Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bescherming tegen dos door samenwerkende routers/firewalls

13-12-2010, 13:51 door Anoniem, 10 reacties
laat ik beginnen met de constatering dat de beste bescherming het onderdrukken van ego is.
de mens heb soms een enorm ego en dat moet getoond worden, vinden sommigen.
binnen de groep waarbinnen je jezelf begeeft kunnen bepaalde acties leiden tot erkenning.
het voelt goed die erkenning, hoe dom of ineffectief de actie in werkelijkheid ook is.
helaas is er een nog grotere groep die, zacht gezegd, niet blij is met dit soort acties.
uiteindelijk verwordt het in een discussie over goed en kwaad, hetgeen op zich prima is, discussie.

dat klinkt allemaal soft voor een techneut, dus nu de technische oplossing.
op basis van statistiek bepaal je wat normaal is en wat niet.
hiertoe kun je een rule maken die de ip van een abnormale request uitsluit voor een oplopende bepaalde tijd.
zover niks nieuws zou je zeggen, zit al in een ips.
eigenlijk moet het verworden tot een protocol tussen routers/firewalls.
als jij overspoelt wordt vraag je de schakel voor jou in de keten deze ip ook uit te sluiten.
uiteindelijk tot aan de oorsprong.
probleem opgelost.
zelf hoop ik dat onze vrienden van openbsd het implementeren in pf.
de rest neemt het dan vanzelf over als het effectief blijkt, echt effectief is pas als iedereen het toepast natuurlijk, inc. de cisco's en junipers onder ons.

natuurlijk is dit een simplistische voorstelling.
dit is een zelfreinigend protocol.
gelukkig zijn er voldoende techneuten, de echte hackers, die hier een uitdaging in zien.
dat is eens wat anders dan crackers die ons in een kwaad daglicht stellen.

het is zelfs mogelijk dat de politiek gaat sturen op dit soort functionaliteit in centrale routers.
de discussie is dan of dit al dan niet wenselijk is.
is dit censuur of een blessing?
zeg het maar...
Reacties (10)
13-12-2010, 15:03 door Mysterio
Huh? Hoe kun je iets schrijven wat ik na 5 keer lezen pas begin te begrijpen?

Ik laat mijn grote ego graag zien door tijdens de spits midden op het kruispunt de vogeltjesdans te doen. Niet iedereen kan dat waarderen nee. Maar sommige mensen wel! Dat streelt mijn ego. Is het wenselijk? Nee, daar kunnen we kort over zijn. Willen we dat DoS en DDoS praktijken aangepakt worden? Lijkt me wel. In de praktijk zal het iets minder makkelijk zijn dan je hier zegt.
13-12-2010, 15:52 door Syzygy
Door Mysterio: Huh? Hoe kun je iets schrijven wat ik na 5 keer lezen pas begin te begrijpen?


En jou EGO is zo groot dat het wel aan HEM moet liggen hahahahahahaha.

@Anoniem

Nou een mooi Requiem
13-12-2010, 16:13 door Anoniem
tja, zo schrijven is waarschijnlijk aangeboren, of het een gave is daarover verschillen de meningen..
ben al blij dat het begint te begrijpen, dat je moeite doet.
je wilde het dus echt, toppie.
zal mijn leeftijd wel zijn dat er wat belerends in zit, een andere kijk op hetzelfde.
de meest effectieve manier van actievoeren is geen gebruik (meer) maken van diensten van foute bedrijven, dat zal ze leren.
ik hoor dan ook graag waar ik mijn boeken met korting online kan bestellen.
daarbij zou ik best de creditcard willen opzeggen als er een betere oplossing was.
liever hoor ik verontschuldigingen van deze bedrijven, dat ze het herstellen en dat ze het nooit meer zullen doen.

uiteindelijk is makkelijk een beetje saai, dus laten we ons best doen, eenvoud blijft wel het streven.
stel dat je eigen systeem onder handen genomen wordt, dan zoek je dus bescherming.
de beste bescherming is voorkoming.
in ieder geval een goeie firewall dus.
alleen een poort die open staat laat alles door afhankelijk van de rules die je instelt.
het constateren dat een bepaalde actie veelvuldig vanaf hetzelfde adres wordt aangevraagd kun je constateren, kost wel extra geheugen natuurlijk.
het blokkeren kan middels een list, het vrijgeven na bepaalde tijd door verwijdering hieruit.
nu is het achterliggende systeem beschermd, alleen je eigen firewall is druk.
om de druk eraf te halen verzoek je het systeem 1 hop terug dezelfde actie tot blokkeren uit te voeren.
in feite zijn alle systemen autonoom om zelf actie te ondernemen en de verstoring te beperken, mogelijk is actie daar al in behandeling.
de bandbreedte wordt dan ook gebruikt waarvoor het gewenst is, iedereen profiteert daarvan.
natuurlijk zie ik ook het mogelijke punt van misbruik, zomaar vragen te blokkeren.
toch ben je zelf degene die de stroom doorstuurt, dus je weet wie een verzoek mag doen.
ik geef ook direct toe dat een ddos moeilijk valt uit te schakelen als deze massaal is, toch beperk je de schade door de grootste vervuilers aan te pakken.

mijn andere gedachte ging uit naar centrale systemen die het voor ons doen, daar profiteert iedereen van.
het is een prima oplossing zolang de politiek echt met ons, de gebruikers, overlegt en het niet arrogant doordrukt.

het schiet me te binnen dat op gelijke wijze port scans aangepakt kunnen worden.
als dit onmogelijk wordt gemaakt wordt de veiligheid opgevoerd van iedereen, dus ook tegen foute overheden.
iemand hier ideeen over?
zou je je provider meer willen betalen, of wisselen, als hij dit implementeert?
(ben zelf geen provider, nog belang hierin)
13-12-2010, 16:27 door Mysterio
Ha, maar je vergeet dat er veel meer andere mensen zijn en ik maar alleen, dus de kans is veel groter dat de schuld bij een ander ligt dan bij mij. Toch? ;-)
13-12-2010, 16:52 door Syzygy
Door Mysterio: Ha, maar je vergeet dat er veel meer andere mensen zijn en ik maar alleen, dus de kans is veel groter dat de schuld bij een ander ligt dan bij mij. Toch? ;-)

Ja natuurlijk.

