» »

Ruter z 4x1Gbps LAN porti in VPN podporo

Ruter z 4x1Gbps LAN porti in VPN podporo

«
1
2

levaky ::

LP!

Iščem en poceni router(lahko je wire only) z Gbit lan porti in VPNjem... Obstaja kaj za normalen denar? Ali naj raje kupim kak WRT54GL in en 4 portni switch?

Matej

OmegaBlue ::

Kakšno VPN podporo bi pa imel? Recmo kak linksys E3000 to veselo fura.
Never attribute to malice that which can be adequately explained by stupidity.

levaky ::

Ubistvu nisem kaj preveč zbirčen... pp2p, openvpn,...

Sicer pa vidim, da lavfa DDWRT na omenjemen routerju, tko da nebi smelo biti problema z VPNjem. Moram samo preveriti, če je DDWRT stable, da ni tako kot na asusovem RT16, ko ga moram 1x na dan resetirat, just in case, da se mi ne obesi.

Matej

Neke stare objave berem, da se folk pritožuje nad hitrostjo oz stabilnostjo. Večina se jih sicer nanaša na wireless, ki ga jaz ne potrebujem, a vseeno bi rad imel stabilen router. Rajši vzamem WRT54, ki je solid in zraven en switch, sam da bo mir:)

Matej

Zgodovina sprememb…

  • spremenil: levaky ()

trnvpeti ::

mikrotik RB750GL za 55eur, 64M rama, giga porti

levaky ::

Hum, ni slabo... Kolikor vidim, lahko na Level4 RouterOS postavim 200 VPNjev?

Matej

trnvpeti ::

potem rajsi glej kaksen mikrotik z vec rama in vec cpuja(450g ima 256M rama in 680Mhz cpu)

levaky ::

Ne, ne, sej toliko jih ne rabim, je bilo bolj vprašanje, če prav gledam specifikacije Level4 licence. Jaz rabim 2 VPNja.

Sicer se mikrotik konfigurira preko konzole ali ima tudi web umesnik?

Matej

trnvpeti ::

ne vem, koliko vpnov podpira level4

mikrotik ima console z setup scripto, winbox(program za win), webgui(browser)

OmegaBlue ::

Če bi rad zverino potem kar zagrabi mikrotika :)

Seveda, bi pomagalo če bi povedal koliko uporabnikov bo na njem, kaj se bo pretakalo čez vpn in seveda, kakšna je hitrost tvoje linije.
Never attribute to malice that which can be adequately explained by stupidity.

amigo_no1 ::

Je mikrotik RB750GL dovolj za 3-4 vpn seje in še kaj od p2p (torrrent, mula) ?

OmegaBlue ::

joj mula resno?

Ni tako clear cut, odvisno je koliko sej ima skonfiguriran torrent klient, visi na torrentu 1 user ali 15? Kaj se prenaša preko VPN in kako hitro in s koliko sej, kriptiranje pobere kar nekaj CPU powerja.

Sicer stvar je hitra za popizdit, in ob sane uporabi je več kot dovolj za katerikoli domači use case, tudi kakšno manjše podjetje.
Never attribute to malice that which can be adequately explained by stupidity.

NeMeTko ::

Kdaj se boste že odvadili, takšno robo tlačiti v podjetja?
Saj stvari krasno delajo tudi v podjetju - dokler enkrat ne pride do kakšne štale.

Če ste tako obsedeni s hitrostjo, potem lahko kar takoj postavite gigabitni switch in uživate v polnem bandwidthu.

Who cares about security, when it's just slowing down things...?

Spock83 ::

Jaz imam Dlink DSR-250N. Super mi dela pa še 8 portov ima. Seveda giga.

OmegaBlue ::

NeMeTko je izjavil:

Kdaj se boste že odvadili, takšno robo tlačiti v podjetja?
Saj stvari krasno delajo tudi v podjetju - dokler enkrat ne pride do kakšne štale.

Če ste tako obsedeni s hitrostjo, potem lahko kar takoj postavite gigabitni switch in uživate v polnem bandwidthu.

Who cares about security, when it's just slowing down things...?


Maš prav, daj gremo vsem priporočat vsaj kakšnega SSG (čeprav so stari) za jurja € in enega admina 24/7, ki bo stvar nastavljal za njih, saj običen user še portforward ne bo znal našitmat. Itak je edini varnostni mehanizem v gatewayu in nikjer drugje. Nič ne bo delal, bojo pa varni!!!111oneoneeleven

Resno, pejd težit s tem drugam tukaj si offtopic, SOHO naprave počnejo in so primerne za točno to, home in small office.
Never attribute to malice that which can be adequately explained by stupidity.

Zgodovina sprememb…

NeMeTko ::

Pa saj ti pravim - postavi switch - najceneje, najmanj za upravljat, najboljša prepustnost, nič ne blokira, VSE dela!

trnvpeti ::

kaksen scenarij predlagas nemetko?
katero napravo, kaksen firewall,na kaj je potrebno paziti, kaj mislis, po tvojem, kaj je najbolje...

NeMeTko ::

@trnvpeti - smo to dali vse že enkrat v detajle skozi v neki drugi temi.

Jezi me predvsem to, da je 'Awareness' na področju varnosti tako nizek, da se jemlje kot samoumevno, da se danes v poslovnem omrežju komot uporablja iste rešitve, kot v domačih in eksperimentalnih omrežjih.

