23 Jul
2019
23 Jul
'19
5:12 p.m.
Ahoj,
No, zlepseni mne napada jedine u nas, automaticky
parsovat abuse notices
a preposilat je danym adminum, pak se nebude potreba rozcilovat nad
zadnymi formulacemi. :)
Doufal jsem v nápady na zlepšení Fenixu. Co se tyce automatickeho
forwardu abuse mailů, tak něco podobného řeší systém PROKI od CZ.NICu
(https://csirt.cz/page/3586/proki/) ale zdrojáky jsem teď narycho nenašel.
Jinak kdyz uz se bavime o Fenixu, ten jsem pouzil
misto neceho jako "VIP
klubik CZ net komunity", ale to by byvalo vyznelo uz zbytecne jizlive,
protoze jsem rad, ze vubec nejakou komunitu mame. Jen na mne pusobi
zbytecne "VIP", hodne vzdalenou beznemu sitari mimo ty nejvetsi site.
Protlacte nekam na Root krome PR taky prakticke zkusenosti, co muzou
kopirovat dalsi admini, bez uber-nejvetsich a nejdrazsich krabic :-p
Chápu, a možná to tak občas je/bylo i prezentováno. Na druhou stranu si
nemyslím, že by technické požadavky Fenixu automaticky diskvalifikovali
lidi síťující na boxech pod cenou XY USD, i když se o tom dá
polemizovat, vzhledem k tou že například IPv6 někteří vendoři vnímají
jako enterprise-super-cool-licensed feature.
Co se tyce obecne automatizovaneho reseni bordelu na
siti, tam mi
prijde, ze nejvic zaspali velci vyrobci krabic, veci jako BGP FlowSpec
mely davno byt samozrejmosti a my jsme meli ted premyslet, jak pujdeme
automatizovane mezi-sitove jeste dal proti botnetum;
no jakkoliv Cisco dostava svoje zaspani "sezrat", vyrobci cipsetu jako
Broadcom se StrataXGS + Open Networking mezitim pobraly vsechny
segmenty, co cca mohly, ale minimalne to, co mame po ruce my, taky
neudela uplne zazraky. FlowSpec jedine s jinym/vlastnim opatchovanym OS
(kez by to bylo tak snadne, bez HW dokumentace a zdrojakum k FPGA to jde
ztuha...).
Do toho nevidím, za síťaře se nepovažuju :)
Takze nic konkretniho, zas hodne povyku pro nic... ;)
Na to si asi na community listu nikdo stěžovat nebude.
Jinak teda chapu spravne, ze je Fenix hlavne
vzdelavaci projekt pro ty
ucastniky? Pokud "z vetsiny jo", neslo by skolit nejakymi vhodnymi
kanaly sirsi verejnost? :)
Ani ne, spíš to mělo oddělit sítě které jsou rády že síťují, od sítí
které jsou schopny použít RTBH, mají někoho kdo zvedá telefon A je
schopen řešit problém, atp.
Co se týče osvěty, bývají nějaké zmínky na CSNOG atp, ale ty jsou IMHO
velice "entry-level", a konkrétní problematice se až na výjimky nevěnují.
MH
Dne 22. 07. 19 v 16:35 Pavel Snajdr napsal(a):
> Ahoj,
>
> diky za odpoved :)
>
>> Dovolím si na tohle zareagovat, protože nějakou dobu jsem měl Fenix na
>> starosti:
>>
>> 1) takový přístup nemají všichni
>>
>> 2) Fenix legalitu nijak zvlášť neřeší (nejvíc se tomu blíží bod 2.5.5
>> pravidel, a i ten to nechává na členovi ať si sám určí co je zneužití
>> sítě).
>> Vyžaduje po svých členech technická a organizační opatření, která mají
>> DDoSům a jiným útokům předcházet (BCP-38, DNSSEC, ochráněné NTP/SNMP/DNS
>> proti amplification zneužití, ...), nebo je pomáhat řešit (24x7 dohled,
>> zveřejněný kontakt na člověka řešícího csirt věci, funkční RTBH kterého
>> se o pár mailů dál dožaduješ). Myslím si že zrovna tohle jsou věci které
>> proti útokům reálně pomáhají. Pokud máš nápad jak tomu bránit
>> jinak/lépe, budu rád.
>
No, zlepseni mne napada jedine u nas, automaticky
parsovat abuse notices
a preposilat je danym adminum, pak se nebude potreba rozcilovat nad
zadnymi formulacemi. :)
>
Jinak kdyz uz se bavime o Fenixu, ten jsem pouzil
misto neceho jako "VIP
klubik CZ net komunity", ale to by byvalo vyznelo uz zbytecne jizlive,
protoze jsem rad, ze vubec nejakou komunitu mame. Jen na mne pusobi
zbytecne "VIP", hodne vzdalenou beznemu sitari mimo ty nejvetsi site.
Protlacte nekam na Root krome PR taky prakticke zkusenosti, co muzou
kopirovat dalsi admini, bez uber-nejvetsich a nejdrazsich krabic :-p
>
Co se tyce obecne automatizovaneho reseni bordelu na
siti, tam mi
prijde, ze nejvic zaspali velci vyrobci krabic, veci jako BGP FlowSpec
mely davno byt samozrejmosti a my jsme meli ted premyslet, jak pujdeme
automatizovane mezi-sitove jeste dal proti botnetum;
no jakkoliv Cisco dostava svoje zaspani "sezrat", vyrobci cipsetu jako
Broadcom se StrataXGS + Open Networking mezitim pobraly vsechny
segmenty, co cca mohly, ale minimalne to, co mame po ruce my, taky
neudela uplne zazraky. FlowSpec jedine s jinym/vlastnim opatchovanym OS
(kez by to bylo tak snadne, bez HW dokumentace a zdrojakum k FPGA to jde
ztuha...).
>
Takze nic konkretniho, zas hodne povyku pro nic... ;)
>
Jinak teda chapu spravne, ze je Fenix hlavne
vzdelavaci projekt pro ty
ucastniky? Pokud "z vetsiny jo", neslo by skolit nejakymi vhodnymi
kanaly sirsi verejnost? :)
>
> Diky, jeste jednou, za odpoved.
>
> /snajpa
>
>
> _______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list