Forum » Kaj kupiti » Ruter z 4x1Gbps LAN porti in VPN podporo
Ruter z 4x1Gbps LAN porti in VPN podporo
Daedalus ::
@trnvpeti - poglej si on Untangle link, ki sem ga dal. Good enougn, imho. Če pa hočeš, pa lahko tudi tam zapraviš nekaj €, za boljši občutek.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
trnvpeti ::
ne govorimo o propustnosti
o fw segmentu torej
torej ne mores dati komentarja na cisco fw del?
kje bistveno se razlikujejo stari del fw pri ciscu, in novejsi?
ne se spuscati na dodatne servise, ampak na fw del
o fw segmentu torej
torej ne mores dati komentarja na cisco fw del?
kje bistveno se razlikujejo stari del fw pri ciscu, in novejsi?
ne se spuscati na dodatne servise, ampak na fw del
NeMeTko ::
@trnvpeti - nehaj mutiti - več kot očitno imaš svoje mnenje o Ciscu in zdaj mene provociraš, da naj mojega povem, da boš lahko 'pameten'. Nekako mi ta tvoj pristop ni všeč. Seveda imam svoje mnenje o Cisco ASA tehnologiji, koneckoncev sem že povedal, da ni bila več konkurenčna, zaradi česar so šli v obnovo ASA proizvodov. Čeprav novi ASA proizvodi na prvi pogled izgledajo cool, pa pri bolj podrobnem ogledu ugotoviš, da brez doplačil v bistvu nisi dobil kaj dosti več, kot pri starih ASA napravah - razen bistveno višje prepustnosti in seveda nadgradljivosti. V osnovnem paketu dobiš še vedno samo SPI tehnologijo, za malo bolj poglobljen nadzor prometa pa moraš že posegati po dodatnih servisih. Je pa velika prednost, da ne rabiš več kupovati posebnih dragih kartic, da bi naprava zmogla IPS ali antivirus.
Vsekakor imaš določene funkcije, kjer je Cisco močen, imaš pa tudi niz funkcionalnosti, ki jo boš na Ciscu zaman iskal. Odvisno od okolja, kamor stvar postaviš, je to lahko prednost ali pa pomanjkljivost.
V velikem podjetju, kjer imajo postavljenih več namenskih rešitev (ločen IPS, antispam,...) marsikatero pomanjkljivost takointako rešuješ na neki drugi rešitvi. V malem podjetju, kjer rabiš čimbolj kompaktno rešitev tipa 'švicarski nož', pa znajo pomanjkljivosti postati problematične.
Seveda pa je tako, da nekdo, ki ni nikoli delal na ničemur drugem, kot na Cisco ASA napravah, te pomanjkljivosti ne bo niti videl, saj se je navadil, da stvari pač take so in se s tem ne obremenjuje. Podobno, kot če si vajen jesti nesoljeno hrano - sol ne pogrešaš in niti ne veš, kaj bi z njo. Če si pa vajen soljene in enkrat dobiš neslano na mizo, ti pa definitivno nekaj manjka.
Vsekakor imaš določene funkcije, kjer je Cisco močen, imaš pa tudi niz funkcionalnosti, ki jo boš na Ciscu zaman iskal. Odvisno od okolja, kamor stvar postaviš, je to lahko prednost ali pa pomanjkljivost.
V velikem podjetju, kjer imajo postavljenih več namenskih rešitev (ločen IPS, antispam,...) marsikatero pomanjkljivost takointako rešuješ na neki drugi rešitvi. V malem podjetju, kjer rabiš čimbolj kompaktno rešitev tipa 'švicarski nož', pa znajo pomanjkljivosti postati problematične.
Seveda pa je tako, da nekdo, ki ni nikoli delal na ničemur drugem, kot na Cisco ASA napravah, te pomanjkljivosti ne bo niti videl, saj se je navadil, da stvari pač take so in se s tem ne obremenjuje. Podobno, kot če si vajen jesti nesoljeno hrano - sol ne pogrešaš in niti ne veš, kaj bi z njo. Če si pa vajen soljene in enkrat dobiš neslano na mizo, ti pa definitivno nekaj manjka.
trnvpeti ::
nemetko, kje sem jz mutil?
torej smo dali skozi analizo in fw del
analiziramo lahko tudi brez router/fw
torej zakljucek: mikrotik ne vpliva na analiziranje
tudi za fw del si napisal, da za kaj bolj poglobljeno rabis dodatne servise
da novi in stari asa pri fw dela se ne razlikuje dosti
za kaj vecjo propustnost pa rabimo drugo opremo
zdaj ce se vrnem na tvojo zgodbico o mikro podjetju
ne razumem, kje je tvoja resitev za 1000+ eur prisla do izraza
analizo smo dali skozi, fw del tudi
torej sem rahlo zmeden, in ne vidim, kaj si tocno resil s tvojo resitvijo?
imeli so problem z smtp delom
z analizo niste nasli problema
glede fw dela tudi nisi napisal,kaj tocno je bilo
samo namignil si, da ste pac vse zaprli, in pocasi odpirali
torej moras razloziti, kje sem mutil, pa kako konkretno na primeru ste resili, da lahko gre debata naprej
torej smo dali skozi analizo in fw del
analiziramo lahko tudi brez router/fw
torej zakljucek: mikrotik ne vpliva na analiziranje
tudi za fw del si napisal, da za kaj bolj poglobljeno rabis dodatne servise
da novi in stari asa pri fw dela se ne razlikuje dosti
za kaj vecjo propustnost pa rabimo drugo opremo
zdaj ce se vrnem na tvojo zgodbico o mikro podjetju
ne razumem, kje je tvoja resitev za 1000+ eur prisla do izraza
analizo smo dali skozi, fw del tudi
torej sem rahlo zmeden, in ne vidim, kaj si tocno resil s tvojo resitvijo?
imeli so problem z smtp delom
z analizo niste nasli problema
glede fw dela tudi nisi napisal,kaj tocno je bilo
samo namignil si, da ste pac vse zaprli, in pocasi odpirali
torej moras razloziti, kje sem mutil, pa kako konkretno na primeru ste resili, da lahko gre debata naprej
NeMeTko ::
Narobe si razumel.
Nič nismo zaprli in potem počasi odpirali. SMTP potrebujejo in je bil ves čas odprt. Preventivno smo blokirali smo le maile, ki bi imeli v to: headerju *@aol.com (od koder so prihajala not deliverable sporočila) in vključili antispam filter na outgoing mailu.
Istočasno smo v REAL TIME (nič tekstovnega iskanja po logih!) gledali, če se vzpostavljajo ali blokirajo kakšne outgoing SMTP povezave. Če bi se, bi videli tudi na katere naslove so se pošiljali maili. Da bi imeli te podatke tudi shranjene, smo vzpostavili tudi logiranje (v sql database in ne v syslog txt datoteko).
Zdaj mi pa ti povej, kaj od tega lahko narediš na Mikrotiku z orodji, ki so ob nakupu priložena in kaj od tega ne moreš naresti na mikrotiku niti če sam namestiš dodatke, ki jih napraskaš po internetu.
Verjemi - razlika JE. Drugače nebi bil nihče pripravljen plačati konkretne zneske za tovrstne rešitve.
Nič nismo zaprli in potem počasi odpirali. SMTP potrebujejo in je bil ves čas odprt. Preventivno smo blokirali smo le maile, ki bi imeli v to: headerju *@aol.com (od koder so prihajala not deliverable sporočila) in vključili antispam filter na outgoing mailu.
Istočasno smo v REAL TIME (nič tekstovnega iskanja po logih!) gledali, če se vzpostavljajo ali blokirajo kakšne outgoing SMTP povezave. Če bi se, bi videli tudi na katere naslove so se pošiljali maili. Da bi imeli te podatke tudi shranjene, smo vzpostavili tudi logiranje (v sql database in ne v syslog txt datoteko).
Zdaj mi pa ti povej, kaj od tega lahko narediš na Mikrotiku z orodji, ki so ob nakupu priložena in kaj od tega ne moreš naresti na mikrotiku niti če sam namestiš dodatke, ki jih napraskaš po internetu.
Verjemi - razlika JE. Drugače nebi bil nihče pripravljen plačati konkretne zneske za tovrstne rešitve.
Daedalus ::
Zdaj mi pa ti povej, kaj od tega lahko narediš na Mikrotiku z orodji, ki so ob nakupu priložena in kaj od tega ne moreš naresti na mikrotiku niti če sam namestiš dodatke, ki jih napraskaš po internetu.
V primeru težav grem ponavadi gledat in filtrirat real time connection monitor, ki pride z vsakim Mikrotikom.
Če bi htel pa mail headerje blokirat - bi to moglo zadostovati.
Če prav razumem sicer, je v tvojem anekdotičnem primeru mail server čepel v omrežju stranke. Se pravi, blokiraš ves outgoing SMTP, razen za server in greš pogledat v server log, kateri uporabnik pošilja ven maile @aol.com?
tail -f /var/log/mail.log | grep '\@aol'
Če sem prav razumel, za to ne rabiš ne vem kakega firewalla...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Spock83 ::
Kaj smtp je na 25 portu? A je sploh kakšen SSL/TLS na vašem strežniku?
