» »

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)?

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)?

1
2
3

tony1 ::

dëych je izjavil:

Ve kdo v čem se razlikujeta ta dva switcha:
1. HP ProCurveHP 1810-8G (J9449AR) cca 90€
2. HP ProCurve 1810G-8 (J9449A) cca 120€

?


Razlike na uradni strani ne najdem... Če sta oba gigabitna, potem vzemi cenejšega.

Še moj komentar na tole Cisco vs. Mikrotik vojno: dejstvo je, da obe rešitvi delata kot je treba, po drugi strani pa ima Cisco (vsaj) 10x večjo ceno, kar je enostavno dejstvo. Je pač ameriška koprporacija, vodilni na trgu, obstaja 25 let (vsakih nekaj let propade/se zmerga nekaj vendorjev omrežne opreme, Cisco pa je tu odkar pomnim :)) in si takšne cene lahko privošči, pa se kljub temu dobro prodaja. Cel svet se uči dela z omrežnimi napravami na Ciscotovem CLIju, in zato vsakdo najlažje kupi Cisco.

Mikrotik pa je podjetje z razvojem iz nekdanjega vzhodnega bloka, ki lahko konkurira samo s ceno (to, da je kakovost njihovih naprav zelo dobra, je jasno), da jih kdo sploh upa kupiti. Btw., delam v Slo podjetju, ki razvija in dela en segment omrežnih naprav, in jih lahko prodajamo po vsem svetu, le po Ameriki ne. Zakaj? Ker jih Američan preprosto ne bo kupil, ker niso Ameriške :) Skratka, če bi bil Mikrotik firma iz Teksasa, bi bil precej dražji, pa prav nič bolj kvaliteten. Mikrotik je sicer zelo dobra rešitev tudi zaradi tega, ker podpira ogromen nabor featurjev. Je pa res, da se je treba za delo z njim naučiti še eno vrsto CLIja.

Še glede razprave o eni sami napravi v malem podjetju: to je dejanski trend, in danes se prodajajo škatle, ki so vse: firewall, router (podpirajo IS-IS in BGP, vanje se da vštekati recimo kartico za E1 link), imajo po 8 switching portov, vsebujejo antispam, antivirus in IPS filtre. Gre za Universal Threat Management naprave:
http://www.fortinet.com//index.html
http://www.fortinet.com/products/index....
Plačevanje vsakoletnih naročnin za posodobitve filtrov je seveda samoumevno.

Za malce večjo firmo (več kot 10 uporabnikov) pa je popolnoma jasno, da bo imela za stikala ločene naprave, za firewall pa spet drugo škatlo. Ni pa nič narobe, če firewall služi še kot gigabitno layer 3 core stikalo, danes so firewalli dovolj zmogljivi in dovolj poceni, da si to lahko privoščiš. Ni pa to korporativna rešitev, tam se dela drugače, pa ni vzrok toliko v boljšem delovanju (enostavnejšem vzdrževanju?) ampak v tem, da imajo večja okolja večji proračun za IT.

Zgodovina sprememb…

  • spremenil: tony1 ()

tony1 ::

Da ne pozabim, še tole: Cisco ima odličen (plačljiv, se razume) support. Pri marsikaterem vendorju se mi je že zgodilo, da je bil support zanič ali pa se je preprosto vdrl v zemljo, pri Ciscotu pa sem support vedno dobil in še vedno so mi rešili vsak problem.

x.sci ::

Za 20 uporabnikov je "normalna" investicija v mrezno opremo min. 500-1000eur. Za ne-pisarnisko uporabo se toliko vec. Cisto mimogrede.

Kot so ze ostali povedali, prvo je treba imet managed switching (ce se nimate). Omenjeni hpji so dobri, ce si na budgetu. Za router/firewall lahko prezivis z marsicem, ampak mocno odsvetujem razne rutercke za domaco uporabo (tipa tp-link). To je tako kot redundanca; vecinoma se ti sicer zdi stran vrzen denar, a brez je gamblanje (potencialno velik payoff, ce imas sreco, ce je nimas pa... :)

Glede utm-a ima tony1 prav. Treba je zraven upostevat narocnino na ips ipd., s tem, da lahko tudi zacetna postavitev nekaj stane (da se vse skonfigurira). Sicer pa je stvar kot pri avtomobilih; za znamko bos placal vec. Ce je ciscova asa ali juniperjev srx vreden svojega denarja, naj se vsak odloci sam.

Ce pa je sef kekec in ne da kesa, pac naredis, kar lahko. Kupi nek small business router (mikrotik je resen). Wrt-ja pa lahko porabis za guest wireless, dokler ne bo denarja za nek bolj primeren ap.

aleksander10 ::

Mavrik,

Ti cisca se od blizu nisi videl. Ce bi vedel da gres te zadeve lahko iskati na Miercom ali podobne, bi te se za resnega vzel. Ne nisem cisco mkt, vem pa kako se z zadevami dela, kar ocitno le ti ne ves. Zal brez veze razpravljat z nekom, ki postrika in poklika dve zadeve na GUIju in misli, da je ze pravi mojster.

Kar zaploskal ti bom, ker si tako dober.

Se link, da ga ne bos iskal. http://www.miercom.com/

Zdej pa res na RO.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

Mavrik ::

Res je, Cisca nisem od blizu videl - nisem namreč sistemc. Zato bi pa glih rad da ti (ki glede na podpis ti dal čez kup tečajev) nam razložiš zakaj točno je Cisco res prava izbira. Namreč od tebe nismo dobili nobene razlage ali utemeljitve (kaj šele številk), zakaj se splača dati toliko denarja za opremo - dobili smo samo žaljenje in pavšalne "vi nimate pojma izjave" - posledično me težko prepričaš da je v tem kar govoriš karkoli resnice, saj tak ton uporabljajo kvečjemu marketingarji.

A se tako pogovarjaš tudi z nadrejenimi v podjetjih, ko je treba kupovati opremo?
The truth is rarely pure and never simple.

Daedalus ::

Da ne pozabim, še tole: Cisco ima odličen (plačljiv, se razume) support. Pri marsikaterem vendorju se mi je že zgodilo, da je bil support zanič ali pa se je preprosto vdrl v zemljo, pri Ciscotu pa sem support vedno dobil in še vedno so mi rešili vsak problem.


Tule morem tudi Mikrotik pohvalit. Lih bo kako leto, ko sem v njihovem DHCP serverju odkril en precej grd bug v navezi s Tropos routerji (wifi mesh routerji za zunanjo rabo). Po poslanih podatkih so mi zbuildali custom paket, ki je to odpravil (v manj kot 48 urah), pol pa sem sem jih usmeril na Tropos in po kratki mail debati pa pošiljanju debug informacij sem in tja, so patch spravili glavni release RouterOS-a.

@Mavrik - Cisco je pač ime in kvaliteta. Kot recimo Oracle. Zelo spodobna oprema, dobro poznana, dober support, pa draga kot hudič. Počasi pa jih dohiteva cenejša pa nič kaj bistveno slabša konkurenca. Zaenkrat je kot cenejšo alternativo vsaj pri nas popularno ponujat Juniper.

Aja, en zelo dober proizvajalec wifi opreme je Ruckus. Njihovi AP-ji, sploh v navezi z ZoneDirector-jem so hudo dober izdelek. Sam malo dražji od standardnega doma flashanega WRT-54GL-a. No ja, pa delajo tudi precej boljš...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

BlazP ::

@aleksander10: koliko pa imas ti izkusenj z Mikrotiki ?

noraguta ::

ma tu je še razlika kaj se upravlja in largscale kaj je pa soho varijanta. če so se šli sedaj z linksisom bo tudi mikrotik povsem zadovoljiv. drugo pa je, če moraš skrbet za plejado mrežne opreme tam ti pa snmp pa ostale stvari katere morajo funkcionirati pridejo krvavo prav. sam za saml biznis vseeno cisco ni ravno mandatoren.
Pust' ot pobyedy k pobyedye vyedyot!

x.sci ::

Mavrik: Ce ne trollas in te res zanima;
1. cisco je standard in ga prakticno vsi poznajo - je lazje dobit cloveka, da ga skonfigurira, posledicno cloveka lahko manj placujes, lazje zamenjas, ce ga povozi bus itn.
2. znani so po dobrem supportu (pri nas je to velikokrat spregledano, ameri pa dajo precej na to)
3. razvil so par uporabnih stvari, ki so jih mel prvi in so sele potem postale standard (tdp (ldp) mpls, hsrp, etherchannel (lacp) ipd.) - ce hoces latest & greatest bos pac placal premium ceno
4. cena mogoce ni tako astronomska kot se zdi na prvi pogled - ce placas list price se pac ne znas pogajat (po forumih lahko beres, da se je mozno zdilat tudi za 50%+ popuste, ce si velika firma)

Seveda je pri small business problem pri tockah 3 in 4. Pri 3 zato, ker trenutno vsi razvijajo za DC oz. SPje.

V konkretnem primeru, ce hoces imet utm, pri napravah sploh ni tako velike razlike; dal bos 500$ tako za aso 5505, srxa 100ko kot hw za pfsense/untangle box. Razni fortineti so verjetno tudi tam nekje (ne poznam).

Zgodovina sprememb…

  • spremenil: x.sci ()

darkolord ::

Torej vse v povezavi z brandom in nič v povezavi z dejanskimi rešitvami?

x.sci ::

Tisto pod tocko 3 so dejanske resitve.

Problem je, da je danes small business to, kar je bil enterprise 10-15 let nazaj in nekih blaznih odkritij ne mores pricakovat. Saj ima cisco se vedno par tehnologij, ki jih drugi (se) nimajo in so kul, samo so nerelevantna za small business.