Argumentacija, da potem ne boš mogel vsega sam naštelat, je pri tem še ena od najbolj žalostnih. Tudi elektriko večina ljudi ne zna sama poštelat in se nobenemu ne zdi čudno poklicati električarja, da stvar uredi. Pri omrežjih naj bi pa to blo nekaj nedopustnega? Prevelik strošek?

Čisto za ilustracijo en primer iz prakse....

Me včeraj pokličejo iz sosednje mikro firme. Imajo enega Linksysa, ki jim načeloma povsem zadovolji njihove potrebe, kar se komunikacije tiče.
Zataknilo pa se je pri varnosti. Kar na enkrat se jim je začel mailbox polniti s stotino 'mail not deliverable' sporočili. Pogledajo za kaj se naj bi šlo in ugotovijo, da naj bi oni v svet spammali reklamo za viagro.
Pokličejo providerja, ki zatrdi, da so bili ti maili pošiljani z njihovega IP naslova in jim zagrozi, da jih bo dal na blokado. Blokiranje pošiljanja legitimnih sporočil si kot firma seveda ne morejo privoščiti (sploh, ko enkrat tvoji naslovi pristanejo na raznih blacklistah). Še manj si lahko privoščijo, da bi kateri od poslovnih partnerjev od njih dobil spam za viagro.
Zaženejo kompletno AV pregledovanje računalnikov na omrežju, ki razen peščice cookiejev ne najde ničesar.

Tu se pa zadeva ustavi. Na routerju niso imeli možnosti kakršnekoli pametne kontrole, kaj šele logiranja, kakšni maili naj bi zapuščali omrežje, če so jih sploh.

Predlagal sem jim, da jim za en teden brezplačno posodim resnejšo rešitev, pa da bodo lahko spremljali, kaj se dejansko dogaja na mreži, da bodo tudi oni imeli loge in poročila o tem, kaj njihovo omrežje zapušča, preveč očitne zadeve pa da že v osnovi takoj blokiramo.
Seveda je rešitev preveč zahtevna, da bi jo sami upravljali, ampak zato imajo mene, da jim zadevo naštimam.

Kljub temu, da so s tistim Linksysom več kot dve leti furali mrežo brez vsakršnih resnejših komplikacij, že po enem dnevu niso hoteli nič več slišati o kakšni izposoji in so pričeli insistirati, naj jim stvar prodam - kljub temu, da sem jim povedal, da jih bo prišla 1000€+.

trnvpeti ::

torej kaj predlagas?
kateri router/fw za 1000+(koliko tocno +-100eur)

NeMeTko ::

@trnvpeti - nisem na forumu zato, da bom delal reklamo za konkreten proizvod oz. proizvajalca. To bi se mi zdelo nekako neetično zlorabljanje foruma.

Če te zanima evaluacija oz. nakup konkretne rešitve, se da kaj zmeniti v zasebnem sporočilu, sicer pa se bom omejeval na splošne tehnologije, ki so danes standardno podprte s strani več proizvajalcev v različnih proizvodih. Seveda obstajajo razlike v kakovosti implementacije in ceni. O tem lahko diskutiram s potencialnim kupcem, ne pa na forumu, ko se gre za osnovne pojme neke tehnologije, pristopa do nekega problema in razumevanja varnosti v širšem pomenu. Ljudje favorizirajo določene proizvajalce (ker drugih ne poznajo?) in popolnoma brezplodno bi bilo, če se diskusija o tehnologiji sprevrže v sveto vojno zagovarjanja enega ali drugega proizvajalca.

b3D_950 ::

SSG serija ni tako strašansko težka za nastavit, če razumeš koncept. Edino, kar sem opazil, da je v primerjavi z mikrotik rb vse bolj poenostavljeno.
Zdaj ko je mir, jemo samo krompir.

Sc0ut ::

Ima mikrotik tudi wifi routerje v price range do 100 eur? Vidim da imajo samo AP-je.
1231 v3, Z97 A, 16GB ram 1600mhz, 3070 RTX, HX850

NeMeTko ::

b3D_950 je izjavil:

SSG serija ni tako strašansko težka za nastavit, če razumeš koncept. Edino, kar sem opazil, da je v primerjavi z mikrotik rb vse bolj poenostavljeno.


SSG se ne more uvrščati med 'Next Generation' rešitve, saj mu manjka kar nekaj funkcionalnosti za to (npr. prepoznava aplikacij). Ravno tako ne podpira SSL VPN povezav, ne premore transparentnih proxijev, orodja za analizo prometa moraš dokupiti in niso poceni, ne moreš ga konfigurirati v offline načinu,......itd.

Za to ceno lahko kupec pričakuje več.

trnvpeti ::

mikrotik ima vse kar si nastel
tocno ves, kaj se dogaja na mrezi
tudi firewall ima

zdaj, da se oglasis, in ne napises konkretno, da lahko stece debata, je malce smesno
niti nisi avtorju nic pomagal

b3D_950 ::

@NeMeTko: Nisem nikjer trdil, da je.
Zdaj ko je mir, jemo samo krompir.

Zgodovina sprememb…

  • spremenil: b3D_950 ()

OmegaBlue ::

@NeMeTko tvoja ankedota je kjut, mogoče lepa za strašenje otrok pred spanjem tukaj se pa ustavi. Poleg velikih lukenj v zgodbici, doker nimajo pri sebi poštnega strežnika (če je na istem ip naslovu kot uporabniki je to itak kretenizem #1 vrste in imajo večje probleme, kot igračko za gateway) jim ne grozijo črne liste, ampak njihovem relayu, kdorkoli to že je pri mikro firmah. V končni liniji je administrator tistega relaya malo čuden. Tukaj je bolj za krivit neobstoječ policy ali nesposobni lokalni administrator če ga imajo. Naprava za jurja tega problema ne bo rešila.

