 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039711 Wed, 10 Feb 2010 12:09:45 +0100 Mam uprawnienia operatora w tej sieci, więc widzę co się dzieje - i gwarantuję, że żadnych botnetów itp nie ma. A co innego na ircu może stwarzać zagrożenie dla innych?
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040093 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040093 Wed, 10 Feb 2010 13:53:32 +0100
O ile rozumiem intencję TP CERT to chodzi o odcięcie właścicieli bootnet'ów od kontrolowanych przez nich zombie w sieci TP.
Nie znam się zbytnio na IRCu ale możliwe, że trzeba wdrożyć jakieś mechanizmy uwierzytelniania, K-line wg. jakiegoś wiarygodnego RBLa, postawić boota CAPTCHA, filtrować komunikaty na obecność znanych sygnatur poleceń sterujących bootnet'ów itp.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040139 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040139 Wed, 10 Feb 2010 14:02:09 +0100 ]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040203 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040203 Wed, 10 Feb 2010 14:19:28 +0100 Może popytaj na pl.internet.polip (udzielają się tam osoby z TP CERT) lub pl.irc.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040615 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040615 Wed, 10 Feb 2010 15:36:57 +0100 >Nikt się nie kontaktuje bo o ile pamiętam proces jest w dużym stopniu zautomatyzowany.

Jak to wpływa na sprawność odpowiadania adminom zablokowanych serwerów?

>Sugerujesz, że można trafić do :997 bez powodu?
Takie sugestie padły już dawno na polipie, gdy irc.pl dodał filtrowanie po RBLach i odpowiedzi na /version i nic to nie pomogło (ani nie zmniejszyło liczby użytkowników, ani nie spowodowało zmniejszenia punktacji na blackliście).

>Filtrowanie po usługach na taką skalę jest nierealne.
To chyba przyszedł do TPSA ktoś kto nie wiedział, że się nie da i filtrują port 25. Może po prostu ktoś przeczytał polipową dyskusję nt. blackholingu w TP i wprowadził taką blokadę?

>zamiast aplauzu był jeszcze większy raban.
Medialny szum, przecież można port 25 odblokować przez prefix przy logowaniu.

>Nie znam się zbytnio na IRCu ale możliwe, że trzeba wdrożyć jakieś mechanizmy uwierzytelniania, K-line wg. jakiegoś wiarygodnego RBLa, postawić boota CAPTCHA, filtrować komunikaty...

...spalić modem w mikrofalówce w czasie gdy wykręca impulsowo 0202122, ale tak, żeby wykręcanie 1 przypadło dokłanie o północy przy pełni księżyca...

Przy obecnym zainteresowaniu ludzi IRCem naprawdę wystarczy sprawny admin.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040990 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2040990 Wed, 10 Feb 2010 16:58:57 +0100
Nie interesowałem się szczególnie tą sprawą jako, że z IRC'em od dawna nie mam do czynienia.
Wygląda na to, że nie działa to zbyt dobrze.

Mimo wszystko myślę, że wykop nie jest zbyt dobrym miejscem na takie informacje - ludzie wykopują głównie na hasło "TP blokuje" analogicznie jak w przypadku blokady portu 25.
Pamiętam czasy gdy, o ironio, to IRCNet blokował użytkowników TP. Słusznie zresztą - dla tych co nie wiedzą: ze względu na brak możliwości identyfikacji szkodników, w czasach dial-up'u wszyscy używali loginu ppp i takiegoż hasła, a IPki były zmienne, więc wycięto całą sieć TP.

Niestety chyba użytkownicy IRC obecnie są już mniejszością zagrożoną wyginięciem. Pozostaje mieć nadzieję na pomoc UKE.

PS: Pisząc o filtrowaniu miałem na myśli głęboką inspekcję ruchu wychodzącego od klientów TP.
]]> http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039778 http://www.wykop.pl/link/297469/tpsa-znowu-blokuje-adresy-ip/#comment-2039778 Wed, 10 Feb 2010 12:26:22 +0100 ]]>