“Если бы видели сколько трафика составляет всякая #$#$ (спам, вирусы, сканирование портов, порнуха и.т.д.) то от горя бы отключились от интернета”.
Мне иногда кажется правильным брать деньги за трафик. Раз не можешь защитить свою сеть, и с твоих сетей идет DOS-атака или поток спама – башляй пока не поумнеешь или разоришься.
То, что владельцы AS (автономных сетей, это блоки адресов, выдаются провайдерам) не отвечают за то, что происходит в их вотчине – плохо. Да, уследить за всеми невозможно, но провайдеры должны прилагать максимум усилий, чтобы:
- Отгородить весь мир от своих тупых/неопытных/хакнутых пользователей
- Отгородить своих пользователей от тупых/неопытных/хакнутых придурков со всего мира
Да, конечно, трафик выгоден провайдерам, соответственно те кто берет деньги за него выгодно иметь заспамленных/хакнутых пользователей. Но это Российская специфика. А мировая специфика такова: мало хороших админов! Очень мало! Даже хорошему админу не успеть поставить все патчи и залатать все дыры. Но если грамотно применить мозги, то можно свести плохие варианты к минимуму.
И вообще, было бы лучше ввести такую политику: провайдеры отвечают за своих клиентов, а клиенты отвечают перед провайдером. На провайдеров можно надавить очень легко – превысил определенное количество нарушений (с твоих сетей идут постояные атаки или поток спама) весь трафик из этой AS в null. Провайдер сразу забегает. Но это нереально в принципе. Потому что провайдер не отвечает за своих клиентов.
Господа провайдеры – закрывайте вашим клиентам порты 135-139, 445 (ну нечего этим портам в WAN делать), 1434 (MS SQL), исходящий SMTP из вашей сети(хотя многие клиенты зачем-то просят открыть).
А вам пользователям совет один: будьте бдительны! И не обижайте вашего провайдера!
ну например East.Ru в бытность там Долматова даже на диалапе (унлим правда) закрывал порты типа tcp-3128|8080|1080|etc по просьбе
да и потом когда брали выделенку они предлагают вариант “защищенная сеть”, где по дефлту закрыто всё <1024 ну и еще какие то "технологические" фильтры
но это ИМХО маленький довольно провайдер, поэтому они еще не зажрались и вообще есть время/желание у админов, да и сами админы (а не студенты на 200уё)
я примерно представляю что будет если я попрошу например тёзку (Юру) в МТУ или Долматова же в Демосе закрыть тот же 135/tcp..
хотя бывает и в мелких провайдерах болт забили (но скорее уже от "недоедания", ибо с такой зарплатой и возможностями по принятию решений что то делать даже самому бы наверно не захотелось..)
--
leon.msk.ru
кстати про “провайдер не отвечает за своих клиентов”
смотрим на RTcomm.Ru и SPEWS..
отвечает, да еже и на всех кто пор руку попажется огрызается..
хотя конечно идея у SPEWS хорошая, но реализазия хромает 🙁 (как с попаданием туда MTU.. за ns.mtu.ru для зон RT)
В Мту закрыть порты – строчку на distribution level циску прописать и все.
Просто конечно кто-то спросит – а почему у меня не работает. А ответ должен быть такой: Netbios – не для интернета. Пользуйтесь стандартными сервисами.
А для каждого конкретного юзверя по dialup конечно закрывать никто не будет.
Ну и с зарплатой ты конечно прав.
ну закрыть то у всех просто технически 🙂
а вот захотят ли делать большой вопрос..
один мелкий местный провайдер вообще не хотел закрывать 137-139/tcp, ибо “у нас клиенты этим пользуются”, а то что от этого вреда (и особенно этим же клиентам) больше чем пользы ни админа ни начальсто его не трогали..
а про зарплату как раз и с ним говорили, и сам (год назад) думал не пойти ли в админы местной электросвязи на 200$ за “халявным” интернетом:)
—
leon.msk.ru