Priporočilo dražje opreme "da bodo vedeli kaj se dogaja", je pa svojevrstna klasa nesposobnosti analize mrežnega prometa.

Mene jezi to, da nekdo hoče na vsak način prodat napravo ljudem kjer absolutno ni potrebna in potem to trobit v vsaki temi kjer naleti na routerje. Širjenje FUD da linksys in mikrotik ne podpirajo beleženje prometa, ki zapušča mrežo, če ne drugega za debuging, ne razkazuje ničesar drugega kot nepoznavanje opreme ali namerno ignoranco.
Enterprise rešitve imajo svoje mesto v svetu, pri uporabniku, ki želi poganjat torrente na svoji domači liniji in v frizerskem salonu za pse to ni.



Saj razumem, si že sam napisal. Še dobro da imajo tebe za (vsaj) 50€ na začeto uro podpore, ~2000€ za opremo in 100€ za letne licence, ki jih krvavo potrebujejo. Je vse prej kot težko prestrašit direktorja z malo tehnobabbla in prodati rešitev, ki jih bo odrešila vseh problemov.

Zdaj pa prosim nehaj temo vlečt offtopic.
Never attribute to malice that which can be adequately explained by stupidity.

Ziga Dolhar ::

Nazaj na topic, prosim.
https://dolhar.si/

Daedalus ::

Sicer se mikrotik konfigurira preko konzole ali ima tudi web umesnik?


Maš ssh, web vmesnik in GUI client.

Ne, ne, sej toliko jih ne rabim, je bilo bolj vprašanje, če prav gledam specifikacije Level4 licence.


2 VPN-ja ziher prenese :)

Če pa rabi kdo gledat, kaj se mu dogaja po omrežju - Untangle. Lahko tud plačano verzijo, če je zastonj lite premalo. Pa še support prodam poleg>:D

Ima mikrotik tudi wifi routerje v price range do 100 eur? Vidim da imajo samo AP-je.


RB751U-2HnD in RB2011UAS-2HnD-IN. Tale drugi je sicer prek 100EUR, sam ajd... če rabiš več portov.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Zgodovina sprememb…

  • spremenilo: Daedalus ()

NeMeTko ::

@trnvpeti - govor v prvotnem postu je o zasebnem omrežju - če sem prav razumel. Tam je cena rešitve tista, ki ti narekuje zgornji nivo tehnologije, ki jo smeš iskati.
Takoj, ko nekdo napiše 'poceni rešitev', se ve, da se gre lahko kvečjemu za KOMUNIKACIJSKE rešitve, z nekaterimi vgrajenimi varnostnimi funkcijami - in NIČ VEČ kot to.

Vendar je to za domače omrežje v večini primerov dovolj, če se to združi s pametno rabo interneta in drugimi varnostnimi ukrepi (AV programi, Windows firewall, itd.).

Tudi Mikrotik je KOMUNIKACIJSKA rešitev, ki ima za nalogo predvsem čim hitreje premetavati pakete z enega lan vmesnika na drugega - router pač. Vmes upošteva še nekaj pravil, ki smo jih dodali in podatke o prometu pošilja brez vsake enkripcije na syslog strežnik. Iskanje po syslogih je že 'višja matematika' za večino uporabnikov, ki tega sploh ne implementirajo. Spremljanje prometa v realnem času je pa čista utopija. Ali boš morda trdil, da lahko v realnem času gledaš, s katere mašine so se pošiljali maile na naslov xxxx@aol.com?

@Omegablue - ti si očitno še vedno sveto prepričan, da lahko s filtriranjem portov zagotoviš optimalno varnost za poslovno omrežje. Takih, kot si ti, je na svetu še veliko, zato pa so razpaseni botneti, črvi in virusi po celem planetu.

Ne vem, kaj je tako škandaloznega, če neko podjetje plača 1000+€ za rešitev, ki jih ščiti po zadnjih uveljavljenih standardih. Potem je tudi škandalozno, če kupijo fotokopirni stroj za 1000€, saj bi lahko na poceni skenerju dokumente poskenirali in printali na tiskalniku? Kakšen je šele škandal, če si direktor omisli stol za 1000+€, ko bi lahko sedel na plastičnem iz nabližjega marketa za 10€? Zakaj si na mizo postavi prenosnik za 1500+€, pa takointako z njim samo maile bere, ostalo pa naredijo sodelavci? Zakaj si omislijo pametne telefone za 600+€, če se da telefonirati tudi s telefoni za 30€? Bognedaj, da si omislijo vratarja, saj bi lahko zaklepali vrata od vhoda v firmo?

Potem pa praviš, da je to nategovanje, če podjetju prodaš požarno pregrado 'next generation' razreda za dobrih 1000€?

Malo pomisli, ZAKAJ se sploh postavlja požarne pregrade. Če jo že postavljaš, ima potem smisel, da postavljaš nekaj, kar je pred 10+ leti veljalo za standard? Potem lahko takoj greš pa postaviš en malo bolj soliden switch, ki ravno tako omogoča blokiranje portov in določeno mero logiranja prometa in routerja sploh ne rabiš, če si na kablu, optiki, vdsl. Škoda metati denarja stran, če že switch zagotovi isti nivo varnosti.

trnvpeti ::

seveda lahko gledam

OmegaBlue ::

Ne, "zaščita" s filtriranjem portov je enaka bedarija kot to, da je NAT "varnostni" mehanizem in jokanje IT "profesionalcev", da pri ipv6 ma pa vsaka mašina svoj naslov in to je nevarno! (jada jada).

