AbcLinuxu:/ Blogy / Doliho blog / Linux / Moderní evropský ISP - pohled do budoucnosti

Moderní evropský ISP - pohled do budoucnosti

17.11.2009 19:35 | Přečteno: 2527× | Linux | poslední úprava: 17.11.2009 20:09

Zde se můžete podívat, jak asi bude v budoucnu vypadat síť u moderního ISP, který splňuje veškeré unijní direktivy, požadavky cenzorů z IWF a tak dále.

Takhle se chová zařízení z dílny CISCO, na které jsem narazil u jednoho ISP. Chcete používat cizí DNS nebo provozovat vlastní rekurzivní DNS? Cha! Smůla!

$ dig www.dolezel.info @12.34.56.78

; <<>> DiG 9.5.1-P3 <<>> www.dolezel.info @12.34.56.78
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47986
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.dolezel.info.              IN      A

;; ANSWER SECTION:
www.dolezel.info.       3092    IN      CNAME   dolezel.info.
dolezel.info.           3092    IN      A       78.24.9.173

;; AUTHORITY SECTION:
dolezel.info.           3092    IN      NS      ns41.domaincontrol.com.
dolezel.info.           3092    IN      NS      ns42.domaincontrol.com.

;; ADDITIONAL SECTION:
ns41.domaincontrol.com. 3092    IN      A       216.69.185.21
ns42.domaincontrol.com. 3153    IN      A       208.109.255.21

;; Query time: 10 msec
;; SERVER: 12.34.56.78#53(12.34.56.78)
;; WHEN: Tue Nov 17 19:03:52 2009
;; MSG SIZE  rcvd: 151

Šikovný server totiž odchytí všechny DNS pakety, ať třeba směřují na nesmyslnou adresu (12.34.56.78) a zfalšuje pro vás odpověď. A kdyby vás nedejbože napadlo posílat kinderporno mailem, i na vás si posvítíme a veškerou komunikaci zalogujeme. Chytrý router vám sice SMTP spojení mimo síť povolí, ale lehce ji pozmění, aby vám nefungovalo TLS šifrování:

$ telnet dolezel.info smtp
Trying 78.24.9.173...
Connected to dolezel.info.
Escape character is '^]'.
220 ****************************
EHLO test
250-mail.vigard.cz
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-XXXXXXXA
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
STARTTLS
502 5.5.2 Error: command not recognized

Komunikace s tím samým serverem z nešmírovaného místa přitom vypadá takhle:

$ telnet dolezel.info smtp
Trying 78.24.9.173...
Connected to dolezel.info.
Escape character is '^]'.
220 mail.vigard.cz ESMTP Postfix
EHLO test
250-mail.vigard.cz
250-PIPELINING
250-SIZE
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
STARTTLS
220 2.0.0 Ready to start TLS

V této situaci bych už doporučoval podat trestní oznámení...

P.S.: Pokud serveru pošlete " STARTTLS" (mezera na začátku), tak už to neodchytí a TLS projde.

Tiskni Sdílej:

Komentáře

Vložit další komentář

17.11.2009 19:42 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Trestní oznámení na koho? :o

multicult.fm | monokultura je zlo | welcome refugees!

17.11.2009 19:43 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

ISP, že odposlouchává vaší komunikaci a aktivně do ní zasahuje.

17.11.2009 19:45 vlastikroot | skóre: 24 | blog: vlastikovo | Milevsko
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Toto neni DRM Allowed content.
Vzdyt toto zabezpeceni delame jen a jen pro vas. Co kdyby vam nekdo chtel nedejboze poslat porno, nebo navod na vyrobu atomove bomy. Nebo kdyby to chtel stahnout vas soused a pak vyhodit celou ctvrt do vzduchu.
Mimochodem vase zena si vcera pokousela obednat zlute lodicky k tem zelenym satum co ste ji koupil k narozeninam. Dana obednavka byla zmenena nasi kolegini aby s danym odevem obuv ladila.
S pozdravem
Vas ISP

17.11.2009 20:16 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

+1

Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)

17.11.2009 20:11 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Ptám se na to vždycky a zeptám se zas: proč to vyhvězdičkováváš? Zápisek o tom, že jeden z tisíců ISP tady v Čechách něco cenzuruje je asi tak stejně užitečnej, jako když nenapíšeš nic.

Quando omni flunkus moritati

17.11.2009 20:32 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nic jsem nevyzhvězdičkoval, to vyhvězdičkovává ten router na cestě

17.11.2009 20:42 dexík | skóre: 4 | blog: im_back
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

A mohl bys to prosimte trochu vic rozepsat? Hlavne by me zajimalo co to je za zarizeni a o jak moc doporucovany nastaveni se jedna, atd.

cisco byly vzdycky $@#$%^@, ale toto je skoro neuveritelny

17.11.2009 21:37 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já nevím, co je na trase za konkrétní zařízení a jak jsou nastavená... Vždyť to není můj hardware.