Zakaj pa mislis, da so kupili linksys? :)

Mavrik ::

Mavrik: Ce ne trollas in te res zanima;


Nisem trolal, dejansko so to precej uporabne informacije. Hvala.
The truth is rarely pure and never simple.

darkolord ::

Tisto pod tocko 3 so dejanske resitve.
OK, čeprav:
- za to, kar so imeli nekoč prvi, je po eni strani sedaj skoraj vseeno :)
- za uporabo bleeding edge tehnologij pa ponavadi rabiš kakšne posebne razloge (tudi točka 1 namreč s tem postane vprašljiva) - ko jih imaš, pa že veš, kaj boš kupil :)
- ko stvar pride v širšo uporabo, pa ponavadi tudi drugi to (oz. ekvivalent) prej ali slej implementirajo

Zgodovina sprememb…

  • spremenilo: darkolord ()

NeMeTko ::

Gledam modrovanja v tej temi, pa mi žilica ne da miru, da nebi tematiko ponovno odprl.

Kar me pri vsej diskusiji najbolj moti, je popolno nerazumevanje razlik med poslovnim in domačim omrežjem. Rešitve, ki so 'več kot dobre' za domačo rabo (ker nam proračun česa boljšega ne dopušča), niso in nikoli ne bodo zadostovala kriterijem, ki veljajo za poslovna omrežja.

Večina komentatorjev tukaj ne loči med pojmom 'router' in 'požarna pregrada' - zanje je to eno in isto. Krivdo bi tu prevalil na proizvajalce 'routerjev', ki na škatlo napišejo, da ima njihova naprava vgrajeno 'požarno pregrado' - v resnici pa ima zgolj navaden IP filter.

Med komentatorji se najde tudi nekaj 'znalcev', ki so že slišali za Cisco in Juniper - potem pa se počasi tudi ta zgodba konča.

V vsesplošno razgledanost bi zato rad še jaz vrgel nekaj svojega znanja, ki vam bo morda razjasnilo kakšen dodaten pojem o tem, kaj bi današnje podjetje z 10+ uporabniki moralo imeti.

Če se vrnemo na začetek interneta in prve požarne pregrade, potem moramo vedeti, da v tistih časih praktično nihče ni uporabljal zasebnih IP naslovov v svojih omrežjih (192.168.x.x, 10.x.x.x,..), temveč so vsi računalniki imeli javne IP naslove. Da se je omejilo dostop do zasebnega omrežja, so se vzpostavljali razni IP filtri in različni proxy servisi. Iz tistega časa v bistvu izvirajo požarne pregrade, ki delujejo po principu Stateful Packet Inspection (SPI).
SPI požarne pregrade so se tekom let razvijale naprej in jih danes lahko kupite v škatli na kateri piše Cisco ASA in podobno.

Sodobne SPI požarne pregrade promet filtrirajo glede na IP naslov izvora in destinacije ter porta in protokola. Pogosto se v SPI požarnih pregradah vgrajuje posamezne dodatne servise, npr. IPS (Intrusion Protection), antivirus ali antispam.

Vendar se razvoj tu ni zaustavil. Z vse večjim številom dodatnih storitev, ki so jih vgrajevali v požarne pregrade, se je rodil nov pojem: UTM požarna pregrada. UTM pomeni, da smo na eni napravi skoncentrirali številne varnostne funkcije: Antivirus, IPS, Antispam, filtriranje spletnih strani. Današnji trg UTM naprav je dokaj pester in omogoča predvsem manjšim podjetjem, da za zmeren denar zagotovijo optimalno varnost za svoje omrežje - varnost, ki si jo sicer lahko privoščijo le večja podjetja z namenskimi rešitvami za posamezno področje.

Najnovejši pojem (star cca. 2 leti), ki se uporablja pri požarnih pregradah, pa je "Next Generation Firewall". Požarne pregrade 'naslednje generacije' so v bistvu UTM požarne pregrade, ki jim je dodana še možnost prepoznavanja aplikacij. To omogoča adminu, ki odpre port 12345, da omeji promet na tem portu izključno za neko določeno aplikacijo. Lahko pa tudi uporabi prepoznavanje aplikacij, da npr. na Facebook dovoli zgolj komuniciranje, prepove pa igranje igric. Ali npr. na Skype dovoli pogovore, prepove pa prenašanje datotek.

Vendar se tudi UTM požarne pregrade razlikujejo med seboj. Nekatere še vedno uporabljajo SPI (Stateful Packet Inspection), medtem ko naprednejše uporabljajo tudi DPI (Deep Packet Inspection) tehnologijo. Medtem ko SPI filter zanima zgolj na katerem portu prihaja promet in od kod ter kam je namenjen, se DPI tehnologija tudi vpraša 'kaj mi pa v tem paketu pošiljajo?'. Tako DPI omogoča, da prepovemo prenos določenih tipov datotek preko http (.bat, .com, .exe), lahko poreže cookieje, lahko inspicira https promet, itd.
Sodobne UTM požarne pregrade tudi prepoznavajo uporabnika in ne le IP naslov računalnika, s katerega se komunicira. Tu se lahko naslanjajo ob Active Directory ali drug avtentikacijski mehanizem v podjetju, single sign-on (pobere prijavo iz Windows domene) ali pa ročno identifikacijo.

Sodobne požarne pregrade že v osnovi nudijo možnost logiranja prometnih podatkov v SQL bazo in periodično izdelavo poročil o rabi omrežja. Nekatere vključujejo tudi posebno Spam karanteno in tako preprečujejo poplavo neželjene pošte v naših nabiralnikih.

Danes več ali manj vse požarne pregrade omogočajo vzpostavitev VPN omrežij. Tu pa se tudi že začno razlike. Nekateri proizvajalci omogočajo le VPN omrežja med požarnimi pregradami, drugi pa nudijo tudi IPSec, SSLVPN in stari PPTP protokol za povezavo posameznikov na omrežje podjetja. Tu imajo proizvajalci ogromne razlike pri cenah licenc in številu v osnovi vključenih licenc za posamezni protokol.

Zelo pomemben vidik požarne pregrade je tudi upravljanje. Redko katero malo podjetje premore strokovnjaka, ki bi bil sposoben upravljati nek 'command line' uporabniški vmesnik. Zato današnje sodobne UTM naprave omogočajo upravljanje preko spletnega vmesnika in/ali posebne aplikacije, ki skuša naresti upravljanje čimbolj intuitivno, tako da ne rabimo vsakič na pomoč poklicati strokovnjaka, ko je potrebno ponastaviti neko malenkost.
Če imamo več podružnic in več požarnih pregrad, pa nam lahko zelo prav pride tudi možnost centralnega upravljanja in nadzora nad vsemi napravami. Tu so tudi velike razlike med proizvajalci. Pri nekaterih je centralno upravljanje in poročanje izredno drag dodatek, pri drugih proizvajalcih pa se dobi licenco za omejeno število naprav že v osnovnem paketu.

Proizvajalcev Next Generation in UTM požarnih pregrad je kar nekaj. Vendar v Sloveniji očitno poznamo le Cisco (ki nima prave UTM rešitve in nudi le SPI tehnologijo)ter Juniper (- ki ravno tako še ni osvojil DPI tehnologijo).
Vendar so tu še drugi proizvajalci, ki imajo vsak svoje prednosti in slabosti, ter vsak svojo ceno. Danes, ko se na Googlu vse najde, zagotovo ni problem v tem, da bi se drugi ponudniki skrivali, temveč v tem, da je naš trg tako zelo prevladan s strani peščice 'velikih', da alternativni ponudniki, četudi nudijo boljše rešitve za manj denarja, ne pridejo do izraza.

Glede na zgoraj napisano, upam, da je vsem počasi jasno, da vaš Linksys s Tomatom ali pa Routerboard niti slučajno niso v isti kategoriji s sodobnimi požarnimi pregradami in da se pogovarjamo o povsem različnih zadevah.

Če si lahko doma privoščite, da vam nek črv okuži vaš računalnik, si tega v podjetju nikakor ne morete privoščiti. Tudi če zamahnete z roko in trdite, da naj vam s službenega računalnika kar pokradejo podatke, saj si tisti hecker v rusiji z njimi ne bo mogel pomagati, pa morate vseeno priznati da bo velik problem, če se vam zraradi tega črva sesuje računalnik in gredo po zlu datoteke, na katerih ste zadnji mesec pridno delali.
Ravno tako v podjetju potrebujete možnost, da nadzirate promet. Če ste še tako uvidevni, boste prej ali slej želeli omejiti uporabo p2p omrežij, marsikje pa tudi facebook in dostop do 'sumljivih spletnih vsebin', ki nimajo nič skupnega z delovnim procesom v podjetju.

Če že dolgo vemo, da malo podjetje potrebuje enako zapleteno računovodstvo, kot veliko, se očitno še vedno ne prebudila zavest o tem, da malo podjetje potrebuje enako ali še celo boljšo varnost od velikega. Če se namreč v podjetju z 10 zaposlenimi zgodi incident, ta morda ne bo povzročil enako velike finančne škode, kot velikemu podjetju, vendar pa bo malo podjetje to škodo bistveno težje preživelo, kot veliko.
Spomnite se nekaj mesecev nazaj, ko je po medijih zaokrožila novica o vdoru v računalnik znane odvetniške firme. Vam ni šlo na smeh? Žalostno, da firma, ki ni v finančni stiski, ne poskrbi za boljšo zaščito svojega omrežja, saj se tako igra s svojo kredibilnostjo.
Vprašajte se, če bi hoteli imeti hranilne vloge na neki banki, ki bi bila zaščitena zgolj z nekim Routerboardom ali eno od mnogih 'domačih rešitev', ki jih nekdo v nekaj urah zmeče skupaj iz starega PC in nekaj programja, ki ga je nabral nekje na medmrežju.

Žal pa nerazumevanje tematike ne najdemo le pri uporabnikih. Osebno sem že doživel, da tudi prodajalec ni ločil med routerjem in UTM požarno pregrado.
Bistvo UTM požarnih pregrad so dodatni servisi, ki jih proizvajalci običajno ponujajo kot naročnino. Ko naročnina poteče, se nam UTM požarna pregrada spremeni v navaden DPI filter. Sicer tudi v tem primeru nudi nekaj zaščite, vendar to ni tista optimalna zaščita, zaradi katere prvotno investiramo v nakup 'nekoliko dražje' rešitve.