Problem pri tebi je da prodajaš "next generation" firewalle (karkoli to že je) kot first in last line of defence in lušten single point of failure, vsakemu, ki pa oporeka tvoji trditvi pa malo manj kot zabrusiš naj gre raje skupaj kamne zbijat.


Tudi Mikrotik je KOMUNIKACIJSKA rešitev, ki ima za nalogo predvsem čim hitreje premetavati pakete z enega lan vmesnika na drugega - router pač. Vmes upošteva še nekaj pravil, ki smo jih dodali in podatke o prometu pošilja brez vsake enkripcije na syslog strežnik. Iskanje po syslogih je že 'višja matematika' za večino uporabnikov, ki tega sploh ne implementirajo. Spremljanje prometa v realnem času je pa čista utopija.


No no, če ti ne znaš zavarovat syslog prenosa ne to na ostale metat. Zdaj boš trdil, da za naše drage višje matematike, ki ne znajo pognati enostavnega searcha po tekstovnem dokumentu bodo pa znali nastavit, spremljat in pravilno interpretirat rezultate na težko kategornem firewallu? Super. Pokaži mi enega.

Ali boš morda trdil, da lahko v realnem času gledaš, s katere mašine so se pošiljali maile na naslov xxxx@aol.com?

Tole je fuj. In točno to kar me pri tvojih izjavah moti. Poštnega prometa uporabnikov se ne dotika.

Vendar je to za domače omrežje v večini primerov dovolj, če se to združi s pametno rabo interneta in drugimi varnostnimi ukrepi (AV programi, Windows firewall, itd.).


Ali boš morda trdil, da vse to ni potrebno če uporabljaš dražjo rešitev? Varnost je proces ne rešitev, ki jo kupiš v škatlici. Najprej potrebuješ čisto varnostno politiko in ljudi, ki jo bodo enforcali. To seveda upošteva vse dodatne ukrepe tudi na sami client mašini, od group policy ali selinux konfiguracije, kontroliran dostop do sistemov preko AD ali kerberos in ne konča se tu. Seveda če želiš tesno okolje, boš mogel izobrazit tudi uporabnike, če dam tvojo opevano super napravico kupu opic v pisarni ti garantiram identične težave kot brez nje.

Večji problem pri naših mikrofirmah (pa tudi večjih) ni manjek drage mrežne opreme, pač pa močno podcenjevanje potrebnosti kompetentnega IT oddelka/administratorja (internega/eksternega) in kompletna ignoranca kar se tiče uporabe računalnika izven excela in worda. In seveda ljudje, ki postavijo super sisteme, ki "delajo" dokler jim nekdo ne izpostavi problemov, potem pa seveda v nakup naprav, ki so samo tepih čez kup dreka. Izvirnega problema pa nihče ne popravi.

Ne vem, kaj je tako škandaloznega, če neko podjetje plača 1000+€ za rešitev, ki jih ščiti po zadnjih uveljavljenih standardih. Potem je tudi škandalozno, če kupijo fotokopirni stroj za 1000€, saj bi lahko na poceni skenerju dokumente poskenirali in printali na tiskalniku? Kakšen je šele škandal, če si direktor omisli stol za 1000+€, ko bi lahko sedel na plastičnem iz nabližjega marketa za 10€? Zakaj si na mizo postavi prenosnik za 1500+€, pa takointako z njim samo maile bere, ostalo pa naredijo sodelavci? Zakaj si omislijo pametne telefone za 600+€, če se da telefonirati tudi s telefoni za 30€? Bognedaj, da si omislijo vratarja, saj bi lahko zaklepali vrata od vhoda v firmo?


Škandaloznega nič, če ima resno potrebo po takšni napravi, pa vemo komu prodajate to in na katerih točkah se ujamejo ane.. Imamo dokaj zanimive statistike o tem kaj vrli direktorji počnejo s takšnimi napravami, saj ne da krivim napravo grdo gledam tehnike in ljudi ki jih plačujejo da takšne stvari izvajajo.

Prosim ne podcenjuj foruma, kjer mali kup ljudi dokaj resno dela pri naših internetnih ponudnikih in podjetjih z IT supportom. Vemo zelo dobro kako stvar laufajo v divjini.
Never attribute to malice that which can be adequately explained by stupidity.

NeMeTko ::

Edino kar lahko 'gledaš' (izbrskaš iz sysloga!) je to, da je IP xxx.xxx.xxx.xxx vzpostavil povezavo na portu 25 s strežnikom yyy.yyy.yyy.yyy

Da bi lahko videl email naslov, na katerega je bil mail poslan in loge filtriral po tem kriteriju, bi moral imeti proxi ali smtp strežnik na mikrotiku.
Če si ga sam nainštaliral, to ni več rešitev proizvajalca, ampak tvoja improvizacija.

Če pa meniš, da 'vidiš' s pomočjo packet snifferja, potem pa res ne vem, če nisi že rahlo nagnjen k mazohizmu.

misek ::

NeMeTko, morda sem zgrešil v postih omembo, kaj je pravzaprav bilo narobe v tej mikro firmi in zakaj se je ustvarjal omenjeni spam.

trnvpeti ::

se pravi, se sedaj strinjas, da lahko vidim online promet?

OmegaBlue ::

Ne sedaj se pritožuje, da ne more špegat kam gredo maili, ker to se pri nas lahko počne. #aveškao
Never attribute to malice that which can be adequately explained by stupidity.