Zgodovina sprememb…
- spremenil: Spock83 ()
NeMeTko ::
Če prav razumem sicer, je v tvojem anekdotičnem primeru mail server čepel v omrežju stranke. Se pravi, blokiraš ves outgoing SMTP, razen za server in greš pogledat v server log, kateri uporabnik pošilja ven maile @aol.com?
Mail server je pri providerju. Torej ti ne nuca mail.log, niti providerjev, ker takointako kaže samo na zunanjo adreso mreže.
From naslov pa je bil generični info@____ , ki ga uporabljajo vsi (poleg poimenskih naslovov).
Kaj smtp je na 25 portu? A je sploh kakšen SSL/TLS na vašem strežniku?
Ponavadi je smtp na portu 25 (imaš tudi izjeme...)
Zgodovina sprememb…
- spremenil: NeMeTko ()
Daedalus ::
Mail server je pri providerju. Torej ti ne nuca mail.log, niti providerjev, ker takointako kaže samo na zunanjo adreso mreže.
From naslov pa je bil generični info@____ , ki ga uporabljajo vsi (poleg poimenskih naslovov).
Ok, razumem. Se pravi, connection monitor + L7 based filer... pa ga vloviš. Tudi z Mikrotikom.
Plus, mail provider bi moral zahtevati avtentikacijo uporabnika. Precej nespametno je takole odpreti port 25 na golo zaupanje do nekega omrežja, kjer nimaš neposredne kontrole nad clienti.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Zgodovina sprememb…
- spremenilo: Daedalus ()
NeMeTko ::
mhm... out of the box, brez poglobljenega znanja sistema, zmore vsak Janez Novak 15 minut po razpakiranju zadeve?
Daedalus ::
mhm... out of the box, brez poglobljenega znanja sistema, zmore vsak Janez Novak 15 minut po razpakiranju zadeve?
Brez ne čisto trivialnega znanje o networku, tega Janez Novak ne zmore. Niti s tvojo uber-stupid-user-frendly opremo ne. Ker pač ne razume, kaj se dogaja. Ko pa enkrat razumeš, maš pa samo še orodja, ki zahtevajo nekaj več privajanja in ona, ki ga ne. In ta druga so ponavadi tudi manj fleksibilna.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
NeMeTko ::
@Daedalus - če imaš odprt sistem, na katerem v bistvu teče Linux, lahko nanj namestiš več ali manj poljubno dodatno programje, s pomočjo katerega bi lahko stvar pripravil malodane tudi do kuhanja kave. Vendar je to 'eksperimentalni' pristop in ne produkcijski, hkrati pa meji na primerjanje hrušk in banan. Točno veš, da tak sistem zlepa nebi preživel ICSA, EAL ali FIPS certifikacije.
Na drugi strani imaš zaprte certificirane sisteme, ki zmorejo izključno to, kar dobiš out of the box, ali pa lahko pri proizvajalcu dokupiš kot opcijo.
V tem primeru so vse komponente preverjene in med seboj usklajene, ne potrebuješ niti 5% tistega znanja, ki ga rabiš na odprtem sistemu, da nekako skombiniraš dodatno kodo, ki jo poiščeš na netu. Če bi ovrednotil svoje znanje z realno ceno in seštel vse ure, ki jih potrebuješ, da stvar out of the box pripraviš do primerljive funkcionalnosti, bo ta reč prišla bistveno dražje, ali pa v najboljšem primeru tam nekje v rangu komercialne rešitve - pa še vedno ne bo certificirana po nobenem standardu.
Če to delaš zase, ljubiteljsko, s tem ni nič narobe. Nasprotno - stvar je pohvalna v vsakem pogledu. Da pa to postavljaš v neko podjetje za prvo obrambno linijo, je pa tudi rizik za postavljalca, saj se na koncu lahko še celo soočiš s tožbo podjetja, če pride do vdora in ti dokažejo, da tvoja 'doma spacana' rešitev ni odigrala vloge, ki bi jo morala, ali pa bognedaj, da je kompromitacijo šele omogočila.
Po drugi strani pa tudi v podjetjih na notranjih omrežjih kdaj potrebujemo dodatne varnostne naprave. Odvisno od narave potreb, je lahko v takem scenariju nek mikrotik idealna poceni rešitev, saj ponavadi zahteve na tem nivoju niso tako stroge.
Res ne vem, zakaj je tako teško razumeti, da ni vsaka rešitev primerna za vsako okolje. Tako, kot ne greš z avtom orati njivo, ali s traktorjem na cestne dirke. Obstajajo določeni mednarodno uveljavljeni standardi, ki jih preprosto ne moreš zadovoljiti z odprtimi rešitvami že iz samega osnovnega razloga - ker so ODPRTI in se na takem sistemu mimogrede znajde nekaj, kar ima lahko gromozansko varnostno luknjo. Roko na srce - kako pa prilagajaš tak odprti sistem? Imaš določen problem, ki ga ne moreš rešiti s sistemom kakršen je in greš po forumih iskati možne rešitve in dodatke. Najdeš eden, dva namiga možne rešitve, si potegneš dol kodo in jo namestiš. Pri tem redko veš, kdo je to reč programiral, koliko je stara, če je 'vodotesna'. Več, ko takih dodatkov namestiš, več imaš možnosti, da se vmes znajde kakšno gnilo jajce. Če to delam zase, bog pomagaj, shit happens. Če pa to delaš za stranko ali podjetje, pa je to na nek način neodgovorno in amatersko.
Na drugi strani imaš zaprte certificirane sisteme, ki zmorejo izključno to, kar dobiš out of the box, ali pa lahko pri proizvajalcu dokupiš kot opcijo.
V tem primeru so vse komponente preverjene in med seboj usklajene, ne potrebuješ niti 5% tistega znanja, ki ga rabiš na odprtem sistemu, da nekako skombiniraš dodatno kodo, ki jo poiščeš na netu. Če bi ovrednotil svoje znanje z realno ceno in seštel vse ure, ki jih potrebuješ, da stvar out of the box pripraviš do primerljive funkcionalnosti, bo ta reč prišla bistveno dražje, ali pa v najboljšem primeru tam nekje v rangu komercialne rešitve - pa še vedno ne bo certificirana po nobenem standardu.
Če to delaš zase, ljubiteljsko, s tem ni nič narobe. Nasprotno - stvar je pohvalna v vsakem pogledu. Da pa to postavljaš v neko podjetje za prvo obrambno linijo, je pa tudi rizik za postavljalca, saj se na koncu lahko še celo soočiš s tožbo podjetja, če pride do vdora in ti dokažejo, da tvoja 'doma spacana' rešitev ni odigrala vloge, ki bi jo morala, ali pa bognedaj, da je kompromitacijo šele omogočila.
Po drugi strani pa tudi v podjetjih na notranjih omrežjih kdaj potrebujemo dodatne varnostne naprave. Odvisno od narave potreb, je lahko v takem scenariju nek mikrotik idealna poceni rešitev, saj ponavadi zahteve na tem nivoju niso tako stroge.
Res ne vem, zakaj je tako teško razumeti, da ni vsaka rešitev primerna za vsako okolje. Tako, kot ne greš z avtom orati njivo, ali s traktorjem na cestne dirke. Obstajajo določeni mednarodno uveljavljeni standardi, ki jih preprosto ne moreš zadovoljiti z odprtimi rešitvami že iz samega osnovnega razloga - ker so ODPRTI in se na takem sistemu mimogrede znajde nekaj, kar ima lahko gromozansko varnostno luknjo. Roko na srce - kako pa prilagajaš tak odprti sistem? Imaš določen problem, ki ga ne moreš rešiti s sistemom kakršen je in greš po forumih iskati možne rešitve in dodatke. Najdeš eden, dva namiga možne rešitve, si potegneš dol kodo in jo namestiš. Pri tem redko veš, kdo je to reč programiral, koliko je stara, če je 'vodotesna'. Več, ko takih dodatkov namestiš, več imaš možnosti, da se vmes znajde kakšno gnilo jajce. Če to delam zase, bog pomagaj, shit happens. Če pa to delaš za stranko ali podjetje, pa je to na nek način neodgovorno in amatersko.
Daedalus ::
@NeMeTko - sej razumem tvojo poanto. Sam, v osnovi si me vprašal, če MT omogoča tak in tak pristop k reševanju težav. In sem ti pač odgovoril, da ga. Z built in orodji, ni treba ničesar hekat gor.
V kakšnih SOHO okoljih je to čisto spodobna rešitev. Večja in bolj standardizirana okolja pa imajo pač drugačna pravila.
V kakšnih SOHO okoljih je to čisto spodobna rešitev. Večja in bolj standardizirana okolja pa imajo pač drugačna pravila.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
b3D_950 ::
Gromozanske lukne imajo Windowsi, pa so zaprti in narejeni standardih in začuda gor laufajo razni stuxneti, boti ipd. sranje, za katerega moraš potem kupit za 1000€ ngn firewall, da jih kao rešuješ. T.i. Janezki si še potem kokice nabavijo in gledajo grafke.
Zdaj ko je mir, jemo samo krompir.
NeMeTko ::
@Daedalus - tudi SOHO okolja postajajo zahtevnejša - v okviru svojih finančnih zmožnosti.
