Napsání scriptu na MikroTik

krakonos · 2021-08-21T17:14:04+00:00

EDIT: Již vyřešeno, prosím o smazání. Děkuji

myghael

jchudoba Asi máš štěstí na region když trojka vychází hůře než vesničani.

Byla by tam u i mne kdybych měl přísný threshold, ale zase od někoho konektivitu odebírat musím :-) Takže velká trojka je nejmenší zlo.

Možná bohužel, možná bohudík. Aplikace zákazníka nemá úplně specifické nároky, pouze jsou ty nároky poměrně přísné (ne zase tak moc, ale víc než "doochodce" jak to označuješ). Moje požadavky na ISP zase tak složité nejsou, pouze logická nějak rozumně vypadající smlouva a plnění předem dohodnutých a zasmluvněných parametrů. To první u velké trojky zpravidla problém nebývá, s tím druhým už to často tak slavné nebývá a zákazník chce aby to fungovalo, ne seriál o přetahované s plejádou zaměstnanců subdodavatele. Popravdě řečeno v tomhle mám rád ty vesničany, ti často rovnou řeknou, že si na to netroufají a můžu jít rovnou bez provokování zákazníka špatnou službou. To už je lepší třeba (a nejen) Nordic, tam je všechno OK, pokud zrovna netrefím nějakou "průserovou" lokalitu, ale těch časem zdá se ubývá. Ale tím bych tento off-topic již uzavřel.

krakonos Využíváme síťové ochrany od ČRA a dodatečně přes cloudflare

Sice to není váš požadavek, ale nebylo by lepší řešit to s podporou ČRa?

jchudoba

myghael Sice to není váš požadavek, ale nebylo by lepší řešit to s podporou ČRa?

To jsem chtěl říct větou " ta ochrana má nějaké slibované parametry - buď je plní nebo ne, potom bych zvážil buď výpověď, reklamaci, nebo reformulaci zadání." Rozhodně mi nedává smysl současně platit ČRa za antiDDoS a současně se snažit něco partyzánsky pytlíkovat na Mikrotiku. Už jen ekonomicky vzato - buď za to dávám peníze ČRa nebo do toho dávám můj čas a něco pytlíkuju - ale oboje dohromady je plýtvání zdroji.

Divné ovšem je že tazatel píše "Po nasazení blacklistu z projektu Turris mám klid" - to mne vede k závěru že to s čím má problém není klasický DDoS, ale něco špatně na straně koncových zákazníků (což sám tazatel píše "Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné").

Potom ale sorryjako, někdo si tu dost plete antiDDoS (tak jak to chápe ČRa) a cosi jiného, co by si měli řešit klienti. Myslím že celý problém je od začátku uchopen zcela špatně. AntiDDoS ochrana neslouží jako náhrada mizerného zabezpečení koncových bodů-a dokud si tazatel bude myslet že ano, nedosáhne výsledku. Cítím v kostech že bude muset dojít na reformulaci zadání.

krakonos

myghael DDoS není můj problém, to zde vzniklo z detektivních úvah jchudoba.
Síťová ochrana od ČRa funguje poměrně dobře, od té doby pojem DDoS neznám. Řešil jsem zde script který stahuje IP adresy z blacklistů proto, že někteří klienti mají u mě staré neaktualizované servery na které běží nejčastěji brute force útoky, typu sasl, ftp,ssh apod. až se jim podaří ten server prolomit. Od doby co jsem nasadil blacklist, tak mám klid, protože velké zdroje brute force tam jsou většinou zalistované. Nikde také neříkám, že je to super řešení a vlastně to není vůbec ideální, ale v tento okamžik to funguje a dává to "neposlušným" klientům čas na upgrade jejich zabezpečení na serveru.

ekrajnak

Nemam vela casu sa tu rozpisovat - musim dopisat konecne diplomovku... Takze idem aj tu edukativnym sposobom 😃 Ak niekto chcete pochopit co sa skryva pod pismenkami DDoS, odporucam citanie na volne chvile https://blog.cloudflare.com/tag/ddos/ ... od roku 2012 trendy, principy, vysvetlenia, grafy, ...

myghael

krakonos Tomu rozumím. My jsme to řešili upozorňováním klienta, kdo to po třech týdnech nevyřešil ani nepřišel s něčím ve stylu "hele fakt nevím čím to je" (na což se dá reagovat nabídkou vhodných služeb) tak prostě odstřižení z důvodu bezpečnosti. Pár zákazníkům jsme ty servery dali dohromady nic, firma kde nás poslali někam už dnes neexistuje - tam ale bylo špatně víc věcí než jen kritická data na stroji s Windows NT vystaveném do internetu.

jchudoba

Cesta do pekla bývá dlážděna dobrými úmysly. Pochopím možná ještě přátelské upozornění a "nabídku vhodných služeb", ale cokoli dalšího je už za hranou.