NeMeTko ::

@OmegaBlue - tisto o first and last line of defence skušaš TI podtikati, ne jaz. Zato prosim ne izkrivljaj mojih izjav.
Če je govora o ROUTERJU, govorimo o USMERJEVALNIKU.
Če govorimo o FIREWALLU, govorimo, o POŽARNI PREGRADI.

Ko bomo govorili o AV programih, varni rabi interneta, varnostni politiki, itd., pa bo govora o tem.

Zato mi ne meči v glavo, če ne govorim o slednjem, ko govorim o prvih dveh zadevah - routerjih in firewallih!

Če se imaš za eksperta, potem bi od tebe pričakoval, da znaš ločiti med routerjem in firewallom. Če to ne ločiš, lahko takoj nehava diskutirati.

Tvoj 'fuj, to se pa ne tika', ko se gre za from-to headerje v mailu je popolna bedarija. ISP te podatke beleži, uporabnik v podjetju jih pa po tvoje nebi smel? Iz katerega razloga že? Ko pride do problema, ki ga je potrebno locirati, se pa lahko ob tla mečeš, ker nimaš ene take preproste informacije shranjene?

Da se te informacije zlorabljajo, je isto, kot trditi, da so vsi moški posiljevalci, ker naokoli hodijo z 'ustreznim orodjem'.
Hkrati pa je to tudi ceneno opravičilo za zagovarjanje rešitev, ki teh informacij niso sposobne logirati, mar ne?

Tvoje pojmovanje varnosti ne gre v smeri, da je potrebno na vsakem nivoju zagotoviti najboljšo možno varnost. Ker uporabljaš rešitve, s pomočjo katerih na perimetru ne moreš naresti več, kot ti je dano, direktno pljuvaš po vsemu, kar zmore nekaj več. Pri tem pa pozabljaš, da lahko na perimetru prestrežeš marsikaj, kar znotraj omrežja ne boš več zaustavil.

Res ne vem, kaj za en problem imaš s tem, da na svetu obstajajo boljše rešitve od tistih, ki jih ti uporabljaš. Tudi na cesti boš našel ljudi, ki se vozijo s katrcami in ljudi, ki se vozijo z Mercedezi. Ti pa meni prideš kot voznik katrce, ki vpije, da so Mercedezi šrot avtomobili, da je čisti nateg, če nekomu prodaš Mercedeza, da si s Katro naredil že stotisoč kilometrov in nisi imel še nobene prometne nesreče. Verjemi, ko boš imel prometno nesrečo, boš želel, da bi sedel v Mercedezu in ne v Katri!

In to ti potem daje pravico, da pljuvaš po meni, ki razlagam, da imaš v avtomobilih višjega razreda vgrajene zračne blazine, in vse mogoče varnostne mehanizme, da bi čim bolj nepoškodovan preživel nesrečo?

Zamisli se malo prosim!

trnvpeti je izjavil:

se pravi, se sedaj strinjas, da lahko vidim online promet?


Na isti mazohistični način ga lahko vidiš s stotino 4free snifferji, pa še mikrotika ne rabiš za to.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

darkolord ::

Ne. Nekdo se pripelje z naprimer Superb ali Insignio, ti pa prideš in rečeš "kdaj se boste že odvadli vozit s to robo?!"

OmegaBlue ::

tisto o first and last line of defence skušaš TI podtikati, ne jaz. Zato prosim ne izkrivljaj mojih izjav.

V anekdotni firmi, ki pošiljajo tono spama se strinjajo s tabo zgleda.. Več kot nova napravica se tam ni pomojem spremenilo.

Ko bomo govorili o AV programih, varni rabi interneta, varnostni politiki, itd., pa bo govora o tem.

Torej z zadostno varnostno politiko je podjetje neprimerno bolj ogroženo, ker ne uporablja tvoje omiljene rešitve?

Če se imaš za eksperta, potem bi od tebe pričakoval, da znaš ločiti med routerjem in firewallom. Če to ne ločiš, lahko takoj nehava diskutirati.

Nimam se za eksperta je preveč stvari ki jih ne poznam, ampak dovolj da opazim bullshit na kilometer. In ja ločim. Ti bi pa mogel vedet, da so te vloge že dolgo striktno ločene samo na papirju.

Tvoj 'fuj, to se pa ne tika', ko se gre za from-to headerje v mailu je popolna bedarija. ISP te podatke beleži, uporabnik v podjetju jih pa po tvoje nebi smel? Iz katerega razloga že? Ko pride do problema, ki ga je potrebno locirati, se pa lahko ob tla mečeš, ker nimaš ene take preproste informacije shranjene?

Vpogled v take podatke je dovoljen samo z odločbo. Bodi vesel, da te kdo ne prijavi.

Da se te informacije zlorabljajo, je isto, kot trditi, da so vsi moški posiljevalci, ker naokoli hodijo z 'ustreznim orodjem'.
Hkrati pa je to tudi ceneno opravičilo za zagovarjanje rešitev, ki teh informacij niso sposobne logirati, mar ne?

Problem je v tem da ti zagovarjaš takšne rešitve, specifično zaradi te sposobnosti. To ali tja sodijo pa izgleda ne razmisliš. (Kaj je to mailserver?)

Res ne vem, kaj za en problem imaš s tem, da na svetu obstajajo boljše rešitve od tistih, ki jih ti uporabljaš. Tudi na cesti boš našel ljudi, ki se vozijo s katrcami in ljudi, ki se vozijo z Mercedezi. Ti pa meni prideš kot voznik katrce, ki vpije, da so Mercedezi šrot avtomobili, da je čisti nateg, če nekomu prodaš Mercedeza, da si s Katro naredil že stotisoč kilometrov in nisi imel še nobene prometne nesreče. Verjemi, ko boš imel prometno nesrečo, boš želel, da bi sedel v Mercedezu in ne v Katri!