Dokler se gre za enega, do tri zaposlene, se v začetni fazi zagotovo ne obremenjuješ preveč in zavestno sprejmeš rizik da bo morda tudi kdaj kaj šlo narobe in oceniš, da morebitna škoda ne presega vrednosti, ki bi opravičila nakupa neke rešitve, ki stane več kot 100€.
Vendar tudi takšno okolje lahko z leti začne ugotavljati, da rešitev za 100€ ni tisto, kar bi jih zadovoljilo. Se soočajo s kakšnimi problemčki, ko se zadeva 'zašteka', pa potem morajo klicati nekoga, da preveri kaj se dogaja, itd. itd. Ko na koncu seštejejo koliko časa so izgubili zaradi 'drobnih sitnosti', ugotovijo, da jih je tista rešitev v bistvu stala več kot le 100€. Če se potem občasno dogajajo še 'čudne reči', ki jih ne zmore nihče pojasniti, pa je dokaj logično, da bo tudi troglava ekipa začela razmišljati o neki malo bolj zanesljivi varianti, pa tudi če jih bo stala 600€ ali še kaj več.
Nesramno pa je, če potem nekdo trdi, da si nekoga po domače povedano 'nategnil', ker si mu prodal high-end rešitev, ko je enkrat imel dovolj teh 'drobnih nevšečnosti'.
Dokler se gre za enega, do tri zaposlene, se v začetni fazi zagotovo ne obremenjuješ preveč in zavestno sprejmeš rizik da bo morda tudi kdaj kaj šlo narobe in oceniš, da morebitna škoda ne presega vrednosti, ki bi opravičila nakupa neke rešitve, ki stane več kot 100€.
Vendar tudi takšno okolje lahko z leti začne ugotavljati, da rešitev za 100€ ni tisto, kar bi jih zadovoljilo. Se soočajo s kakšnimi problemčki, ko se zadeva 'zašteka', pa potem morajo klicati nekoga, da preveri kaj se dogaja, itd. itd. Ko na koncu seštejejo koliko časa so izgubili zaradi 'drobnih sitnosti', ugotovijo, da jih je tista rešitev v bistvu stala več kot le 100€. Če se potem občasno dogajajo še 'čudne reči', ki jih ne zmore nihče pojasniti, pa je dokaj logično, da bo tudi troglava ekipa začela razmišljati o neki malo bolj zanesljivi varianti, pa tudi če jih bo stala 600€ ali še kaj več.
Nesramno pa je, če potem nekdo trdi, da si nekoga po domače povedano 'nategnil', ker si mu prodal high-end rešitev, ko je enkrat imel dovolj teh 'drobnih nevšečnosti'.
NeMeTko ::
@rb750 - Windowsi so vse kaj drugega, kot zaprti, saj nanje lahko namestiš kar ti srce poželi. Če govorim o zaprtem sistemu, je to sistem, na katerega ne moreš namestiti NIČESAR, kar ni 'požegnano' od proizvajalca sistema.
Kokice v roke in grafe gledat je morda zanimivo prve dve uri, potem se pa vsak vrne nazaj na delo in pogleda grafe le še takrat, ko jih mora, ker se nekaj čudno obnaša na mreži. Če poznaš koga z drugačnimi nagnjenji, pa mu prosim predlagaj obisk kakšnega psihologa.
Kokice v roke in grafe gledat je morda zanimivo prve dve uri, potem se pa vsak vrne nazaj na delo in pogleda grafe le še takrat, ko jih mora, ker se nekaj čudno obnaša na mreži. Če poznaš koga z drugačnimi nagnjenji, pa mu prosim predlagaj obisk kakšnega psihologa.
jukoz ::
@Daedalus - če imaš odprt sistem, na katerem v bistvu teče Linux, lahko nanj namestiš več ali manj poljubno dodatno programje, s pomočjo katerega bi lahko stvar pripravil malodane tudi do kuhanja kave. Vendar je to 'eksperimentalni' pristop in ne produkcijski, hkrati pa meji na primerjanje hrušk in banan. Točno veš, da tak sistem zlepa nebi preživel ICSA, EAL ali FIPS certifikacije.
Na drugi strani imaš zaprte certificirane sisteme, ki zmorejo izključno to, kar dobiš out of the box, ali pa lahko pri proizvajalcu dokupiš kot opcijo.
V tem primeru so vse komponente preverjene in med seboj usklajene, ne potrebuješ niti 5% tistega znanja, ki ga rabiš na odprtem sistemu, da nekako skombiniraš dodatno kodo, ki jo poiščeš na netu. Če bi ovrednotil svoje znanje z realno ceno in seštel vse ure, ki jih potrebuješ, da stvar out of the box pripraviš do primerljive funkcionalnosti, bo ta reč prišla bistveno dražje, ali pa v najboljšem primeru tam nekje v rangu komercialne rešitve - pa še vedno ne bo certificirana po nobenem standardu.
Če to delaš zase, ljubiteljsko, s tem ni nič narobe. Nasprotno - stvar je pohvalna v vsakem pogledu. Da pa to postavljaš v neko podjetje za prvo obrambno linijo, je pa tudi rizik za postavljalca, saj se na koncu lahko še celo soočiš s tožbo podjetja, če pride do vdora in ti dokažejo, da tvoja 'doma spacana' rešitev ni odigrala vloge, ki bi jo morala, ali pa bognedaj, da je kompromitacijo šele omogočila.
Po drugi strani pa tudi v podjetjih na notranjih omrežjih kdaj potrebujemo dodatne varnostne naprave. Odvisno od narave potreb, je lahko v takem scenariju nek mikrotik idealna poceni rešitev, saj ponavadi zahteve na tem nivoju niso tako stroge.
Res ne vem, zakaj je tako teško razumeti, da ni vsaka rešitev primerna za vsako okolje. Tako, kot ne greš z avtom orati njivo, ali s traktorjem na cestne dirke. Obstajajo določeni mednarodno uveljavljeni standardi, ki jih preprosto ne moreš zadovoljiti z odprtimi rešitvami že iz samega osnovnega razloga - ker so ODPRTI in se na takem sistemu mimogrede znajde nekaj, kar ima lahko gromozansko varnostno luknjo. Roko na srce - kako pa prilagajaš tak odprti sistem? Imaš določen problem, ki ga ne moreš rešiti s sistemom kakršen je in greš po forumih iskati možne rešitve in dodatke. Najdeš eden, dva namiga možne rešitve, si potegneš dol kodo in jo namestiš. Pri tem redko veš, kdo je to reč programiral, koliko je stara, če je 'vodotesna'. Več, ko takih dodatkov namestiš, več imaš možnosti, da se vmes znajde kakšno gnilo jajce. Če to delam zase, bog pomagaj, shit happens. Če pa to delaš za stranko ali podjetje, pa je to na nek način neodgovorno in amatersko.
Hm, sicer nimam primerov iz networking okolja, ti pa lahko dam kar nekaj primerov iz avtomatizacije, kjer raznorazne certificirane zadeve velikih proizvajalcev ne delujejo tako kot morajo. Pa jih nekako nihče ne gre tožit zaradi tega (vsaj ne v Sloveniji oz slo firme). Zakaj? Zato ker je to pač siemens/abb/katerakolifirmažepač in tako pač delajo.
Pri mrežni opremi pa ni nič drugače. Če mi zlikovci vdrejo v omrežje preko cisco* opreme bom naredil kaj? Tožil cisco? Mam pol rajši "doma spacane" linux/bsd rešitve, ki jih nek admin redno spremlja in odpravlja bug-e kot pa da čakam da nekdo najde exploit v ciscotu in vdre v vse inštalacije na svetu na isti način. Poleg tega lahko tistega admina ki mi je postavil "doma spacan" fw/karkoližepač naderem kaj hudiča mi je prodal. Za dušo to zelo pomaga, če ne drugega.
Sicer pa, vzemimo iranske centrifuge: kaj so rekli iz siemensa? Ne bomo odpravljali napak. Pa ni napaka v delovanju krmilnikov, temveč v komunikaciji krmilnikov in nadzornih sistemov.
* cisco, janipur/karkoližepač
Zgodovina sprememb…
- spremenilo: jukoz ()
NeMeTko ::
@jukoz - ravno tvoj primer z avtomatizacijo spada pod tisti del, za katerega trdim, da zna kakšen mikrotik povsem zadovoljiti potrebe.
Če imaš kolikortoliko pametno postavljeno proizvodnjo, imaš njeno mrežo ločeno od poslovnega omrežja. Za to ločitev v 90% slučajev zadošča kakšen mikrotik ali podoben sistem.
Kadar govorimo o avtomatizaciji, se lahko srečujemo z banalnimi problemi, ki imajo lahko hude posledice. Dovolj je že, da nekdo po nesreči enemu računalniku podeli isti IP, kot ga uporablja katera od komponent v avtomatizaciji, pa imaš lahko hude probleme in škodo (poznam stranko, ki ji je klet zalilo ravno zaradi podvojenega IP naslova, ki je povzročil, da se je nek ventil odprl na stežaj).
Če imaš kolikortoliko pametno postavljeno proizvodnjo, imaš njeno mrežo ločeno od poslovnega omrežja. Za to ločitev v 90% slučajev zadošča kakšen mikrotik ali podoben sistem.