Vendar se da dobiti tudi spodobne UTM/Next Generation rešitve za dokaj spodoben denar.
Za omrežje, kakršno je omenjeno v začetku (20-30 uporabnikov) se dobi tako rešitev že za okoli 1000€ (z vključeno triletno naročnino na vse UTM storitve). Pri dodatni vrednosti, ki jo taka rešitev nudi, se nebi v nobenem podjetju smeli ozirati po 'nečem cenejšem'. Dobro podučen direktor, pa bi moral že sam predlog za nakup 'domače rešitve' jemati kot dokaz popolne nekompetentnosti in razlog za izredno odpoved.

tony1 ::

Dolg EPP, tole... ;)

Daedalus ::

Nekatere še vedno uporabljajo SPI (Stateful Packet Inspection), medtem ko naprednejše uporabljajo tudi DPI (Deep Packet Inspection) tehnologijo. Medtem ko SPI filter zanima zgolj na katerem portu prihaja promet in od kod ter kam je namenjen, se DPI tehnologija tudi vpraša 'kaj mi pa v tem paketu pošiljajo?'. Tako DPI omogoča, da prepovemo prenos določenih tipov datotek preko http (.bat, .com, .exe), lahko poreže cookieje, lahko inspicira https promet, itd.


DPI je kar se legalnosti tiče, v najboljšem primeru zelo sivo področje, v najslabšem pa kr lepo nelegalno vohljanje za uporabniki. Previdno s tem, resno. Sploh s prestrezanjem SSL prometa, ki implicira MITM napad.

Ostalega pa ne bom veliko komentiral, je pač bolj ali manj reklamno sporočilo. Meni naveza ROS/Mikrotik lepo služi, ne čutim pa nikakršne potrebe po jebanju uporabnikov v glavo z raznimi "varnostnimi mehanizmi". Pač upravljam z omrežjem v malo specifičnem podjetju, kjer dostop do FB ni problem. Al pa kdaj kak torrent. Z razliko do onega jurja+, pa si rajši čisto ignorantsko omislim kak laptop, pa je. Virusi so pa v največji meri problem ene same platforme... te pa ne uporabljamo. Go figure, ane.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

NeMeTko ::

DPI je kar se legalnosti tiče, v najboljšem primeru zelo sivo področje, v najslabšem pa kr lepo nelegalno vohljanje za uporabniki. Previdno s tem, resno. Sploh s prestrezanjem SSL prometa, ki implicira MITM napad.


V omrežju podjetja uporaba DPI in filtriranje HTTPS ne moreta biti v nobenem primeru 'nelegalna', saj se pri tem ne shranjujejo vsebine.

Prej bi rekel, da je lahko kočljivo shranjevanje podatkov o obiskanih URL-jih, kar pa tudi ni nelegalno, če so uporabniki seznanjeni s tem in če se točno definira, kdo in kdaj sme vpogledati v povezavo med posameznim URL in uporabnikom. V isto kategorijo spadajo tudi logirani podatki o tem, kdo je kdaj komu pošiljal kakšno elektronsko sporočilo. Po tvoje je nelegalno, če se požarni pregradi logira zgolj prometni podatek, istočasno, pa je povsem legalno, če kompletna sporočila z vsebino vred ležijo na strežniku, ki mu lahko dostopa vsakdo z admin accountom? Istočasno se te iste prometne podatke najde tudi v logu mail strežnika in se ob to nihče ne obregne.

Meni se tvoj odgovor dozdeva bolj kot izgovor, da se nebi bilo treba ukvarjati z tebi nevšečnim področjem varnosti, ki ti za povrhu vsega lahko nakoplje še jezo katerega od uporabnikov, ki nebi hotel razumeti, da v podjetju ne more početi vsega, kar lahko počne doma.

S takim odnosom do varnosti lahko furaš kar nekaj časa - problem pa nastane, ko se nekaj zalomi, ko hočejo od tebe vedeti kdo je kdaj to pa to počel. Takrat pa se ne boš mogel več izgovarjati na to, da si bil prepričan, da je to ilegalno in nepotrebno, ker ste 'nekaj posebnega'.

darkolord ::

V omrežju podjetja uporaba DPI in filtriranje HTTPS ne moreta biti v nobenem primeru 'nelegalna', saj se pri tem ne shranjujejo vsebine.
Se pa vsebina pri DPI prestreza in pregleduje.

SasoS ::

Antivirus in antispam sta 2 servisa, ki IMHO ne sodita na router/firewall in jih tlačijo gor samo da lahko zaračunajo big $$$. Prav tako bi bil zelo presenečen, da je kakšna rešitev dejansko funkcionalna, saj preverit en (ali nekaj zaporednih paketov) nikakor ni enako kot poskenirat veliko datoteko. Poleg tega, internet ni edini vektor napada za viruse in trojance...
Blokado dostopa do FB se precej lažje kot z DPI naredi na lokalnem DNS-u. Ker so uporabniki zaklenjeni in ne morejo spreminjati nastavitev ali hosts datoteke to povsem zadostuje. PPTP, IPSEC in ostale VPN-je (brez dodatnih licenc :D), tudi logiranje prometa če je treba, pa openwrt odlično raztura...

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state NEW -i $LAN -j ACCEPT

reši 99% težav povezanih z varnostjo na internetu.

NeMeTko ::

SasoS je izjavil:

Antivirus in antispam sta 2 servisa, ki IMHO ne sodita na router/firewall in jih tlačijo gor samo da lahko zaračunajo big $$$. Prav tako bi bil zelo presenečen, da je kakšna rešitev dejansko funkcionalna, saj preverit en (ali nekaj zaporednih paketov) nikakor ni enako kot poskenirat veliko datoteko. Poleg tega, internet ni edini vektor napada za viruse in trojance...
Blokado dostopa do FB se precej lažje kot z DPI naredi na lokalnem DNS-u. Ker so uporabniki zaklenjeni in ne morejo spreminjati nastavitev ali hosts datoteke to povsem zadostuje. PPTP, IPSEC in ostale VPN-je (brez dodatnih licenc :D), tudi logiranje prometa če je treba, pa openwrt odlično raztura...

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state NEW -i $LAN -j ACCEPT

reši 99% težav povezanih z varnostjo na internetu.



Tvoj komentar je zgolj dokaz, da se (kljub temu, da si drugačnega prepričanja) na področje (ne)varnosti v omrežjih bore malo spoznaš.

Rešitev z iptables, kot jo ti nakazuješ, danes ne reši več niti 10% težav z varnostjo na internetu. Morda bi se malo seznanil s tem, kakšne grožnje danes prežijo na internetu. O tem obstaja cel niz forumov, blogov in spletnih strani.

Sicer pa si že sam v svojem odgovoru povedal, da se ne spoznaš - tvoja izjava "bi bil zelo presenečen, da je kakšna rešitev dejansko funkcionalna" pove vse!

Če antivirus in antispam po tvojem mnenju ne sodita na požarno pregrado, zakaj potem to opcijo ponujajo danes praktično vsi proizvajalci komercialnih požarnih pregrad?
Imaš morda en pameten argument, zakaj naj nebi sodila AV in antispam na požarno pregrado (razen da ti tega ne znaš na pameten način implementirati in vzdrževati z zastonjskimi rešitvami)?

Katerikoli antivirus imaš nameščen na računalnikih, ta ne bo nikoli zaznal 100% vseh virusov in črvov. Antivirus na požarni pregradi ni mišljen kot nadomestilo tega, ki ga imaš na računalniku, temveč kot dodatni filter, ki omogoča višjo zanesljivost odkrivanja škodljive kode.
Antivirus na požarni pregradi ima slabo lastnost, da obremenjuje procesor. Zato moramo že v začetku izbrati požarno pregrado, ki bo ob vključenih varnostnih storitvah zmogla ustrezno prepustnost, sicer nas lahko čaka razočaranje. Danes proizvajalci v veliki meri razbremenjujejo procesor s pomočjo tzv. reputation servisi. To so storitve v oblaku, kjer požarna pregrada pridobi informacijo o določeni vsebini in se na podlagi rezultata poizvedbe odloči ali je možno določeni vsebini 'zaupati' ali ne, ali pa jo mora bolj podrobno analizirati.

Pri antivirusnih rešitvah na požarnih pregradah ločimo dva principa delovanja: streaming in buffering.
Streaming način je hitrejši, a hkrati tudi manj zanesljiv. Podatke preverja sproti, ko prehajajo požarno pregrado. Največ težav ima Streaming način z komprimiranimi datotekami, pogosto podpirajo zgolj manjše število kompresijskih formatov.
Buffering način deluje tako, da požarna pregrada najprej prenese datoteko in jo nato analizira. Ta način je počasnejši, vendar bistveno zaneslivejši in običajno podpira več različnih vrst kompresije podatkov - tudi večkrat komprimirane.

garamond ::

Andruxa je izjavil:

Imamo cca 20 ljudi v firmi in zna priti še nekaj gostov, torej recimo do nekih 30 konekcij.

Treba je upoštevat še ljudi, ki pridejo v službo in se avtomatsko povežejo s pametnim telefonom.

amigo_no1 ::

Če imaš antivirus "A" na routerju ter poleg tega še antivirus "B" na delovni kišti je verjetnost da A ali B ulovi kakšna že ?
Koliko je večja/manjša če iam samo A/B ?

Če imaš na obeh isti antivirus je vse skupaj en klinc bolj "varno".

V omrežju podjetja uporaba DPI in filtriranje HTTPS ne moreta biti v nobenem primeru 'nelegalna', saj se pri tem ne shranjujejo vsebine.

Haha, če poštar samo gleda pisma in ne dela njih kopij je potemtakem po tvoje vse v redu ?

