Powrót do listy tekstówStrona główna sieci

Blokada TPSA

Historia z początku roku 2010, gdy TPSA nagle zablokowała swoim użytkownikom dostęp do serwerów NPIRCS. Po rozpoznaniu sytuacji, na podstronie Serwery zamieściłem poniższe ogłoszenie, systematycznie je aktualizując.

Uwaga, ważne!

Użytkownicy TPSA proszeni o korzystanie z serwera k4be.npircs.pl, pozostali użytkownicy z irc.npircs.pl. Problem rozwiązany, mam nadzieję że nie chwilowo.

A teraz krótka historia, dlaczego.

Dnia 6 lutego, sobota, około godziny 19:00 niektórzy użytkownicy stracili dostęp do serwera forever.npircs.pl. Stwierdzając chwilowe problemy z łączem serwera, wyłączyłem go z losowych serwerów. Dzień później, 7 lutego około 11:30, wielu użytkowników zostało rozłączonych z serwerem redbull.npircs.pl. W tym samym czasie ja straciłem dostęp do serwera Jabber uruchomionego na redbull.npircs.pl. Łatwo dało się zauważyć, że wszyscy rozłączeni użytkownicy korzystali z sieci Telekomunikacji Polskiej (końcówka hosta .tpnet.pl). Po krótkich badaniach ustaliłem, że wszystkie trzy wymienione powyżej serwery dzialają normalnie, jedynie nie są dostępne z sieci TP. No trudno, TP ma jakąś awarię. Kilka godzin później dokładnie to samo stało się z serwerem forever.npircs.pl i selenet.npircs.pl, zupełnie odcinając dostęp użytkownikom TP do irc.npircs.pl. Problem szybko rozwiązałem: na maszynie obsługującej forever.npircs.pl jest dostępnych kilka adresów IP, więc przełączyłem serwer na inny adres, i skierowałem na niego wszystkich użytkowników łączących się z irc.npircs.pl. Działało do następnego dnia. 8 lutego około 11:30 również i ten nowy adres został zablokowany. Tutaj pojawił się troszkę większy problem, ponieważ ten IP obsługiwał również kilka popularnych serwisów www - na przykład SX1 - proszę sprawdzić, że strona nie jest dla ciebie dostępna jeśli korzystasz z łącza TP. Szereg maili do administratorów, szereg telefonów do TPSA - bez rezultatu. Przerzuciłem użytkowników na serwer k4be.npircs.pl, który jest uruchomiony na neostradzie, więc nie bardzo nadaje się do obsługi użytkowników. W trybie pilnym udało się znaleźć nowe dwa serwery: razor.npircs.pl i polip.npircs.pl. Ten drugi nie został wykorzystany ze względu na chwilowe problemy z łączem, a na razor.npircs.pl trafili wszyscy użytkownicy irc.npircs.pl. Znowu działało do dnia następnego (wtorek 9 lutego) do około 11:30. Tym razem irc.npircs.pl przestawiłem z powrotem na wszystkie serwery, zablokowane więc z irc.npircs.pl nie można się połączyć z sieci TP. Użytkownicy TP muszą korzystać z k4be.npircs.pl, ewentualnie polip.npircs.pl.
Jak pisałem wcześniej, kilka maili i telefonów do TP nie wyjaśniło sprawy. Nie widzę jakichkolwiek powodów blokowania sieci NPIRCS dla użytkowników TP, więc w tym miejscu proszę o wyjaśnienie sprawy i odblokowanie serwerów, tym bardziej że realizują one poza IRC również wiele innych usług. Te usługi oczywiście z winy TP także nie są dostępne dla ich klientów. Sprawą powinni zainteresować się wszyscy użytkownicy dostępu do internetu oferowanego przez Telekomunikację Polską, gdyż firma ta bez ich zgody blokuje im dostęp do niektórych usług w internecie.

Lista zablokowanych IP

Jak sprawdzić czy IP jest blokowany przez TPSA?

Wejdź na stronę TPNET LOOKING GLASS, wybierz \'show route\', wpisz IP w polu Address, kliknij Submit. Jeśli w linii \'Communities:\' znajduje się ciąg \'no-export\', znaczy to, że routery TP zostały skonfigurowane do odrzucania jakiegokolwiek ruchu do tych adresów i z tych adresów.

Informacja

Nie działa dopisywanie przedrostków \'bez_ochrony\' itp do loginu neostrady, ponieważ blokada znajduje się na wyższym poziomie sieci TP niż serwery obsługujące Neostradę, z tego powodu dotyczy WSZYSTKICH użytkowników TP i nie ma możliwości wyłączenia jej konkretnym klientom. Poza tym problem dotyczy także pozostałych klientów TP (na przykład usługa DSL TP) a nie tylko Neostrady.