ISP má dodávat konektivitu a co se na ní přenáší nemá co řešit, pokud to po něm není vyžadováno smlouvou nebo právním předpisem (např. hazardní weby). Chápu že je to někdy tristní pohled na to že se tam přenáší zjevné útoky, ale ... nevyřeším všechno zlo světa. Nevezmu si domů všechny hladové černoušky, nevezmu si domů všechny pejskya kočicky z útulků, stejně tak nezabráním všem provozovatelům NT serverů aby ty kostlivce vystavovali do internetu.

Analogicky když provozuji hospodu, mám dodávat objednané jídlo a není mou úlohou řešit že tenhle tlusťoch by si deset knedlíků dávat neměl, protože to zvýší riziko předčasné smrti. Mám zákonnou povinnost nenalévat podnapilým-nemám ale povinnost řešit kolik si kdo dal knedlíků. Přijde špekoun kterému bych měl prodat leda salát s vodou a chce bůček a dvacet knedlíků? Proč ne. Přijde provozovatel NT serveru a koupí stomageabit a potom si přes to nechá vykrádat data? Proč ne...v čem je mezi těmito situacemi rozdíl? ISP je kulové do toho zda je ta linka vytěžována torrentem nebo portscanem-zákazník si konektivitu zaplatil, stejně jako si tlušťoch v hospodě zaplatil svůj bůček s dvaceti. Neříkám že je to krakonosova motivace, ale kdykoli jsem se já v praxi setkal s tím že isp "řešil bezpečnost", bylo to nakonec jen a pouze proto aby neměl velké náklady na konektivitu. O bezpečnost nešlo, takže to byla navíc vždy falešná dobročinnost.

Kdybych šel ještě dále, kdy začnete sledovat zda si zákazníkova dcera nedomlouvá rande s úchylákama, abyste taky zákazníka "v zájmu vyššího dobra" blokli? A co když bude zákazník často navštěvovat eshop s tabákem - také ho střihnete, aby neumřel na rakovinu plic? ISP má dodávat internet, ne si hrát na spasitele.

Tenhle aktivismus je zlo. Ostatně víte kulové zda tam klient nemá vědomě honeypot a moc dobře ví o tom že se na server útočí. Není to váš problém, nikdo nečeká že to budete řešit.

Pochopil bych kdyby ten blacklist krakonos začal nabízet jako službu, proč ne, O2 také nabízí jakýsi směšný DNS filtr. Ale dělá to transparentně.

myghael firma kde nás poslali někam už dnes neexistuje - tam ale bylo špatně víc věcí než jen kritická data na stroji s Windows NT vystaveném do internetu.

Tohle jsi napsal hezky. Vyřešil to trh, ne ingerence providera. A tak to má být. Kdybys té firmě tehdy pomohl-tak by to na výsledku nic nezměnilo. Každý svého štěstí strůjcem.

myghael

jchudoba Myslím, že už to dotahuješ do extrému. Jeden port scan u zákazníka není problém ISP, maximálně z toho pohledu, že si má ISP zabezpečit svoje zařízení a nes**t se do jiných.

Pokud mi na konkrétní IP adresu konkrétního zákazníka přijde 10+ abuse reportů denně a celé ASN kvůli tomu putuje na různé blacklisty už to ale problém ISP je a je více než vhodné klienta kontaktovat, jestli je vše v pořádku. Odstřihnout kvůli tomu klienta je extrémní krok ke kterému došlo jenom jednou, ale tehdy klienta od naší sítě odstřihla policie zabavením všeho, co bylo v zákazníkově budově a mělo na sobě konektor RJ-45 (včetně PoE adaptéru od našeho CPE).

Že ty ses setkal s podivným "ISP" co řeší proč lidi jeho 100 Mbps tarif využívají na víc jak 5% je úplně jiná otázka.

jchudoba

myghael maximálně z toho pohledu, že si má ISP zabezpečit svoje zařízení a nes**t se do jiných.

Přesně to se snažím od začátku tazateli vysvětlit, ale nechtěl jsem to napsat takto natvrdo. Ten jeho turrisí skript jde ovšem mimo tento popis - svévolně paušálně blokuje zákazníkovu komunikaci, aniž by si zákazník takovou filtraci objednal či s ní byl alespoň srozuměn.

myghael Pokud mi na konkrétní IP adresu konkrétního zákazníka přijde 10+ abuse reportů denně a celé ASN kvůli tomu putuje na různé blacklisty už to ale problém ISP je a je více než vhodné klienta kontaktovat, jestli je vše v pořádku.

S tím také souhlasím-pokud někdo přepošle abuse report zákazníkovi se zdvořilým dotazem co s tím a zdvořilou žádostí o nápravu v přiměřené lhůtě, případně nabídkou pomoci, je to OK. Zákazník to buď vyřeší nebo nevyřeší, tím to pro mne hasne. Pokud budu mít i poté dojem že mne zákazníkova přítomnost v mé síti ohrožuje, pošlu mu výpověď.

Ale nikdy nebudu paušálně zákazníkům za zády tvořit jakési obskurní filtrace a skripty "abych měl klid"-to je zcela mimo mantinely elementární slušnosti, i mimo ekonomickou logiku.

