Какой сетевой трафик воспринимать как враждебный?
Степень враждебности здесь минимальна. Кто-то проверяет наличие и работоспособность конкретного IP-адреса или конкретного порта. Так я и сам проверяю свой сервер методом ping. Допустим, что я – правильный user. Проверять работоспособность моего узла могут органы, что правильно и похвально. Откуда органам знать, что я – правильный? Для этого и проверяют. Откуда мне знать, что меня проверяют органы? Это же проверка – она и должна быть внезапной и скрытной. Еще могут быть организации или отдельные граждане, заинтересовавшиеся моей деятельностью, и, что правильно и похвально, предварительно собирают информацию с целью дальнейшей проверки и изучения – до первого контакта.
А если я – неправильный user: прикармливаю лохов фонтанами позитива, обещаниями и заверениями, разноцветными фантиками, а как пошел клев – распространяю вредный content? Ведь я заинтересован, чтобы доступность моего IP была максимальной, следовательно, я – как красное пятно для всех. А реакцию органов я предусматриваю местом своего фактического нахождения – за пределами РФ.
Важно не кто, а зачем сканирует. Но такое по факту сканирования не определить. Если сканирование или ping происходят многократно или постоянно (периодически) с одного и того же IP – это мониторинг. Но наблюдать мой сайт в сети может сканирующий бот поисковой платформы в целях индексации. Есть немало частных организаций и в мире, и в России составляющих карты серверов в сети. Есть и много частных, корпоративных поисковых систем, которые тоже заняты постоянным мониторингом.
Разрешить ping адреса или портов – это уже существенный поток хлама, если учесть количество ping-источников со всего мира и умножить на количество моих сервисов. Да и каждый сервис (служба) предоставляют несколько открытых портов. Результат: поток хлама, не приносящего мне никакой пользы.
Вывод. Стоит открыть и не препятствовать сканированию известных поисковых систем, под которые вполне могут маскироваться «родные» органы (или органы могут использовать уже имеющиеся в поисковиках результаты сканирования). Препятствовать выводу индексов в публичный доступ можно с помощью robots или meta. Для заинтересованных правильных организаций или отдельных лиц важнее не постоянное наблюдение за сервисом, а его информационная составляющая (content). Т.о. нежелательная активность - это любые соединения, подключения к сервисам, не приводящие к передаче content – информационной составляющей. Если соединение с моим сервисом устанавливается, передача информации не происходит и соединение разрывается, то целью таких соединений была не информация, это не органы и не публичные национальные системы индексации.
Если при установленном соединении возникают ошибки получаемых сервером команд – это плохой признак: злоумышленник пытается перехватить управление в командном режиме. Отнесу сюда же неверно вводимые пароли – это попытка подобрать пароль методом перебора.
В РФ давно уже введены свои шифры (ГОСТ). Но введены они максимально коряво: не в дополнение, а в противовес - международным (американским), криптостойкость несопоставимо ниже. Да и простой механизм ЭП разделен максимально на составные части, каждая из которых отдельно от остальных – не работает, но за каждую нужно платить. Вспоминается известный советский фильм «Начальник Чукотки», где американцы продавали чукчам трубу от патефона за шкурки соболя. За сам патефон – еще шкурки, и за ручку к патефону. Владелец сервера оказывается перед выбором или использовать российские шифры, или международные. Совмещение возможно, но требует дополнительного ПО. Установка только российских – отбрасывает всех клиентов с не российскими шифрами.
К чему это? В получаемых командах сервера могут быть попытки установки защищенного канала по российскому методу шифрования, что приводит к закономерному обрыву соединения. Вот когда будет в нашей России легкодоступность совмещения методов шифрования, вот тогда и установим российские шифры, а стучать мне по лбу отсутствием российских – не хорошо, раздражает.
Массовая рассылка почтовых электронных сообщений – спам, хлам, реклама.
Сама по себе почтовая рассылка во многих ситуациях весьма полезна и продуктивна. Но во всех таких ситуациях получатель таких писем сам и только по собственной воле подписывается на рассылку. Запрос на подписку на правильный рассылочный лист исходит от подписчика/получателя рассылки. При получении такого запроса сервер рассылки автоматически генерирует запрос подтверждения и отправляет его в адрес получателя. Если получатель со своего почтового account подтвердит запрос в течение установленного времени, то email получателя будет внесен в рассылочный лист автоматически. Если проигнорирует подтверждение, то запрос на подписку будет удален по прошествии времени автоматически.
Каждое электронное сообщение eMail-рассылки обязано содержать специальный служебный заголовок на отписку от рассылки по желанию получателя в любое время автоматически. Отсутствие или неработоспособность такого заголовка – признак злого умысла.
