» »

Dostop do Siol in Gemail pošte iz službenega PC - ja.

Dostop do Siol in Gemail pošte iz službenega PC - ja.

«
1
2

mare2006 ::

Živjo,
iz službenega pc - ja, bi želel dostopati do svojih e - mail naslovov. Včasih smo dostopali preko www strani, sedaj je pa vse blokirano. Poizkusil sem z Windows Live in Outlook Express, vendar ne gre, povezava je blokirana.
Ali obstaja kakšna "finta", kako bi obšel služben "firewall".

Hvala in lep pozdrav,
Mare

specing ::

VPN do domačega kompa/routerja :)

Bakunin ::

in kaj pravijo vasi sistemci?

ste morali kje podpisati, da se strinjate z blokado?

111111111111 ::

Bakunin je izjavil:

in kaj pravijo vasi sistemci?

ste morali kje podpisati, da se strinjate z blokado?


Zakaj bi morali podpisati. Firma reče da vpliva na delovno storilnost in konec. Sistemc že kuca pravila v Firewall, ne rabiš spraševat uporabnikov in sindikatov, če se strinjajo.

Zadevo se da obidet lepo s proxyem, če pa so bolj znani blokirani, pač postaviš svoj PHP proxy na strežniku in se povezuješ na mail preko tistega. Torrentov in youtba pa pač v službi ne bo več. :)

r3dkv1c4 ::

Bakunin je izjavil:

in kaj pravijo vasi sistemci?

ste morali kje podpisati, da se strinjate z blokado?

hahahahahhahaha tale je pa močna:)))


kje pa imaš kakšno pravno podlago za to?

Hayabusa ::

driver_x ::

Hayabusa je izjavil:

http://pravokator.si/index.php/2010/09/...


tukaj je govora o zasebnosti na delovnem mestu, torej o tem, da ima firma vpogled v tvoje komunikacije. Nikjer pa ti ne piše, da ti je podjetje dolžno zagotavljati dostop do interneta.

Bakunin ::

111111111111 je izjavil:


Zakaj bi morali podpisati. Firma reče da vpliva na delovno storilnost in konec. ...


vsaj podpisat, da je bil seznanjen s "pravili igre", da ne bo potem jokal, češ da so mu kratili pravice. :)

in da ne buzerira ljudi po S-T kako zaobiti/kršiti ta pravila...

St235 ::

Hayabusa je izjavil:

http://pravokator.si/index.php/2010/09/...


mešaš jabolka in hruške. Podjetje ne sme posegat v zasebnost tudi na službenem računalniku (torej ne smejo gledat kaj je na njemu in nadzorovat kaj konkretno zaposleni dela). Seveda pa lahko blokirajo dostop do česarkoli jim paše. Ravno tako nikjer ne piše, da morajo zagotovit internetni dostop, oziroma niti ne rabijo zagotovit računalnika če nočejo.

r3dkv1c4 ::

Hayabusa je izjavil:

http://pravokator.si/index.php/2010/09/...

En kup branja za prazen nič, ker nikjer ni zakonsko določeno in v tem članku izpostavljeno, da delodajalec nima pravice omejiti dostopa do siolove pošte in gmaila.

Larifari kolega

St235 ::

Delodajalec sam prosto določa katera sredstva so ti na voljo za izvajanje delovnega procesa. Dokler s tem ne ogroža tvoje varnosti ni nič narobe.

mare2006 ::

Blokirano imamo samo do določenih strani, ketere niso v skladu z informacijsko varnostno politiko.
V IE za nastavitev proxy - ja, nimam dostopa, vsi gumbi so onemogočeni.
Ne zanimajo me razne xxx strani, ampak bi si želel samo pogledat svojo privat pošto na siolu in gmailu. Zgodi se, da potem doma po en teden ne prižigam rač. in ne preberem pošte, zadeve pa so potem že adacta. Recimo, dobil sem bon za Hervisa, pa mi je že potekel, itd.
Kako pa to zgleda
"pač postaviš svoj PHP proxy na strežniku in se povezuješ na mail preko tistega"

lp

driver_x ::

Pošto lahko pogledaš tudi na telefonu.

GupeM ::

Kaj pa smartphone?

Edit: me je že sammy prehitel :D

Zgodovina sprememb…

  • spremenil: GupeM ()

111111111111 ::

mare2006 je izjavil:


Kako pa to zgleda
"pač postaviš svoj PHP proxy na strežniku in se povezuješ na mail preko tistega"

lp


Odpreš account na brezplačnem gostovanju.
Na strežnik naložiš: http://sourceforge.net/projects/php-pro...
In že imaš lasten proxy, ki ti ga živ bog v službi ne bo blokiral, razen če te dobijo. :)

Bakunin ::

varnostna politika je z razlogom...

kdo krije stroske, ce bos probal zaobiti fwall ipd., in bo tvoj PC "fasal" virus ?

fosil ::

Lahko pogledaš če kakšen drug brezplačen ponudnik pošte ni blokiran, nato si tja forwardiraš pošto iz gmaila in siola.
Tako je!

