Ontwerp-voorstel voor een zwarte lijst dienst – oproep tot een vergadering

17 april 2012 | Nieuws

In het hele internet is OpenSim niet vrijgesteld van hackers en griefers. Als een jonge technologie, is het nog meer blootgesteld.

We hebben enkele hulpmiddelen in de server en de viewer om onze roosters tegen hen te beschermen. Voor een efficiënte bescherming zou het echter goed zijn een gecentraliseerde dienst te hebben, zoals die bijvoorbeeld bestaat voor smap-controle.

Wij menen dat het nodig is de krachten te bundelen, zowel tussen de eigenaars van de grid, als tussen de ontwikkelaars van de server en de viewer, om tot een efficiënte oplossing te komen, die gemakkelijk kan worden overgenomen door standalone of grid-beheerders.

In het hele internet is OpenSim niet vrijgesteld van hackers en griefers. Als een jonge technologie, is het nog meer blootgesteld.

We hebben enkele hulpmiddelen in de server en de viewer om onze roosters tegen hen te beschermen. Voor een efficiënte bescherming zou het echter goed zijn een gecentraliseerde dienst te hebben, zoals die bijvoorbeeld bestaat voor smap-controle.

Wij menen dat het nodig is de krachten te bundelen, zowel tussen de eigenaars van de grid, als tussen de ontwikkelaars van de server en de viewer, om tot een efficiënte oplossing te komen, die gemakkelijk kan worden overgenomen door standalone of grid-beheerders.

Dit is dus slechts een ontwerp, dat als basis kan dienen voor verdere besprekingen, of gewoon als plaatshouder voor onze eigen gedachten in deze zaak.

Beginselen

  • Een netwerkeigenaar kan zich abonneren op een zwarte lijst dienst, en een regelmatig bijgewerkte verbodslijst krijgen die hij in zijn eigen netwerk kan implementeren
  • Deze lijst wordt samengevoegd met de inhoud van het bestaande verbodssysteem
  • Elk raster heeft nog steeds de mogelijkheid om gebruikers toe te voegen aan zijn eigen banlijst, zonder de gedeelde zwarte lijst te verstoren
  • De lijst wordt gevoed door de eigenaars van de netten, via een procedure die hen in staat stelt in hun eigen inwereldverbodslijst te selecteren welke moeten worden gedeeld

Methoden

“Client-zijde (raster en regio-eigenaren)

  • De eenvoudigste methode om een zwarte lijst te implementeren zou zijn om via een web service (gebruik makend van dezelfde technieken als ossearch of osprofile), verbonden met de grid database, en banlijst gegevens uit te wisselen met een server.

    Hoewel deze methode gemakkelijk te implementeren is voor providers die al een webinterface gebruiken, is er extra software voor nodig (webserver, php, mysql), en dit zou het gebruik van de dienst “out of the box” met bijvoorbeeld OpenSim distributie of Diva distributie onmogelijk maken.

  • De andere benadering is een OpenSim-module. Hierdoor zou het beschermingssysteem op grote schaal kunnen worden verspreid en er zouden slechts een paar parameters nodig zijn

    • “Provider” kant (de zwarte lijst onderhouder

    • Een web sever die verbodslijsten verstuurt via XML
    • Een interface om enkelvoudige ban-verzoeken te versturen (moet gemodereerd worden)
    • Een proces om ban-updates van netwerkeigenaars te ontvangen, in XML-formaat (kan worden gemodereerd of opname kan worden getriggerd door regels
    • Een proces om een gebruiker formeel te de-bannen (waardoor de gebruiker van de ban-lijst van de onderliggende roosters zou verdwijnen)

    Natuurlijk moet de zwarte lijst-server veilig zijn, en er zal waarschijnlijk een team van betrouwbare vrijwilligers moeten worden gevormd om verzoeken te beantwoorden en de zwarte lijst te bewaken.

    Andere sporen

    Er zijn een paar zeer goede webinterfaces voor OpenSim. Wij moeten voor hen duidelijke documentatie opstellen over hoe zij zich kunnen beschermen tegen ongewenste registraties. Aangezien elke webinterface een andere technologie gebruikt, is er vooralsnog geen algemene methode om een anti-spam of anti-bot filter te integreren in registratiepagina’s.

    Conclusie

    Dit is iets wat wij (speculaas) gemakkelijk voor eigen gebruik zouden kunnen opzetten. We kunnen het delen met enkele vrienden, met andere netbeheerders die we kennen. Maar de kans bestaat dat andere netwerkeigenaars hetzelfde werk voor hen zullen doen.

    Als we er samen over nadenken, zouden we uiteindelijk methoden en uitwisselingsformaten kunnen kiezen die gemakkelijk kunnen worden gedeeld, waardoor samenwerking mogelijk wordt.

    Daarom hebben wij, alvorens te beginnen met de ontwikkeling van ons intern systeem, deze nota geschreven, in de hoop op commentaar. Wij zullen waarschijnlijk proberen binnenkort een bijeenkomst over dit onderwerp te organiseren. Tenzij iemand anders het eerder doet, in dat geval, doen we mee.