Zgodovina sprememb…

  • spremenilo: amigo_no1 ()

Poldi112 ::

Meni je najbolj interesantno tole:

>Tudi če zamahnete z roko in trdite, da naj vam s službenega računalnika kar pokradejo podatke, saj si tisti hecker v rusiji z njimi ne bo mogel pomagati, pa morate vseeno priznati da bo velik problem, če se vam zraradi tega črva sesuje računalnik in gredo po zlu datoteke, na katerih ste zadnji mesec pridno delali.

Kot da taka mala firma nima file serverja in nekega avtomatiziranega backup-a. Če bi zaradi trojanca izgubil podatke (pa tega navadno ne delajo), potem definitivno problem ne bi bil v firewall-u, ampak v neobstoju backup rešitve.

Drugače pa, veliko govora, kako nične poznamo, pa nobenega primera, kaj bi svetoval. Nas lahko malo razsvetliš, da vidimo in pokomentiramo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

trnvpeti ::

Zakaj po tvojem cisco in ju nimata teh resitev in kaj onadva predlagata glede tega?
Imas podatek kaksna je rast okuzenih z virusi ipd?
Po tvojem bolje imeti na pozarnem antispam,vir zascito,ali namensko na kaksnem strezniku?
Kot strokovnjak predlagas,svetujes da se na fw spusca vse skozi na antispam,vir ali blokiras datoteke zip,exe ipd?
Predlagas rajsi fw antispam,vir za http promet ali rajsi kaksen proxy?

SasoS ::

NeMeTko je izjavil:

Če antivirus in antispam po tvojem mnenju ne sodita na požarno pregrado, zakaj potem to opcijo ponujajo danes praktično vsi proizvajalci komercialnih požarnih pregrad?


Zato da to lahko prodajo tistim ki imajo denar in verjamejo da jim bo to rešilo vse težave :)

NeMeTko je izjavil:

Imaš morda en pameten argument, zakaj naj nebi sodila AV in antispam na požarno pregrado (razen da ti tega ne znaš na pameten način implementirati in vzdrževati z zastonjskimi rešitvami)?


Kontekst...firewall ima premalo podatkov da se bi lahko na podlagi njih odločil ali je neka zadeva threat ali ne.

NeMeTko je izjavil:

Katerikoli antivirus imaš nameščen na računalnikih, ta ne bo nikoli zaznal 100% vseh virusov in črvov.


Tisti na firewallu pa bo? :O

NeMeTko je izjavil:

Antivirus na požarni pregradi ni mišljen kot nadomestilo tega, ki ga imaš na računalniku, temveč kot dodatni filter, ki omogoča višjo zanesljivost odkrivanja škodljive kode.


Zakaj bi nekaj, kar tlačiš na neko procesorsko in spominsko omejeno napravo imelo večjo zanesljivost in zmogljivost kot (fat) AV na klientu, na vsaj dvoprocesorski kišti z vsaj 2GB RAMa in terabyti diska, ki goni Office cel dan? Enkrat mi je nekdo rekel, če daš 2 kondoma na tiča ti ne bo nič bolj pomagalo, samo tiščalo bo bolj :D

NeMeTko je izjavil:

To so storitve v oblaku, kjer požarna pregrada pridobi informacijo o določeni vsebini in se na podlagi rezultata poizvedbe odloči ali je možno določeni vsebini 'zaupati' ali ne, ali pa jo mora bolj podrobno analizirati.


Ko oblak crkne, mi ne dela net? Dobi kopijo prometa še NSA? Yeah right, ne poznam nobenga ki bi se šel take igrice...

NeMeTko je izjavil:

Buffering način deluje tako, da požarna pregrada najprej prenese datoteko in jo nato analizira. Ta način je počasnejši, vendar bistveno zaneslivejši in običajno podpira več različnih vrst kompresije podatkov - tudi večkrat komprimirane.


Ko bo nekdo dol zvlekel 54GB okužen torrent, ga bo firewall bufferiral? Daj prodajaj te buče komu drugemu...

Kot rečeno, net še zdaleč ni edini vektor napada....

NeMeTko ::

amigo_no1 je izjavil:

Če imaš antivirus "A" na routerju ter poleg tega še antivirus "B" na delovni kišti je verjetnost da A ali B ulovi kakšna že ?
Koliko je večja/manjša če iam samo A/B ?

Če imaš na obeh isti antivirus je vse skupaj en klinc bolj "varno".

V omrežju podjetja uporaba DPI in filtriranje HTTPS ne moreta biti v nobenem primeru 'nelegalna', saj se pri tem ne shranjujejo vsebine.

Haha, če poštar samo gleda pisma in ne dela njih kopij je potemtakem po tvoje vse v redu ?


Kot si že sam navedel, je logično, da se ne uporablja isti antivirus na požarni pregradi, kot na računalnikih - mislim, da to nisem rabil posebej poudarjati?

Kar se tiče pošte, pa si v zmoti - nisem še videl požarne pregrade, kjer bi administrator videl VSEBINO sporočil. Vidi (in beleži) se izključno naslove pošiljatelja in prejemnika, datum, uro, velikost sporočila in morda imena priponk.

Če temu vzporedno postavim admina poštnega strežnika, ima ta dostop do istih podatkov (na poštnem strežniku), poleg tega pa tudi možnost vpogleda v dejansko vsebino sporočil - pa se ob njega nihče ne obregne?

Vsekakor obstajajo orodja, ki omogočajo 'vohunjenje' na omrežju, eno najbolj sofisticiranih ponuja podjetje Netwitness. Z njihovim orodjem Visualize dejansko lahko vpogledamo v VSE vsebine, ki so se v opazovanem obdobju pretakale preko omrežja.

Vendar naloga požarne pregrade ni vohunjenje za uporabniki, temveč zagotavljanje varnosti v omrežju. Kdor hoče požarno pregrado zlorabiti za vohujnenje, si bo naredil večjo uslugo, če se kar direktno na uporabnikov računalnik prijavi kot administrator, saj bo tam imel vse 'željene' informacije na dlani.

NeMeTko ::

@SasoS

Kot si že sam ugotovil, torrent ne more nobena požarna pregrada preveriti. Zato torrenti tudi nimajo kaj iskati v resnih poslovnih omrežjih!

99% tega, kar se prenaša preko torrentov so nelegalne vsebine, za tisti 1% kar je legalnega, pa se še vedno lahko poskrbi, da se jim lahko ob upoštevanju določenih pravil dostopa.

Kar se tiče reputation storitev v oblaku, sem jasno napisal, da so zgolj pomoč za odločanje požarne pregrade ali naj se sama potrudi in skenira določeno vsebino, ali pa je to že naredil nekdo tik pred mano. V kolikor storitev v oblaku ni na voljo, to pomeni, da bo požarna pregrada skenirala vse vsebine - torej ni nobenega izpada, kot si ti nakazoval.

Ne vem, zakaj naj bi požarna pregrada po tvoje imela premalo podatkov o tem, ali je neka vsebina threat ali ne, saj ima iste AV definicije, kot tvoj 'fat' klient na PC.

Primerjava z dvema kondomoma, pa tudi ni na mestu. Prej bi moral zadevo primerjati s kondomom + spermicid. Vendar pa je potrebno znati stvari uporabljati, sicer ne pomaga ne eno ne drugo!

Tvoje neprestano ponavljanje, da Internet ni edini vektor napada tudi ni v kontekstu.
Vhodna vrata tudi niso edina vstopna točka po kateri bo vlomilec vstopil v hišo, pa zato še ne puščaš vhodna vrata na stežaj odprta, ko greš od doma? Ali pač?

Ni in nikoli ne bo rešitve, ki bo zagotovila 100% varnost. Vendar to ne sme biti opravičilo, da lahko varnost zanemarimo po načelu 'saj itak ne bo nič nucalo'. Potrebno je najti tisti optimum, ki nam omogoča čim več varnosti ob znosni ceni.
Če se gremo podjetje, so določeni stroški neobhodni, med njimi tudi stroški za zagotavljanje varnosti omrežja. Najbolj žalostno pri vsem tem je, če se v podjetju škrtari in krpa z nekimi zasilnimi rešitvami, po drugi strani pa leasing za novi direktorjev BMW ni noben problem.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

Poldi112 ::

Še vedno nisi dal nobenega konkretnega predloga, kaj bi ti vtaknil v malo podjetje.
Drugače se strinjamo, da je potrebno najti optimum med stroškom in varnostjo in nekaterim se nam zdi 1k eur za firewall overkill za malo pisarno.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Daedalus ::

V omrežju podjetja uporaba DPI in filtriranje HTTPS ne moreta biti v nobenem primeru 'nelegalna', saj se pri tem ne shranjujejo vsebine.


DPI implicira vpogled v vsebino. Pri DPI se prestreza, analizira in logira vsebina, ja. Drugače DPI nima smisla, ker običajne za komunikacijo značilne podatke (IP-ji, porti, protokoli) lepo beležijo SPI naprave. Pri prestrezanju šifriranih povezav pa sploh moreš biti hudoben, ker je edini znan način za tako početje MITM napad. Kar pomeni, da uporabniku lažeš o domnevni varnosti povezave. Bad, m'kay? Izpostavljaš sebe in podjetje potencialnim tožbam s takim početjem.

Po tvoje je nelegalno, če se požarni pregradi logira zgolj prometni podatek, istočasno, pa je povsem legalno, če kompletna sporočila z vsebino vred ležijo na strežniku, ki mu lahko dostopa vsakdo z admin accountom? Istočasno se te iste prometne podatke najde tudi v logu mail strežnika in se ob to nihče ne obregne.


Če temu vzporedno postavim admina poštnega strežnika, ima ta dostop do istih podatkov (na poštnem strežniku), poleg tega pa tudi možnost vpogleda v dejansko vsebino sporočil - pa se ob njega nihče ne obregne?