Pa a tudi lokalnemu romu pridigaš, naj neha vozit tisto kanto od jugota?

In to ti potem daje pravico, da pljuvaš po meni, ki razlagam, da imaš v avtomobilih višjega razreda vgrajene zračne blazine, in vse mogoče varnostne mehanizme, da bi čim bolj nepoškodovan preživel nesrečo?

Potem takšne rešitve potrebuje sleherna družina, ki ima doma internet.
Never attribute to malice that which can be adequately explained by stupidity.

NeMeTko ::

misek je izjavil:

NeMeTko, morda sem zgrešil v postih omembo, kaj je pravzaprav bilo narobe v tej mikro firmi in zakaj se je ustvarjal omenjeni spam.


Za enkrat nismo uspeli ugotoviti, kje je tičal razlog. Na žalost je ISP posredoval pomanjkljive podatke, oz. ni preveril, če je bila konkretna IP adresa sploh dodeljena temu podjetju v času, ko so se maili pošiljali v svet. Tako da nam logi ISPja pravzaprav nič ne koristijo, saj ne moremo preveriti, če je bil izvor dejansko v njihovem omrežju, ali pa je maile pošiljal nekdo drug, s fake 'from' headerjem.

Linksys smo zamenjali za požarno pregrado, da bi prišli na sled, kateri notranji IP naslov bi lahko pošiljal maile, v primeru, da dejansko izvirajo iz njihovega omrežja in da jih zablokiramo, še predenj zapustijo omrežje. Ker antivirus ni pokazal nobenih okužb na računalnikih, je bila to edina varianta, da preverimo, kaj se dejansko dogaja (ja, lahko bi bili mazohisti in sniffali pakete...-kar pa nebi omogočilo blokiranje tega prometa!) in istočasno imamo v roki dokaz, da se iz tistega omrežja nič (več?) ne pošilja ven, če bi ISP skušal uresničiti svoje grožnje o blokadi smtp prometa.

Stvar je vsekakor strange, ker so 'not deliverable' sporočila prenehala prihajati, ko smo zamenjali Linksys s požarno pregrado, logi pa do sedaj tudi niso pokazali nobenih anomalij. Teško je verjeti, da bi nek tretji okužen računalnik na povsem drugem omrežju prenehal spammat v trenutku, ko si zamenjal naprave, ki povezujejo mrežo z internetom. Znakov, da bi kakšen računalnik znotraj omrežja skušal pošiljati spam, pa tudi nismo našli. Edina kolikor toliko logična razlaga bi lahko bila, da je ISP vendarle blokiral izvorni IP spam pošte, pa ta IP ni bil v rabi tega podjetja ampak povsem nekoga drugega.

Čeprav so nekateri popolnoma zgroženi nad tem, da nekdo v lastnem omrežju logira from in to naslove elekronske pošte, pa je to edini dokaz, s katerim se lahko direktno soočaš z ISP-jem, ko se stvari enkrat zapletejo. Če bi imeli že prej vzpostavljeno logiranje, bi bil problem razrešen v petih minutah, tako pa lahko samo ugibamo, kaj se je v resnici dogajalo. Če se bo stvar ponovila, pa bomo z gotovostjo vedeli, kje je bil dejanski izvor in temu ustrezno ukrepali.

SplitCookie ::

Še bolj easy varianta je da se je ISP lepo zlagal in je bil issue samo v na pol delujočem routerju
SplitCookie> Prevoziš RDEČO ! jype> Ja? A to je kaj posebnega?
Ramon dekers> Ječa je lahko naravno okolje potem ko se adaptiraš.
jype> CPP ne spoštujem _NIKOLI_

NeMeTko ::

@OmegaBlue -prosim nehaj se zavestno sprenevedati.

Varnostna politika je bullshit, če ni enfocementa. Tega pa ni, če ni nadzora. Nadzor na mreži se pa me dela tako, da hodiš zaposlenim čez ramo gledat kaj počno na računalniku.

Tvoja trditev je enaka trditvi, da postaviš tablo 30 pred šolo in na tistem mestu ne bo moglo več priti do nobene nesreče. Praksa nas uči drugače, mar ne?

O tem, če je potrebna 'odločba' za vpogled v podatke očitno nisi ravno najbolj kompetenten. Podatki so se sporazumno izmenjali med ISP in lastnikom priključka. Pri tem se je šlo zgolj za manjši izvleček iz prometnih podatkov, ki so se tičali neželjene pošte, ne pa neke osebne korespondence zaposlenih. Skratka v povsem zakonitem okviru. Kako pa naj bi se po tvoje reševali tovrstni problemi, če si nebi smel izmenjevati tovrstnih podatkov z ISPjem?

Tvoja izjava, da bi po moje 'takšno rešitev potrebovala sleherna družina' je zopet bedno podtikanje. Že uvodoma sem potegnil strogo ločnico med poslovnimi in zasebnimi (domačimi) omrežji. Ti pa zopet nekaj podtikaš in se sprenevedaš. Zakajže? Misliš, da boš večji expert izpadel na ta račun? Haleluja, če edino tako zmoreš argumentirati svoja stališča.