Invictus ::

mare2006 je izjavil:

Blokirano imamo samo do določenih strani, ketere niso v skladu z informacijsko varnostno politiko.
V IE za nastavitev proxy - ja, nimam dostopa, vsi gumbi so onemogočeni.
Ne zanimajo me razne xxx strani, ampak bi si želel samo pogledat svojo privat pošto na siolu in gmailu. Zgodi se, da potem doma po en teden ne prižigam rač. in ne preberem pošte, zadeve pa so potem že adacta. Recimo, dobil sem bon za Hervisa, pa mi je že potekel, itd.
Kako pa to zgleda
"pač postaviš svoj PHP proxy na strežniku in se povezuješ na mail preko tistega"

lp

Delodajalec ni dolžan tebi dajati dostopov do tvojih privat zadev.

A slučajno delaš na Telekomu? Tam je namreč to vse blokirano.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Relanium ::

Blokada v času smartphonov in paketov z prenosom podatkov je res bedarija.
Ampak najlažji način (tud glede zasebnosti) je pa še vedno bluetooth ali pa Wifi shareanje internetne povezave iz telefona na tvoj PC.
Pa še mimo firme gre.

Ampak glede samega čepenja na internetu med delom pač moraš sam vedet koliko je to koristno.
Sj ne pravim, vsak človek rabi redne pavze in tud men so dali internet z youtubom in FB vred, pa je šefe še vseeno zelo zadovoljen z mojimi delovnimi rezultati.
Ampak pač sj sam najbolje veš kolk si lahk tega privoščiš.

111111111111 ::

Relanium je izjavil:

Blokada v času smartphonov in paketov z prenosom podatkov je res bedarija.
Ampak najlažji način (tud glede zasebnosti) je pa še vedno bluetooth ali pa Wifi shareanje internetne povezave iz telefona na tvoj PC.
Pa še mimo firme gre.


To pa raje ne. To je izpostavitev računalnika direktno v splet, ker preskočiš v kompletu firewall v podjetju (nekdo je prej omenil, da je firewall z razlogom). V primeru proxya, je še vedno tako, da na firewallu lahko zaznajo, če se hoče kakšna programska koda (virus) povezati ven iz omrežja in ga lahko blokirajo. Če pa se povežeš preko svojega telefona pa se lahko podatki iz podjetja mirno prenesejo preko te povezave, ki ni obremenjena s firewallom. Res ne priporočam. NIKOLI, NIKOLI ne povezuj računalnika iz podjetja, s povezavo v podjetju na intranet, v klasičen splet, ker potem predstavljaš resničen riziko za podjetje. To niso več heci.

Invictus ::

Če je varnostna politika škatle prav nastavljena, tako ali tako ne more ustvarjat novih povezav ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Malajlo ::

Po vsej verjetnosti je v preteklosti kakšen dokument odletel takole preko www strani iz firme. Se spomnim tudi primera izpred deset in ceč let, ko je direktor (lastnik) zahteval zaprtje vseh top domen po prometu. Google (Yahoo?) je sicer ostal, ampak na spisku je bil tudi(!) slo-tech.com ;). Pod ključ je šlo vse, kar je bilo neznano.
Ampak vseeno - da gre gmail.com zapirat... a https://mail.google.com/mail/ imate tudi zaprto?

111111111111 ::

Invictus je izjavil:

Če je varnostna politika škatle prav nastavljena, tako ali tako ne more ustvarjat novih povezav ...


Prosim razloži. Kakšnih novih povezav? Katera varnostna politika? Kaj blokiraš in kje? Trojanski konj ti pretenta firewall miže, antivirus podleže uporabnikovemu klikanju, potrjevanje ne preverjenih certifikatov in še bi lahko našteval. Nimaš ultimate varnostne politike v mreži. Nimaš. Razen odklop iz mreže. Gre samo zato, da je ena stvar mogoče bolj varna kot druga, nobena pa ni popolnoma varna.

r3dkv1c4 ::

mare2006 je izjavil:

Blokirano imamo samo do določenih strani, ketere niso v skladu z informacijsko varnostno politiko.
V IE za nastavitev proxy - ja, nimam dostopa, vsi gumbi so onemogočeni.
Ne zanimajo me razne xxx strani, ampak bi si želel samo pogledat svojo privat pošto na siolu in gmailu. Zgodi se, da potem doma po en teden ne prižigam rač. in ne preberem pošte, zadeve pa so potem že adacta. Recimo, dobil sem bon za Hervisa, pa mi je že potekel, itd.
Kako pa to zgleda
"pač postaviš svoj PHP proxy na strežniku in se povezuješ na mail preko tistega"

lp

Česa ti tu ne razumeš, če doma nimaš časa pogledat privat pošte, potem jo kar izbriši iz glave......zakaj imaš potem računalnik doma, če ga ne uporabljaš....