Logiranje prometnih podatkov je domena ISP-jev. So edini, ki imajo za to ustrezno vzpostavljeno infrastrukturo in žegn oziroma obvezo za tako početje od Države. Pa še ISP-ji ne morejo kr malo tak pa onak brskati po teh podatkih, ampak jih shranjujejo za potrebe organov pregona.

Maili, shranjeni na strežniku ne spadajo pod prometne podatke, ampak med komunikacijo. Po naravi stvari morajo nekje čakat. In do te komunikacije lahko imam dostop kot admin, NE SMEM pa je pregledovati in prebirati. Če to počnem, se lahko znajdem v kazenskem postopku. Tako da brez skrbi, se obregnejo in to precej. Eni tudi tožijo glupe šefe, ki so v prostem času prebirali maile zaposlenih.

Meni se tvoj odgovor dozdeva bolj kot izgovor, da se nebi bilo treba ukvarjati z tebi nevšečnim področjem varnosti, ki ti za povrhu vsega lahko nakoplje še jezo katerega od uporabnikov, ki nebi hotel razumeti, da v podjetju ne more početi vsega, kar lahko počne doma.


Ne, meni se zdi neumno metat 1000€+ za zagotavljanje navidezne varnosti v omrežju s 5 računali. Če me začne varnost resno skrbeti, imam še vedno na voljo OSS IDS/IPS-e, ki znajo uporabljat ClamAV. Good enough, IMO.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

NeMeTko ::

Moj prispevek ni bil namenjen promoviranju določenega proizvajalca, temveč sem skušal prikazati, da je sodobna požarna pregrada vse kaj drugega kot tisti router, ki ga uporabljamo v domačem omrežju. Istočasno sem skušal tudi opozoriti na kaj moramo ob izbiri požarne pregrade biti pazljivi in kje se skrivajo razlike med posameznimi proizvajalci.

Če govorimo o ponudnikih sodobnih požarnih pregrad, danes ne moremo mimo naslednjih imen (povzeto po Info-Tech Research Group - Vendor Landscape: Unified Threat Management - 2011):


- Astaro. An up-and-coming provider recently acquired by Sophos to broaden that vendor’s security play.

- Barracuda. Supplemented its core spam and virus gateways with an NGFW through acquisition of Phion.

- Check Point. One of the progenitors of the firewall space, and still one of the most recognizable names.

- Cisco. The most widely deployed firewall solutions as the company has leveraged its networking market share.

- Fortinet. The vendor that coined the UTM term, and one of the first to incorporate enhanced capabilities.

- Juniper. Entered the firewall market through acquisition of NetScreen and has established a solid foothold since.

- McAfee. Acquisition of Secure Computing brought appliance lines, including firewall, to an established portfolio.

- Palo Alto. The latest entrant to the market of those reviewed, but the first to focus on application control.

- SonicWALL. SMB focused player now stretching its legs into the large enterprise space.

- WatchGuard. Another vendor growing into larger markets after early focus on the SMB space.

-----------

Če govorimo o zelo majhnih pisarnah (cca. 10 uporabnikov, 20/20 povezava), se cene spodobnih UTM rešitev prično tam nekje med 500 in 800€ - skupaj z naročnino na varnostne storitve (nekatere rešitve so tudi bistveno dražje). Obnavljanje naročnine pa te stane nekje med 200 in 400€ letno.
Nekateri proizvajalci ponujajo spodobne popuste, če že v štartu vzameš večletno naročnino, ali pa jo podaljšaš za več let. Enako se splača tudi preveriti če je na voljo kakšna promocija, saj se pri takih akcijah lahko prihrani tudi do 40% v primerjavi z redno ceno.

Če pogledaš z nekoliko drugačnega zornega kota in seštevaš stroške, ki bi nastali, če bi želel vsaj približno enakovredno rešitev sestaviti na osnovi 'freeware' in jo optimalno skonfigurirati, na koncu tudi ne boš prišel kaj dosti ceneje skozi, pa še nikoli ne boš vedel, ali imaš res vse zadnje varnostne popravke naložene.
Ker tudi sam uporabljam Linux, točno vem, kako teško se je lotiti posodabljanja sistema, kar ni nujno vedno trivialen poseg, zlasti če uporabljaš katero od malo bolj eksotičnih distribucij in si sam nameščal stvari, ki niso v osnovni distribuciji. Ko se stvar enkrat zaplete lahko izgubiš ure in ure pri iskanju rešitve in si lahko srečen, če ti dostop do interneta ta čas ni blokiran. Če to izvaja neka zunanja oseba, ki jo moraš za vsako uro plačati, se lahko stroški hitro dvignejo bistveno nad raven, ki bi jo moral plačati za spodobno UTM požarno pregrado.

NeMeTko ::

@Dedalus - Ker nikoli nisi postavil in skonfiguriral DPI filtrov na neki požarni pregradi, kot tudi nisi nikoli vzpostavljal https inspekcije prometa, se mi ne zdi, da si ravno kompetenten, da boš govoril o tem, kaj se 'gleda' in kaj se 'vidi' v takem primeru.

Sam že več kot 10 let delam na tovrstnih rešitvah in moram reči, da je žalostno, da kljub svojemu nepoznavanju konkretnih rešitev skušaš ustvarjati vtis, da se gre za neko nelegalno početje. Očitno si prespal vlak, ko so DPI in nadzor https prometa postali standard v naprednih rešitvah.

Zdiš se mi, kot tisti neandertalec, ki prisega na svojo kamnito sekiro, medtem ko obtožuje onega z CNC mašino satanizma in čarovništva.

Daedalus ::

@Dedalus - Ker nikoli nisi postavil in skonfiguriral DPI filtrov na neki požarni pregradi, kot tudi nisi nikoli vzpostavljal https inspekcije prometa, se mi ne zdi, da si ravno kompetenten, da boš govoril o tem, kaj se 'gleda' in kaj se 'vidi' v takem primeru.


To veš, ali to ugibaš?

Očitno si prespal vlak, ko so DPI in nadzor https prometa postali standard v naprednih rešitvah.


LOL. Daj si malo poglej zakonodajo, kaj pravi o prestrezanju telekomunikacij, pa pol pametuj.

Zdiš se mi, kot tisti neandertalec, ki prisega na svojo kamnito sekiro, medtem ko obtožuje onega z CNC mašino satanizma in čarovništva.


S pokroviteljskim pristopom in osebnimi napadi ne boš daleč prišel tod okoli. Pa tudi s tem, da tlačiš vedno isto rešitev v vse možne situacije, tudi ne. Sam ajd, dopuščam možnost, da ko imaš v rokah kladivo, pač vsak problem izgleda kot žebelj. Klasičen primer zagledanosti v svoj eden in edini prav pač.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Mavrik ::

Sam že več kot 10 let delam na tovrstnih rešitvah in moram reči, da je žalostno, da kljub svojemu nepoznavanju konkretnih rešitev skušaš ustvarjati vtis, da se gre za neko nelegalno početje. Očitno si prespal vlak, ko so DPI in nadzor https prometa postali standard v naprednih rešitvah.


Za tvoje dobro močno upam, da si boš zdaj šao prebrat našo zakonodajo in mnenje pooblaščenke, ter da se dobro zavedaš na koga bo pokazal kazalec ko/če bo na tvoje podjetje padla tožba okoli DPI.
The truth is rarely pure and never simple.

NeMeTko ::

Mavrik je izjavil:

Za tvoje dobro močno upam, da si boš zdaj šao prebrat našo zakonodajo in mnenje pooblaščenke, ter da se dobro zavedaš na koga bo pokazal kazalec ko/če bo na tvoje podjetje padla tožba okoli DPI.


Še eden, ki ni nikoli od blizu videl DPI filtriranja, pa bi rad bil najbolj pameten?

Fantje, če stvar niste nikoli videli kako izgleda in deluje v praksi, se prosim ne oglašajte, saj s tem zgolj zavajate tiste, ki vedo še manj od vas.

Daedalus ::

Malo preberi, pol pa pametuj. Da ne boš zavajal uporabnikov, ki vedo o zakonodaji ene tolko kot ti, al pa še manj.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

jukoz ::

Sam tolk, če prav razumem zapis na Pravokator blogu:
problem je bil v neobveščenosti uporabnikov in ne v samem pregledovanju podatkov?

Nisem ne pravnik ne mrežni specialist, sem pa uporabnik. In na vseh delovnih mestih do sedaj sem bil vedno obveščen, da se lahko komunikacijska sredstva podjetja uporabljajo za poslovno komuniciranje in da se vse komunikacije _lahko_ beležijo.

A je to dovolj? Konec koncev sem bil kot uporabnik seznanjen s tem in se s tem strinjal. Tudi če gledam s stališča podjetja mi je to povsem razumljivo.

Mavrik ::

A je to dovolj? Konec koncev sem bil kot uporabnik seznanjen s tem in se s tem strinjal. Tudi če gledam s stališča podjetja mi je to povsem razumljivo.


Ne morejo ti z opozorilom odvzet zakonsko dodeljenih pravic - o tem smo že meli debato. Pobrskaj po forumu prosim :)
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

jukoz ::

Kerih pravic? Do zasebne in zaupne komunikacije?

Pa še enkrat: problem je bil v neobveščenosti uporabnikov in ne v samem pregledovanju podatkov?

Daedalus ::

Pa še enkrat: problem je bil v neobveščenosti uporabnikov in ne v samem pregledovanju podatkov?


Vsi trije pregledi so pokazali, da pri uporabi omenjene naprave pravzaprav ni šlo za namerno kršenje zasebnosti uporabnikov ali zlonamerno poseganje v njihove komunikacije. Glavni problem je bil pravzaprav v tem, da so se stvari urejale po inerciji oziroma "po domače" - brez ustreznih varnostnih politik, brez sklenjenih pogodb, brez obveščanja uporabnikov in celo brez nekega jasnega načrta kaj točno in kako naj bi z uporabo DPI naprave dosegli. Pregled je tudi pokazal, da med vsemi vpletenimi (računalniški center fakultete, računalniški center univerze in zunanji izvajalec), niso povsem jasne pristojnosti in medsebojna razmerja. Uporabo sporne naprave je priporočil in jo tudi kupil računalniški center univerze (vendar pri tem ni pripravil ustreznih varnostnih politik), upravljal jo je zunanji izvajalec, še najmanj besede pri vsem skupaj pa je v praksi imel računalniški center fakultete.