Odpowiedź z UKE (9 lutego, godz. 16:29)

Szanowny Panie,
Informuję uprzejmie, że Pańskie zapytanie
zostało przekazane do Departamentu Detalicznego Rynku
Telekomunikacyjnego. O wyniku działań zostanie
Pan powiadomiony w możliwie szybkim terminie.

Z poważaniem

Irena Bylicka

Odblokowany serwer (10 lutego, godz. 12:01)

Odblokowany serwer selenet.npircs.pl (91.210.129.15). Ciekawe, czy trwale czy na kilka godzin, i ciekawe, czemu tylko ten. Ustawiłem irc.npircs.pl tylko na serwer selenet.npircs.pl - nie powinno być (przynajmniej na razie) problemów z połączeniem dla użytkowników TP.

Nowy serwer (11 lutego, godz. 12:52)

Dodano nowy serwer obsługujący użytkowników TP (i innych też). Mamy dwa niezablokowane serwery pod irc.npircs.pl, więc sieć powinna być znowu normalnie dostępna. Jednak sprawy nie uznam za zakończoną, dopóki nie zostaną odblokowane wszystkie pozostałe serwery.

Zablokowany serwer blusky.npircs.pl (12 lutego, godz. 12:39)

Nowy serwer, dodany dzień wcześniej - i już zablokowany (91.121.116.80). TP zdecydowanie nie lubi NPIRCS - z wzajemnością. Dziwne, że odblokowali i już nie blokują selenet.npircs.pl.

Dnia 16 lutego około godziny 12 stwierdziliśmy, że serwery nagle stały się ponownie dostępne. Chwilę później przyszedł e-mail od TPSA, jeszcze chwilę później od UKE. Trochę pokrętne tłumaczenie, w dodatku listy spóźnione. Nie będę tutaj analizować treści tych wiadomości, tylko je zamieszczę.

Korespondencja z TP CERT

> Komputery o podanych adresach IP zostaly zaklasyfikowane jako zrodlo powaznego
> zagrozenia dla bezpieczeństwa uzytkownikow Internetu, w szczegolności klientów
> Telekomunikacji Polskiej. W zwiazku z tym, ruch do tych hostow zostal
> ograniczony czasowo (blokada obejmuje cala siec TP z danym hostem, bez
> mozliwosci nie blokowania ruchu dla poszczegolnych lacz/abonentow). Ze
> wskazanych IP (hosta o tym adresie) realizowana jest kontrola sieci typu
> BotNet. Sieci te wykorzystywane sa do nielegalnych dzialan, takich jak
> rozsyłanie spamu, ataki DoS czy kradziez poufnych danych (numerów kart
> kredytowych, hasel). Gdy adres IP trafia do naszego systemu oznacza to tyle,
> ze z danego adresu zostalo wydane polecenie kontrolne oraz ze dane IP zostalo
> przypisane do zidentyfikowanych botnetow.
> Przywrocenie komunikacji z komputerem nastepuje automatycznie po ustaniu
> zagrozenia (brak aktywnosci botnetu). Weryfikacja nastepuje nie rzadziej, niz
> raz dziennie.
>
Proszę o wskazanie charakteru botnetu, adresów źródłowych botów i osób kontrolujących botnet - jako administrator serwerów, i części usług na tych serwerach, nie zauważyłem żadnych podobnych działań.
> - ---
> Rozwiazanie nie polega na blokowaniu danych serwisow (np. ze wzgledu na tresc)
>
> czy uslug internetowych (np. IRC) a komputerow, ktore stanowia powazne
> zagrozenie. Przykładem sa inne polskie serwery IRC, ktore nie funkcjonuja jako
>
> kontrolery botnetów - np. irc.efnet.pl, forever.npircs.pl, selenet.npircs.pl,
> wembley.npircs.pl, core.ircx.net.pl, krakow.ircx.net.pl,
> wroclaw.ircx.net.pl/.
>
Dwa z wymienionych serwerów IRC (forever.npircs.pl, wembley.npircs.pl) znajdują się na maszynach o wymienionych przeze mnie adresach ip (78.47.112.37, 84.16.230.249). Serwer selenet.npircs.pl (91.210.129.15) także był zablokowany, ale dnia 10 lutego stał się ponownie dostępny.
Mogę z tego wnioskować, że dane podane w mojej wiadomości nie zostały dokładnie sprawdzone. Proszę o bardziej staranną pracę.