Mislim, daj nehaj s tako butastimi izgovori o raznih bonih iz hervisa in ostalih bedastoč.....lepo te prosim no pa saj nismo od včeraj.

SeMiNeSanja ::

Če varnostna politika v podjetju določa, da razni eksterni mail portali niso dopustni in jih admin posledično blokira, se s tem sprijazni.
Poskus, da to politiko zaobideš, je lahko razlog za krivdno odpoved. Zdaj pa razmisli, kaj ti je več vredno - delovno mesto ali Hervisov bon?

Invictus ::

111111111111 je izjavil:


Prosim razloži. Kakšnih novih povezav? Katera varnostna politika? Kaj blokiraš in kje? Trojanski konj ti pretenta firewall miže, antivirus podleže uporabnikovemu klikanju, potrjevanje ne preverjenih certifikatov in še bi lahko našteval. Nimaš ultimate varnostne politike v mreži. Nimaš. Razen odklop iz mreže. Gre samo zato, da je ena stvar mogoče bolj varna kot druga, nobena pa ni popolnoma varna.

A ste res taki amaterji ...?

Govorim samo o tem da nekdo ne more kreirat nove povezave preko Bluetotha. Iterno vklopiš 802.1x in čao. Edini način priklopa v mrežo preko kabla. Vse ostalo disablaš in zakleneš. Uporabnik ne more narediti nič ...

za 99,99999% folka čisto dovolj. In seveda blokiraš vse nezaželjene zabavne stavri na netu (YouTube, Facebook, ipd ...)

Poleg tega lahko IT glede kam se folk povezuje. In če se pojavi kak nov hostname noter, ups, kaj je to. Če ne veš, blokiraš. Simple kot pasulj. Samo pogledaš proxy log.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

111111111111 ::

Invictus je izjavil:


A ste res taki amaterji ...?

Govorim samo o tem da nekdo ne more kreirat nove povezave preko Bluetotha. Iterno vklopiš 802.1x in čao. Edini način priklopa v mrežo preko kabla. Vse ostalo disablaš in zakleneš. Uporabnik ne more narediti nič ...

za 99,99999% folka čisto dovolj. In seveda blokiraš vse nezaželjene zabavne stavri na netu (YouTube, Facebook, ipd ...)

Poleg tega lahko IT glede kam se folk povezuje. In če se pojavi kak nov hostname noter, ups, kaj je to. Če ne veš, blokiraš. Simple kot pasulj. Samo pogledaš proxy log.


Očitno smo res amaterji in to da delaš ravno v omrežju in se ukvarjaš z varnostjo v podjetju s 30 zaposlenimi, ki mora biti na nivoju saj gre za finančno institucijo, verjetno sem res amater. :) Upam da me ne odpustijo.

Drugače pa si poglej zgornje poste. Nekdo je predlagal, da se naj poveže na splet preko bluetootha, kar sem odločno odsvetoval.

Drugače je pa odvisno od sistema, težava nastopi pri windows operacijskem sistemu, ki da uporabniku določen del svobode nad namizjem in delom OS-a. Če to blokiraš se ti uporabniki bunijo in blokiraj HTTP pa boš videl vstajo v firmi. :) Prek HTTP-ja ti pobegne vse živo, HTTPS ne moreš blokirat zaradi certifikatov, ne moreš pa ga prebirati, žal nismo NSA. :)

Marsikatera lušna stvar se ti naloži samo preko spleta in ti lepo zabije omrežje, 802.1x ti tukaj pač ne pomaga. So pa tudi uporabniki z vsemi žavbami namazani in najdejo spletne strani z igrami, stremanjem, ki jih nisi polovil v filtrih in jih blokiraš šele ko opaziš povečan promet po mreži.

Skratka stvari niso tako preproste, kakor si prikazal zgoraj.

Isotropic ::

Sj ne pravim, vsak človek rabi redne pavze in tud men so dali internet z youtubom in FB vred, pa je šefe še vseeno zelo zadovoljen z mojimi delovnimi rezultati.
Ampak pač sj sam najbolje veš kolk si lahk tega privoščiš.

this
v dobi smartphone in toliko predkupljenih mb, kot jih ne porabis v mesecu, je nevemkaksno zaklepanje brezveze.
koneckoncev lahko se vedno igra angry birds prek telefona, ce ima ze voljo.