Po črto je tale del bistven. Ki na kratko pove, da so bili preglupi, da bi stvar ustrezno uredili in da niso namerno kršili zasebnosti in/ali delovali zlonamerno. V kolikor pa bi obstajali podatki, da stvar uporabljajo tako, da s tem kršijo zasebnost uporabnikov ali imajo celo kake bolj zlovešče ideje (kot recimo šefe, ki gleda, kje kdo surfa po internetu), bi se pa ta zgodba za njih precej slabše končala. Tega se morajo prodajalci DPI opreme zavedat. Ne pa da vehementno obtožujejo ljudi, ki opozarjajo na potencialne težave, da smo neandertalci.

Kerih pravic? Do zasebne in zaupne komunikacije?


Tako. Do katere imaš pravico tudi na delovnem metu. To je tisto, česar večina ne razume. Komunikacijska in delovna oprema je lahko last delodajalca. Zaposleni pa ni last delodajalca. In njegove zasebne komunikacije tudi ne. Žal pri nas tudi večina zaposlenih tega ne šteka.

Aja, pa še tole si velja zapomniti:

Odločitev tako zavezancem ne prepoveduje določenih načinov uporabe DPI tehnologije, dejstvo pa je, da morajo biti ti načini utemeljeni, sorazmerni in zakoniti. Pravilnik, ki bi npr. določal, da se vsi uporabniki omrežja popolnoma odpovedo zasebnosti in tajnosti svoje elektronske pošte, bi zelo verjetno le stežka vzdržal pravno presojo, saj je varstvo tajnosti pisem in drugih občil ustavno zagotovljeno.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

NeMeTko ::

Daedalus je izjavil:

Malo preberi, pol pa pametuj. Da ne boš zavajal uporabnikov, ki vedo o zakonodaji ene tolko kot ti, al pa še manj.


Če že navajaš neko povezavo na baubau tematiko DPI, potem si tudi do konca preberi kaj je na tistem linku napisano - da ne boš TI tisti, ki zavaja!

Lepo je namreč avtor napisal, da je inšpekcijski pregled našel problem izključno v pomanjkljivi oz. neobstoječi varnostni politiki in neobveščanju uporabnikov in odredil, da se to uredi.

Sicer pa je sam prispevek napisan zelo 'paničarsko'. Avtor je 'zaznal vdor v svojo zasebnost' s pomočjo 'lažnega' certifikata, ki naj bi ga sprejel, ko je želel preveriti svojo elektronsko pošto. Če je zadeva pravilno postavljena, uporabnik ne bo nikoli dobil lažnega certifikata, temveč se mu bo ponudil certifikat požarne pregrade oz. uradni certifikat podjetja, če je to investiralo v nakup in namestitev takega certifikata. V poslovnih omrežjih (z izdelano varnostno politiko) se ta certifikat distribuira preko Active Directory, tako da uporabniki ne rabijo vsakič potrjevati ali sprejmejo certifikat ali ne.
Da bi zaradi tega trpela sama varnost povezave, je trditev, ki je zvita iz trte. Požarna pregrada sama kontrolira pravilnost certifikata naslovnega strežnika in ga blokira, če nima veljavnega certifikata. S tem se tudi onemogoči tipično reakcijo uporabnikov, ki pridejo na stran s potečenim ali neveljavnim certifikatom, da tega avtomatično potrdijo.
Kar je še potrebno omeniti pri tem, je dejstvo, da požarne pregrade ne posegajo v komunikacijo, kjer se uporabnik predstavi s svojim lastnim certifikatom (klik, skb net,...). Da bi tako komunikacijo sploh bilo možno vzpostaviti, mora administrator na požarni pregradi definirati izjeme za katere se ne uporablja https inspekcija.

Kljub vsemu pa moram (ponovno?) poudariti, da govorimo o dveh med seboj popolnoma različnih zadeva. DPI namreč ni isto kot https inspekcija. DPI je vsakršno filtriranje na kateremkoli protokolu, ki analizira vsebino komunikacije. Pri požarnih pregradah se tu ne gre za to, ali je nekdo pisal o svojem dopustu ali pa je zasmehoval svojega nadrejenega, temveč za povsem druge VARNOSTNO relevantne vsebine komunikacije.
Tako npr. DPI omogoča:
- da se blokira DNS povpraševanja, ki nimajo popolnoma nič skupnega z dotično domeno
- da se blokira dostop do določenih podvej na spletnem strežniku, ki bi jih lahko nekdo zlorabil
- da se omeji možnost prenosa potencialno nevarnih datotek (.bat, .pif, .com,...)
- da se odkrije in prepreči anomalije v protokolu
- da se omeji uporabo nevarnih avtentikacijskih mehanizmov
- da blokiram Voip povezave z neustreznimi kodeki
- itd. itd.

Lahko bi tu našteval še in še - pa vse skupaj nima popolnoma nič skupnega z vohunjenjem za uporabniki.

Sklicevanje na zakonodajo je na tem mestu popolnoma nevmesno. Če se postavi varnostno pregrado, je potrebno sprejeti tudi ustrezno varnostno politiko, kjer se definira kdo sme kaj in kdo česa ne sme. Čim se prometni podatki logirajo, je potrebno določiti, kdo ima vpogled v te podatke, za kateri namen in na kakšen način se jih sme uporabljati. S tem se lepo seznani zaposlene in ga ni zakona, ki bi lahko zadevo postavil pod vprašaj (če se ni delodajalec spravil v neke absurdne vode, ki nimajo nič skupnega z varnostjo).

Bistveno bolj kočljivo od DPI so DLP rešitve, ki dejansko posegajo v vsebino posameznih komunikacij in lahko udarijo alarm, če nekdo le omeni ime svojega nadrejenega v kateri od spletnih komunikacij. Pri teh rešitvah se dejansko shrani kompletna vsebina komunikacije in je v slučaju zlorab lahko tudi dokaz na sodišču. Te rešitve naj bi preprečevale odtekanje zaupnih informacij iz podjetij, se jih pa lahko tudi zlorabi v druge namene. Pri pravilni rabi DLP tehnologij se shranjuje izključno tiste vsebine, za katere je filtrirni mehanizem zaznal možno zlorabo.
Vendar pa tudi uporaba DLP rešitev ni vprašljiva, če je zadoščeno vsem pogojem, ki jih predpisuje zakonodaja - kljub temu, da nekaterim tega očitno ni moč dopovedati.

Zakonodaja je koneckoncev na tem področju dokaj sivo področje. Bolj, ko se poglabljaš vanjo, bolj prideš do spoznanja, da vse skupaj temelji na načelu sorazmernosti.
Tako uporabniki, kot tudi podjetja imajo svoje pravice, pri čemur se nekatere med njimi izključujejo. V tem primeru vedno znova obvelja načelo sorazmernosti. Predvsem se gre za to, da lahko delodajalec od zaposlenih zahteva določeno stopnjo odpovedovanja zasebnosti, če se to implementira na transparenten in diskreten način. Kolikšna je ta stopnja zasebnosti, ki jo sme delodajalec odreči zaposlenemu, pa je v veliki meri odvisno tudi od same narave podjetja. Neko obrambno ministrstvo npr. ima lahko bistveno višje zahteve, kot neka čevljarska delavnica. Kar bi v primeru čevljarske delavnice obveljalo kot očitna kršitev zasebnosti, tako zaradi načela sorazmernosti ni nujno tudi kršitev v primeru nekega ministrstva, zdravstvene organizacije ali banke.

NeMeTko ::

jukoz je izjavil:

Nisem ne pravnik ne mrežni specialist, sem pa uporabnik. In na vseh delovnih mestih do sedaj sem bil vedno obveščen, da se lahko komunikacijska sredstva podjetja uporabljajo za poslovno komuniciranje in da se vse komunikacije _lahko_ beležijo.

A je to dovolj? Konec koncev sem bil kot uporabnik seznanjen s tem in se s tem strinjal. Tudi če gledam s stališča podjetja mi je to povsem razumljivo.


V primeru resnejšega spora verjetno nebi zadoščalo, da so te zgolj obvestili o tem, da se 'lahko' beležijo komunikacije. Zadeva je dokaj podobna tistim konkurenčnim klavzulam, ki jih nekateri delodajalci brez pomisleka mečejo v pogodbo o zaposlitvi, pred sodiščem pa ne veljajo niti toliko kot papir, na katerem so napisane.

Zgodba pa je povsem drugačna, če ima tisto 'obvestilo' o tem, da se lahko beležijo komunikacije, podlago v internih aktih podjetja, kjer se točno definira varnostna politika. Praviloma bi moralo podjetje vse zaposlene, kot tudi pogodbene sodelavce seznaniti z varnostno politiko in preveriti njeno razumevanje.

Če pogledamo npr. PCI DSS standard, se v njemu eksplicitno zahteva, da mora podjetje imeti izdelano varnostno politiko, da so vsi sodelavci z njo seznanjeni in podučeni.

Pomemben faktor je tudi 'security awareness', ki bi ga moralo vsako podjetje nadgrajevati. Žal moramo prepogosto ugotavljati, da se niti odgovorni še niso prebili do te stopnje, da bi lahko govorili o nekakšnem 'awareness', kaj šele zaposleni.

jukoz ::

Daedalus je izjavil:

Pa še enkrat: problem je bil v neobveščenosti uporabnikov in ne v samem pregledovanju podatkov?