Misschien kan ik je tevens even interesseren voor het het Axioma van Syzygy als verklaring van mijn bovenmatige EGO

Vanuit het punt waar ik sta is de afstand naar de grens van het heelal in alle richtingen oneindig hetgeen mathematisch bewijst dat ik in het middelpunt sta ergo ik ben het middelpunt van het heelal ! ;-)
14-12-2010, 11:37 door Mysterio
Niet! Ik ben het middelpunt van mijn wereld!

http://blog.readywire.com/2008/11/ddos-attack/ Wellicht wat leuke achtergrond info over hoe een DDoS te stoppen. Daarnaast had Zuid Korea toch ook wat bedacht om hun netwerk te beschermen?
14-12-2010, 12:33 door Anoniem
ok.
dit is een script waarmee je op je eigen firewall sodemieters kunt tegenhouden.
kan specifiek voor een bepaalde applicatie zijn, bv apache.
vergt wat knutselwerk tot het effectief is, mogelijk moet je het zelfs omzetten naar bv pf oid.
je eigen dmz systemen kunnen je centrale firewall bepaalde ip's laten droppen, dit verlegt de druk.
wat blijft is een drukke firewall.
als je deze druk eraf wilt hebben moet je een stap terug, liefst tot bij de bron.
reden dat ik denk aan inbouwen in router/firewall is dat het eenvoudiger is voor minder technisch aangelegden, eindgebruikers, moeder de vrouw of de kids.
zonder gebruik extra applicaties als snort+snortsam.
het is effectiever als iemand iets verzint dat automatisch werkt, een protocol.
zoals met zovele zaken blijft er vast nog iets te tunen.

verder nog de vraag of het erg is dat centrale systemen dit voor ons zouden doen.
als dit kennelijk ongewenst gedrag is moet het worden uitgeroeid, net als spam (hoewel dit in aparte box komt).
en portscan van buiten op je systemen, is dat ook ongewenst?
voordeel van centraal is dat er thuis geen kastjes vervangen hoeven worden, direct effectief.
14-12-2010, 20:14 door Anoniem
Dit is er al, het heet DShield http://www.dshield.org/
15-12-2010, 11:48 door Loserenzo
Het is op zich leuk bedacht, maar het zal in het huidige maatschappelijke en economische klimaat niet gaan werken. Het betekend namelijk dat bedrijven (ISP's / NSP's) met name routering moeten gaan automatiseren en laten sturen door andere (I/N)SP's, dat doen ze niet graag.

Een centraal systeem waarmee gecommuniceerd wordt is bijvoorbaat gedoemd om door een overheid gecontroleerd te (gaan) worden en daarmee niet meer te vertrouwen.

Het idee bestaat overigens al een poosje, zoek maar eens op "pushback dDoS" http://www.google.com/search?q=ddos+pushback of op /. http://slashdot.org/it/02/10/27/140212.shtml?tid=172
15-12-2010, 17:34 door Anoniem
@loesahenzau

dns(sec), certificaten en timeservers zijn ook geaccepteerde sturing door anderen, geen probleem met acceptatie.
ik zie inderdaad wel een technische onvolkomenheid, je punt over routing, die kan verschillen per pakket.
maar hoe vaak wisselt het nu werkelijk?
en is het erg dat een ip op diverse routes wordt gedropt?
eigenlijk niet.
op een gegeven moment zit je 1 hop van de bron.

1 centraal systeem zou dom zijn natuurlijk.
infrastructuur blijft zoals hij is, enkele centrale systemen pas je dan aan.
wel dient overheid/justitie zijn vingers thuis te houden, dus niet opvragen van logs.
dit is wishful thinking want je ziet nu ook al dat ze het gewoon doen.
je enige defense, als je het zou willen, is niet loggen.
leuk voor jouw geweten, alleen gaan ze gewoon een hop terug, tot bingo.
eigenlijk hadden we gezegd dat het ongewenst gedrag was, dus is het wel erg?
voer voor discussie.
alles hangt af van de soort straf die erop staat denk ik.
een didactische tik, maar niet overdrijven.
trouwens, alle entries zijn tijdelijk, met timeout.
een isp kan het zijn klanten voorleggen.
vindt je het goed dat wij je beschermen tegen dos, portscan e.d.?
wil je dat we je waarschuwen als we vreemde activiteit vanuit je aansluiting zien?
valt nog wel wat te verzinnen.

verder was ik, zoals blijkt, niet uniek in deze gedachte, wel zelf verzonnen trouwens.
jouw links met iets soortgelijks spelen al van 2002 of mogelijk eerder.
blijft de vraag waarom het dan niet wordt ingevoerd als het kennelijk een groot probleem is?
kosten, ok, maar wie zegt dat klanten daar niks voor over hebben.
en zelfs grote bedrijven blijken onbeschermd, vreemd.

een terugkerende discussie is een verplicht overheidsfilter tegen tere oogjes en zieltjes.
je isp kan dit ter beschikking stellen middels squid/squidgard oid met diverse zelf in te stellen rubrieken.
helpt tevens tegen fishing of reclame.
persoonlijke keuze dus, niks verplicht.
kosten vallen best mee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.