Ahoj,
No, zlepseni mne napada jedine u nas, automaticky parsovat abuse notices a preposilat je danym adminum, pak se nebude potreba rozcilovat nad zadnymi formulacemi. :)
Doufal jsem v nápady na zlepšení Fenixu. Co se tyce automatickeho forwardu abuse mailů, tak něco podobného řeší systém PROKI od CZ.NICu (https://csirt.cz/page/3586/proki/) ale zdrojáky jsem teď narycho nenašel.
Jinak kdyz uz se bavime o Fenixu, ten jsem pouzil misto neceho jako "VIP klubik CZ net komunity", ale to by byvalo vyznelo uz zbytecne jizlive, protoze jsem rad, ze vubec nejakou komunitu mame. Jen na mne pusobi zbytecne "VIP", hodne vzdalenou beznemu sitari mimo ty nejvetsi site. Protlacte nekam na Root krome PR taky prakticke zkusenosti, co muzou kopirovat dalsi admini, bez uber-nejvetsich a nejdrazsich krabic :-p
Chápu, a možná to tak občas je/bylo i prezentováno. Na druhou stranu si nemyslím, že by technické požadavky Fenixu automaticky diskvalifikovali lidi síťující na boxech pod cenou XY USD, i když se o tom dá polemizovat, vzhledem k tou že například IPv6 někteří vendoři vnímají jako enterprise-super-cool-licensed feature.
Co se tyce obecne automatizovaneho reseni bordelu na siti, tam mi prijde, ze nejvic zaspali velci vyrobci krabic, veci jako BGP FlowSpec mely davno byt samozrejmosti a my jsme meli ted premyslet, jak pujdeme automatizovane mezi-sitove jeste dal proti botnetum; no jakkoliv Cisco dostava svoje zaspani "sezrat", vyrobci cipsetu jako Broadcom se StrataXGS + Open Networking mezitim pobraly vsechny segmenty, co cca mohly, ale minimalne to, co mame po ruce my, taky neudela uplne zazraky. FlowSpec jedine s jinym/vlastnim opatchovanym OS (kez by to bylo tak snadne, bez HW dokumentace a zdrojakum k FPGA to jde ztuha...).
Do toho nevidím, za síťaře se nepovažuju :)
Takze nic konkretniho, zas hodne povyku pro nic... ;)
Na to si asi na community listu nikdo stěžovat nebude.
Jinak teda chapu spravne, ze je Fenix hlavne vzdelavaci projekt pro ty ucastniky? Pokud "z vetsiny jo", neslo by skolit nejakymi vhodnymi kanaly sirsi verejnost? :)
Ani ne, spíš to mělo oddělit sítě které jsou rády že síťují, od sítí které jsou schopny použít RTBH, mají někoho kdo zvedá telefon A je schopen řešit problém, atp.
Co se týče osvěty, bývají nějaké zmínky na CSNOG atp, ale ty jsou IMHO velice "entry-level", a konkrétní problematice se až na výjimky nevěnují.
MH
Dne 22. 07. 19 v 16:35 Pavel Snajdr napsal(a):
Ahoj,
diky za odpoved :)
Dovolím si na tohle zareagovat, protože nějakou dobu jsem měl Fenix na starosti:
takový přístup nemají všichni
Fenix legalitu nijak zvlášť neřeší (nejvíc se tomu blíží bod 2.5.5
pravidel, a i ten to nechává na členovi ať si sám určí co je zneužití sítě). Vyžaduje po svých členech technická a organizační opatření, která mají DDoSům a jiným útokům předcházet (BCP-38, DNSSEC, ochráněné NTP/SNMP/DNS proti amplification zneužití, ...), nebo je pomáhat řešit (24x7 dohled, zveřejněný kontakt na člověka řešícího csirt věci, funkční RTBH kterého se o pár mailů dál dožaduješ). Myslím si že zrovna tohle jsou věci které proti útokům reálně pomáhají. Pokud máš nápad jak tomu bránit jinak/lépe, budu rád.
No, zlepseni mne napada jedine u nas, automaticky parsovat abuse notices a preposilat je danym adminum, pak se nebude potreba rozcilovat nad zadnymi formulacemi. :)
Jinak kdyz uz se bavime o Fenixu, ten jsem pouzil misto neceho jako "VIP klubik CZ net komunity", ale to by byvalo vyznelo uz zbytecne jizlive, protoze jsem rad, ze vubec nejakou komunitu mame. Jen na mne pusobi zbytecne "VIP", hodne vzdalenou beznemu sitari mimo ty nejvetsi site. Protlacte nekam na Root krome PR taky prakticke zkusenosti, co muzou kopirovat dalsi admini, bez uber-nejvetsich a nejdrazsich krabic :-p
Co se tyce obecne automatizovaneho reseni bordelu na siti, tam mi prijde, ze nejvic zaspali velci vyrobci krabic, veci jako BGP FlowSpec mely davno byt samozrejmosti a my jsme meli ted premyslet, jak pujdeme automatizovane mezi-sitove jeste dal proti botnetum; no jakkoliv Cisco dostava svoje zaspani "sezrat", vyrobci cipsetu jako Broadcom se StrataXGS + Open Networking mezitim pobraly vsechny segmenty, co cca mohly, ale minimalne to, co mame po ruce my, taky neudela uplne zazraky. FlowSpec jedine s jinym/vlastnim opatchovanym OS (kez by to bylo tak snadne, bez HW dokumentace a zdrojakum k FPGA to jde ztuha...).
Takze nic konkretniho, zas hodne povyku pro nic... ;)
Jinak teda chapu spravne, ze je Fenix hlavne vzdelavaci projekt pro ty ucastniky? Pokud "z vetsiny jo", neslo by skolit nejakymi vhodnymi kanaly sirsi verejnost? :)
Diky, jeste jednou, za odpoved.
/snajpa
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list