Re: lug-bg: Моля за консултация!

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

Ivan Iliev wrote:

> Здравейте,
>
> Ситуацията е следната. Администратор съм на малко ISP. Имаме един Linux gateway с две мрежови карти. Едната лан карта има реален IP адрес а другата е с адрес 192.168.0.1. Машината извършва traffic shaping, NAT, DNS и т.н. Всичко си работи както трябва и е чудесно.
> На последък ме мъчи една мисъл. Всичи потребители излизат с един реален IP едрес. Какво ще се получи ако якой от вътрешната мрежа направи в Интернет нещо нередно. В логовете на даденият сървър ще се запише IP адреса от който излизат всички. По какъв начин аз мога да разбера кой е направил белята от локалните потребители. Какво съм длъжен и имам право да логвам. Това което ми хрумва е да използвам squid но той лотва само http трафика. Просто искам да ми е така gateway-ят, че ако някой направи нещо да не бъда аз виновен и да не подведат мен под отговорност и да мога да кажа кой е бил от потребителите ми, които не са лалко, над 60 човека.
>
> Знам как постъпрат нормалните ISP-та. Имат определен блок IP адреси. Мрежата е изградено на базата на PPPoE. Всеки клиент желаещ да използва интернет се конектва към PPPoE сървъра с потребителско име и парола, извършва се оторизация в радиус сървър и се дава на клиента динамичен реален IP адрес. В логовете на радиуса се записва адреса с който е бил клиента, трафика му и т.н. при което няма проблем да се коже кой е бил.
>
> При мен за съжаление на този етап няма възможност да не изгради по този начин мрежата. Как бихте постъпили ако сте на мое място. Какви логове бихте водили.
>
> Благодаря предварително за помоща.
>
>  
Накратко, записването на пакети, състояние на сесии с цел използването 
им срещу някого като доказателствен материал е тъпо и безмислено. Никой 
журнален файл не може да има доказателствена сила, доколкото всеки може 
да се напише такъв. В нашата страна има шепа кретени, които вглъбени в 
простотията си бяха предложили едни промени в наказателния кодекс, по 
силата на които журналния файл е доказателство. Не ми се иска да 
споменавам имената им - тези хора са такива некадърници и малоумковци, 
че не искам да обиждам клавиатурата си като я ползвам да изпиша имената им.
Има доста начини за IP измама и т.н. похвати, чрез които можеш да 
"симулираш" атака от името на друг човек. Аз утре може да размахам 
журнален файл, в който съм описал атака от твоя страна. Ти ще извадиш 
твой журнален файл, в който пък се казва, че нищо не си правил и ще 
почне една война на журналните файлове и ще се влезе в едно блато с 
лепкава тиня, от която излизане няма. В този лист пишат Георги 
Чорбаджийски и Васил Колев, които водят курс по мрежова сигурност и 
доста добре обясняват въпросните IP измами. Специални адмирации за двамата.
Накратко, вложи повече старания за да направиш мрежата си и услугите си 
сигурни и осигуряващи превенция на злоупотребите. Имай предвид, че дори 
и да записваш, може някоя атака да е толкова силна, че да ти напълни 
файловите системи (тук пак идваме на въпроса "добре, а кой ще плаща за 
допълнителното пространство, което ще се ползва за съхранение на 
журналните"). При друга можеш съвсем да останеш без файлова система:))) 
Всъщност има един такъв детайл, дето се пропуска от много хора: 
записаната информация ще бъде прочетена едва след настъпване на 
събитието, когато в повечето случаи тя няма да бъде полезна и нужна, ако 
въобще същствува. И запомни, че описването на трафика и сесиите не е 
защита срещу нищо, освен срещу ниско натоварване на системата. Да не 
говорим, че подслушвайки някого се принизяваш до безформено мекотело и 
деградираш стремглаво.
А това за PPPoE много ме весели:) Гнил протокол за гнили доставчици, при 
това се лъже не много трудно. Удостоверяване с паролка:) - често име на 
куче, на любовница/любовник, на дете, телефонен номер и други 
профанщини. Специално предвиден за ползватели на MS Windows с интелект 
на зелена еуглена. Да живеят кухите глави и кухите операционни системи, 
чието предназначение е да са платформа за гледане на порно, филми, 
чатене в IRC (водене на IRC войни илюстриращи участие в естествен отбор 
характерен повече за времето, когато китовете са се върнали в океаните, 
сигурно отвратени от това, което става на сушата) и игри до пълно и 
необратимо затъпяване с дрогиране на войниците в играта, изстрелване на 
ракети с ядрени бойни глави, тонове гилзи, реки кръв и грозно насилие.
Сега ме напушва на смях от един такъв PPPoE доставчик - HomeLan/Data.BG. 
Сигурно Георги Данчев ще ми позволи да споделя неволите му. Във 
въпросният доставчик нямаше кой да му настрои PPPoE за Linux. Данчев е с 
интелект далеч над средния и вместо да си сложи Windows седна, почете 
малко и си пусна сам PPPoE. После беше попитал въпросния ISP дали имат 
SMTP сървър. Отговорът им бе "в момента го изграждаме". След близо 5 
месеца Георги пак звъни на ISP-то и пита за SMTP сървър и пак отговарят 
"в момента го изграждаме". Георги ми вика "Весо, тези голям сървър 
изграждат, да знаеш" :))) Доколкото не съм хранлил ни най-малки съмнения 
относно компетентността на някой корифеи на техническата мисъл, че могат 
да изградят SMTP сървър, съм напускал Георги, че и Пейо Попов през моя 
SMTP, който носи прозвището "женско сърце", защото в него има винаги 
място за още един:)) В момента общо 17 клиента на въпросния човеколюбив 
ISP минават през мен, защото хем няма SMTP сървър, хем са им отрязали 
изходящия 25/tcp (Пейо имаше идея да ги вразумява, но успях да го убедя 
да не се занимава със земеделци и да ползва моя VPN). За да бъде шоуто 
велико, въпросния мил доставчик е сложил TTL филтри за да не може да 
"минават" NAT сесии. Разбира се, с голямо удоволствие научих мои познати 
как да си менажират TTL и да заобикалят филтъра. Тук 2 дни се писа точно 
за TTL филтъра и patch-o-matic и се чудя как един не се сети, че трябва 
да се премести само един файл:) за да тръгнат нещата.
Та мисълта ми е, че не може на такива аматьори да им се вярва на 
журналните файлове. Тях всеки може да ги лъже и да им разиграва какви ли 
не сценарии:))) а и те могат да лъжат и мажат както си искат. Журналният 
файл не е никакво доказателство и лично на мен, ако някой дойде да ми 
обяснява, че съм бил виновен за не знам си какво въз основа на журнален 
файл, ще му връча мотика и еднопосочен билет за село за да се занимава с 
това, което му подхожда на знанията.
Скоро ще е готов един проект, който движим с Йовко Ламбрев и някой други 
хора и който ще има за цел да научи хората как да не могат да бъдат 
подслушвани комуникациите им. Не само това, специално аз ще публикувам 
наръчник как да лъжем нашия ISP (от TTL филтри, до изграждане на VPN по 
TCP и заобикаляне на трансператни проксита).
Приятели, България е прокълната да си остане винаги земеделска страна...
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================