Про плохих админов

“Если бы видели сколько трафика составляет всякая #$#$ (спам, вирусы, сканирование портов, порнуха и.т.д.) то от горя бы отключились от интернета”.

Мне иногда кажется правильным брать деньги за трафик. Раз не можешь защитить свою сеть, и с твоих сетей идет DOS-атака или поток спама – башляй пока не поумнеешь или разоришься.

То, что владельцы AS (автономных сетей, это блоки адресов, выдаются провайдерам) не отвечают за то, что происходит в их вотчине – плохо. Да, уследить за всеми невозможно, но провайдеры должны прилагать максимум усилий, чтобы:

  1. Отгородить весь мир от своих тупых/неопытных/хакнутых пользователей
  2. Отгородить своих пользователей от тупых/неопытных/хакнутых придурков со всего мира

Да, конечно, трафик выгоден провайдерам, соответственно те кто берет деньги за него выгодно иметь заспамленных/хакнутых пользователей. Но это Российская специфика. А мировая специфика такова: мало хороших админов! Очень мало! Даже хорошему админу не успеть поставить все патчи и залатать все дыры. Но если грамотно применить мозги, то можно свести плохие варианты к минимуму.

И вообще, было бы лучше ввести такую политику: провайдеры отвечают за своих клиентов, а клиенты отвечают перед провайдером. На провайдеров можно надавить очень легко – превысил определенное количество нарушений (с твоих сетей идут постояные атаки или поток спама) весь трафик из этой AS в null. Провайдер сразу забегает. Но это нереально в принципе. Потому что провайдер не отвечает за своих клиентов.

Господа провайдеры – закрывайте вашим клиентам порты 135-139, 445 (ну нечего этим портам в WAN делать), 1434 (MS SQL), исходящий SMTP из вашей сети(хотя многие клиенты зачем-то просят открыть).

А вам пользователям совет один: будьте бдительны! И не обижайте вашего провайдера!

4 thoughts on “Про плохих админов

  1. ну например East.Ru в бытность там Долматова даже на диалапе (унлим правда) закрывал порты типа tcp-3128|8080|1080|etc по просьбе
    да и потом когда брали выделенку они предлагают вариант “защищенная сеть”, где по дефлту закрыто всё <1024 ну и еще какие то "технологические" фильтры
    но это ИМХО маленький довольно провайдер, поэтому они еще не зажрались и вообще есть время/желание у админов, да и сами админы (а не студенты на 200уё)
    я примерно представляю что будет если я попрошу например тёзку (Юру) в МТУ или Долматова же в Демосе закрыть тот же 135/tcp..
    хотя бывает и в мелких провайдерах болт забили (но скорее уже от "недоедания", ибо с такой зарплатой и возможностями по принятию решений что то делать даже самому бы наверно не захотелось..)

    --
    leon.msk.ru

  2. кстати про “провайдер не отвечает за своих клиентов”
    смотрим на RTcomm.Ru и SPEWS..
    отвечает, да еже и на всех кто пор руку попажется огрызается..
    хотя конечно идея у SPEWS хорошая, но реализазия хромает 🙁 (как с попаданием туда MTU.. за ns.mtu.ru для зон RT)

  3. В Мту закрыть порты – строчку на distribution level циску прописать и все.
    Просто конечно кто-то спросит – а почему у меня не работает. А ответ должен быть такой: Netbios – не для интернета. Пользуйтесь стандартными сервисами.
    А для каждого конкретного юзверя по dialup конечно закрывать никто не будет.
    Ну и с зарплатой ты конечно прав.

  4. ну закрыть то у всех просто технически 🙂
    а вот захотят ли делать большой вопрос..
    один мелкий местный провайдер вообще не хотел закрывать 137-139/tcp, ибо “у нас клиенты этим пользуются”, а то что от этого вреда (и особенно этим же клиентам) больше чем пользы ни админа ни начальсто его не трогали..
    а про зарплату как раз и с ним говорили, и сам (год назад) думал не пойти ли в админы местной электросвязи на 200$ за “халявным” интернетом:)


    leon.msk.ru

Leave a Reply