Zgodovina sprememb…

Aston_11 ::

A da bi gmail kar fwd na službeni mejl, pa ne bi šlo? Sicer pa je tale bosa, da teden dni ne moreš pogledati gmail - doma računalnika nimaš, med delovnim časom, pa je treba delat, ne pa po zasebnem mailu šarit ;)

mare2006 ::

to s fwd je dobra ideja. Sam jaz ne bi želel, da se pojavi na službenem mailu, mail neznane samske tete, katera mi je odpisala na...:-)

Furbo ::

Dodaj si pač tista dva maila v telefon pa je, res ne vidim smisla v kompliciranju. Preveriš pa lahko tudi v bifeju z WIFI med kavico, če te skrbi prenos podatkov.
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC

Invictus ::

111111111111 je izjavil:


Očitno smo res amaterji in to da delaš ravno v omrežju in se ukvarjaš z varnostjo v podjetju s 30 zaposlenimi, ki mora biti na nivoju saj gre za finančno institucijo, verjetno sem res amater. :) Upam da me ne odpustijo.

Drugače pa si poglej zgornje poste. Nekdo je predlagal, da se naj poveže na splet preko bluetootha, kar sem odločno odsvetoval.

Drugače je pa odvisno od sistema, težava nastopi pri windows operacijskem sistemu, ki da uporabniku določen del svobode nad namizjem in delom OS-a. Če to blokiraš se ti uporabniki bunijo in blokiraj HTTP pa boš videl vstajo v firmi. :) Prek HTTP-ja ti pobegne vse živo, HTTPS ne moreš blokirat zaradi certifikatov, ne moreš pa ga prebirati, žal nismo NSA. :)

Marsikatera lušna stvar se ti naloži samo preko spleta in ti lepo zabije omrežje, 802.1x ti tukaj pač ne pomaga. So pa tudi uporabniki z vsemi žavbami namazani in najdejo spletne strani z igrami, stremanjem, ki jih nisi polovil v filtrih in jih blokiraš šele ko opaziš povečan promet po mreži.

Skratka stvari niso tako preproste, kakor si prikazal zgoraj.


Zgleda ste res ;). Sam sem to delal 10 let nazaj, ko smo preverjali kje ljudje srfajo. Tipično se vidi v proxiju kateri uporabnik kje srfa. Seveda, če imaš tako proxy.

Teh podatkov seveda nismo mogli uporabit zaradi butastih slovenskih zakonov, ki ščitijo osebne pravice tudi na službenem mestu, ampak ne mi govorit da se ne da. Ven je prišel samo memo da se preveč srfa po facebooku in podobnih straneh. Vem pa za banko kjer so te zadeve preprosto blokirali. Zdaj seveda folk to počne preko telefonov.

Za proxije preprosto obstajajo "black liste" kjer se naročiš in ti dnevno updata seznam "prepovedanih" strani. To se je tudi v moji prejšnji firmi naredilo.

Ker je bil IE nastavljen na proxy in blokiran, je folk potem prinesel USB ključke z Firefoxom. Pa smo tudi to blokirali.

Če pa seveda ITjevec sam cel dansrfa po teh zadevah, potem pa verjamem da se nič ne da narediti.

In to da HTTp pač ne blokiraš ker pol cel kup stvari ne dela kaže na to da si res Amater. Sam ne delam večl v tem fohu, pa vem kaj se da narediti z preprostim firewallom. Daleč več od samo blokade protokola in porta ...

802.1x je pa namenjen temu da se ti v mrežo ne priklopijo neznane škatle. Oz. jih daš v svoj subnet, ki nima dostopa do službene mreže. Mogoče samo ena švoh pipica do interneta.

Pa najbrž ima še kako funkcijo ...

Lahko pa implementiraš tudi NAC.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

111111111111 ::

Invictus je izjavil:



Zgleda ste res ;). Sam sem to delal 10 let nazaj, ko smo preverjali kje ljudje srfajo. Tipično se vidi v proxiju kateri uporabnik kje srfa. Seveda, če imaš tako proxy.

Teh podatkov seveda nismo mogli uporabit zaradi butastih slovenskih zakonov, ki ščitijo osebne pravice tudi na službenem mestu, ampak ne mi govorit da se ne da. Ven je prišel samo memo da se preveč srfa po facebooku in podobnih straneh. Vem pa za banko kjer so te zadeve preprosto blokirali. Zdaj seveda folk to počne preko telefonov.

Za proxije preprosto obstajajo "black liste" kjer se naročiš in ti dnevno updata seznam "prepovedanih" strani. To se je tudi v moji prejšnji firmi naredilo.

Ker je bil IE nastavljen na proxy in blokiran, je folk potem prinesel USB ključke z Firefoxom. Pa smo tudi to blokirali.

Če pa seveda ITjevec sam cel dansrfa po teh zadevah, potem pa verjamem da se nič ne da narediti.

In to da HTTp pač ne blokiraš ker pol cel kup stvari ne dela kaže na to da si res Amater. Sam ne delam večl v tem fohu, pa vem kaj se da narediti z preprostim firewallom. Daleč več od samo blokade protokola in porta ...

802.1x je pa namenjen temu da se ti v mrežo ne priklopijo neznane škatle. Oz. jih daš v svoj subnet, ki nima dostopa do službene mreže. Mogoče samo ena švoh pipica do interneta.

