Vlákno názorů k článku Jak se ISP vypořádají se šiřiteli virů a spamu? od PaJaSoft - Tak zacima mit pocit, ze z oboru taky...

Tak zacima mit pocit, ze z oboru taky moc nejste, protoze a) - samozrejme, ze je rozdil sledovat tok na Inet siti a LAN... ale nezlobte se na mne, pokud neni problem sledovat spam na 2Mbit lince (= cca 31 dialupistu na ISDN), tak kolik tech 2Mbitu ma ISP prodano? Rekneme 100 = 3100 dialupistu... Kolik modemu je fyzicky v modemovem rostu? Je ten pocet vyrazne jiny? Takze vysledek je ten, ze datovy tok z agregovanych 2Mbitu sledovat lze a ten samy datovy tok od 3000 uzivatelu nejde? Trochu protimluv... Samozrejme, ze kapacita v radu GB je na trochu jine metodiky, ale lze to...

Jeden priklad z praxe - nebyl to ojedinely pripad, kdy zakaznik byl na SMTP odriznut od ISP IOL proto, ze generoval podezrely provoz... (samozrejme, zpravidla to bylo opravnene, trojan nebo zavirovany komp v lokalni siti), jednalo se vzdy o firemni pripojky s kapacitou 512 nebo 1024kbps, rychlost zasahu IOLu byla do 24 hodin od vzniku incidentu... - jak a cim to delaji je mi ukradene, jen rikam, ze to jde, je to v moznostech ISP velikosti IOLu, ktery at se to nekomu libi nebo ne, ma velmi vyrazny podil na trhu jak ve firemnim, tak rezidencnim sektoru. Rovnez na abuse@ byl a je vzdy schopen velmi reagovat, coz se treba op zminenem COL neda NAPROSTO rici, v zivote se mi neozvali, vzdy mi akorat automat potvrdil prijeti zpravy... Tiscali a jeho statelessy mi uz taky lezou krkem... o Contactel.net ani nemluve....

A k te cene - mozna to plati o zahranici, ale v CR je vyber ISP podminen PREDEVSIM tim, kolik da ISP na zacatku bokem provizi ITkovi nebo podobnemu typku, ktery je za vyber dodavatele internetove (pripadne hlas + data) konektivity ve firme odpovedny (mluvim o kategorii 500+, mozna 100+), cena na fakture je to to posledni, co by resili... (zejmena pri kapacite, co odebiraji a tim padem cene, protoze ostatni subsystemy - treba LL okruhy do zahranici, VPN po republice... - jsou vyrazne cenove drazsi nez nejaka jejich konektivita 10/100Mbitem do ISP a tim padem do NIXu)

To je ten problem. Neni v silach IDS sondy zjistit zda nekdo posila stale jeden a tentyz email nebo na miliony adres. Malokdo mimo obor a Michala Krska :c)) chape, ze je diametralni rozdil neco delat na siti o 100 uzivatelich na LANce a siti o desitkach tisic pripojenych LAN. Analyza toku pul mega je jednoducha, analyza pul giga zpusobuje boleni hlavy.

K tomu o tom zahlceni. Myslel jsem to tak, ze ve fronte na mailserveru nepoznam, zda mi chodi o 100 emailu/minuta vic nebo mene. Proste fronta kolisa dle denni doby a dne v tydnu. Nelze s jistotou urcit, zda nekdo v nedeli ve dve odpoledne rozchodil tri dny zasekly Exchange nebo se jedna o spam. Osobne mam zkusenosti se spamem pres ADSL, to na mailserveru neslo poznat. Vyjimkou byl spam pres 2MB linku. To uz bylo zajimave "sledovat" a stejne problem na serveru byl pozorovatelny az po nekolika hodinach. Do te doby proste jen tosku rostla fronta.

Migrace k jinemu ISP take netrva vetsinou 20 minut a pro zakaznika je vetsinou se skripenim zubu preckat blokaci RBL nez prejit k jinemu. Krome toho zde plati to co pisu v predchozim prispevku, vyber ISP ve vetsine firem se ridi cislem na fakture.

Rychlost jednotliveho ucastnika je jedna vec, celkovy agregovany tok, je vec jina :-)

Pocet resenych incidentu bude spis nejakou funkci poctu zakazniku nez kapacity.

Ale at se klidne prihlasi nekdo, kdo ma IDS sondu v siti, kam ma pripojenych nejmene par tisic zakazniku (=cizich subjektu).