Kadar govorimo o avtomatizaciji, se lahko srečujemo z banalnimi problemi, ki imajo lahko hude posledice. Dovolj je že, da nekdo po nesreči enemu računalniku podeli isti IP, kot ga uporablja katera od komponent v avtomatizaciji, pa imaš lahko hude probleme in škodo (poznam stranko, ki ji je klet zalilo ravno zaradi podvojenega IP naslova, ki je povzročil, da se je nek ventil odprl na stežaj).
jukoz ::
Če jim je zalilo klet je nekdo naredil mal preveč neumnosti. Podvojen IP ne more in ne sme vplivati na delovanje krmilnika - le nima povezave mora met kak rezervni režim v katerem bi moral vedeti kakšen je pretok in koliko časa je lahko odprt ta in ta ventil...
V praksi bolj vidim da se dogaja to, da se kupi neko opremo (krmilnike...) pri kateri se najde po n letih bug, ki ga proizvajalec ne odpravi. Dela se škoda, nepotrebne obrabe materiala itd, vzdrževalci/inžinirji/odgovorni pa v stilu "jah, to je pač ...(poljubni veliki proizvajalec opreme)". Nihče ne gre težit proizvajalcu.
In pri mrežni opremi ni nič drugače. Al pa pri proizvajalcih česarkolidrugega (moj primer - gsm se mi je obešal, odgovor s servisa: "bo treba vzeti v zakup da se ga vgasne 1x dnevno")
Kakorkoli, takšne ali drugačne certificirane naprave ne pomagajo ko pride do vdora. Treba je delati na aktivnem varovanju. To da kupiš cisco opremo (ali katerkokoli drugo, tudi "doma spacano"), jo namontiraš in pustiš naslednji 5 let pri miru ti ne pomaga nič. Redno je potrebno gledati kaj se dogaja tko na tvoji opremi kot širše, in odpravljati varnostne grožnje. Pri večini podjetji je problem v tem, da kupijo neko superduber zadevo, potem pa jo nihče ne pipa več. Če ne obvladajo svoje opreme, je potrebno nekoga najeti za to.
V praksi bolj vidim da se dogaja to, da se kupi neko opremo (krmilnike...) pri kateri se najde po n letih bug, ki ga proizvajalec ne odpravi. Dela se škoda, nepotrebne obrabe materiala itd, vzdrževalci/inžinirji/odgovorni pa v stilu "jah, to je pač ...(poljubni veliki proizvajalec opreme)". Nihče ne gre težit proizvajalcu.
In pri mrežni opremi ni nič drugače. Al pa pri proizvajalcih česarkolidrugega (moj primer - gsm se mi je obešal, odgovor s servisa: "bo treba vzeti v zakup da se ga vgasne 1x dnevno")
Kakorkoli, takšne ali drugačne certificirane naprave ne pomagajo ko pride do vdora. Treba je delati na aktivnem varovanju. To da kupiš cisco opremo (ali katerkokoli drugo, tudi "doma spacano"), jo namontiraš in pustiš naslednji 5 let pri miru ti ne pomaga nič. Redno je potrebno gledati kaj se dogaja tko na tvoji opremi kot širše, in odpravljati varnostne grožnje. Pri večini podjetji je problem v tem, da kupijo neko superduber zadevo, potem pa jo nihče ne pipa več. Če ne obvladajo svoje opreme, je potrebno nekoga najeti za to.
NeMeTko ::
@jukoz - spodobni proizvajalci imajo točno definiran 'end of life' za svoje proizvode. Pri nekaterih ta znaša 5 let od konca prodaje določenega proizvoda.
V tem primeru naj bi proizvajalec zagotavljal varnostne popravke in bugfixe (ne pa tudi nove funkcionalnosti), dokler proizvod ne doseže end of life datuma.
V praksi pa se srečujemo z kopico proizvodov, sploh če govorimo o 'potrošnem materialu', kot so npr. spletne kamere, miške, tiskalniki, skenerji, itd. pri katerih si lahko več kot srečen, če zanje proizvajalec uredi gonilnike za naslednjo verzijo Windowsov - četudi ti izidejo le leto dni po nakupu proizvoda. Sem recimo imel čudovit HP scanner, ki je prišel s super programom za skeniranje pod Windows XP, podpiral je celo OCR in podobno. Z naslednjimi Windowsi je bilo konec veselja. Na voljo si imel le še tisto bedno MS orodje za skeniranje, najbrž bi moral biti še vesel, da je bil skener vsaj tam podprt?
Ista zgodba je tudi z mobiteli in še marsičem. Prvenstveno to zavisi od vrste proizvodov, ki jih nek proizvajalec razvija. Če vsako leto vrže na trg eno ali celo dve novi verziji proizvoda A, potem mu bo v interesu, da njegovi zvesti kupci čimprej zamenjajo stari proizvod za novejšega, če je treba (in si to lahko privošči?) potem tudi s pomočjo opustitve podpore. Po drugi strani pa tak proizvajalec fizično ni več sposoben za vse stare generacije proizvodov pisati nove gonilnike. Nekje morajo naresti rez in opustiti podporo - na škodo uporabnikov.
Vendar ni vedno vse tako črno. Imaš tudi proizvajalce, zlasti na networking področju, ki ne mečejo vsako leto novo HW platformo na trg, temveč za eno platformo razvijajo software, dokler ne pridejo do fizičnih mej platforme in postane nadgradnja HW platforme neobhodna. Če tak ciklus traja 3-5 let, se na isti platformi odpravi večino hroščev, nekaj najbolj problematičnih zadnjih pa še potem v end of life ciklu.
Poleg tega imaš določene proizvajalce, ki se zavedajo te problematike in ponujajo nadgradnjo HW platforme po minimalni ceni (ali v okviru akcij celo zastonj), če redno plačuješ Maintenance.
Po moje so tu ogromne razlike med posameznimi proizvajalci. Najdeš vse - od popolne ignorance do uporabnikov, pa do skrajno fer odnosa.
Kar se tiče samega security področja, stvari danes vsekakor niso več tako preproste, kot so bile desetletje nazaj in marsikatero podjetje, ki nima svojega IT strokovnjaka nima druge izbire, kot da nekoga najame, da jim stvari pošlihta. V tujini marsikateri ISP ponuja poslovne pakete, ki vključujejo tudi požarno pregrado, njeno konfiguriranje in nadzor. Pri nas, pa pravijo, da na strani uporabnikov ni interesa za kaj takega (sem se že pogovarjal z več ISPji). Mar smo pri nas res toliko večji 'znalci' kot v tujini? Ali je vse skupaj strah pred previsoko ceno? Kolikšna pa bi sploh smela biti cena, da bi bila 'atraktivna' za malo podjetje? V Nemčiji te takšna storitev za malo podjetje stane cca. 50-100€/mesec. Če ima podjetje 10 zaposlenih, je 5€/zaposlenega/mesec preveč za spodobno varnost? Ob tem, da ne rabiš ničesar kupovati in kadarkoli lahko zamenjaš ponudnika?
V tem primeru naj bi proizvajalec zagotavljal varnostne popravke in bugfixe (ne pa tudi nove funkcionalnosti), dokler proizvod ne doseže end of life datuma.
V praksi pa se srečujemo z kopico proizvodov, sploh če govorimo o 'potrošnem materialu', kot so npr. spletne kamere, miške, tiskalniki, skenerji, itd. pri katerih si lahko več kot srečen, če zanje proizvajalec uredi gonilnike za naslednjo verzijo Windowsov - četudi ti izidejo le leto dni po nakupu proizvoda. Sem recimo imel čudovit HP scanner, ki je prišel s super programom za skeniranje pod Windows XP, podpiral je celo OCR in podobno. Z naslednjimi Windowsi je bilo konec veselja. Na voljo si imel le še tisto bedno MS orodje za skeniranje, najbrž bi moral biti še vesel, da je bil skener vsaj tam podprt?
Ista zgodba je tudi z mobiteli in še marsičem. Prvenstveno to zavisi od vrste proizvodov, ki jih nek proizvajalec razvija. Če vsako leto vrže na trg eno ali celo dve novi verziji proizvoda A, potem mu bo v interesu, da njegovi zvesti kupci čimprej zamenjajo stari proizvod za novejšega, če je treba (in si to lahko privošči?) potem tudi s pomočjo opustitve podpore. Po drugi strani pa tak proizvajalec fizično ni več sposoben za vse stare generacije proizvodov pisati nove gonilnike. Nekje morajo naresti rez in opustiti podporo - na škodo uporabnikov.
Vendar ni vedno vse tako črno. Imaš tudi proizvajalce, zlasti na networking področju, ki ne mečejo vsako leto novo HW platformo na trg, temveč za eno platformo razvijajo software, dokler ne pridejo do fizičnih mej platforme in postane nadgradnja HW platforme neobhodna. Če tak ciklus traja 3-5 let, se na isti platformi odpravi večino hroščev, nekaj najbolj problematičnih zadnjih pa še potem v end of life ciklu.
Poleg tega imaš določene proizvajalce, ki se zavedajo te problematike in ponujajo nadgradnjo HW platforme po minimalni ceni (ali v okviru akcij celo zastonj), če redno plačuješ Maintenance.
Po moje so tu ogromne razlike med posameznimi proizvajalci. Najdeš vse - od popolne ignorance do uporabnikov, pa do skrajno fer odnosa.
