Zdravím,
o prostředí a vybavení ISP toho moc nevím, proto bych se chtěl zeptat povolanějších, co si myslíte o tom, jestli by ISP měli filtrovat provoz ze svých sítí tak, aby z nich neodcházely pakety se spoofovanou zdrojovou IP. http://tools.ietf.org/html/rfc2827#page-5 a http://tools.ietf.org/html/rfc3013 (4.3 a 4.4) to zahrnují mezi best practices. Stejné doporučení dává třeba i NIC: http://www.nic.cz/page/464/bezpecnostni ... doporucen/ (Filtrujte přístupy na hranici sítě).
Je jasné, že jsou to jenom doporučení. Měl by to ISP dělat třeba jenom pro svoje dobré jméno ("od nás spoofované pakety nechodí!")? Stává se, že dodavatel konektivity takovou věc od zákazníků požaduje? Nebo je to jenom krásná teorie a v praxi se s tím člověk nesetká? Co si o tom myslíte?
Odpovídá realitě popis nákladů s tím spojených tady http://forum.root.cz/index.php?topic=64 ... 4#msg63814 (poslední část příspěvku), čili normální ISP to nezavede, protože ho to stojí spoustu peněz a nic mu to nepřinese?
Předem díky za odpovědi, případně nasměrování na nějaké relevantní zdroje (výzkum, kolik ISP filtruje?)
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Ochrana proti spoofingu - dobrá praxe nebo zbytečnost?
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
na hranicnich routerech veskery provoz k nam a od nas prochazi filtrem, ktery zahazuje to, co v danem smeru nema co delat. Takze mam jistotu, ze se mi do site nedostavaji packety odeslane z privatnich IPcek ani packety odeslane z cizi site nesouci nase verejna IP. Zaroven vim, ze od nas neodejde packet s jinou IP nez regulerni verejnou z naseho rozsahu.
Krome toho u kazdeho zakaznika (vsichni maji verejnou) je na MT filtr (generovany automatem), ktery od nej nepusti nic nez jemu pridelene IP ...
Co se tyce nakladu (v tom odkazovanem prispevku jsem nic nenasel)
- realizace filtru je jednorazova zalezitost (a lze jej vicemene opsat z navodu kolujicich na netu - viz martian filter pripadne bogon filter pokud by chtel nekdo filtrovat skutecne vsechny nesmyslna IP)
- provoz filtru samozrejme muze ovlivnit propustnost routeru (pokud neprovadi filtr ve specializovanem HW) ale bezny antispoofer je par radku.
IMHO naklady zanedbatelne. A pokud by vsichni ISP filtrovali na hranicich sve site, bylo by o problem mene.
Krome toho u kazdeho zakaznika (vsichni maji verejnou) je na MT filtr (generovany automatem), ktery od nej nepusti nic nez jemu pridelene IP ...
Co se tyce nakladu (v tom odkazovanem prispevku jsem nic nenasel)
- realizace filtru je jednorazova zalezitost (a lze jej vicemene opsat z navodu kolujicich na netu - viz martian filter pripadne bogon filter pokud by chtel nekdo filtrovat skutecne vsechny nesmyslna IP)
- provoz filtru samozrejme muze ovlivnit propustnost routeru (pokud neprovadi filtr ve specializovanem HW) ale bezny antispoofer je par radku.
IMHO naklady zanedbatelne. A pokud by vsichni ISP filtrovali na hranicich sve site, bylo by o problem mene.
0 x
Díky za odpověď. Tou pasáží o nákladech jsem myslel tohle:
trebas si predstav, ze ISP vyuziva privatni rozsahy jako management sit. Ten fitrbazmek by tudiz musel bejt nekde na hranici ... a jelikoz tech hranic je vic (v mem pripade pokud vim 3-4), tak by musel ty krabice mit 4(a dle vyse uvedeneho nazoru samo min 8, aby jeji vypadek neohrozil provoz). A ted si predstav, ze ten "pidiISP" ma pripojku "smesny" Gbit ... filtrovat Gbit uz neni uplne zadek a rozhodne to neni krabicka za par tisicovek. Uroutovat Gbit bych si troufnul se svym PC, ale s filtrovanim by to myslis slo do pekny zadele. Rekneme, ze ten ISP ma +- 1k klientu. A rekneme ze ta jedna "krabka" bude stat 200k (podotykam, ze tolik stoji lepsejsi "blbej" switch). 4 krabky za 800k (nebo 8 krabek za 1M6) ... to vychazi na kazdyho zakose +- litr az dva. To se nezda jako moc .. jenze pri marzi rekneme 200Kc/zakaznik .... je to jeho rocni net ... a to uz je zcela mimo realitu. Pokud pujdem na desetinu, tak se dostaneme na cenu HW nekde kolem 80k ... deleno 4ma ... a za to se neda poridit vpostatne nic, co by zvladlo Gbit filtrovat.
0 x
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
baptistes píše:Díky za odpověď. Tou pasáží o nákladech jsem myslel tohle:trebas si predstav, ze ISP vyuziva privatni rozsahy jako management sit. Ten fitrbazmek by tudiz musel bejt nekde na hranici ... a jelikoz tech hranic je vic (v mem pripade pokud vim 3-4), tak by musel ty krabice mit 4(a dle vyse uvedeneho nazoru samo min 8, aby jeji vypadek neohrozil provoz). A ted si predstav, ze ten "pidiISP" ma pripojku "smesny" Gbit ... filtrovat Gbit uz neni uplne zadek a rozhodne to neni krabicka za par tisicovek. Uroutovat Gbit bych si troufnul se svym PC, ale s filtrovanim by to myslis slo do pekny zadele. Rekneme, ze ten ISP ma +- 1k klientu. A rekneme ze ta jedna "krabka" bude stat 200k (podotykam, ze tolik stoji lepsejsi "blbej" switch). 4 krabky za 800k (nebo 8 krabek za 1M6) ... to vychazi na kazdyho zakose +- litr az dva. To se nezda jako moc .. jenze pri marzi rekneme 200Kc/zakaznik .... je to jeho rocni net ... a to uz je zcela mimo realitu. Pokud pujdem na desetinu, tak se dostaneme na cenu HW nekde kolem 80k ... deleno 4ma ... a za to se neda poridit vpostatne nic, co by zvladlo Gbit filtrovat.
tak tohle je totalni nesmysl. Kazdej ISP ma nekde nejake zarizeni, kterym prochazi cely tok (alespon nejake casti jeho zakazniku) a na nem se dela accounting/omezovani toku, NAT apod. Do nej pridat par filtru uz nestoji nic. Rozumny ISP ma vlastni AS a filtrovat na BGP routerech toky od/k nadrizenych peeru neni IMHO problem.
0 x