Vsi trije pregledi so pokazali, da pri uporabi omenjene naprave pravzaprav ni šlo za namerno kršenje zasebnosti uporabnikov ali zlonamerno poseganje v njihove komunikacije. Glavni problem je bil pravzaprav v tem, da so se stvari urejale po inerciji oziroma "po domače" - brez ustreznih varnostnih politik, brez sklenjenih pogodb, brez obveščanja uporabnikov in celo brez nekega jasnega načrta kaj točno in kako naj bi z uporabo DPI naprave dosegli. Pregled je tudi pokazal, da med vsemi vpletenimi (računalniški center fakultete, računalniški center univerze in zunanji izvajalec), niso povsem jasne pristojnosti in medsebojna razmerja. Uporabo sporne naprave je priporočil in jo tudi kupil računalniški center univerze (vendar pri tem ni pripravil ustreznih varnostnih politik), upravljal jo je zunanji izvajalec, še najmanj besede pri vsem skupaj pa je v praksi imel računalniški center fakultete.


Po črto je tale del bistven. Ki na kratko pove, da so bili preglupi, da bi stvar ustrezno uredili in da niso namerno kršili zasebnosti in/ali delovali zlonamerno. V kolikor pa bi obstajali podatki, da stvar uporabljajo tako, da s tem kršijo zasebnost uporabnikov ali imajo celo kake bolj zlovešče ideje (kot recimo šefe, ki gleda, kje kdo surfa po internetu), bi se pa ta zgodba za njih precej slabše končala. Tega se morajo prodajalci DPI opreme zavedat. Ne pa da vehementno obtožujejo ljudi, ki opozarjajo na potencialne težave, da smo neandertalci.

Se stronjam. Ampak to pomeni, da sam pregled, v primeru da bi uporabnike ustrezno obvestili in bi bilo jasno določeno kdo ima pravico vpogleda v podatke, ne bi bil sporen.

Kerih pravic? Do zasebne in zaupne komunikacije?


Tako. Do katere imaš pravico tudi na delovnem metu. To je tisto, česar večina ne razume. Komunikacijska in delovna oprema je lahko last delodajalca. Zaposleni pa ni last delodajalca. In njegove zasebne komunikacije tudi ne. Žal pri nas tudi večina zaposlenih tega ne šteka.

Hja, pa je to res. Po moje razumevanju je to bolj stvar izbire: če želiš zasebno komunikacijo, uporabljaj druga komunikacijska sredstva, ne službenih.
Isto je primer uporabe javnega wifi omrežja - če vzamemo omrežje v City Parku (BTC). Ko se prijaviš nanj, ti prvo pokaže stran z obvestilom, da se promet spremlja. Če se strinjaš, ga lahko uporabljaš, če ne, ga pač ne uporabljaš...

Aja, pa še tole si velja zapomniti:

Odločitev tako zavezancem ne prepoveduje določenih načinov uporabe DPI tehnologije, dejstvo pa je, da morajo biti ti načini utemeljeni, sorazmerni in zakoniti. Pravilnik, ki bi npr. določal, da se vsi uporabniki omrežja popolnoma odpovedo zasebnosti in tajnosti svoje elektronske pošte, bi zelo verjetno le stežka vzdržal pravno presojo, saj je varstvo tajnosti pisem in drugih občil ustavno zagotovljeno.


No sej, to je to. Če so uporabniki seznanjeni se spremljanje lahko izvaja. Zdej, a bi to šlo čez pravno presojo pomoje ni pomembno. Delovno mesto je na koncu koncev javen kraj. Na javnem kraju ne pa moreš pričakovati zasebnosti (če pomislim samo na snemanje - sem obveščen, vem kje lahko dobim posnetke, to je pa vse kar lahko naredim. V tem primeru bi bilo isto, vem da se spremlja in vem kdo spremlja in lahko v primeru zlorab... tudi ukrepam.)

Pa hvala za odgovor.

Zgodovina sprememb…

  • spremenilo: jukoz ()

jukoz ::

NeMeTko je izjavil:

jukoz je izjavil:

Nisem ne pravnik ne mrežni specialist, sem pa uporabnik. In na vseh delovnih mestih do sedaj sem bil vedno obveščen, da se lahko komunikacijska sredstva podjetja uporabljajo za poslovno komuniciranje in da se vse komunikacije _lahko_ beležijo.

A je to dovolj? Konec koncev sem bil kot uporabnik seznanjen s tem in se s tem strinjal. Tudi če gledam s stališča podjetja mi je to povsem razumljivo.


V primeru resnejšega spora verjetno nebi zadoščalo, da so te zgolj obvestili o tem, da se 'lahko' beležijo komunikacije. Zadeva je dokaj podobna tistim konkurenčnim klavzulam, ki jih nekateri delodajalci brez pomisleka mečejo v pogodbo o zaposlitvi, pred sodiščem pa ne veljajo niti toliko kot papir, na katerem so napisane.

Zgodba pa je povsem drugačna, če ima tisto 'obvestilo' o tem, da se lahko beležijo komunikacije, podlago v internih aktih podjetja, kjer se točno definira varnostna politika. Praviloma bi moralo podjetje vse zaposlene, kot tudi pogodbene sodelavce seznaniti z varnostno politiko in preveriti njeno razumevanje.

Če pogledamo npr. PCI DSS standard, se v njemu eksplicitno zahteva, da mora podjetje imeti izdelano varnostno politiko, da so vsi sodelavci z njo seznanjeni in podučeni.

Pomemben faktor je tudi 'security awareness', ki bi ga moralo vsako podjetje nadgrajevati. Žal moramo prepogosto ugotavljati, da se niti odgovorni še niso prebili do te stopnje, da bi lahko govorili o nekakšnem 'awareness', kaj šele zaposleni.


Hja, interni akt je lahko marsikaj.
Vglavnem morajo uporabniki biti s tem seznanjeni s sledenjem in se strinjati. S strani organizacije mora biti določeno kdo in kaj lahko nadzoruje in koliko časa se to beleži. Vglavnem, malenkost v katero sem kot uporabnik prisiljen. Nekako tako kot če pokličem na SiOL helpdesk in mi povedo, da se klic snema. Če ne želim da se snema, lahko odložim...

NeMeTko ::

jukoz je izjavil:

Vglavnem morajo uporabniki biti s tem seznanjeni s sledenjem in se strinjati. S strani organizacije mora biti določeno kdo in kaj lahko nadzoruje in koliko časa se to beleži. Vglavnem, malenkost v katero sem kot uporabnik prisiljen. Nekako tako kot če pokličem na SiOL helpdesk in mi povedo, da se klic snema. Če ne želim da se snema, lahko odložim...


Čisti na simpl povedano:

Zasebnost je PRAVICA, ki se je imaš pravico tudi odpovedati.
Ne more te pa nihče prisiliti v odpoved pravice do zasebnosti, saj ti je ta pravica zagotovljena z ustavo.

Daedalus ::

Sklicevanje na zakonodajo je na tem mestu popolnoma nevmesno. Če se postavi varnostno pregrado, je potrebno sprejeti tudi ustrezno varnostno politiko, kjer se definira kdo sme kaj in kdo česa ne sme. Čim se prometni podatki logirajo, je potrebno določiti, kdo ima vpogled v te podatke, za kateri namen in na kakšen način se jih sme uporabljati. S tem se lepo seznani zaposlene in ga ni zakona, ki bi lahko zadevo postavil pod vprašaj (če se ni delodajalec spravil v neke absurdne vode, ki nimajo nič skupnega z varnostjo).


Sklicevanje na zakonodajo, da je nevmesno? Prvič slišim. Kot tudi prvič slišim, da so interni predpisi podjetja nad veljavno zakonodajo. Sej si na koncu pravilno pogruntal:

akonodaja je koneckoncev na tem področju dokaj sivo področje. Bolj, ko se poglabljaš vanjo, bolj prideš do spoznanja, da vse skupaj temelji na načelu sorazmernosti.


Je pač treba biti previden - kar eni tu vseskozi pravimo. Za razliko od EPP sporočil, kako je DPI nujen v vseh firmah z več kot 0 računali in kaki kreteni da smo, ker tega ne vemo.

Če že navajaš neko povezavo na baubau tematiko DPI, potem si tudi do konca preberi kaj je na tistem linku napisano - da ne boš TI tisti, ki zavaja!


Naštetih problemov je več. Sam ajd, seveda ne boš navajal tistih, ki škodijo tvojemu argumentu, to razumem.

Sicer pa je sam prispevek napisan zelo 'paničarsko'. Avtor je 'zaznal vdor v svojo zasebnost' s pomočjo 'lažnega' certifikata, ki naj bi ga sprejel, ko je želel preveriti svojo elektronsko pošto. Če je zadeva pravilno postavljena, uporabnik ne bo nikoli dobil lažnega certifikata, temveč se mu bo ponudil certifikat požarne pregrade oz. uradni certifikat podjetja, če je to investiralo v nakup in namestitev takega certifikata. V poslovnih omrežjih (z izdelano varnostno politiko) se ta certifikat distribuira preko Active Directory, tako da uporabniki ne rabijo vsakič potrjevati ali sprejmejo certifikat ali ne.


Še vedno je govora o MITM napadu. Ki s sabo nosi potencial pregledovanja vsebine komunikacije, ki bi naj bila varna. Sam ajde, v tvojem svetu so MITM napadi pač vedno neškodljivi, v dobro glupega userja. Eni pa nismo tako naivni.

Delovno mesto je na koncu koncev javen kraj. Na javnem kraju ne pa moreš pričakovati zasebnosti (če pomislim samo na snemanje - sem obveščen, vem kje lahko dobim posnetke, to je pa vse kar lahko naredim.


Delovno mesto ni javen kraj. In kot drugo, tudi na javnem kraju obstaja določena mera pričakovane zasebnosti. Samo zato, ker si na javnem kraju, še ne pomeni, da si "javen objekt". Nisi javna lastnina, nikjer in nikoli.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

jukoz ::

Pa je res tako?
če snemajo javni prostor (kraj, nima veze) in me posnamejo na njem, me še vedno posnamejo ob snemanju javnega prostora (mogoče je bolj pravi izraz javni-zasebni prostor - ala katerikoli merkator). Če me posnamejo nekje zunaj tega območja je pa sporno.

