[Wien] [Discuss] China versucht unsere Router zu übernehmen
Gottfried Motowidlo
(spam-protected)
Di Mai 29 17:08:13 CEST 2012
Hi Aaron!
"Mit der Freiheit kommt die Verantwortung". Full ACK. Du hast es in Deiner
Mail schon angesprochen, ich möchte Deinen Gedanken aber nochmals
ausführen, weil er mir bei der laufenden Diskussion über Blacklists und
dergleichen wichtig erscheint:
Wir wollen ein freies Netz, keine Einschränkungen für Datenpakete die durch
unsere Router weitergeleitet werden, freien Transit. Im Pico Peering
Agreement ist der Grundsatz freier Netze beschrieben und das ist auch gut
so.
Freiheit im Netz bedeutet aber andererseits nicht, dass jeglicher
Datenverkehr a priori zugelassen werden muss. Jeder Knotenbetreiber hat
selbst die Verantwortung für seine Router. Er kann z.B. bestimmen, welcher
Person (welcher IP-Adresse) er für die Fernwartung SSH gestattet oder
nicht. Eine teilweise Sperre von SSH am EIGENEN Router würde eigene
Netzwerkkomponenten wirksam schützen, durchfließenden Verkehr aber nicht
einschränken. Eine solche Maßnahme wäre somit kein Verstoß im Sinne des
Pico Peering Agreement.
Zum Erkennen von Angriffen hat sich bei mir das Loggen der Router auf einen
externen Syslog Server sehr bewährt. Alleine durch eine Mengenänderung
anfallender Logging Events merkt man schnell, dass irgendetwas aus dem
Ruder läuft.
Grüße Gottfried
Am 29. Mai 2012 12:29 schrieb L. Aaron Kaplan <(spam-protected)>:
>
> On May 29, 2012, at 8:43 AM, Martin Heinrich wrote:
>
> > Hallo,
> >
> > danke für die Warnung und gleich eine Anregung/Frage:
> > was halten wir von einer Blacklist am Netzzugang? eingehend/ausgehend?
> technisch/ideologisch?
>
> Nichts.
>
> Ein normaler ISP wird auch nichts machen ausser maximal eine DDOS
> Protection aufdrehen.
> Ihr habt die tolle Moeglichkeit, ungefilteretes Internet zu haben.
> Mit Freiheit kommt aber auch Verantwortung. In dem Fall, die
> Verantwortung, den eigenen Netzzugang fuer einen selbst abzusichern.
>
> In dem Fall waere meiner Meinung nach wachsamer Benutzer, eine gute lokale
> Firewall und vor allem ein sicherer openwrt Router und sicherer Heim PC der
> bessere Weg.
>
> Was wir machen koennten ist eine opt-in Blackliste. zB einen rekursiven
> DNS Server, der bekannte malware domains auf 127.0.0.1 resolved. So was
> wuerde ich aber *niemals* verpflichtend machen wollen. Immer nur opt-in!
>
> >
> > einerseits ja, wir wollen freies Netz.
> > aber imho auch frei von krimineller Energie (sowohl Missbrauch als auch
> Bedrohung).
> >
> Genau deshalb arbeite ich ja auch dort wo ich arbeite :)
>
> Adi und ich wollten seit einiger Zeit einen IT Security Workshop fuer
> Funkfeuer user machen.
> Das Thema ist ohne Zweifel sehr sehr wichtig.
>
> Insofern setze ich da eher auf user-education und gemeinsames Erwerben von
> know-how.
> Das ist auch eine ganz wichtige Komponente von FF.
> Gemeinsam koennen wir dieses freie Netz das wir uns erarbeitet haben auch
> frei erhalten. Alleine und einzeln geht das nicht mehr.
> (IT security ist zu komplex geworden, es braucht viele Augenpaare die auf
> die Netze und die verwendete Software schauen [1]).
>
>
> In diesem Sinne: danke (!) an Akku, dass er diese Warningmails und die
> tipps fuer Passwoerter rausgeschickt hat.
>
>
> lg,
> a.
> (wieder retour zur Malware Analyse)
>
> PS: ssh scans sind eine sehr alte Geschichte.
>
>
> [1] ein guter Startpunkt fuer Einsteiger ist zB hier:
> http://www.nsa.gov/ia/
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien
>
den Zugang
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20120529/c17ae21e/attachment.htm>
Mehr Informationen über die Mailingliste Wien