Pa najbrž ima še kako funkcijo ...

Lahko pa implementiraš tudi NAC.


Prav, potem pa mi odgovori na eno vprašanje. Zanima me kako blokiraš javscript, JQuerry, Ajax izvajanje, ki ti razpošilja po mreži broadcast in ti navije switche, ker je uporabnik z mailom odprl spletno stran, kjer je zanemaril opozorilo, da certifikat ni veljaven. Mail mu je poslala verodostojna oseba z okuženim računalnikom, stran je bila dodana na blacklisto (na katero smo naročeni) 2 dni po incidentu (black lista se posodablja). Dobro da smo pravočasno opazili povečevanje prometa in računalnik zaklenili.

Pri spletni varnosti je pač 100 ljudi 1000 varnostnih politik. Bolj restretktivno in dosledno politiko uvedeš bolj ti skačejo po glavi in ko ti direktor reče, da je to treba sprostit in noben dokaz ne pomaga, pač postaviš lovilne sisteme in delaš dosleden monitoring.

Glede na tvoj zgornji post pa moram res dati odpoved in se lotiti vrtnarstva. Svet bo varnejši. :D

SeMiNeSanja ::

Ne se prepirati - eden govori o 'high end' tehnologiji, ki je bila v uporabi pred 10 leti,drugi pa o realnem problemu, ki ga tudi takratna tehnologija ni znala rešiti. Žal še danes marsikdo svoje omrežje ni spravil do stopnje, ki je pred 10 leti veljala za high-end, kaj šele, da bi imeli nameščene rešitve, ki danes veljajo za 'moderne'. Deloma je razlog v skromnih IT proračunih, deloma pa tudi v nepoznavanju rešitev, ki so za to danes na voljo.

Če pogledamo real-life problem Chuapoiz-a, do tega problema sploh nebi prišel, če bi imeli v podjetju postavljeno sodobno požarno pregrado, ki dela tudi https inšpekcijo. Kot prvo, bi se prestreglo virus, ki je okužil prvi računalnik (predpostavimo, da je ta v podjetju). Kot drugo, bi IPS blokiral škodljivo vsebino zlonamerne spletne strani, pa še celo do tja nebi prišel, ker bi prej OSCP preverjanje certifikata na požarni pregradi zavrnilo vzpostavitev povezave na stran z neveljavnim certifikatom. Poleg tega bi tudi bistveno bolj ažurni 'Cloud' servis z 'block listo' z veliko verjetnostjo blokiral dostop do problematične strani prej kot v dveh dnevih.
Kot da to še ni dovolj, pa bi lahko na požarni pregradi blokiral različne tipe datotek, ki so visoko rizične za okužbe - pa če nosijo kakšen virus ali ne.

Deset let je dolga doba in stvari so šle veliko dlje, kot so to nekoč omogočali 'proxi-ji'. Postaviš eno rešitev in ta opravi vse zgoraj naštete kontrole - plačaš pa samo eno naročnino, vzdržuješ samo en sistem.
Seveda stvar ni zastonj, ampak če temeljito preveriš ponudbo na trgu, boš ugotovil, da se da dobiti tudi vrhunske rešitve za razmeroma zmeren denar (govorimo o rešitvah za podjetja!). Za domačo rabo so te stvari seveda še vedno predrage in moramo nekako improvizirati.

Hayabusa ::

Virus lahko dobiš tudi preko okuženega ploščka/usbja, kako to rešuje fw ?

SeMiNeSanja ::

Kdo je pa govoril o ploščkih in usb-jih? In ne, ne moreš dobiti virusa, s ploščka/usb-ja, če imaš računalnike brez DC/DVD pogonov in če blokiraš uporabo USB portov za nepooblaščene naprave.

Takointako pa se nikoli ne govori o popolni nezmožnosti, da se nekaj stakne, temveč o bim bolj efektivnem zmanjšanju te možnosti in tehtanju, kolikšen je rizik, povzročena škoda in koliko te stane zmanjšanje tega rizika na sprejemljiv nivo.

Ploščki in USB-ji (če imaš nameščen ustrezen AV na računalnikih), ob pravilni postavitvi policy-jev predstavljajo nižje tveganje, kot pa slepo klikanje po URL linkih v mailih. Ali se morda motim in v vašem podjetju lahko vsakdo prinese od doma svoj CD in namešča na računalnike, kar se mu zljubi? V tem primeru tudi požarne pregrade ne potrebujete, ker ste že v osnovi skregani s samo varnostjo.

Hayabusa ::

Blokado izmenljivih medijev omenjaš šele sedaj.

