Obstoječi log zapisi na Internet strežnikih morda ne bodo več zadostovali…
Kot že vrabci čivkajo po sosednjih strehah, IPv4 naslovnega prostora zmanjkuje. Slovenija ima zaenkrat še dovolj zalog, tako da operaterjem ne bodo tako zlahka zmanjkalo IPv4 naslovnega prostora, po svetu se pa že kaže kriza. Nekateri veliki operaterji že razmišljajo o uvedbi NAT mehanizma v jedrnem omrežju (CGN, Carrier Grade NAT), nekateri sedaj stavijo na novo sprejet A+P, a pri obeh je značilno to, da en IPv4 naslov nima več enostavno določljivega uporabnika, ki stoji za njim…
Pri obeh mehanizmih gre za deljenje javnega IPv4 naslova, s tem da pri CGN ostane javni naslov v jedru omrežja in uporabnik na svoj WAN port prejme privatni naslov (!), pri A+P gre pa za deljenje javnega IPv4 naslova med uporabniki, s tem da je javni IPv4 naslov z omejenim naborom “portov” na napravi končnega uporabnika, ki ima tako večjo kontrolo nad samim obnašanjem komunikacije na Internet.
Kakorkoli se bo kdo o “velikih” operaterjev odločil, v obeh primerih naletimo na podobno težavo z identifikacijo storilca v primeru zlorabe ali kaznivega dejanja. V log zapisih srežnikov (web, mail, etc…) se zapiše datum in točna ura, kdaj je bila seja med napadalcem in napadenim strežnikom vzpostavljena ter IP naslov, iz katerega je napadalec napad izvedel. Ta kombinacija je do sedaj zadoščala, da so operaterji lahko na podlagi zahteve sodišča iz svojih log zapisov na dostopovnem omrežju natančno določili, kdo je tisti hip dotični IP naslov uporabljal ter to sporočili organom pregona.
Z uvedbo CGN ali A+P se pa ta sistem poruši, saj isti IP naslov uporablja več uporabnikov, teoretično lahko tudi več kot 65.000. Kako torej sedaj ugotoviti, kdo je vdrl v spletno banko in “odnesel” nekaj miljonov evrov?
V log zapisih potrebujemo tudi izvorna vrata (source port), iz katerih je napadalec postavil dotično sejo. Prijavitelj bo moral podati tudi ta podatek v kazenski prijavi. V nasprotnem primeru bodo operaterji samo skomignili z rameni, češ, ni dovolj podatkov.
Kako se to na strežnikih skonfigurira, to bo morda predmet predavanja prihajajočega druženja predstavnikov članov Go6 ali pa celo 6. Slo IPv6 summita novembra, a do takrat je treba ugotoviti, kako na te spremembe opozoriti ustrezne organe.
V bistvu me zanimata dve vprašanji:
– Kdo poda specifikacijo, katere podatke mora oškodovanec dati pri prijavi vdora? Je to Policija, sodišče, tožilstvo? Ta specifikacija se bo morala spremeniti.
– Kako to spremembo sporočiti vsem, ki upravljajo strežnike, povezane na Internet?
Čeprav naši operaterji menda ne bodo uvajali CGN ali A+P, se lahko ponudnikom spletnih vsebin in storitev zgodi, da bodo napad doživeli iz “tujine” in če bo napadalec skrit za kakšnim velikim operaterskim NAT mehanizmom, mu prijava brez vseh teh podatkov ne bo nič koristila.
To vidimo kot enega od stranskih produktov tranzicijskih mehanizmov, pred katerim si ne smemo kar zatisniti oči.
Jan Žorž
Vaš IP naslov (ali ste na IPv6 ?):
18.226.251.227
Osebno se mi to ne zdi tako velik problem, zakaj tako mislim:
– tudi sedaj velja enaka omejitev pri dostopih iz raznih NAT/PAT omrežij, ki so dostopna preko ‘javnih’ hotspotov,
– rešitev A+P se mi kot taka ne zdi primerna, ker kot taka ne reši ničesar (waste of time&money),
– tudi v primeru uvedbe velikih omrežij, kjer se bo zakrival izvorni IP naslov, bodo pač stopile v veljavo običajne metode izsleditve storilca.
IMHO bo izsleditev storilca bo tako še naprej odvisna od primera do primera, z uporabo razpoložljivih podatkov oziroma informacij. Tako bo problem, ki se izpostavlja v IMO le delno otežkočil postopek identifikacije oziroma izsleditve storilca. V končni fazi je ravno zlobni motiv tisto kar se išče oziroma bremeni storilca.
– javni hotspot ima dodeljen IP naslov, povezava do hotspota je tipično v povezavi s pogodbo. Če lastnih hotspota ne more identificirati storilca, je pač kriv podpisnik pogodbe za dostop.
– Veliki operaterji po svetu razmišljajo, A+P se jim zdi boljša alternativa kot CGN.
– “običajne metode izsleditve storilca”? Ne razumem. Danes potrebuješ IP naslov in timestamp in ISP lahko načeloma najde storilca. Pustimo razne multihop hacke. Če ne boš imel source porta, ti ne bodo mogli izslediti storilca, temu se ne bomo mogli izogniti.
Sicer pa, večinoma je to samo ena številka več v log zapisu, narod je treba samo naučiti, kako to skonfigurirajo na serverjih 🙂