Kar se tiče samega security področja, stvari danes vsekakor niso več tako preproste, kot so bile desetletje nazaj in marsikatero podjetje, ki nima svojega IT strokovnjaka nima druge izbire, kot da nekoga najame, da jim stvari pošlihta. V tujini marsikateri ISP ponuja poslovne pakete, ki vključujejo tudi požarno pregrado, njeno konfiguriranje in nadzor. Pri nas, pa pravijo, da na strani uporabnikov ni interesa za kaj takega (sem se že pogovarjal z več ISPji). Mar smo pri nas res toliko večji 'znalci' kot v tujini? Ali je vse skupaj strah pred previsoko ceno? Kolikšna pa bi sploh smela biti cena, da bi bila 'atraktivna' za malo podjetje? V Nemčiji te takšna storitev za malo podjetje stane cca. 50-100€/mesec. Če ima podjetje 10 zaposlenih, je 5€/zaposlenega/mesec preveč za spodobno varnost? Ob tem, da ne rabiš ničesar kupovati in kadarkoli lahko zamenjaš ponudnika?
Tavher ::
Preden da se popolnoma skregate in predebatirate vse možno, bi bil tudi jaz vesel enostavnega odgovora na zastavljeno vprašanje. :)
Sam npr. bi rad preko Interneta povezal 3 ločena omrežja s samo nekaj PC-ji. Torej rad bi kupil 3 wireless routerje z možnostjo VPN, da bi potem lahko nastavil npr.:
- lokacija 1 bi imela IP-je od xxx.xxx.xxx.50-99
- lokacija 2 bi imela IP-je od xxx.xxx.xxx.100-149
- lokacija 3 bi imela IP-je od xxx.xxx.xxx.150-199
Vse 3 lokacije bi bile kot eno lokalno omrežje, vsak PC vidi vsakega.
Dovolj so 100MB porti, prometa ne bo veliko, željena stabilnost in čim nižja cena (do cca 100 EUR na KOM).
Hvala za pomoč in predloge!
Sam npr. bi rad preko Interneta povezal 3 ločena omrežja s samo nekaj PC-ji. Torej rad bi kupil 3 wireless routerje z možnostjo VPN, da bi potem lahko nastavil npr.:
- lokacija 1 bi imela IP-je od xxx.xxx.xxx.50-99
- lokacija 2 bi imela IP-je od xxx.xxx.xxx.100-149
- lokacija 3 bi imela IP-je od xxx.xxx.xxx.150-199
Vse 3 lokacije bi bile kot eno lokalno omrežje, vsak PC vidi vsakega.
Dovolj so 100MB porti, prometa ne bo veliko, željena stabilnost in čim nižja cena (do cca 100 EUR na KOM).
Hvala za pomoč in predloge!
NeMeTko ::
Teoretično bo to zmogel vsak spodoben router z IPSec podporo.
Bi ti pa odsvetoval tovrstno subnetanje, ker ni najbolj pregledno (moraš se igrati z netmaskami), hkrati pa samo s subnetanjem ne boš mogel uresničiti tvojih želja po razponu IP adres na posameznem podomrežju.
Če npr. razbiješ omrežje v C klasi na 4 subnete (/26), dobiš naslednje razpone:
xxx.xxx.xxx.1 - xxx.xxx.xxx.62
xxx.xxx.xxx.65 - xxx.xxx.xxx.126
xxx.xxx.xxx.129 - xxx.xxx.xxx.190
xxx.xxx.xxx.193 - xxx.xxx.xxx.254
Ta slika pa najbrž ne ustreza tvoji predstavi?
Tako ti priporočam, da se lotiš zadeve eno stopnico višje in na vsaki lokaciji vpelješ ločeno omrežje v C klasi, npr.:
- lokacija 1: 10.10.1.1 - 10.10.1.254
- lokacija 3: 10.10.2.1 - 10.10.2.254
- lokacija 2: 10.10.3.1 - 10.10.3.254
Zadeva je takoj bistveno preglednejša, mar ne?
Na čemu boš to na koncu implementiral in kako preprosto ali težavno (stabilno?) bo, pa zavisi od rešitve, ki jo boš izbral.
Dobro razmisli, kaj poleg samega VPN še potrebuješ oz. pričakuješ od routerja.
Če se gre za neko hobby omrežje se lahko odločiš za malo bolj soliden router, ki že podpira IPSec v firmware, ali se odločiš za nadgradnjo z dd-wrt in se malo pomatraš stvar na noge postaviti (ne bo kar takoj, če tega nisi nikoli delal).
V tem primeru nebi smel imeti težav zadevo izpeljati s stroški 100€/router (če sam namestiš stvari).
Če se gre za firmo, pa najprej preveri, koliko denarja ti dajo na voljo, da zadevo implementiraš. Kot lahko vidiš iz mojih stališč zgoraj, nisem pristaš rešitev za 100€ in imam za to tudi svoje argumente. Seveda je vedno vprašanje finančne situacije v podjetju, kaj si lahko privošči. Kar je za eno peanuts, je za drugo overkill.
Če se ti s stvarjo ne mudi, poskusi dobiti na test kakšno opremo, ki je na malo višjem nivoju, da boš dobil občutek, kaj dobiš za 100€, 700€ ali 1000€. Ko boš spoznal razlike, boš tudi lažje ocenil in argumentiral pred šefom, da bi morda bilo le bolje ves projekt postaviti na nekoliko (finančno) bolj ambiciozne noge.
Koneckoncev se moraš zavedati, da ravno tako ne bo nihče srečen, če čez 6 mesecev ugotovite, da izbira ni bila najbolj posrečena, pa da bi morda pa le bilo bolje malo globlje poseči v žep.
Če firma le nima resnejših finančnih težav, bi ti priporočal neko rešitvev v srednjem cenovnem razredu.
Rešitve, s katerimi jaz delam, stanejo od 700€/vozlišče pa tja do 1400€/vozlišče, odvisno od tega, ali vzameš tudi UTM servise in za koliko časa je naročnina vključena v ceno (1400€ varianta vključuje triletno naročnino po sistemu 'all inclusive'). Tudi druge rešitve v tem kakovostnem razredu so 'tu nekje'. Skratka gre se za zneske, ki jih ne vržeš kar tako na mizo, ker je nekdo rekel, da naj bi bila stvar ok.
Tega se zavedajo tudi ponudniki, tako da nebi smelo biti večji problem dobiti opremo za povezavo dveh lokacij na brezplačni test. Testiraj tri različne ponudnike/proizvode, tako da boš dobil občutek, kaj ti te rešitve nudijo. Primerjaj rešitev z varianto 'home-router'. Oceni, če je dodana vrednost vredna tiste višje cene.
Če bo tebe prepričalo, boš zagotovo uspel prepričati tudi šefa. Drugače pa še vedno lahko greš v varianto za 100€/vozlišče, saj te do sem ni še nič stalo (razen časa).
Imaš pa še tretjo možnost. Če so vsa tri vozlišča pri istemu ponudniku, lahko najameš VPN preko providerja. Večina ISP-jev to danes nudi za ne pretirano velik mesečni strošek. V tem primeru ne rabiš kupovati posebne opreme, po drugi strani pa izgubiš nekaj fleksibilnosti.
Bi ti pa odsvetoval tovrstno subnetanje, ker ni najbolj pregledno (moraš se igrati z netmaskami), hkrati pa samo s subnetanjem ne boš mogel uresničiti tvojih želja po razponu IP adres na posameznem podomrežju.
Če npr. razbiješ omrežje v C klasi na 4 subnete (/26), dobiš naslednje razpone:
xxx.xxx.xxx.1 - xxx.xxx.xxx.62
xxx.xxx.xxx.65 - xxx.xxx.xxx.126
xxx.xxx.xxx.129 - xxx.xxx.xxx.190
xxx.xxx.xxx.193 - xxx.xxx.xxx.254
Ta slika pa najbrž ne ustreza tvoji predstavi?
Tako ti priporočam, da se lotiš zadeve eno stopnico višje in na vsaki lokaciji vpelješ ločeno omrežje v C klasi, npr.:
- lokacija 1: 10.10.1.1 - 10.10.1.254
- lokacija 3: 10.10.2.1 - 10.10.2.254
- lokacija 2: 10.10.3.1 - 10.10.3.254
Zadeva je takoj bistveno preglednejša, mar ne?
Na čemu boš to na koncu implementiral in kako preprosto ali težavno (stabilno?) bo, pa zavisi od rešitve, ki jo boš izbral.
Dobro razmisli, kaj poleg samega VPN še potrebuješ oz. pričakuješ od routerja.
Če se gre za neko hobby omrežje se lahko odločiš za malo bolj soliden router, ki že podpira IPSec v firmware, ali se odločiš za nadgradnjo z dd-wrt in se malo pomatraš stvar na noge postaviti (ne bo kar takoj, če tega nisi nikoli delal).
V tem primeru nebi smel imeti težav zadevo izpeljati s stroški 100€/router (če sam namestiš stvari).
Če se gre za firmo, pa najprej preveri, koliko denarja ti dajo na voljo, da zadevo implementiraš. Kot lahko vidiš iz mojih stališč zgoraj, nisem pristaš rešitev za 100€ in imam za to tudi svoje argumente. Seveda je vedno vprašanje finančne situacije v podjetju, kaj si lahko privošči. Kar je za eno peanuts, je za drugo overkill.