Isto je ob spremljanju komunikacij v zasebnem, zaprtem omrežju, ki je povezano tudi v "javno" omrežje. Če jaz dostopam do javnega omrežja preko neke moje zasebne povezave, in spremljajo moj promet, je to problematično. Torej, če bi šel na net z mojim telefonom preko mobilnega omrežja operaterja, mi pri tem ne smejo spremljati prometa. Če pa grem preko službenega stroja in preko službenega omrežja, potem pa lahko spremljajo. Predvidevam pa, da ne smejo posegat v mojo komunikacijo (ala MITM opisan na Pravokator).

Kakorkoli, jaz sem dobil odgovor: če sem kot uporabnik obveščen in se s spremljanjem strinjam, potem je konec zgodbe.

NeMeTko ::

@Daedalus

Škoda da ti že v šesto? pojasnujem eno in isto zadevo, ker kljub vsemu trudu, da ti razložim zadevo iz praktičnih izkušenj, ti še vedno ignoriraš vsako razlago in še kar naprej goniš svojo lajno.

Dejstvo je, da več kot očitno izhajaš iz predpostavke, da je vsakršna sodobnejša tehnologija od tvoje 'kamnite sekire' resna grožnja za (tvojo?) zasebnost.
Zavestno ignoriraš realnost in administratorje slepo obtožuješ namere zlorabe tehnologije, da bi vohunili za uporabniki - pri čemur ti niti tega ni možno dopovedat, da DPI tehnologija na požarni pregradi administratorju NE omogoča vpogleda v besedila in priponke sporočil, kaj šele shranjevanje tega.

Ko administratorja omrežja proglašaš za napadalca, ker uporablja sodobne tehnologije za zaščito omrežja in uporabnikov, greš odločno predaleč. Govoriš o 'potencialni' možnosti zlorabe? Potem pa mi razloži, kako je lahko po tvoje 'potencialna možnost zlorabe' manjša na doma sestavljenem Linux sistemu s pfsense.
Če nisem še popolnoma senilen, se mi zdi, da se je dalo na Linux brez najmanjše težave namestiti poljubno programje za prestrezanje kompletnih komunikacij, torej tudi besedil in priponk v sporočilih.
Pa mi povej, na katerem certificiranem komercialnem varnostnem proizvodu lahko nameščaš neke svoje komponente, ki si jih nabral na internetu!

Res ne vem, kaj pravzaprav skušaš zagovarjati. Očitno zagovarjaš sistem 'shit happens'. O.k. - če tebi in tvojemu delodajalcu tak pristop ustreza in ste tako bogato podjetje, da si lahko tak pristop privoščite.....

Vendar pa te moram opozoriti, da določena podjetja in organizacije tudi kazensko odgovarjajo za varnost podatkov, ki jih hranijo v svojih omrežjih in si nikakor ne morejo privoščiti 'shit happens' pristopa, ki ga ti tako vneto propagandiraš.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

jinzo ::

@NeMeTko
sicer nisem tak strokovnjak kot ste Vi na področju omrežja. Pravtako sem Cisco-ta samo parkrat v rokah držal. Pa tud odvetnik nisem.

Samo meni moja kmečka pamet pravi da si ti glih tisti ki tupi eno in isto in ni zmožen pogledati čez svoj plot. Saj si lahko zamislim da je zelo težko priznati nekaj kar bi lahko pomenilo kazensko odgovornost za svoja dejanja. Ampak če me je "druženje" (bol ali manj ircanje) z Mavrikom. Daedalus-om, Primozem, Matthai-jem in branje njihovih postov/blogov/česakoli naučilo je to da zadeve pri pravu, še posebej takem ki se tiče novih tehnologij niso tako enostavne in marsikaj kar bi bilo logično da je dovoljeno ni. Med drugim tudi to da tvoj šef (od šefa pooblaščeni/kakorkoli) ne sme pregledovati zasebnih map/datotek na službenem računalniku, do tega da bo težko upravičiti DPI (in vse možne zlorabe, ki jih omogoča). Tudi dosedanja praksa koliko to spremljam (naprimer Pravokator) mi nikakor ne da občutka da je DPI stalna praksa in nič posebnega.

Vsekakor pa bi me zanimalo katera omrežja si ti postavljal - da se tega ognem ko sam hudič. Pa predlagam da ne preveč na vlko okrog govoriš kako Daedalus uporablja kamnito sekiro - te bo še kdo v kako institucijo zaprl :)

P.S: Mislim da vedno bolj zgubljaš malo kredibilnosti ki si je mel s tem tupenjem svojim ko obsojaš @Daedalus-a da zagovarja sistem 'shit happens' (čeprav mi še kar ni jasno od kot si ti to potegnil). Ampak od tistega piva ki sem ga imel priložnost spiti z njim vsekakor vem da ne jemlje stvari tako. Pravtako ne Mavrik.

NeMeTko ::

@jinzo

Moj namen je bil prikazati, da se razvoj varnostnih tehnologij ni zaustavil pri SPI tehnologiji (kamniti sekiri), temveč je že svetlobna leta dalje.

Potem pa so se nekateri posamezniki zataknili ob DPI tehnologijo, ki jo uporabljajo sodobne požarne pregrade, ker so nekje slišali, da se jo baje da zlorabiti za 'nepoštene' namere - brez da bi poznali en sam konkretni komercialni UTM proizvod, na kateremu bi lahko s praktičnim primerom zatrdili, da omogoča zlorabe, ki štejejo kot neposredna kršitev zasebnosti.

Kot argumentacijo so potem na dan privlekli nekega provokatorja, ki pa ob pazljivem branju zgolj dokazuje, da več kot očitno sama uporaba DPI tehnologije pravno ni sporna, če so izpolnjeni določeni pogoji.

Če nekdo potem kljub temu, da je sam navedel link, ki priča o tem, da niti urad informacijske pooblaščenke nima nič pripomniti k sami uporabi DPI tehnologije na požarni pregradi, še vedno vztrajno govori o 'potencialni možnosti zlorabe' in riše hudiča na zid, potem res ne vem, zakaj naj bi JAZ bil tisti, ki je nekredibilen.

Kdor pazljivo prebere provokatorjev prispevek, bo zelo hitro moral ugotoviti, da je govora o dveh popolnoma različnih vrstah proizvodov - na začetku je na senzacionalistični način govora o orodjih, ki so namenjena 'vohunjenju', kasneje pa o požarnih pregradah. Skupno imajo izključno to, da so sposobna analizirati vsebino, ki jo TCP paketi prenašajo, tu pa se tudi vsaka podobnost konča. Če si bo jutri kdo šel kupiti DPI požarno pregrado, ker bi želel spremljati kaj njegovi uporabniki komunicirajo, potem bo ta zelo razočaran, ko bo moral ugotoviti, da mu to požarna pregrada ne omogoča - niti 'potencialno' (govorimo o certificiranih napravah, ki ustrezajo mednarodnim standardom!).
Seveda pa se na internetu najde tudi kup 'sumljivih' rešitev, ki jih je 'potencialno možno' zlorabiti še za kaj več, kot zgolj za vzdrževanje varnosti, vendar popolnoma enako 'potencialno možnost' nudi vsak Linux in Windows računalnik, ki se nahaja na našem omrežju. Če kdo dvomi, si naj ogleda kaj omogočajo proizvodi podjetja Netwitness, pa se bo res imel možnost prestrašiti, kaj se lahko brez kakšnega posebnega znanja potegne iz navadne wireshark capture datoteke.

Kadar pa govorimo o inspekciji https prometa v urejenem zasebnem omrežju, pa tudi ne moremo govoriti o MITM NAPADU, čeprav je morda tehnologija do neke mere podobna. Bistvena razlika je v tem, da o MITM napadu lahko govorimo, ko to izvaja NEPOOBLAŠČENA oseba brez naše vednosti. Pri požarni pregradi pa praviloma ne moremo govoriti o nepooblaščeni osebi z zlemi namerami, temveč o nadzoru prometa v skladu z varnostno politiko podjetja.

Mislim, da bo dovolj lajnanja. Kdor hoče razumeti za kaj se gre, je že zdavnaj razumel. Kdor pa noče, pa ne bo razumel, niti če zadevo še 100x razložim.

der_Alte ::

Še en »rahel« problem z DPI ...

»Velika organizacija« ne sme prestrezat zasebne komunikacije, sploh pa na primer gesel do kakšnih bančnih računov (pa ne se slepit, da DPI tega ne počne), ker ahem, je lahko potem predmet kakšne tožbe ob kakšnem (namernem ali nenamernem dogodku s kakšnim TR).

V banki preverijo uporabnikov prenosnik... Ni virusov, ni trojancev. Pogledajo v seznam certifikatov in ... opa, tale pa ne bo »ta prav«, ni na seznamu izdanih od banke. Kdo ga je izdal? Aha, gre za MITM napad. Čigava »škatla« je izdala cert.? Tako, tako, prestrezali so komunikacijo (dokaz je cert.) in se pretvarjali, da so banka. Potem pa se pravna služba banke malce zmiga in zaropota proti »veliki organizaciji«.

Lahko se pa motim. Pa so banke na white listah.;)
Umri mlad! Bodi lepo trupelce!
1
2
3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )

Oddelek: Novice / NWO
12327408 (17740) poweroff
»

PFsense vs Sonic Wall (strani: 1 2 )

Oddelek: Informacijska varnost
8316608 (13259) Blisk
»

Locky Virus (strani: 1 2 )

Oddelek: Informacijska varnost
8825648 (22664) Manna
»

Juniper odkril podtaknjena stranska vrata v svojih napravah (strani: 1 2 )

Oddelek: Novice / NWO
6728460 (24004) AC_DC
»

VPN in oddaljene pisarne (strani: 1 2 )

Oddelek: Omrežja in internet
6813189 (11523) SeMiNeSanja

Več podobnih tem