SeMiNeSanja ::

Ker
a) tema govori o mrežnem povezovanju in
b) že zdrava pamet pove, da to spada v drugo poglavje, ki ga moramo rešiti že dolgo prej, predenj računalnik priključimo na mrežo (če drugače ne znaš/moreš, pa v BIOS-u izklopiš zadeve)

Omenjanje ploščkov in USB-jev kot opravičilo/alibi za to, da se ne uredi varnosti omrežja v podjetju, bi morali kaznovati z javnim šibanjem, saj nakazuje na to, da tisti, ki to omenja, ni poskrbel za ustrezno zaščito računalnikov niti na tem najbolj osnovnem nivoju.

111111111111 ::

SeMiNeSanja je izjavil:

Ne se prepirati - eden govori o 'high end' tehnologiji, ki je bila v uporabi pred 10 leti,drugi pa o realnem problemu, ki ga tudi takratna tehnologija ni znala rešiti. Žal še danes marsikdo svoje omrežje ni spravil do stopnje, ki je pred 10 leti veljala za high-end, kaj šele, da bi imeli nameščene rešitve, ki danes veljajo za 'moderne'. Deloma je razlog v skromnih IT proračunih, deloma pa tudi v nepoznavanju rešitev, ki so za to danes na voljo.

Če pogledamo real-life problem Chuapoiz-a, do tega problema sploh nebi prišel, če bi imeli v podjetju postavljeno sodobno požarno pregrado, ki dela tudi https inšpekcijo. Kot prvo, bi se prestreglo virus, ki je okužil prvi računalnik (predpostavimo, da je ta v podjetju). Kot drugo, bi IPS blokiral škodljivo vsebino zlonamerne spletne strani, pa še celo do tja nebi prišel, ker bi prej OSCP preverjanje certifikata na požarni pregradi zavrnilo vzpostavitev povezave na stran z neveljavnim certifikatom. Poleg tega bi tudi bistveno bolj ažurni 'Cloud' servis z 'block listo' z veliko verjetnostjo blokiral dostop do problematične strani prej kot v dveh dnevih.
Kot da to še ni dovolj, pa bi lahko na požarni pregradi blokiral različne tipe datotek, ki so visoko rizične za okužbe - pa če nosijo kakšen virus ali ne.

Deset let je dolga doba in stvari so šle veliko dlje, kot so to nekoč omogočali 'proxi-ji'. Postaviš eno rešitev in ta opravi vse zgoraj naštete kontrole - plačaš pa samo eno naročnino, vzdržuješ samo en sistem.
Seveda stvar ni zastonj, ampak če temeljito preveriš ponudbo na trgu, boš ugotovil, da se da dobiti tudi vrhunske rešitve za razmeroma zmeren denar (govorimo o rešitvah za podjetja!). Za domačo rabo so te stvari seveda še vedno predrage in moramo nekako improvizirati.


Https inšpekcija? IPS? OSCP? Že najmanjši DOS napad, smurf attack te spravi na kolena in te praktično odklopi od sveta. Propustnost omrežja pada exsponentno, če nimaš fantastične opreme, ki te stane. ISP-ji pri nas so zadaj svetlobna leta, da bi omogočal to v svojih NOC-ih, ker se baje ne splača. Tako da lepo dobiš celotno sranje direktno na link in ti bi to poslal čez tri filtre? Plus pa je da te v firmi rabijo, ker nič ne deluje samo od sebe, ker je po svoje tudi žalostno. :)

O IPS pa sploh ne bi. Poceni rešitev, been there done that, throw it away. Za res dobrega moraš imeti pa KONKRETEN proračun, drugače pa ti dela samo sranje. Govorim iz praktičnih izkušenj, teorijo, predavanja, predstavitve raznih podjetij pa poznam, v praksi se ne obnesejo. Kar se poznavanja rešitev tiče sem kar precej na tekočem in tudi redno spremljam, kaj se dogaja na tem področju. Ni šlo za virus, ampak preprostega črva, ki je zapolnil naše omrežje z broadcast stormimgom.

Iz druge roke ti povem, kolega se je soočal z massivnim DDOS napadom, in v firmi imajo IPS, živ bog v Sloveniji mu ga ni znal nastavit na filtriranje, ki bi bilo učinkovito in mu nebi blokiralo legit povezav. Filtrom se je slej kot prej odtrgalo in so popokali po vseh šivih in blokirali celoten promet.

Današnje high-end rešitve niso vredne piškavega oreha, če si ogromen. Še vedno ne moreš učinkovito ustaviti DDOS napada, admini v velikih firmah izklopijo edge routerje zaprejo porte, da vsaj intranet deluje. Pri zadnjem masivnem je komaj vzdržala internetna hrbtenica, ki ima maksimalno propustnost in nobenih preverjanj. Vse high-end rešitve, ki si jih naštel so fantastične pri majhnem prometu, ko pa zadeva zraste te pa nobena naprava ne reši, vse se upočasni in lahko samo čakaš da nevihta mine. :)

Mr.B ::

Malo poenostavimo :
1. brez prokxy povezave v svet ne moreš. Torej ni šanss da boš s kakšno portable firefox rešitvijo rešil problem proxy povezave. Pa pustimo da v 90% vseh resnih gospodarskih subjektih, praktično nikoli ne uporabljajo tam zavihka proxy, ampak wpad itd..

