Re: lug-bg: IP adres - offtopic

["Qblue" <qblue@xxxxxxxxxxx>]

> Първо малко корекции. Не може един IP адрес да е на регистрация към
> ARIN (терминлогията е друга). Обяснявам. Процедурата е следната. IANA
> е централния разпределител на адресни пространства. Ето ти т.нар.
> "адресен план" с алокациите към регионалните IP регистри (ARIN, RIPE,
> APNIC, LACNIC). IANA раздава на регистрите мрежови пространства с
> дължина /8. Те от своя страна могат да правят алокации за автономни
> системи. Участниците в Интернет подават заявка към съответния
> регионален регистър за алокиране на адресно пространство и включването
> му в дадена автономна система. На практика регионалния регистър дава
> под наем съответното адресно пространство. Разбира се има и заплащане,
> иначе какъв наем е това.
>
> Второ, това, че един IP адрес е алокиран от ARIN още не значи, че той
> географски се намира в района на действие на този регистър. Може да се
> намира преспокойно в Африка или на Малдивските острови. При
> съвременото развитие на VPN технологиите, може да нямаш никаква
> представа къде се намира релно машината, на която е асоцииран той.
> Например, в моята мрежа има едни специални 3 IP адреса, които би
> трябвало да се намират в София, но на практика единият се намира в
> Амстердам, а останалите два в Цукуба (Япония). Така, че не бих те
> съветвал да се доверяваш на traceroute информацията, която разчита на
> "next hop".
>
> Трето, това, че traceroute заявките ти стигат до някъде и оттам
> нататък не получаваш информация за следвания маршрут е напълно
> нормално явление. Просто някой администратор е счел, че няма да
> допуска traceroute и толкова:) Повечето го правят за свое успокоение.
> Виждал съм мрежи с отрязан traceroute и ping и с wu-ftp демони от
> ранния мезозой, ntp демони, които можеш да пренастроиш отвън и да
> излъжеш машината, че всъщност сега е 1979 година, и се получава така,
> че слагаме филтри за протколи, а не си поддържаме демоните. Т.е.
> анахронизми има много в Интернет и човек трябва да ги приема весело за
> да не откачи.
>
> Четвърто, доколкото всеки IP протокол може да се маршрутизира
> самостоятелно, може да не виждаш истинския път на TCP протокола (чрез
> него се прави FTP сесия). Възможно е traceroute заявките да минават по
> един маршрут, а TCP по друг. Т.е. не вярвай много на очите си. Също
> така не вярвай много на traceroute и nmap инструменти да ти кажат дали
> наистина хоста е UP. Може един хоста да не е UP и отново да пингваш и
> traceroute-ваш този IP адрес. Едни фенове от университета в Единбург
> бяха направили огледално адресно пространство за гасене на атаки.
> Имаха една голяма машинка SGI и на един неин интерфейс бяха наблъскали
> 140 IP адреса. Когато на централния рутер идваше ICMP echo request или
> UDP пакет за портове изпозлвани за traceroute, те го насочваха към SGI
> машината (същото правеха и за някой TCP пакети). От друга страна
> нужните за работата на хората пакети и сесии се маршрутизираха
> "правилно". Така, се получаваше, че дори една машина да е изключена
> физически, тя винаги е UP за външния свят. Това ти го казвам за да
> видиш на какви невероятни случи можеш да се натъкнеш.
>
>
> Ако се свързва като anonymous какви са ти притесненията? Нали за това
> имате FTP сървър. Който не иска да има FTP сесии от непознати, да не
> си пуска FTP сърър. Виж, ако някой от US прави FTP сесия от името на
> потребител, който е в България, си е повод за разследване. Най-малкото
> питай потребителя дали се е свързвал и коя мрежа (ако въобще може да
> ти каже подобна информация). Освен това хората пътуват, ползват едни
> IP адреси в работата, други в къщи и т.н... Т.е. не очаквай
> разследване по IP адрес да ти реши проблемите. Ако искаш всичко да
> бъде изрядно от гледна точка на влизането в системата на неанонимни
> поттебители, си слагаш ProFTPD и компилираш
> "--with-modules=mod_tls:mod_vroot...." и правиш .tlslogin файл в $HOME
> на всеки потребител и влизането става само след представяне на валиден
> X.509, който ти или някое друго CA е подписало, а не с паролка (което
> е турбо отвратително) в открит текст (последното е турбо мега
> отвратително). Така ще имаш много по-надеждна информация кой е влизал
> (кражбата на сертификат е далеч по-трудна от кражбата на паролка).
>
> ~  Поздрави
> ~       Весо

Благодаря :)

Не е това което очаквах, но информацията е полезна.

Явор Атанасов



============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================