Če se ti s stvarjo ne mudi, poskusi dobiti na test kakšno opremo, ki je na malo višjem nivoju, da boš dobil občutek, kaj dobiš za 100€, 700€ ali 1000€. Ko boš spoznal razlike, boš tudi lažje ocenil in argumentiral pred šefom, da bi morda bilo le bolje ves projekt postaviti na nekoliko (finančno) bolj ambiciozne noge.
Koneckoncev se moraš zavedati, da ravno tako ne bo nihče srečen, če čez 6 mesecev ugotovite, da izbira ni bila najbolj posrečena, pa da bi morda pa le bilo bolje malo globlje poseči v žep.
Če firma le nima resnejših finančnih težav, bi ti priporočal neko rešitvev v srednjem cenovnem razredu.
Rešitve, s katerimi jaz delam, stanejo od 700€/vozlišče pa tja do 1400€/vozlišče, odvisno od tega, ali vzameš tudi UTM servise in za koliko časa je naročnina vključena v ceno (1400€ varianta vključuje triletno naročnino po sistemu 'all inclusive'). Tudi druge rešitve v tem kakovostnem razredu so 'tu nekje'. Skratka gre se za zneske, ki jih ne vržeš kar tako na mizo, ker je nekdo rekel, da naj bi bila stvar ok.
Tega se zavedajo tudi ponudniki, tako da nebi smelo biti večji problem dobiti opremo za povezavo dveh lokacij na brezplačni test. Testiraj tri različne ponudnike/proizvode, tako da boš dobil občutek, kaj ti te rešitve nudijo. Primerjaj rešitev z varianto 'home-router'. Oceni, če je dodana vrednost vredna tiste višje cene.
Če bo tebe prepričalo, boš zagotovo uspel prepričati tudi šefa. Drugače pa še vedno lahko greš v varianto za 100€/vozlišče, saj te do sem ni še nič stalo (razen časa).
Imaš pa še tretjo možnost. Če so vsa tri vozlišča pri istemu ponudniku, lahko najameš VPN preko providerja. Večina ISP-jev to danes nudi za ne pretirano velik mesečni strošek. V tem primeru ne rabiš kupovati posebne opreme, po drugi strani pa izgubiš nekaj fleksibilnosti.
OmegaBlue ::
Saj vem da me bo NeMeTko grdo gledal ker ga drezam, če želiš povezat med sabo domača omrežja in mislite kaj prenašati med seboj npr.filme lastne produkcije z velikostmi 700MB+ in so ta omrežja v internet povezana z dovolj hitro linijo (npr. optika) ti za VPN povezavo odsvetujem večino routerjev, ki se flashajo na dd-wrt/tomato, bi bil tukaj bolj primeren zgoraj omenjeni Mikrotik.
Večinoma problem tiči v tem, da je promet med temi omrežji kriptiran predno se pošlje čez morje interneta. CPU v teh routerjih to prenaša do neke meje. Če kupiš "zverinco", ki laufa 600MHz arm CPU (večina mid-range so nekje na 480MHz) ti bo spustil skozi nekje 25Mbit prometa čez VPN povezavo, med tem mu pa pokuriš večino resourcev in zelo vplivaš na kvaliteto ostale komunikacije, tukaj pridejo enterprise rešitve bolj do izraza. Za majhno količino prometa ali počasnejše linije pa ni ravno problema.
Večinoma problem tiči v tem, da je promet med temi omrežji kriptiran predno se pošlje čez morje interneta. CPU v teh routerjih to prenaša do neke meje. Če kupiš "zverinco", ki laufa 600MHz arm CPU (večina mid-range so nekje na 480MHz) ti bo spustil skozi nekje 25Mbit prometa čez VPN povezavo, med tem mu pa pokuriš večino resourcev in zelo vplivaš na kvaliteto ostale komunikacije, tukaj pridejo enterprise rešitve bolj do izraza. Za majhno količino prometa ali počasnejše linije pa ni ravno problema.
Never attribute to malice that which can be adequately explained by stupidity.
b3D_950 ::
Pri nas, pa pravijo, da na strani uporabnikov ni interesa za kaj takega (sem se že pogovarjal z več ISPji). Mar smo pri nas res toliko večji 'znalci' kot v tujini? Ali je vse skupaj strah pred previsoko ceno? Kolikšna pa bi sploh smela biti cena, da bi bila 'atraktivna' za malo podjetje? V Nemčiji te takšna storitev za malo podjetje stane cca. 50-100€/mesec. Če ima podjetje 10 zaposlenih, je 5€/zaposlenega/mesec preveč za spodobno varnost? Ob tem, da ne rabiš ničesar kupovati in kadarkoli lahko zamenjaš ponudnika?
Verjetno premajhna izbira ponudnikov? Da bi Telekomovcu zaupal varnost omrežja? Hmm..
Zdaj ko je mir, jemo samo krompir.
NeMeTko ::
Saj vem da me bo NeMeTko grdo gledal ker ga drezam, če želiš povezat med sabo domača omrežja in mislite kaj prenašati med seboj npr.filme lastne produkcije z velikostmi 700MB+ in so ta omrežja v internet povezana z dovolj hitro linijo (npr. optika) ti za VPN povezavo odsvetujem večino routerjev, ki se flashajo na dd-wrt/tomato, bi bil tukaj bolj primeren zgoraj omenjeni Mikrotik.
Motiš se !
Morda ne boš verjel, vendar se strinjam s tabo.
Tudi sam sem mu napisal, da za domačo rabo ima širok izbor cenejše opreme. Tudi drži, da je IPSec procesorsko zahteven (rešitve za 700+€ imajo vgrajeno HW enkripcijo, če jo nimajo, niso vredne svojega denarja!). Mikrotik je v tem oziru zagotovo opcija vredna podrobnejšega ogleda, če to rabi za domačo hobby varianto.
Vendar pa se bojim, da se pri njemu ne gre za domačo/hobby/eksperimentalno rabo.
Daedalus ::
Mikrotik je v tem oziru zagotovo opcija vredna podrobnejšega ogleda, če to rabi za domačo hobby varianto.
Huh. Jaz sem v prejšnji službi (bo kako leto, odkar nisem več tam) za povezavo pisarne na oddaljeni lokaciji in centralne pisarne nabavil RB750G in vzpostavil ipsec. Zadeva še danes lavfa b.p., med testiranjem trughputa na ipsec tunelu pa se je obnesel približno enako kot Vigor na drugem koncu.
Tako da ni lih samo domača hobby raba, ki pride v poštev. Med drugim majo MT AH modeli hw pospeševanje ipsec šifriranja in tam so hitri. Pa noben ne stane 700€+. Recimo tole.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
NeMeTko ::
V datasheetu niso nič napisali o IPSec troughputu...bi se pa ja lahko malo potrudili? Drugače pa tale, ki si ga omenil sodi že v malo višji razred, saj stane 430€?
Drugače pa je s temu ultra hitrimi zadevami tako, kot se za router spodobi: da je ultra hiter, saj je bil narejen točno za to, da čim hitreje prestavlja pakete s porta na port. Tu ni kaj diskutirati - žalostno bi bilo, če tudi to nebi zmogel.
Drugo pa je, če gremo na ultra hitro stvar obešati UTM funkcionalnost, da bi dobili nekakšen UTM firewall. IPS in predvsem AV sta prava speedkillerja. Npr. Fortigate 1240B: 44Gbit/s firewall prepustnosti. Wau!....pogledaš nekaj vrstic nižje - AV prepustnost na proxiju 0,9 Gbit/s ?!? WTF! Glede na to, da je večina prometa http, uporabniki nimajo prav nič od tistih impozantnih 44Gbit, ampak se morajo tepsti za tisto preostalo žalost od 0,9 Gbit/s AV prepustnosti (razen če jo ne izklopiš? Samo čemu potem kupovati tako reč?). Pa tudi če AV izklopiš, ti IPS ne bo spustil več kot 5 Gbit/s - tega pa najbrž ne boš izklapljal? Pri vsem tem zadeva stane tam nekje okoli 25.000€....
Na Routerbord dvomim, da boš šel navešati UTM funkcije (takoj bi se znašel v dilemi, kako to kakovostno izvesti). Ločen IPS sistem zahteva svoje, tudi če ga postaviš na Linuxu s freeware-om, boš še vedno moral imeti kolikor tolkikor pametno mašino za to, v switchanih omrežjih pa to spet potegne svoje probleme s seboj (port mirroring, prepustnost,...?). Komercialne rešitve računajo kar lep znesek za IPS signature - se lahko zaneseš, da so tiste 4free vsaj kolikortoliko na nivoju plačljivih?
AV tudi najbrž ne boš implementiral na routerboardu. Komercialne variante mislim da zanj ni, kakšen ClamAV je pa bolj tako-tako, nekako po sistemu 'bolje kot nič'.
Potem imamo antispam. Spet ista zgodba. Lahko se zaneseš na blackliste, ampak moraš najti nekaj, kar zna vsaj tri blackliste prekontrolirati, da ti ne meče preveč legitimne pošte v spam. Ups - spam lahko samo označiš, da je spam, ali pa ga zbrišeš (bognedej) že na prehodu. Torej moraš najti še rešitev za spam karanteno. Potem imaš še možnost mail whitelistinga. Obup od rešitve. Poskusi uporabiti t-2 mail relay pa poslati mail na sistem z whitelistingom. Popeniš vsakič posebej. Torej bomo še za filtriranje maila postavili ločen sistem?