2. Scann HTTPS prometa danes ni nikakršen problem preverjati ! in ni nikakršen dodaten strošek.

3. IPS sistem , ki preverjajo vsebino prometa se cenovno razlikujejo od raznih linux free rešitev do konkretnih gajb. Relativno poceni , pojem relativno, lahko potavi podjetje sistem, ki preverja ti prometa.

4. tisti ki bi radi zaobili sistem, ga tudi bojo. Če ne drugega si lahko doma postaviš vpn / ssh kišto, ki posluša na portu 80. Če ravno nimajo iplementiranega IPS sistema,boš ahko komot srfal...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

SeMiNeSanja ::

Oba imata deloma prav, deloma pa se motita.

Na današnjih Next Generation požarnih pregradah se tovrstne prekrškarje ne lovi z IPS-om, temveč z nadzorom aplikacij. Vsaka kolikor toliko spodobna požarna pregrada v tem razredu zmore identificirati nekje med 1500 in 2500 različnih aplikacij. Med temi obstajajo kategorije, ki vključujejo različna orodja in programe, s katerimi brihtneži skušajo zaobiti požarno pregrado. Tudi če ta ni nastavljena, da take programe blokira, se lahko logira uporabo ssh, vpn, tor in podobnih programov in povabi njihovega uporabnika na 'razgovor'.

Samostojnim IPS sistemom so po mnenju analitikov šteti dnevi, saj vse težje konkurirajo IPS storitva v integriranih rešitvah, ki so bistveno bolj preproste za upravljati in cenejši za vzdrževati. Po mojem mnenju samostojni IPS sistemi ne bodo povsem izginili, jih pa bomo vse redkeje srečevali.

DDOS je posebno poglavje in se ne rešuje na požarni pregradi - če se hočemo DDOS napada obraniti, ga je treba preusmeriti že daleč pred požarno pregrado. Anti-DDOS funkcije na požarnih pregradah v pretežni meri ščitijo strežnike izza požarne pregrade, da se zaradi preobremenitve ne sesujejo - kdor pričakuje več, je nerealen in/ali ne pozna narave DDOS napadov.

Ostalo kar omenja Chuapoiz, je običajno posledica poddimenzioniranja požarne pregrade. Namesto, da bi kupovali po specifikacijah prepustnosti ob vključenih servisih (IPS+AV+...), marsikdo kupi požarno pregrado glede na podatek 'firewall throughput' - posledično je razočaranje predprogramirano. Ko boste kupovali na osnovi podatkov za prepustnost ob vseh vključenih servisih in vzeli napravo, ki bo imela vsaj za faktor 2 višjo prepustnost od tiste, katero menite, da bi bila potrebna, takrat tudi ne bo takšnega razočaranja.

Seveda se potem zatakne pri denarju - če se kot pijanec držiš plota in oklepaš proizvajalcev, pri katerih plačaš znamko in ne dejanski proizvod. Prodajalci so nagrajeni po prometu in sami od sebe ne bodo ponujali cenejših variant - raje vam bodo prodali poddimenzionirano (pre)drago škatlo. Tako kot pri modi - če hočeš nositi Armanija, pripravi denarnico. A nikar se ne čudi, če te bo pozimi bolj zeblo kot tistega, ki si je kupil oblačila za 1/10 tega zneska od 'noname' proizvajalca - s plaščem vred.

Drugače pa me tale zgodba s črvom spominja na dogodivščino izpred nekaj let. Smo bili pri potencialni stranki, da bi naredili demo postavitev. Naredimo osnovno konfiguracijo in zadevo postavimo v omrežje - ko promet obstane. Pogled v dogajanje je pokazal, da imajo praktično vse računalnike okužene s črvom, pregrada pa je zablokirala vse okužene računalnike.

A namesto da bi zagnali preplah, izolirali podomrežja in se lotili čiščenja, so raje hitro umaknili požarno pregrado in mirne vesti trosili črva naprej v medmrežje.

Bakunin ::

SeMiNeSanja je izjavil:

A namesto da bi zagnali preplah, izolirali podomrežja in se lotili čiščenja, so raje hitro umaknili požarno pregrado in mirne vesti trosili črva naprej v medmrežje.



Where ignorance is bliss, 'tis folly to be wise.

Invictus ::

Kot je SeMiNeSanja omenil,

je večni problem varnosti v omrežju v nezainteresiranosti podjetja da bi odpravilo osnovne problem ...

Večina podjetij komaj zna pravilno nastaviti VLANe in subnete. Kaj šele DHCP rezervacijo in dinamično dodeljevanje VLANov. Da ne govorim o pravem 802.1x in NAC.

