[Wien] [Discuss] China versucht unsere Router zu übernehmen

Bernd Petrovitsch (spam-protected)
Di Mai 29 17:26:53 CEST 2012 

Hi!

On Die, 2012-05-29 at 17:08 +0200, Gottfried Motowidlo wrote:
[....]
> Wir wollen ein freies Netz, keine Einschränkungen für Datenpakete die durch
> unsere Router weitergeleitet werden, freien Transit. Im Pico Peering
> Agreement ist der Grundsatz freier Netze beschrieben und das ist auch gut
> so.

Naja, es gibt dort explizite Ausnahmen, wo man da schon "reingreifen"
darf.

> Freiheit im Netz bedeutet aber andererseits nicht, dass jeglicher
> Datenverkehr a priori zugelassen werden muss. Jeder Knotenbetreiber hat
> selbst die Verantwortung für seine Router. Er kann z.B. bestimmen, welcher
> Person (welcher IP-Adresse) er für die Fernwartung SSH gestattet oder
> nicht. Eine teilweise Sperre von SSH am EIGENEN Router würde eigene

Fürs Protokoll/Archiv: Genau derartiges hab ich mit "Firewall" gemeint -
entweder die eigene Firewall zum eigenen LAN bzw. SSH-, HTTP- u.ä. Ports
an sonstigen öffentlichen Interfaces filtern und den durchfließenden
IP-Verkehr davon unabhängig zu betrachten (weil nur dieser fällt unters
PPA).

> Netzwerkkomponenten wirksam schützen, durchfließenden Verkehr aber nicht
> einschränken. Eine solche Maßnahme wäre somit kein Verstoß im Sinne des
> Pico Peering Agreement.

Um mal die Diskussion anzustoßen:
Naja, je nachdem wie intensiv die Trial-Login-Versuche sind, kann man es
irgendwann als "Mißbrauch" betrachten (oder wie immer das im PPA
formuliert ist) - so wie den Torrent-Server am nächsten Hop in die
andere Richtung des Internet-Gateways.
K.A. wie intensiv das bei dem akuten war.

> Zum Erkennen von Angriffen hat sich bei mir das Loggen der Router auf einen
> externen Syslog Server sehr bewährt. Alleine durch eine Mengenänderung
> anfallender Logging Events merkt man schnell, dass irgendetwas aus dem
> Ruder läuft.

Ja, die einschlägigen Logs (ssh, apache/http-error bzw. access-Log, ...)
überfliegen (und schon sieht man, in welchen (nicht nur PHP-)
Applikationen es bekannte Exploits gibt;-).
"logwatch" hilft da ganz gut (wenn größere Hardware wie den klassischen
Linksys hat;-), weil das filtert bekannt-harmlose Log-Einträge raus und
verschickt das (z.B.) pro Tag per Mail.

	Bernd
-- 
Bernd Petrovitsch                  Email : (spam-protected)
                     LUGA : http://www.luga.at

Mehr Informationen über die Mailingliste Wien