17.11.2009 20:35 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Nabonzuješ

17.11.2009 21:14 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Co tak místo toho zbrklého a urychleného jednání počkat na odezvu od ISP? Je s ním velmi dobrá řeč a věřím v rozumné vysvětlení a rychlou nápravu. Pak dám vědět
Zdar Max

Měl jsem sen ... :(

17.11.2009 21:38 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

S tím od vás řeč je, ale s tím nadřazeným z Budějc... no nevim, když jsem po něm někdy chtěl, aby něco fungovalo, dost jsem musel řvát

17.11.2009 21:51 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Tohle zasahování do komunikace je hnus. Pak někdy řešíš záhadné problémy a nakonec zjistíš, že za to může „inteligentní“ firewall někde po cestě. Kromě toho jsou tyhle šmejďárny jako dělané k zavádění cenzury a nastolování nedemokratických režimů. A nejhorší na tom je, že si kdejaký admin myslí, jaká výhoda to je a radostně tyhle věci kupuje.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

17.11.2009 22:01 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já jsem dneska odpoledne řešil problém, že nefungoval přístup na port 25 (tj. nešla odeslat pošta z poštovního klienta). Už jsem měl podezření na to, že Radiokomunikace (nebo už T-Mobile?) port zablokovaly. Naštěstí to vyřešil restart ADSL modemu

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

17.11.2009 22:08 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No, pravdou je, že jsem se na tom svým serveru snažil rozchodit bind a marně a zaboha jsem nevěděl proč :-/. Vždy jsem se k tomu během měsíce vracel a zkoušel a zkoušel a sniffoval packety a taková trivialita, jakou je přesměrování porvozu na jiný server, mně nenapadla :-/. Spíš jsem si pořád říkal, jakej jsem vůl, když ten bind neumím nastavit :-/.
No, uvidíme, jak se to pohne :).
Zdar Max

Měl jsem sen ... :(

18.11.2009 13:55 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Takže nějaký pokrok.
1) Ohledně DNS je to tak, že jsou všechny požadavky přesměrovány na DNS server našeho ISP. Je to z toho důvodu, že lidé si neuměli pořádně nastavit IP, také se měnily hlavní DNS servery a tak to ISP vyřešil jedním pravidlem ve FW. Už to tak běží hodně dlouhou dobu a nikdo si nestěžoval. Jedná se o menšího poskytovatele, jenž tahá net ke koncovým zákazníkům do domů. Správnost tohoto řešení není úplně čistá, ale je to tak. Hned mi dabídl, že mi udělí výjimku a tak se také stalo. DNS server mi již funguje.

2) SMTP a STARTTLS dostal jsem tel. číslo na chlápka, co se stará o cisco routery. Tedy zavolal jsem mu, popsal mu problém a dozvěděl jsem se, že s tímto nemá moc velké zkušenosti a ať mu pošlu výsledky, co jsem o tom problému našel a on se nato podívá :).

Takže to jen vypadá na nevhodně nastavenou síť a špatně nastavený cisco routery. Žádná velká spiklenecká akce, kucí ...
Zdar Max

Měl jsem sen ... :(

18.11.2009 18:53 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

SMTP a STARTTLS dostal jsem tel. číslo na chlápka, co se stará o cisco routery.

Čížek byl dobrej admin na Cisca u nich, ale hádám, že teď už to má pod palcem zase nějakej zelenáč, co?

18.11.2009 20:52 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ne, stále ten samý :). Volal jsem Čížkovi :). Ale třeba to jen špatně pochopil, jak jsem to na něj v telefonu vyhrkl. Mno, uvidíme :). Zatím to od něj vyznělo tak nějak jako že : pošlete mi email, pak se nato podíváme. Nevím, jak rychle se tím chce zabývat, ale poprosil jsem je, aby mi dali vědět, až to bude ok.
Zdar Max

Měl jsem sen ... :(

19.11.2009 19:01 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Moderní evropský ISP - pohled do budoucnosti

Odpovědět | Sbalit | Link | Blokovat | Admin

Tak problémy vyřešeny. Cisco je nyní správně nastaveno a STARTTSL šlape tak, jak má :).
Zdar Max
PS: vy, jenž jste tu hulákali, tak vy jste ten dav, co díky drobnému podnětu hned kamenuje lidi

Měl jsem sen ... :(

19.11.2009 21:17 xkucf03 | skóre: 50 | blog: xkucf03
Rozbalit Rozbalit vše výchozí nastavení

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

BTW: jaké je výchozí nastavení? (ve výchozím stavu je to CISCO rozbité, nebo to musel někdo rozbít?)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

20.11.2009 14:06 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: výchozí nastavení

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Rozbité asi nebude, spíše nevhodně nastavené :). Přišlo mi jen info, že už je to ok, ať si to ověřím. Zkusil jsem dotyčnou osobu požádat, zda by mi neprozradila ono nutné nastavení na ciscu (pokud to bylo ciscem), bohužel zatím bez odpovědi. Výchozí nastavení? To opravdu nevím, nikdy jsem s ciscem nedělal :-/
Zdar Max

Měl jsem sen ... :(

23.11.2009 13:02 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: výchozí nastavení

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Toto je odpověď na mou otázku, čím to bylo :

Dobrý den,
bohužel jsem neměl čas to nějak dopodrobna zkoumat, na Cisco ASA firewallu procházela ESMTP komunikace nějakým přednastaveným inspekčním pravidlem. Po vypnutí už problém není.

Takže asi tak.
Zdar Max

Měl jsem sen ... :(

Založit nové vlákno • Nahoru