Razlika med routerji in požarnimi pregradami, pa je kljub tvojemu prepričanju, da temu ni tako, še vedno gromozanska. Razen če govorimo o kvazi routerjih, ki imajo vgrajeno neko osnovno filtriranje, ali kvazi požarnih pregradah, ki podpirajo osnovne funkcije routerjev. Vzemi sodoben Cisco router in potem poskusi najti njegove napredne možnosti v kateri od sodobnih požarnih pregrad - ali obratno. Če ne kapiraš, da sta to dva svetova z nekim minimumom skupne funkcionalnosti, potem si slep, ali pa imaš še kakšne hujše probleme.

@darklord - tvoja opazka o Superb ali Insignio je tudi bedna. Govor je o standardih v sodobnih VARNOSTNIH rešitvah DANES in pred 10 leti. Kar je veljalo pred desetimi leti za high-end, danes najdemo že praktično v vsakem kolikor toliko spodobnem routerju. Zato pa to še ni high-end za DANAŠNJI čas. Hvala bogu, da so domačim uporabnikom danes na voljo vsaj te rešitve. Ne pa zavajat poslovne uporabnike, da bo čisto dovolj, če uporabijo deset let staro tehnologijo in si izmislijo lepo varnostno politiko.
Katero malo podjetje pa ima danes izdelano varnostno politiko? Pa da je še zapisana na papirju?

OmegaBlue ::

prosim nehaj se zavestno sprenevedati.

Works both ways.

Varnostna politika je bullshit, če ni enfocementa.

In jaz sem napisal kaj drugače recmo?
Najprej potrebuješ čisto varnostno politiko in ljudi, ki jo bodo enforcali.

Aja ne :/ šment

O tem, če je potrebna 'odločba' za vpogled v podatke očitno nisi ravno najbolj kompetenten. Podatki so se sporazumno izmenjali med ISP in lastnikom priključka. Pri tem se je šlo zgolj za manjši izvleček iz prometnih podatkov, ki so se tičali neželjene pošte, ne pa neke osebne korespondence zaposlenih. Skratka v povsem zakonitem okviru. Kako pa naj bi se po tvoje reševali tovrstni problemi, če si nebi smel izmenjevati tovrstnih podatkov z ISPjem?


ISP na zahtevno stranke seveda to lahko izroči, ima tudi zakonsko podlago (retencijski zakoni), ki mu omogočajo in dovoljujejo(obvezujejo) imeti te podatke. Ti po drugi strani kot pravna oseba nimaš kaj šnjofat za korespondenco, tudi from-to headerjem svojih zaposljenih. Daj prosim povej kje delaš, da se te ognem v velikem krogu.

Tvoja izjava, da bi po moje 'takšno rešitev potrebovala sleherna družina' je zopet bedno podtikanje. Že uvodoma sem potegnil strogo ločnico med poslovnimi in zasebnimi (domačimi) omrežji.

Samo potem ne bodo varni na internetu. Enivej, a zato priletiš ven z rešitvami izven priceranga v temi kjer človek išče domač router? Ker je ločeno pa to. Ali SOHO ne kvalificira za "manjše podjetje".

Razlika med routerji in požarnimi pregradami, pa je kljub tvojemu prepričanju, da temu ni tako, še vedno gromozanska. Razen če govorimo o kvazi routerjih, ki imajo vgrajeno neko osnovno filtriranje, ali kvazi požarnih pregradah, ki podpirajo osnovne funkcije routerjev.

Aha potem praviš da niso to čisto ločene stvari, super, gremo naprej.

Katero malo podjetje pa ima danes izdelano varnostno politiko? Pa da je še zapisana na papirju?

Malo katero, to je problem (beri zgoraj). Rešitev tega problema pa nikakor ni "next gen" firewall. Če nič drugega jim daje false sense of security.
Never attribute to malice that which can be adequately explained by stupidity.

trnvpeti ::

no, lepo sva se strinjala, da niti mikrotika ne rabim

torej, kaj je še ostalo odprtega?

NeMeTko ::

OmegaBlue je izjavil:

Malo katero, to je problem (beri zgoraj). Rešitev tega problema pa nikakor ni "next gen" firewall. Če nič drugega jim daje false sense of security.


Torej smo spet tam, kjer smo začeli - postavi spodoben switch, pa ne bo govora o false sense of security, cena ugodna, hitrost pa maksimalna.

Še vedno ne kapiraš, da to, kar ti govoriš, poenostavlja zadeve točno na ta nivo, da bi bilo dovolj postaviti zgolj malo bolj spodoben switch?

Koneckoncev, če odmislimo ostale bonbončke (ki v bistvu le kompromitirajo varnost samega routerja), črtamo pppoe, NAT in wireless, pridem že skoraj na nivo ki ga zmore malo boljši switch.

Po tvoje očitno velja takointako prepovedati vse firewalle, ker ustvarjajo false sense of security?

Ljudje božji, pa kdaj boste že priznali, da je nek routerboard in razni Tomato, dd-wrt in podobno namenjeno domači rabi, hobbyju in učenju osnov, da se potem lažje lotiš česa, kar je 'korak višje', ker bolje razumeš, kaj se skriva izza tehnologije? Stvari so super za domače okolje, ker ti omogočajo določene funkcionalnosti, ki ti sicer nebi bile na voljo. Lahko eksperimentiraš do onemoglosti, nameščaš komponente, ki jih zvlečeš z neta, se mučiš z nameščanjem in se pri tem naučiš tisoč in eno stvar.

Tudi sicer ni z mikrotiki nič narobe - krasna hitra in poceni tehnologija - če jo uporabljaš kot basic ROUTER in ne kot FIREWALL.

