poorten blokkeren ?
Net nu mijn ISP er eindelijker wat flexibeler in is geworden ...

Zal alleen maar erger worden verwacht ik.

"Het niet naar andere netten routeren van verkeer vanaf IP-adressen die
niet tot de eigen reeksen behoren."

Lijkt me lastig voor toplevel toko's als AMS-IX als ze niet meer mogen
routeren. Of voor clubs die via peering contracten hun kosten laag
proberen te houden of voor VISP's die IP ranges gekocht hebben van hun
ISP...

"Het niet routeren van inkomend verkeerd van IP-blokken die niet officieel
zijn uitgegeven."

Dat is amper te monitoren, heb je een dagtaak aan.

"Het aanbieden van virus- en spamfilters voor inkomende en eventueel
uitgaande e-mail."

Eventueel, dus je mag de hele wereld besmetten, maar je klanten mogen
dan geen besmette E-mails meer krijgen? Waarom hebben ISP's niet
standaard malware filtering aan staan (als optie voor n00b-internet
gebruikers)

"Het benaderen van eindgebruikers wiens PC als zombie wordt gebruikt. "

Nee hoor, ik ben aan het honeypotten...

"Het blokkeren van de meest voor inbraken op PC's misbruikte
poortnummers."

Zo'n beetje ELKE poort is wel minstens 1 keer voor een vulnerability of stuk
malware gebruikt... PRUTSERS!

"Het adviseren van eindgebruikers om firewalls te installeren of activeren"

Firewalls... zucht... Het 'magische' stukje software of kastje dat de hele
wereld beter maakt...

Gelukkig hebben ze bij die amateurclub meer verstand van KPN-etje
pesten.

Die persoon werkt bij Stratix, zie je toch. Is dat een kliniek?

Daarvoor heb je meerdere lagen in je netwerk en daarbij weet
je welke netwerken er bij welk ASN van je peers behoren. Dit
is al standard practice.


Dit valt onder de BOGON-range en de STOP-range. Beide zijn
automatisch toe te voegen aan je BGP-tabel en gebeurt ook.


Er zijn voldoende ISPs die standaard een virusscanner op de
e-mail loslaten. XS4ALL heeft die een paar jaar geleden
zelfs groot aangekondigd bv. Het naar buiten wordt door vele
ook gedaan en er zijn zelfs ISPs die hun eigen klanten
weigeren bij besmetting zoals bv Planet doet.


Honeypotten is leuk, maar mag geen effect hebben op de rest
van de wereld. Het honeypot project kwam daar ook achter
toen een rechtzaak dreigde, maar je moet wel je
verantwoordelijkheid nemen in z'n situatie. Helaas kunnen
heel veel mensen dat niet, zelfs als ze zelf denken van wel.


Poorten blokken heeft effect zoals bv bij Code Red ook al
aantoonde bij bv Sonera/Multikabel waarbij klanten die
inkomende poorten beneden de 1024 alles weigerde. Daarbij
kan je z'n maatregel ook tijdelijk nemen zoals zoveel ISPs
al jaren lang doen.


Het is geen magie, maar onderdeel van de puzzel. En
inkomende verbindingen naar clients niet toestaan cq
beperken heeft veel zin. Het naar buiten kan ook veel spam
bv verhelpen door klanten te verplichten om door bv bepaalde
proxies/gateways te gaan.


Je kan wel negatief doen, maar dit is wel een goede
ontwikkeling voor klanten want zo weten we langzaam aan waar
ze aan toe zijn. Maar het is geen silverbullet en dat is
altijd belangrijk om te weten.

Lees het rapport: de specialisten van je ISP die zó dicht op de materie
zitten dat ze menen dat " de meest gevaarlijke poorten (NETBIOS, Back
Orrifice)" zijn. Die hebben al een paar jaar een management functie
vermoed ik. Kijk zelf maar, de functie van de specialisten staan in het
rapport.... Tja en het onderzoeksburo doet gewoon wat de opdrachtgever
vraagt - daar is toch nix mis mee? Alleen hopen dat de OPTA hier niet
allerlei kostbare belastingeuri's voor uitgegeven heeft.

Voor de jongeren onder ons: Back Orifice is in 1998 geintroduceerd en
gemoderniseerd in 1999. (BO2K) BO is bedoeld voor windows 95, wat de
ouderen hier wellicht nog wel vaag kunnen herinneren. Naar ik meen
stond Netbios default open op oudere MS platformen die je nog wel eens
aantreft op een PC van 3 euro op de vrijmarkt, en had je dit probleem als je
zonder ADSL router/fw naar het internet ging. Maar da's allemaal best lang
geleden, dus ik kan mij vergissen.

Wat word er nu eigenlijk geadviseerd?


Wat betekent dit nu? Geen spoofing met bestaande adressen die niet van
de ISP zijn.

Wat betekent dit nu? Geen adressen accepteren die een ISP niet terug kan
routeren.


Wat betekent dit nu? Een ISP maakt het een klant gemakkelijker om aan
filters voor dit soort zaken te komen. Een dienstverlening dus.


Wat betekent dit nu? 'Vervuilers' worden benaderd om het vervuilen te
stoppen. Dit is in het belang van een ISP, bij teveel vervuiling vanaf
zijn netwerk loopt een ISP de kans dat zijn AS ip nummer reeks wordt
geblokt.


Wat betekent dit nu? Dit is de meeste werk, dit wisselt continue. In het
rapport staat iets anders, een ISP blokeert een aantal poorten die niet op
het Internet verwacht worden. NETBIOS over het Internet is heel
ongebruikelijk. Dit om de achtergrond ruis te beperken. Niet zozeer een
beveiligings/veiligheids winst maar meer een verkeersredcutie.


Wat betekent dit nu? Advies geven aan klanten om hun eigen omgeving te
beschermen. Levert minder potentiele problemen voor een ISP op.


Dit alles is best leuk maar de trend in het rapport van Stratix is meer
van "Waar bemoeit de OPTA zich mee? Dit wordt al onderling geregeld. En
als de OPTA zich er zo nodig mee wil bemoeien laat die zich dan eerst
maar eens acherhalen waar het om gaat."

Het staat wat kort geformuleerd maar het komt neer op een
soort anti-spoofing. Als een ISP netwerken A,B en C heeft,
dan kan verkeer vanaf zijn netwerk nooit een adres hebben
uit de reeks D-Z. En juist dat soort verkeer willen ze
blokkeren.
Ik vraag me af hoe dat gaat werken met anonieme proxy's dan.

de proxy is niet -nooit- anoniem, het verkeer dat ze
doorstuurt lijkt het te zijn!