> Wiecej informacji o stosowanym rozwiazaniu:
> www.tp.pl/prt/pl/tpcert/obsluga/ograniczenia/?_a=680499
>
> - ---
> W zakresie ochrony serwera IRC należy zwrocic szczegolną uwage na:
> - -ochrone przed znanymi IP znajdujacymi sie na RBL, przyklady dla IRC
> http://www.efnet.nl/kline/compromised.php http://www.efnet.nl/security.php
> http://rbl.efnetrbl.org/
>
Blokowanie adresów z list RBL (sześć list) jest stosowane w sieci.
> - -dopuszczanie do sieci adresow zgodnych z lokalizacja serwisu w rozumieniu ich
> odbiorcow (np. adresy tylko z Polski)
>
Celem sieci NPIRCS jest umożliwianie komunikacji na polskich kanałach ludziom zamieszkałym na całym świecie. Jednak nawet pomimo to zagraniczne adresy klientów poddawane są rygorystycznym testom
dotyczącym szkodliwych i niebezpiecznych usług.
>
- -ochrona przed klientami IRC nie bedacymi oprogramowaniem klienckim IRC w
> rozumieniu klienta bedacego czlowiekiem\
> - -ochrona przed juped channel - nie udostepnianie kanalow standardowo
> wykorzystywanych przez botnety np. use4dos, TIBiCP2P, dexa?ownz?j00,
> OwnZ?Me?And, DaMasta
> - -ochrona przed staniem sie reflektorem botnetu
>
Jest stosowana ochrona przed wszystkimi z wymienionych trzech możliwości.

> Wszystkie z mechanizmow powinny dzialac automatycznie.
>
> - ----
> W przypadku szczegolowych wyjasnien odnosnie zabezpieczenia serwera IRC
> proponujemy bezposredni kontakt z panem Andrzejem Karpińskim
> (adres@usuniety.pl).
>
Pragnę dodać, że problem blokad nie dotyczy tylko serwerów IRC - blokada jest uciążliwa także dla użytkowników innych usług, m. in. ssh, jabber, http, ftp.
- --
> Pozdrawiamy
> Zespol TP CERT
>
>
>
> Krzysztof Beresztant <adres@usuniety.pl> napisał:
>
> > Sieć TP blokuje dostęp do następujących adresów IP:
> > 78.47.112.37
> > 78.47.112.38
> > 94.23.98.173
> > 84.16.230.249
> > Na wszystkich serwerach o podanych adresach posiadam konta użytkownika i
> > uruchomione usługi, a ponieważ korzystam z Neostrady, z powodu tej
> > blokady nie mam do nich dostępu. Usługi te są także niedostępne dla
> > pozostałych użytkowników sieci TP.
> > Proszę o wyjaśnienie powodów blokady i możliwie szybkie odblokowanie.
> > Gwarantuję, że na żadnym z podanych serwerów nie znajdują się dane i
> > usługi niezgodne z prawem, ani zagrażające bezpieczeństwu innych
> > użytkowników sieci.
> >
>

Odpowiedź z UKE

Szanowny Panie,



Przedstawiony przez Pana problem przekazaliśmy do Telekomunikacji Polskiej od której otrzymaliśmy wyjaśnienia przyczyny blokowania podanych adresów IP. Powodem jest brak zastosowania zabezpieczeń przed ich niepowołanym wykorzystaniem innym niż komunikacja przewidziana przez administratora serwisów. Operator przeprowadził analizę, która wykazała brak automatów umożliwiających ograniczenie niepoprawnego wykorzystania tej sieci. TP poinformowało, że przekazało Panu kontakt do osoby administrującą siecią IRC, (w celu udzielenia pomocy przy konfiguracji zabezpieczeń), działającej w sieci TP, która nie była listowana ze względu na zastosowanie tzw. właściwych filtrów ochronnych.

Stosowane, przez TP rozwiązanie działa automatycznie, a analiza zagrożenia jest realizowana przez niezależny renomowany podmiot w zakresie rozwiązań bezpieczeństwa.

Zgodnie z zapewnieniami TP po ustaniu wyżej wymienionych zagrożeń związanych z konfiguracją, Pańskie adresy zostaną odblokowane po około 2 dniach.



Pozdrawiam

Irena Bylicka

Ale, jak napisałem, sieć jest już odblokowana – i mam nadzieję, że to, co zostało opisane wcześniej, było tylko krótkim, nieprzyjemnym epizodem w życiu sieci i już się nie powtórzy.

Jeśli pojawią się jakieś kolejne e-maile, natychmiast je tutaj dodam. k4be, 16 lutego 2010, godz. 14:06.

Tekst przeczytano 2374 razy.
Powrót do listy tekstów
Strona główna sieci