[vpsFree.cz: community-list] Sirka pasma

Michal Halenka michal.halenka at gmail.com
Tue Jul 23 19:12:25 CEST 2019 

Ahoj,

> No, zlepseni mne napada jedine u nas, automaticky parsovat abuse notices
> a preposilat je danym adminum, pak se nebude potreba rozcilovat nad
> zadnymi formulacemi. :)

Doufal jsem v nápady na zlepšení Fenixu. Co se tyce automatickeho
forwardu abuse mailů, tak něco podobného řeší systém PROKI od CZ.NICu
(https://csirt.cz/page/3586/proki/) ale zdrojáky jsem teď narycho nenašel.

> Jinak kdyz uz se bavime o Fenixu, ten jsem pouzil misto neceho jako "VIP
> klubik CZ net komunity", ale to by byvalo vyznelo uz zbytecne jizlive,
> protoze jsem rad, ze vubec nejakou komunitu mame. Jen na mne pusobi
> zbytecne "VIP", hodne vzdalenou beznemu sitari mimo ty nejvetsi site.
> Protlacte nekam na Root krome PR taky prakticke zkusenosti, co muzou
> kopirovat dalsi admini, bez uber-nejvetsich a nejdrazsich krabic :-p

Chápu, a možná to tak občas je/bylo i prezentováno. Na druhou stranu si
nemyslím, že by technické požadavky Fenixu automaticky diskvalifikovali
lidi síťující na boxech pod cenou XY USD, i když se o tom dá
polemizovat, vzhledem k tou že například IPv6 někteří vendoři vnímají
jako enterprise-super-cool-licensed feature.

> Co se tyce obecne automatizovaneho reseni bordelu na siti, tam mi
> prijde, ze nejvic zaspali velci vyrobci krabic, veci jako BGP FlowSpec
> mely davno byt samozrejmosti a my jsme meli ted premyslet, jak pujdeme
> automatizovane mezi-sitove jeste dal proti botnetum;
> no jakkoliv Cisco dostava svoje zaspani "sezrat", vyrobci cipsetu jako
> Broadcom se StrataXGS + Open Networking mezitim pobraly vsechny
> segmenty, co cca mohly, ale minimalne to, co mame po ruce my, taky
> neudela uplne zazraky. FlowSpec jedine s jinym/vlastnim opatchovanym OS
> (kez by to bylo tak snadne, bez HW dokumentace a zdrojakum k FPGA to jde
> ztuha...).

Do toho nevidím, za síťaře se nepovažuju :)

> Takze nic konkretniho, zas hodne povyku pro nic... ;)
Na to si asi na community listu nikdo stěžovat nebude.

> Jinak teda chapu spravne, ze je Fenix hlavne vzdelavaci projekt pro ty
> ucastniky? Pokud "z vetsiny jo", neslo by skolit nejakymi vhodnymi
> kanaly sirsi verejnost? :)

Ani ne, spíš to mělo oddělit sítě které jsou rády že síťují, od sítí
které jsou schopny použít RTBH, mají někoho kdo zvedá telefon A je
schopen řešit problém, atp.

Co se týče osvěty, bývají nějaké zmínky na CSNOG atp, ale ty jsou IMHO
velice "entry-level", a konkrétní problematice se až na výjimky nevěnují.

MH


Dne 22. 07. 19 v 16:35 Pavel Snajdr napsal(a):
> Ahoj,
> 
> diky za odpoved :)
> 
>> Dovolím si na tohle zareagovat, protože nějakou dobu jsem měl Fenix na
>> starosti:
>>
>> 1) takový přístup nemají všichni
>>
>> 2) Fenix legalitu nijak zvlášť neřeší (nejvíc se tomu blíží bod 2.5.5
>> pravidel, a i ten to nechává na členovi ať si sám určí co je zneužití
>> sítě).
>> Vyžaduje po svých členech technická a organizační opatření, která mají
>> DDoSům a jiným útokům předcházet (BCP-38, DNSSEC, ochráněné NTP/SNMP/DNS
>> proti amplification zneužití, ...), nebo je pomáhat řešit (24x7 dohled,
>> zveřejněný kontakt na člověka řešícího csirt věci, funkční RTBH kterého
>> se o pár mailů dál dožaduješ). Myslím si že zrovna tohle jsou věci které
>> proti útokům reálně pomáhají. Pokud máš nápad jak tomu bránit
>> jinak/lépe, budu rád.
> 
> No, zlepseni mne napada jedine u nas, automaticky parsovat abuse notices
> a preposilat je danym adminum, pak se nebude potreba rozcilovat nad
> zadnymi formulacemi. :)
> 
> Jinak kdyz uz se bavime o Fenixu, ten jsem pouzil misto neceho jako "VIP
> klubik CZ net komunity", ale to by byvalo vyznelo uz zbytecne jizlive,
> protoze jsem rad, ze vubec nejakou komunitu mame. Jen na mne pusobi
> zbytecne "VIP", hodne vzdalenou beznemu sitari mimo ty nejvetsi site.
> Protlacte nekam na Root krome PR taky prakticke zkusenosti, co muzou
> kopirovat dalsi admini, bez uber-nejvetsich a nejdrazsich krabic :-p
> 
> Co se tyce obecne automatizovaneho reseni bordelu na siti, tam mi
> prijde, ze nejvic zaspali velci vyrobci krabic, veci jako BGP FlowSpec
> mely davno byt samozrejmosti a my jsme meli ted premyslet, jak pujdeme
> automatizovane mezi-sitove jeste dal proti botnetum;
> no jakkoliv Cisco dostava svoje zaspani "sezrat", vyrobci cipsetu jako
> Broadcom se StrataXGS + Open Networking mezitim pobraly vsechny
> segmenty, co cca mohly, ale minimalne to, co mame po ruce my, taky
> neudela uplne zazraky. FlowSpec jedine s jinym/vlastnim opatchovanym OS
> (kez by to bylo tak snadne, bez HW dokumentace a zdrojakum k FPGA to jde
> ztuha...).
> 
> Takze nic konkretniho, zas hodne povyku pro nic... ;)
> 
> Jinak teda chapu spravne, ze je Fenix hlavne vzdelavaci projekt pro ty
> ucastniky? Pokud "z vetsiny jo", neslo by skolit nejakymi vhodnymi
> kanaly sirsi verejnost? :)
> 
> Diky, jeste jednou, za odpoved.
> 
> /snajpa
> 
> 
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list

More information about the Community-list mailing list