Наличие нескольких получателей в заголовках To (кому), CC (копия) – не является нарушением, если по смыслу сообщения – это обращение к выбранной группе получателей. В таких случаях и отсутствие в содержательной части сообщения имени и иных реквизитов конкретного получателя – не спам.
Но если содержание сообщения – реклама, пропаганда, шантаж – это мусор, на который получатель по своей воле не подписывался и отписаться не имеет возможности.
Протоколом сервера фиксируются обращения на IP-адрес вместо обращений к доменному имени. На одном IP-адресе могут быть несколько виртуальных сервисов. Все сервисы могут использовать одни и те же порты – потому они и виртуальные, т.е. информационная составляющая (content) выдается в зависимости от запрашиваемого имени. Т.о. запрос на IP, в общем случае, не предполагает выдачу информации. Как правило, сервер настраивается так, чтобы переадресовывать такие запросы на основной, главный виртуальный сервер. Сам по себе запрос заведомо не требует информационного ответа – это признак враждебных намерений.
Риск инициализации соединения по незащищенному каналу – это риск клиента, риск однажды перепутать адрес обращения и угодить на подставной (похожий) ресурс, получить дезинформацию, совершить поступки и получить последствия. Задача сервера – не допускать таких возможностей для клиента. Строго говоря: использование незащищенного канала связи – не запрещено.
Сессия цифровой связи передается через несколько активных коммутационных устройств. Я встречал до 15 посредников на треке. Среди них могут быть сетевые перехватчики – проще: прослушка. Передача цифровых данных открытым каналом делает их доступными злоумышленнику. Использование безопасного (шифрованного) канала связи – минимальная мера безопасности, идентичности, подлинности передаваемых данных. Умышленный и постоянный сход с безопасного канала, требования незащищенных каналов – признак преступной деятельности, направление и квалификацию которой следует ожидать в дальнейшем.
Все сказанное относится не только к серверам пользовательского уровня (Web, eMail и т.д.), но и к серверам системного уровня (DNS, VPN, Gate и т.д.) – в полной мере.
Любой сервер и сервис создается и настраивается с определенным предназначением, целью обслуживания. Любая попытка подключения к любому сервису в целях вне этого предназначения – признак враждебности.
На моем основном сайте представлена отдельная статья «Ограничения обслуживания», в которой ясно перечислены признаки враждебности, обнаружение которых приводит к ответным мерам противодействия. Это публичное заявление, оно общедоступно.
В современных условиях цифрового мира степень агрессии настолько высока, что одних лишь защитных средств серверов явно недостаточно. Показано использование многих эшелонов дополнительных мер защиты: как на аппаратурном, так и на программном уровне, как операционных систем, так и коммутационных устройств и узлов. Блокировка одного IP адреса агрессора приводит к немедленному переключению агрессора на другой адрес и т.д. Блокируются не отдельные IP адреса, а установленные диапазоны принадлежности IP адресов. А в моей практике есть блокировки и государственной принадлежности и даже континентальной. Блокировка производится не на конкретный период времени, а навсегда, т.к. по истечении времени атака всегда повторяется и всегда с усилением.
Используются сертификаты шифрования собственных удостоверяющих центров международного формата шифрования. Доверять моим сертификатам отдельных (ОУЦ) удостоверяющих центров или нет – вопрос в исключительной компетентности только клиента. Я допускаю незащищенное соединение только на Web-сервер, только с целью подключения и скачивания моих сертификатов для их последующей установки самостоятельно клиентами в свои системы – что предполагает предельную внимательность клиента/читателя/корреспондента. Дальнейшие подключения к моему Web – через защищенный канал на основании частного доверия. Все остальные сервисы всех серверов требуют принудительно установления защищенного канала. Некоторые ЛК доступны без шифрования, но только из локальной сети – физически или через мой VPN (технология IPSEC – тоже не исключается) с авторизацией доступа и шифрованием.
Блокировка IP (диапазона) может быть прекращена мной вручную в любой момент времени по письменному заявлению заинтересованного лица. Снятый с блокировки IP попадает в отдельную систему учета и контроля. При обнаружении признаков враждебности или преступности повторно – возбуждается производство: основания возбуждения, доказательственная база, оперативное донесение (я – не сотрудник, рапорт подать не могу, но смысл тот же) об обнаружении признаков состава - по подведомственности и т.д. – в других публикациях уже подробно изложено.
Не используйте вражеские и российские VPN – Вы становитесь на путь, которым всегда идут преступники. Естественно, IP vpn, proxy, hosting, cloud и прочие – всегда блокируются и навсегда по мере их выявления. Вам есть смысл скрывать свой IP от меня при обращении к моему ресурсу? Если «да», то у Вас враждебные намерения и обслуживание ограничено.
Благодарю за внимание.
РФ, г.Ростов-на-Дону
Борчанкин С.Г.
07.02.2025 № 096