blacklister og ipv6

[Leif Neland]

Antivirusfirmaer hyler op om at det bliver så besværligt at blokere for
spam, når enhver bruger får en /64-adresseblok med myriader af adresser at
vælge imellem, og man umuligt kan blokere for dem alle.

Se cloudsecurity.trendmicro.com/ipv6-is-here-how-does-this-affect-email/


Jeg ser ikke den store forskel.

IPv4: en bruger får en enkelt ipv4-adresse til sin router, og alle
maskinerne derunder har sin egen lokale adresse. Set udefra kommer alt fra
samme adresse.
Sender een maskine spam,. blokerer man routerens ipv4-adresse, og det går ud
over alle maskiner bag routeren.

IPv6: En bruger får en /64-adresseblok, og alle maskinerne derunder har en
adresse i den adresseblok. (Set udefra kommer alt fra den adresseblok)
Sender een maskine spam, blokerer man for /64 adresseblokken, og det går ud
over alle maskiner bag routeren.

I øvrigt, så er mine tunneller /48, ikke /64, men det viser måske hvor meget
trendmicro har styr på ipv6 :-)
Eller også er jeg unormal...

Leif

[Rune Jensen]

On 20 Jan., 11:02, "Leif Neland" <l...@neland.dk> wrote:
> Antivirusfirmaer hyler op om at det bliver så besværligt at blokere for
> spam, når enhver bruger får en /64-adresseblok med myriader af adresser at
> vælge imellem, og man umuligt kan blokere for dem alle.

Jeg troede de blokerede på indhold (af spam-mailen) eller opførsel
(fra botten), ikke på afsender...

Nu har jeg kun leget med antispam på hjemmesider, og kun med IPV4, men
her havde jeg en blacklist med fixed max-størrelse, som gjorde at nye
IPer "løslod" de ældste, samt også "løslod" dem som havde overskredet
blocking-tiden. Det virkede for så vidt fint, og jeg blacklistede
iøvrigt ikke kun på IP, men også udfra land, så Danmark gik fri. Der
var en incrementel "blocking-tid", som startede med 30 sekunder og
steg for hver gang, de besøgte siden indenfor den tid, maxtid 82 dage.

Ca. 30-50 faste IPer på listen, alt efter "sæson". Resten blev taget
"live" efter deres opførsel. Baseret på 4-5 forskellige metoder til
genkendelse imellem GET og POST, forvirring af harvesters samt check
af afsendelsestidspunkt.

Iøvrigt... IP-blocking som "fast metode", er det ikke allerede lidt
gammeldags? Det mener jeg da man begyndte at snakke om, allerede for
en del år siden... Og jeg undersøgte jo altså også min LOG hver nat
for falske positiver ifht. blacklisten, det mener jeg stadig vil være
nødvendigt med IP-blocking, for der er godt nok mange fejlmuligheder.

Bl.a. kom der en hel del spam fra en Google-IP. Det viste sig, at
Googles APIer var blevet inficeret med ondartet brugergenereret
indhold, som så kunne styres udefra af et botnet... Men altså "blocke
Google"? Ville jeg nok ikke gøre på IP, heller ikke selv om det ikke
var søgebotten.

Derudover er der jo proxier, som kan bruges af både gode og onde...
tænk Opera Turbo, som giver brugeren en Opera IP. Eller på alle de
Windows-PCer, som uden brugerens vidende spammer andre via
(bot)malware.

Jeg ville i dag måske nok så vidt muligt blocke på opførsel, da jeg
ikke ved, om det altid er samme bruger bag samme IP, eller om denne IP
også huser seriøse brugere. Koster nok mere processorkraft end en
blacklist, men er mere sikker imod falske positiver.

Blacklists er kun til nødsistuationer.


MVH
Rune Jensen

[Kent Friis]

Den Fri, 20 Jan 2012 08:32:40 -0800 (PST) skrev Rune Jensen:
> On 20 Jan., 11:02, "Leif Neland" <l...@neland.dk> wrote:
>> Antivirusfirmaer hyler op om at det bliver så besværligt at blokere for
>> spam, når enhver bruger får en /64-adresseblok med myriader af adresser at
>> vælge imellem, og man umuligt kan blokere for dem alle.
>
> Jeg troede de blokerede på indhold (af spam-mailen) eller opførsel
> (fra botten), ikke på afsender...

Samt hele netværk der er listen som værende hjemmebrugere. Plus at
de fleste udbydere blokerer for mails der ikke går igennem deres
egne servere. Så spam vil alligevel komme fra en fast ip - nemlig
udbyderens (afsenders eller modtagers, afhængig af hvor der checkes)
server.