Kljub temu pa vse te 'domače' rešitve skrivajo eno veliko past, zaradi česar ne sodijo v poslovna omrežja: na njih tečejo komponente, ki niso preverjene po nobenem varnostnem standardu, upravljalec nanje namešča stvari, ki so lahko tudi iz nepreverjenih virov in na koncu lahko kompromitirajo varnost omrežja. Nadgradnje so bolj ali manj sporadične, redko v roku nekaj dni ali vsaj meseca od odkritja varnostne luknje v kateri od komponent, za določene platforme pa očitno že nekaj let ni bilo novih verzij.
Rešitev, ki ima takšne karakteristike, pade skozi VSAKO RESNO varnostno politiko podjetja kot neustrezna za zaščito perimetra.

Zgodovina sprememb…

  • spremenil: NeMeTko ()

b3D_950 ::

To z varnostjo lahko vrtiš do onemoglosti in na koncu ugotoviš, da je še toliko enih vektorjev, ki jih z eno škatlo enostavno ne rešiš. :)

Sicer pa sam ogromno uporabljam HID sisteme na mašinah. Ni ravno enostavno za nastavit, je pa zato zelo prilagodljivo.
Zdaj ko je mir, jemo samo krompir.

trnvpeti ::

a cisco firewall je v redu?

NeMeTko ::

trnvpeti je izjavil:

a cisco firewall je v redu?


Saj vidiš, da ima vsakdo drugačne kriterije za to, kaj je v redu in kaj ni.

Takointako pa je vse odvisno od konkretnega namena za kaj potrebuješ rešitev. Tudi mesar ima različne nože za filetiranje in razkosavanje.

Ti samo sprašuješ, kaj je v redu. V redu v bistvu ni nobena rešitev - imaš le bolj ali manj optimalne rešitve. Takšne, ki ti pokrivajo varnost v širšem ali ožjem spektru, za nižjo ali višjo ceno, ki vključujejo več ali manj orodij, kjer moraš več dokupiti, ali pa že vse dobiš v paketu.

Če sprašuješ kaj je optimalno, potem pa najprej navedi kje potrebuješ rešitev in kaj od nje pričakuješ kot minimum, kaj pa so tvoje pobožne želje, da bi ta rešitev še vključevala (pa ne mislim na kuhanje kave). Povej kakšen budget imaš na voljo, potem se pa lahko začne tuhtati, kaj je v redu ali ne.

Morda bi bilo zanimivo sestaviti nekakšen 'ideal feature list', pa videti, kaj je pravzaprav tehnološko na voljo in kaj od tega nekdo konkretno potrebuje - in koliko to potem dejansko stane. Problem pri 'feature-ih' je v tem, da se določene osebe nekaterih feature-ov bojijo kot hudič križa. V bistvu pa ne vedo zares povedati zakaj, edino kar znajo argumentirati je to, da lahko pride do zlorab (me res zanima, kaj počnejo na šihtu, da jih je tako strah!).

Vsak napredek lahko prinaša zlorabe, že sama klasična telefonija omogoča, da se priklopiš, pa prisluškuješ. Pa se zato odpovemo telefoniranju? Na vsaki telefonski centrali se beležijo klici, pa zato ne hodimo centrale polivat z žegnano vodo? Vsak mail strežnik vodi log o posredovanju sporočil, potem pa delajo cirkus, če te iste podatke zabeleži tudi požarna pregrada? Kaj če bi prepovedali tudi spremljanje prihodov in odhodov z dela - mar niso tudi to osebni podatki?

trnvpeti ::

Napisal si,da mikrotik firewall ni ok,router pa.
Ce napises za fw del, pol lahko komentirasmtudi cisco fw del.
Ali,lahko?

NeMeTko ::

Vzemi v roke Cisco cenik, pa začni seštevati vse opcije, ki jih nudijo, da sestaviš po njihovem mnenju 'optimalni firewall'. Ko boš naredil seštevek, si pa sam odgovori, če je ok ali ni (pa ne mislim, tisti poenostavljeni cenik, temveč onega, kjer so navedene vse opcije in nadgradnje!)

Zgodovina sprememb…

  • spremenil: NeMeTko ()

trnvpeti ::

Komentiral si mikrotik fw del,cisco pa ne?
Ni bilo vprasanje glede cen.

NeMeTko ::

Mislim, da sem že dosti povedal s tem, da Cisco prodaja 'oskubljen' sistem, za katerega nato ponuja cel niz dodatnih opcij in storitev, da bi nekako zaokrožili zgodbo.
Večina uporabnikov na koncu obsedi na osnovnem, 'oskubljenem' sistemu, kar tudi ni ravno optimum od varnosti, mar ne?
Nove ASA rešitve so že v osnovi nekoliko boljše, stare klasične ASA rešitve pa...... zakaj misliš, da so dali na trg nove verzije? Samo poglej datasheet in preveri prepustnost ASA5505 - s 150Mbps ga bo kmalu odnesel vsak malo boljši home router in to pri ceni (dodaj še servise, pa AIP-SSM), ki gre dobesedno v nebo.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

PFsense vs Sonic Wall (strani: 1 2 )

Oddelek: Informacijska varnost
8318338 (14989) Blisk
»

Več IP naslovov

Oddelek: Omrežja in internet
347018 (6032) Bakunin
»

Majhen router z OpenVPN podporo

Oddelek: Kaj kupiti
415935 (5105) AndrejO
»

VPN in oddaljene pisarne (strani: 1 2 )

Oddelek: Omrežja in internet
6813858 (12192) SeMiNeSanja
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10722770 (19747) NeMeTko

Več podobnih tem