S tim nemohu nez souhlasit, ale Tvuj predrecnik si stezoval na spam z ADSL a dial-upu... jake ze jsou rychlosti upload u techto technologii?!

Smutne ovsem jest, ze velka cast (nejen nasich) ISP o IDS sonde pouze slysela a AFAIK ji nikdo nema nasazenou v produkcni siti, pres kterou tecou data zakazniku.

Ono neni jednoduche mit "sondu" na gigabitove taky a jeji ladeni tak, aby nepotrebovala deset lidi, kteri resi problemy, na ktere sonda ukaze. Internet prece jenom neni korporatni LAN :-)

Proaktivita se dá dělat technickými prostředky... neříkejte, že není v silách IDS sondy zjistit, že XYZ posílá mail na milion adres (To, CC, BCC), případně že posílá jeden mail furt dokola...

Další věc, kterou jsem nepochopil je, že nelze zahltit (resp. poznat zahlcení) Inet přes 64kbps linku... vzhledem k velikosti spamu (řádove jednotky kB) a délce e-mail adres (max. desítky znaků) si myslím, že na to stačí dalko podstatně slabší kapacita....

V okamžiku, kdy s takovým ISP přestane komunikovat zbytek světa (a je jedno jak je veliký či globální, žádný tu nemá takovou moc!) zákazníkům ani nic jiného než migrace nezbyde, pokud teda nebudou chtít komunikovat autonomně pouze unitř toho ISP...(takto to bylo v dřevních dobách a mám pocit, že se k tomtu principu pomalu (byť velmi zvolna) vracíme)

No jo, proaktivita se dela dobre, pokud mate 50 zakazniku. Dela se hure pri 1000 a je skoro nemozna pri 10 000 uzivatelich. Cela proaktivita je pro kocku, kdyz seberychlejsi mailserver travi hodiny hledanim "jehly ve stohu sena" a fronta roste a roste. Enormne s tim i nastvanost dalsich uzivatelu. S tim stoupa take cena administratora, ktery musi veskere hlaseni vyhodnocovat. Proste a jasne, temer zadny ISP na tohle nema volne prostredky (lidske+technicke) a investici do zabezpeceni, ktere neprinese financni uzitek a stejne zitra bude k nicemu, nikdo neschvali. Chapu, ze vetsinu uzivatelu tohle dost stve, ale od urciteho objemu to ISP nemuze proaktive hlidat.

Protoze mam urcite zkusenosti s praci v oblasti technicke podpory, tak muzu s cistym svedomim rict, ze proaktivne se resi spam pres 2MB linku, kdy to mailserver pekne schyta. Nejaky spam pres 64kbps odchoziho toku ADSL linkou je vec, kterou na mailserveru s 10000 maily za hodinu proste nepoznate ani kdyby jste chtel sebevic.

Argument, ze takovy ISP prijde o svoje zakazniky moc neobstoji v situaci, kdy zakladnim rozhodovacim cinitelem je "cena" ihned nasledovana "dostupnosti sluzby v dane lokalite". Neco tak "malicherneho" jako je spam se proste do tehle kriterii uz nevejde. Kriteriem vyberu ISP je hodnota uvedena na fakture. A ISP to dobre vedi.

Objem spamu take uz presahl moznosti RBL systemu, zejmena diky deravosti zkusene parodie na operacni system. Namatkou jsem si projel IP rozsah jednoho ISP na zaklade hlasenych spamu. Vetsina reverznich domen je dialup.provider.cz, nasledovana adsl.provider.cz . Takze co chcete proaktive resit?

Jednak si vsichni vymysli... - o tom, jak reaguji (a ze se situaci nijak zvlasta nezmenila) cesti ISP na hlaseni o obtezovani (i ceskym spamem) jsem psal asi tak pul roku zpet.. - nic se na tom nesmenilo... Reagovat na nejaky problemy v okamziku, kdy je adresa v RBL systemech,... to uz snad toho konkretniho cloveka propustit a za usetrene naklady na toto pracovni misto vyvinout neco opravdu smysluplnejsiho....

Mne spise zarazi, ze cesti ISP (a nejen oni) nejsou schopni podobne aktivity - ktere kupodivu jdou pomerne jednoduse detekovat i bez zasahu do soukromi, omezovanim sluzeb apod. - ani monitorovat natoz automaticky blokovat... nu coz, treba jim ubudou zakaznici az si nepromluvi s okolim, velikosti ISP se dneska uz jen tak neda valcovat vsechny okolo...