....in tako se nadaljuje z ostalimi UTM funkcijami...
Če je firma velika, bo zagotovo tendirala k temu, da si postavi specializirane IPS sisteme, antispam, Websense in druge rešitve, saj omogočajo bistveno bolj granularno nastavljanje in boljši nadzor.
Malo podjetje, pa je postavljeno pred izbiro: router (nič UTM funkcionalnosti) - UTM rešitev - parcealne rešitve.
Zadnje odpade, ker je predrago in preveč intenzivno za vzdrževati. Ostane izbira med nekim routerjem in UTM rešitvijo. Vse ali nič, take it or leave it.
Z veliko modrosti in iznajdljivosti se seveda da tudi kaj scoprati. Vendar to ni nikoli isto, kot nek UTM sistem, ki je optimiziran že pri proizvajalcu, zahteva veliko znanja in potrpljenja, in se ponavadi konča z nalepko 'ne šlataj dokler dela!'. Ponavadi samo ena oseba ve, kako je to zadevo spravila skupaj. Če ta zapusti firmo, lahko stvar rata resen problem.
Ja, tisti routerboard je krasen - če ga uporabiš na zanj primeren način in imaš v obziru vse ostale aspekte. Ni pa 'kompaktna rešitev' za več problematik, ki jih moraš imeti na koncu dneva pokritih.
Skratka, če stvar uporabljaš s pametjo in odgovornostjo ni napačna. Žal pa marsikdo od samega navdušenja prehitro pozabi na pamet in odgovornost in pozabi, da ima v roki router in ne kompleksno varnostno rešitev.
Drugače pa je s temu ultra hitrimi zadevami tako, kot se za router spodobi: da je ultra hiter, saj je bil narejen točno za to, da čim hitreje prestavlja pakete s porta na port. Tu ni kaj diskutirati - žalostno bi bilo, če tudi to nebi zmogel.
Drugo pa je, če gremo na ultra hitro stvar obešati UTM funkcionalnost, da bi dobili nekakšen UTM firewall. IPS in predvsem AV sta prava speedkillerja. Npr. Fortigate 1240B: 44Gbit/s firewall prepustnosti. Wau!....pogledaš nekaj vrstic nižje - AV prepustnost na proxiju 0,9 Gbit/s ?!? WTF! Glede na to, da je večina prometa http, uporabniki nimajo prav nič od tistih impozantnih 44Gbit, ampak se morajo tepsti za tisto preostalo žalost od 0,9 Gbit/s AV prepustnosti (razen če jo ne izklopiš? Samo čemu potem kupovati tako reč?). Pa tudi če AV izklopiš, ti IPS ne bo spustil več kot 5 Gbit/s - tega pa najbrž ne boš izklapljal? Pri vsem tem zadeva stane tam nekje okoli 25.000€....
Na Routerbord dvomim, da boš šel navešati UTM funkcije (takoj bi se znašel v dilemi, kako to kakovostno izvesti). Ločen IPS sistem zahteva svoje, tudi če ga postaviš na Linuxu s freeware-om, boš še vedno moral imeti kolikor tolkikor pametno mašino za to, v switchanih omrežjih pa to spet potegne svoje probleme s seboj (port mirroring, prepustnost,...?). Komercialne rešitve računajo kar lep znesek za IPS signature - se lahko zaneseš, da so tiste 4free vsaj kolikortoliko na nivoju plačljivih?
AV tudi najbrž ne boš implementiral na routerboardu. Komercialne variante mislim da zanj ni, kakšen ClamAV je pa bolj tako-tako, nekako po sistemu 'bolje kot nič'.
Potem imamo antispam. Spet ista zgodba. Lahko se zaneseš na blackliste, ampak moraš najti nekaj, kar zna vsaj tri blackliste prekontrolirati, da ti ne meče preveč legitimne pošte v spam. Ups - spam lahko samo označiš, da je spam, ali pa ga zbrišeš (bognedej) že na prehodu. Torej moraš najti še rešitev za spam karanteno. Potem imaš še možnost mail whitelistinga. Obup od rešitve. Poskusi uporabiti t-2 mail relay pa poslati mail na sistem z whitelistingom. Popeniš vsakič posebej. Torej bomo še za filtriranje maila postavili ločen sistem?
....in tako se nadaljuje z ostalimi UTM funkcijami...
Če je firma velika, bo zagotovo tendirala k temu, da si postavi specializirane IPS sisteme, antispam, Websense in druge rešitve, saj omogočajo bistveno bolj granularno nastavljanje in boljši nadzor.
Malo podjetje, pa je postavljeno pred izbiro: router (nič UTM funkcionalnosti) - UTM rešitev - parcealne rešitve.
Zadnje odpade, ker je predrago in preveč intenzivno za vzdrževati. Ostane izbira med nekim routerjem in UTM rešitvijo. Vse ali nič, take it or leave it.
Z veliko modrosti in iznajdljivosti se seveda da tudi kaj scoprati. Vendar to ni nikoli isto, kot nek UTM sistem, ki je optimiziran že pri proizvajalcu, zahteva veliko znanja in potrpljenja, in se ponavadi konča z nalepko 'ne šlataj dokler dela!'. Ponavadi samo ena oseba ve, kako je to zadevo spravila skupaj. Če ta zapusti firmo, lahko stvar rata resen problem.
Ja, tisti routerboard je krasen - če ga uporabiš na zanj primeren način in imaš v obziru vse ostale aspekte. Ni pa 'kompaktna rešitev' za več problematik, ki jih moraš imeti na koncu dneva pokritih.
Skratka, če stvar uporabljaš s pametjo in odgovornostjo ni napačna. Žal pa marsikdo od samega navdušenja prehitro pozabi na pamet in odgovornost in pozabi, da ima v roki router in ne kompleksno varnostno rešitev.
Daedalus ::
V datasheetu niso nič napisali o IPSec troughputu...bi se pa ja lahko malo potrudili? Drugače pa tale, ki si ga omenil sodi že v malo višji razred, saj stane 430€?
Uradni odgovor na MT forumu je bil 800Mbit/s ipsec thruputa. Stvar je krasna, mi je pa jasno, da to ni UTM. Sem pa (sicer RB1100) veselo uporabljal za GW/router, DNS, DHCP, FW in captive portal z Radius avtentikacijo za recimo public wifi pilota v Celju. Pa mislim, da so ga obdržali v tej vlogi. Uporabljal sem tudi (jih še) RB450G v isti vlogi za manjše projekte.
Zdaj pa gruntam o MT + Untangle kombinaciji za eno stranko. Dobiš vse, za precej ugodno ceno.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
NeMeTko ::
Ne vem, ali govoriš o Untangle 'Lite' varianti, Standard ali Premium paketu.
Lite in Standard paketa me ne prepričata. Za domačo rabo morda, ne pa za poslovno.
Če govorimo o Untangle premium paketu, pa ta ni ravno poceni. Pri 1-10 PCjih te pride triletni paket $1260 na spletu, po koliko se prodaja pri nas, pa ne vem. Običajno so EMEA cene kar tam okoli 1:1 US cene v evrih. K tej ceni moraš še prišteti ceno PC-ja in dodatnih mrežnih kartic, morda še kakšne wifi kartice. Če hočeš imeti 6 in več ethernet vmesnikov, rabiš že specialne mrežne kartice, sicer nimaš dovolj slotov na matični plošči. Skupaj si hitro na 1500€. Če gremo še korak višje, na 50 uporabnikov, se gibljemo nekje med 2500 in 3000€ za sistem za tri leta.
Na prvi pogled Premium paket izgleda dokaj zaključena zadeva, vendar ko malo bolj podrobno pogledaš, se izkaže, da je zadeva bistveno precenjena. Če imaš resno stranko, ti nebi priporočal Untangle Premium paketa, ker preprosto preplačaš stvari. Za enak denar lahko dobiš bolj kakovostno, zrelejšo rešitev z appliancem vred - brez omejevanja po številu uporabnikov.
Cenovno najbolj kritičen je Premium paket med 11 in 25 uporabniki, saj ti ne nudijo opcije za manj kot 50. Pri takem številu uporabnikov je njegova cena najmanj 50% višja od kakšne druge UTM rešitve, ki nudi primeren appliance za 20 uporabnikov brez omejevanja po številu dejanskih uporabnikov.
Lite in Standard paketa me ne prepričata. Za domačo rabo morda, ne pa za poslovno.
Če govorimo o Untangle premium paketu, pa ta ni ravno poceni. Pri 1-10 PCjih te pride triletni paket $1260 na spletu, po koliko se prodaja pri nas, pa ne vem. Običajno so EMEA cene kar tam okoli 1:1 US cene v evrih. K tej ceni moraš še prišteti ceno PC-ja in dodatnih mrežnih kartic, morda še kakšne wifi kartice. Če hočeš imeti 6 in več ethernet vmesnikov, rabiš že specialne mrežne kartice, sicer nimaš dovolj slotov na matični plošči. Skupaj si hitro na 1500€. Če gremo še korak višje, na 50 uporabnikov, se gibljemo nekje med 2500 in 3000€ za sistem za tri leta.