Tazatel nic nevyřešil, bezpečnost zákazníků nijak zásadně nezměnil (nic nebrání útočníkovi zaútočit z "čisté" adresy), jen sobecky "vyřešil" problém své vlatsní sítě, na úkor zákazníka (třeba mu zablokoval i sondy shodanu a zákazník si teď třeba díky tomu myslí že to má OK).

krakonos Ne všichni klienti jsou vzorní a zabezpečení jejich serverů není valné, denně jsem to s nimi řešil.

Tady někde se stala chyba. Proč "denně"? Stačilo jednou, ale systémově - nabídnout pomoc, a potom to buď nechat plavat nebo (pokud to bylo ohrožující pro ISP) prostě vypovědět smlouvu. Místo toho jsi se vydal cestou jako "chytrá horákyně" - ani jsi to nevyřešil, ale ani jsi neměl koule se k tomu postavit jako chlap a (podle tebe) problematického zákazníka vypovědět. Kdosi mi tu vyčítal že řeším věci černobíle, možná je to pravda, ale nemusím se plácat se zákazníky jejichž samotná existence mne tlačí do vymýšlení takovýchto obskurností.

Z mé praxe si zákazník buď nechá poradit bez velkého přesvědčování, nebo je to beztak někdo na kým nebudu truchlit, když náš obchodní vztah skončí a slušně se rozejdeme (pokud jsme vůbec někdy začali spolupracovat - ono firmu která je schopná vystavit NT server do internetu není těžké prokouknout ještě před podpisem smlouvy). Ty píšeš že máš vysokou neúspěšnost při přesvědčování aby si nechali poradit a současně jsou pro tebe nepostradatelní, to mi přijde dost zvláštní.

krakonos

@jchudoba Ještě teda pro doplnění a upřesnění, ať zde nevznikají nějaké nesrovnalosti a konspirační teorie.
Script jsem řešil pouze pro pár dst-address, říkejme jim třeba děravé servery. Veškerý ostatní provoz bych si nedovolil jakkoliv omezovat nebo blokovat a rozhodně to nemělo sloužit jako standart na mé síti.

Klient v tomto případě třeba kamarád Franta, má u mě tři servery za almužnu co pokryje sotva náklady na elekřinu. Jasně jsem hloupý, ale je to "kamarád". Neznám obsah jeho serverů, nevím co dělá, ale servery jsou děravé jako cedník. Pokud je to honeypot, tak určitě ne úmyslně. Pomoc zabezpečit servery odemě nechce, řeší si to sám (asi se bojí, abych neviděl jeho super tajná data na serveru, netuším). Poslat do pr*ele ho nemůžu, je to přeci kamarád, takže domluva s ním je taková, že co nejdříve sjedná nápravu a já mám zatím zablokovat vše co se mi nezdá. Původně jsem chtěl na jeho dst-address zablokovat 0-65535, ale opět jsem se slitoval navrhl script na blokování IP adres zařazených na blacklistech.
Jemu to sice dodává falešné bezpečí a útok může přijít kdykoli a kdekoli, ale pravdou je, že to pravidlo zachytává neskutečné množství spojení a již dva měsíce jsem s ním nemusel řešit, že zase spamuje do světa a pomáhat mu promazávat jeho IP ze spamlistů apod.
Být to běžní klienti, tak jim po třech upozorněních zruším smlouvu, ale jak říkám, většinou se jedná o kamarády nebo o charitu pro místní organizace. Nejsem na to hrdý, ale rád těm lidem pomohu, když mám tu možnost. Ovšem i v tomto případě platí "pro dobrotu na žebrotu" a věřím, že mi trpělivost brzy dojde. No nic, to už jsme se opět dostali od napsání scriptu zase úplně někam jinam, tolik tedy z mé strany vše k tomuto tématu a děkuji za zájem o problematiku.

soban

krakonos
Když je to kamarád tak mu pomůžu, pokud pomoc nechce dám mu čas na nápravu a pokud ani to nepomůže tak ho odstřihnu.
Prostě kvůli kamarádovi nebudu v průseru.

To mi připomíná mého kamaráda který si pořídil vypalovačku CD a nedělal nic jiného jak vypaloval CD až mu to přerostlo přes hlavu a tak ji se slevou přeprodal mě a i mě začaly kamarádi chodit abych vypaloval CD a já na to bez problémů 1x CD 1000,- , ale jinde mi to udělají za 500,- a moje odpověď je tak si to nech udělat tam a měl jsem pokoj....
Samozřejmě semtam jsem někomu něco přepálil jak to fakt byl kamarád za cenu pouze nákladů......

jchudoba

krakonos Díky za upřesnění. Takto podané to nepůsobí tak hrůzně jako původní dotaz-tam jsem se lekl "proboha další ISP si jde hrát s blacklisty". Lidsky to tak nějak chápu, ale prakticky trvám na tom že je to špatně - kamarádovi bys paradoxně více pomohl kdybys s ním naložil jako s kterýmkoli jiným klientem.
Ale to už je mezi vámi.

« Předchozí stránka