[WL::Techniek] Blocking Botnets (WAS: Re: proxy62)

Rick van der Zwet info at rickvanderzwet.nl
Thu Mar 17 08:56:49 UTC 2011


2011/3/15 Richard van Mansom <richard at vanmansom.net>:
...
> Ben wel benieuwd naar Rick zijn idee om bots uit het netwerk te weren.

Inderdaad in de nieuwe iLeiden setup -welke eigenlijk gewoon een NAT
is, met een firewall om enkel naar port 80,443 te connecten, voor het
gemak van de gebruikers- is het weren van Bots een stuk moeilijker als
in de oude setup. In de oude setup (HTTP-proxy) is geen default route
aanwezig, was betekend dat de bots niet weten hoe ze het internet op
kunnen en als ze het al moeten moeten ze via een HTTP Proxy gaan.

Ik heb er kort naar gekeken om te blocken in de iLeiden setup, maar
als je dit goed wilt doen is het bijna een full-time job. Botnet
Command & Control Centers (C&C) zijn wijd verspreid en vele hebben een
(dynamische) blocklist per specifieke bot zoals:
  - http://amada.abuse.ch/blocklist.php
  - https://zeustracker.abuse.ch/blocklist.php

Een goede Open Source Lijst die up2date is heb ik nog niet mogen vinden.

Je zou op een proxy een Network Intrusion Detection System (NIDS)
kunnen gaan draaien, maar dat gaat een stuk meer eisen stellen aan de
hardware. Voorbeelden NIDS in OSS land:
   - http://www.bro-ids.org
   - http://www.snort.org/

Om te voorkomen dat de particulieren internet verbinding van mensen
die een Proxy draaien door de ISP als 'stout' wordt opgemerkt -doordat
er computers die via de proxy werken geïnfecteerd zijn- zou je er voor
kunnen kiezen om het het internet verkeer van de proxies naar een
centraal punt op het internet tunnelen en op deze centrale server NIDS
achtige setups te gaan draaien. Dit is echter een verre van optimale
setup helaas en vergt pittig wat investeringen in zowel geld
(bandbreedte) en effort (fulltime beheer NIDS).


Een andere optie zou kunnen zijn om iLeiden _enkel_ maar aan te bieden
aan een subset van de apparaten (gebaseerd op MAC adres). Bijvoorbeeld
enkel mobiele apparaten zoals iPhones, iPad en smartphones. Hiermee
los je de uitdaging tijdelijk op (standard PC _moet_ via een proxy
internetten. We kunnen ons best doen om dit toch zo vriendelijk
mogelijk te maken door een goed werkend Captive Portal met instructies
om een proxy in te stellen en het aanbieden van bijvoorbeeld proxy
auto-configuration tools voor browsers DMV PAC
(http://en.wikipedia.org/wiki/Proxy_auto-config).

Andere oplossingen zeer welkom!

Br. /Rick
-- 
http://rickvanderzwet.nl



More information about the Techniek mailing list