Mvh
Kent
--
"The Brothers are History"
http://www.gianas-return.de/

[Rune Jensen]

On 20 Jan., 17:35, Kent Friis <nos...@nospam.invalid> wrote:
> Den Fri, 20 Jan 2012 08:32:40 -0800 (PST) skrev Rune Jensen:
>
> > On 20 Jan., 11:02, "Leif Neland" <l...@neland.dk> wrote:
> >> Antivirusfirmaer hyler op om at det bliver så besværligt at blokere for
> >> spam, når enhver bruger får en /64-adresseblok med myriader af adresser at
> >> vælge imellem, og man umuligt kan blokere for dem alle.
>
> > Jeg troede de blokerede på indhold (af spam-mailen) eller opførsel
> > (fra botten), ikke på afsender...
>
> Samt hele netværk der er listen som værende hjemmebrugere. Plus at
> de fleste udbydere blokerer for mails der ikke går igennem deres
> egne servere.

OK, det er identifikation og autorisation, den er jeg med på. Og nok
en del mere sikker end blacklist IP?

Men med "blokere på indhold", der mente jeg i retning af dette:
http://en.wikipedia.org/wiki/Bayesian_spam_filtering


MVH
Rune Jensen

[Christian Laursen]

On 01/20/12 11:02, Leif Neland wrote:
> Antivirusfirmaer hyler op om at det bliver så besværligt at blokere for
> spam, når enhver bruger får en /64-adresseblok med myriader af adresser at
> vælge imellem, og man umuligt kan blokere for dem alle.
>
> Se cloudsecurity.trendmicro.com/ipv6-is-here-how-does-this-affect-email/
>
>
> Jeg ser ikke den store forskel.

Mon ikke deres agenda er at få folk til at købe et eller andet?

> IPv4: en bruger får en enkelt ipv4-adresse til sin router, og alle
> maskinerne derunder har sin egen lokale adresse. Set udefra kommer alt fra
> samme adresse.
> Sender een maskine spam,. blokerer man routerens ipv4-adresse, og det går ud
> over alle maskiner bag routeren.
>
> IPv6: En bruger får en /64-adresseblok, og alle maskinerne derunder har en
> adresse i den adresseblok. (Set udefra kommer alt fra den adresseblok)
> Sender een maskine spam, blokerer man for /64 adresseblokken, og det går ud
> over alle maskiner bag routeren.

Enig.

> I øvrigt, så er mine tunneller /48, ikke /64, men det viser måske hvor meget
> trendmicro har styr på ipv6 :-)
> Eller også er jeg unormal...

Vi har endnu til gode at se, hvor store blokke ISP'erne vil tildele hver
enkelt privatkunde, når der kommer native IPv6.

Du har ret i at de fleste tunnel-services uddeler en /48 til hver.

--
Christian Laursen

[Kent Friis]

Korrekt, og når man kigger på de andre begrænsninger (den bedste chance
for at sende spam går igennem udbydernes mailservere), er det den eneste
løsning der er tilbage.

[Leif Neland]

"Christian Laursen" <x...@borderworlds.dk> skrev i en meddelelse
news:jfcadn$24vu$1...@mail.corell.dk...

> On 01/20/12 11:02, Leif Neland wrote:
>> Antivirusfirmaer hyler op om at det bliver så besværligt at blokere for
>> spam, når enhver bruger får en /64-adresseblok med myriader af adresser
>> at
>> vælge imellem, og man umuligt kan blokere for dem alle.
>>
>> Se cloudsecurity.trendmicro.com/ipv6-is-here-how-does-this-affect-email/
>>
>>
>> Jeg ser ikke den store forskel.
>
> Mon ikke deres agenda er at få folk til at købe et eller andet?
>

Det tror jeg også.

Det kan godt være, man skal være opmærksom på sikkerhedsproblemer i
forbindelse med ipv6, men det er ihvertfald ikke spam, der er det
væsentlige, det er nærmere at man ikke automatisk har den sikkerhed, der
ligger i at ligge bag en nat, så man ikke umiddelbart er synlig udefra.

Leif

[Christian Laursen]

On 01/23/12 09:41, Leif Neland wrote:

> Det kan godt være, man skal være opmærksom på sikkerhedsproblemer i
> forbindelse med ipv6, men det er ihvertfald ikke spam, der er det
> væsentlige, det er nærmere at man ikke automatisk har den sikkerhed, der
> ligger i at ligge bag en nat, så man ikke umiddelbart er synlig udefra.

Mon ikke normen bliver at have stateful filtrering, så forbindelser kun
kan åbnes indefra som man er vant til?

Med pf fik jeg faktisk lavet det sådan uden at jeg egentligt tænkte
nærmere over det. Jeg har så åbnet for et par ting udefra sidenhen.

--
Christian Laursen