Pač to zahteva malo bolj poglobljeno znanje kaj podjetje sploh potrebuje in to tudi pripravit. Da ne govorim o pripravljenosti nekomu plačat da to sploh naredi.

Dokler folk lahko dostopa do Facebooka, je mreža v redu filozofija se pa lahko hitro maščuje ko fašeš viruse in ostalo nesnago v omrežje.

Potem je večino rešitev podjetij da kupujejo nove in nove škatle, namesto da bi odpravili osnoven problem. Nove škatle pa pač problema ne odpravijo in potem se uporabniki spet jezijo na proizvajalce, ki prodajajo škart robo.

Videno prevečkrat v slovenskih, tudi državnih inštitucijah.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

b3D_950 ::

Potem je večino rešitev podjetij da kupujejo nove in nove škatle, namesto da bi odpravili osnoven problem


... in osnovni problem je software (npr. windows), ki to dopušča (npr. nameščanje virusa z obiskom spletne strani ali klikom na reklamni banner) in ne router.

Mr.B ::

rb750, a ne boš reku. Predlagam da malo googlaš, potem pa boš populist in rekel da je itak uporabnik kriv.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

b3D_950 ::

Hotel sem samo to povedat, da bi se dalo dost problemov rešit na nivoju OS - npr. kaj takega: http://www.windows7library.com/blog/sec...

Unknown_001 ::

Vi ki se kle mente o dostopnih točkah iz telefona. Mene res zanima, če vam je uporaba mobilca na delovnem mestu za zasebne namene dovoljena, ker to pa prvič slišim, al pa vi mal pravila okol prenašate. :|
Wie nennt man einen Moderator mit der Hälfte des Gehirnis ?

Begabt

Mr.B ::

Ms je večkrat dokazal, da karkoli na kakršenkoli način hoče preprečiti, da bi na slepo klikal DA brez, da bi prebral karkoli preden ponovna klikne DA, je bilo neuspešno.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

SeMiNeSanja ::

@Raptor Osnova oz. definicija tega, kaj je v podjetju dovoljeno in kaj ne, naj bi bila zapisana v takozvani "varnostni politiki" podjetja.

Naj bi bila.

Problem je, da imajo varnostno politiko definirano le izjemoma v srednje velikih podjetjih, v manjših pa kaj takega ne boš našel. Našel pa bi tudi celo vrsto velikih podjetij, ki nimajo izdelano uradno varnostno politiko.

V odsotnosti dokumentov, po katerih bi se lahko zaposleni orientirali, pa so zadeve lahko precej pisane. Najdeš cel spekter od 'pri nas je vse dovoljeno' do 'pri nas je vse prepovedano'. Pogosto še zaposleni v IT-ju kršijo načela pametne rabe računalnikov in interneta - ko naj bi točno vedeli, kaj delajo in kakšne posledice lahko ima njihovo početje. Kako potem pričakovati od navadnih uporabnikov, da bodo uporabljali računalnike 'po pameti', če jih nismo podučili?

Stroka pozna vrsto standardov in priporočil, ki pa le redko najdejo pot do malih podjetij. Imamo obrtno zbornico, gospodarsko zbornico, vrsto organizacij za varno rabo interneta itd. - pa se vsi s to problematiko ukvarjajo zgolj na načelni ravni, namesto da bi izdelali vzorčno varnostno politiko in jo ponudili kot download, da bi si jo lahko vsakdo prilagodil svojim potrebam.

Sans Institute na svojih straneh ponuja skupek dokumentov v sklopu SANS Security Policy Project. Lahko da se motim, toda doslej še nisem zasledil, da bi se katera od naših samozvanih 'organizacij za varno rabo interneta' potrudila pripraviti (prevesti?) podobne dokumente, ki bi lahko služile našim podjetjem za orientacijo in vzorec pri izdelavi lastnih dokumentov varnostne politike.

St235 ::

Unknown_001 je izjavil:

Vi ki se kle mente o dostopnih točkah iz telefona. Mene res zanima, če vam je uporaba mobilca na delovnem mestu za zasebne namene dovoljena, ker to pa prvič slišim, al pa vi mal pravila okol prenašate. :|


Zakaj točno pa bi bila prepovedana uporaba mobilnega telefona na delovnem mestu? Dvomim, da je kaj dosti delovnih mest, kjer bi to prepovedovali.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Backdoor-i v Cisco (in drugih) napravah (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15330955 (25801) jukoz
»

PFsense vs Sonic Wall (strani: 1 2 )

Oddelek: Informacijska varnost
8318220 (14871) Blisk
»

V letu 2016 bistveno več šifriranega prometa

Oddelek: Novice / Zasebnost
258955 (6825) Lonsarg
»

Katera "odhodna" vrata na požarnem zidu za rsync

Oddelek: Omrežja in internet
324600 (3870) mojca
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10722592 (19569) NeMeTko

Več podobnih tem