Na prvi pogled Premium paket izgleda dokaj zaključena zadeva, vendar ko malo bolj podrobno pogledaš, se izkaže, da je zadeva bistveno precenjena. Če imaš resno stranko, ti nebi priporočal Untangle Premium paketa, ker preprosto preplačaš stvari. Za enak denar lahko dobiš bolj kakovostno, zrelejšo rešitev z appliancem vred - brez omejevanja po številu uporabnikov.
Cenovno najbolj kritičen je Premium paket med 11 in 25 uporabniki, saj ti ne nudijo opcije za manj kot 50. Pri takem številu uporabnikov je njegova cena najmanj 50% višja od kakšne druge UTM rešitve, ki nudi primeren appliance za 20 uporabnikov brez omejevanja po številu dejanskih uporabnikov.
Daedalus ::
Za enak denar lahko dobiš bolj kakovostno, zrelejšo rešitev z appliancem vred - brez omejevanja po številu uporabnikov.
In to je...? Brez skrbi, sem jaz vprašal. Ti ne bo nihče težil, da delaš reklamo.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
NeMeTko ::
Če govorimo o 'all inclusive' paketih z naročnino za 3 leta dobiš med 2200€ in 2500€ tele igračke.
Za tam nekje do 50 uporabnikov bi to moralo zadoščati?
Za tam nekje do 50 uporabnikov bi to moralo zadoščati?
SplitCookie ::
Saj vem da me bo NeMeTko grdo gledal ker ga drezam, če želiš povezat med sabo domača omrežja in mislite kaj prenašati med seboj npr.filme lastne produkcije z velikostmi 700MB+ in so ta omrežja v internet povezana z dovolj hitro linijo (npr. optika) ti za VPN povezavo odsvetujem večino routerjev, ki se flashajo na dd-wrt/tomato, bi bil tukaj bolj primeren zgoraj omenjeni Mikrotik.
Večinoma problem tiči v tem, da je promet med temi omrežji kriptiran predno se pošlje čez morje interneta. CPU v teh routerjih to prenaša do neke meje. Če kupiš "zverinco", ki laufa 600MHz arm CPU (večina mid-range so nekje na 480MHz) ti bo spustil skozi nekje 25Mbit prometa čez VPN povezavo, med tem mu pa pokuriš večino resourcev in zelo vplivaš na kvaliteto ostale komunikacije, tukaj pridejo enterprise rešitve bolj do izraza. Za majhno količino prometa ali počasnejše linije pa ni ravno problema.
Zakaj bi za VPN sploh imel support na routerju in ne raje IP tunel ?
SplitCookie> Prevoziš RDEČO ! jype> Ja? A to je kaj posebnega?
Ramon dekers> Ječa je lahko naravno okolje potem ko se adaptiraš.
jype> CPP ne spoštujem _NIKOLI_
Ramon dekers> Ječa je lahko naravno okolje potem ko se adaptiraš.
jype> CPP ne spoštujem _NIKOLI_
OmegaBlue ::
Ker je podpora dokaj redka, razen v kakših 3rd party firmwarih. Pa še tam je ponavadi EoIP implementiran kot PPTP med dvema routerjema in je kompatibilnost med posameznimi vendorji vprašljiva. Včasih še malo slabše, brez enkripcije.
Svoje "privatne" komunikacije raje ne bi tresel po širnem internetu brez vsaj nekega šifriranja :)
Pri meni pač ne letijo argumenti "kdo pa to rabi", "a maš kej za skrivat", "itak noben ne bo gledal kaj delaš". Če gre stvar po mojih privat žicah hočem da tudi ostane tako dokler ne doseže cilja.
Seveda obstaja možnost za tiste ki bi radi to uporabljali.
Svoje "privatne" komunikacije raje ne bi tresel po širnem internetu brez vsaj nekega šifriranja :)
Pri meni pač ne letijo argumenti "kdo pa to rabi", "a maš kej za skrivat", "itak noben ne bo gledal kaj delaš". Če gre stvar po mojih privat žicah hočem da tudi ostane tako dokler ne doseže cilja.
Seveda obstaja možnost za tiste ki bi radi to uporabljali.
Never attribute to malice that which can be adequately explained by stupidity.
NeMeTko ::
Čim imaš na 'destinaciji' več kot 1 računalnik, boš moral enega določiti, da ti bo igral vlogo gatewaya, sicer imaš problem s port forwardingom za kakršenkoli tunel.
Če je router tisti gateway, potem nimaš problemov s port forwardingom, ponavadi porabi biiiistveno manj elektrike kot katerikoli računalnik izza routerja in koneckoncev je že v osnovi vedno online - kar ne moreš nikoli z gotovostjo reči za računalnike izza routerja.
Skratka VPN implementiran na routerju (katerekoliže pasme), ti olajša življenje.
Če je router tisti gateway, potem nimaš problemov s port forwardingom, ponavadi porabi biiiistveno manj elektrike kot katerikoli računalnik izza routerja in koneckoncev je že v osnovi vedno online - kar ne moreš nikoli z gotovostjo reči za računalnike izza routerja.
Skratka VPN implementiran na routerju (katerekoliže pasme), ti olajša življenje.
Spock83 ::
Še enkrat odogovor na vprašanje v prvem postu. D-Link serije DSR. Relativno ugodna cena, enostavno za nastavit (torej vzdrževanje je poceni), vse možne VPN standarde in celo eden redkih, ki s Ciscotom 5505 side to side VPN vzpostavi.
Vse je super pri sestavljanju PC firewalla/routerja, če imaš čas se s tem igračakati.
Vse je super pri sestavljanju PC firewalla/routerja, če imaš čas se s tem igračakati.
NeMeTko ::
@Spock83 - ne vem s čem si primerjal DSR routerje, da si tako navdušen nad njimi.
Te naprave niso več tipični 'home router', zato tudi podpirajo site-2-site VPN. Vendar ko smo enkrat v tej kategoriji naprav, MORA biti podprt tudi VPN s kakšnim Cisco 5500 sistemom. Koneckoncev se za to uproablja IPSec, ki je standard, zaradi česar tudi lahko pričakujemo interoperabilnost.
Za svojo ceno sicer nudijo kar nekaj feature-jev, ki jih podjetje potrebuje, po drugi strani pa spet manjka cel niz reči, ki jih niti ob doplačilu ne moreš dokupiti.
Okusi in potrebe so različne. Nekomu morda povsem zadošča okoreli nepregledni web interface na teh napravah in pomanjkljive UTM storitve (ima samo IPS!). O kakšnem realtime spremljanju prometa tu ne moremo govoriti, kaj šele o kakšnih poročilih o dogajanju na omrežju. Vendar za takšno ceno tega tudi ne smemo pričakovati.
Morebiten kupec se pač mora zavedati, da se gre za entry-level naprave v svoji kategoriji. Kdor ima količkaj višje ambicije na nivoju varnosti, se ne bo zadovoljil z tovrstno rešitvijo, kljub atraktivni ceni. Oz. drugače povedano - če ti manjka toliko, kot manjka DSR sistemom, bi bilo nesramno zahtevati višjo ceno.
Te naprave niso več tipični 'home router', zato tudi podpirajo site-2-site VPN. Vendar ko smo enkrat v tej kategoriji naprav, MORA biti podprt tudi VPN s kakšnim Cisco 5500 sistemom. Koneckoncev se za to uproablja IPSec, ki je standard, zaradi česar tudi lahko pričakujemo interoperabilnost.
Za svojo ceno sicer nudijo kar nekaj feature-jev, ki jih podjetje potrebuje, po drugi strani pa spet manjka cel niz reči, ki jih niti ob doplačilu ne moreš dokupiti.
Okusi in potrebe so različne. Nekomu morda povsem zadošča okoreli nepregledni web interface na teh napravah in pomanjkljive UTM storitve (ima samo IPS!). O kakšnem realtime spremljanju prometa tu ne moremo govoriti, kaj šele o kakšnih poročilih o dogajanju na omrežju. Vendar za takšno ceno tega tudi ne smemo pričakovati.
Morebiten kupec se pač mora zavedati, da se gre za entry-level naprave v svoji kategoriji. Kdor ima količkaj višje ambicije na nivoju varnosti, se ne bo zadovoljil z tovrstno rešitvijo, kljub atraktivni ceni. Oz. drugače povedano - če ti manjka toliko, kot manjka DSR sistemom, bi bilo nesramno zahtevati višjo ceno.
levaky ::
Sem se odločil za Mikrotika... Mislim, da mi bo zadeva služila več kot odlično.
Gre se za preprosto omrežje, 2 pcja, tiskalnik in en NAS ter povezava v internet. Mislim, da tukaj nakup opreme za 1000€ ni upravičen.
Matej
Gre se za preprosto omrežje, 2 pcja, tiskalnik in en NAS ter povezava v internet. Mislim, da tukaj nakup opreme za 1000€ ni upravičen.
Matej
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | PFsense vs Sonic Wall (strani: 1 2 )Oddelek: Informacijska varnost | 18328 (14979) | Blisk |
» | Več IP naslovovOddelek: Omrežja in internet | 7014 (6028) | Bakunin |
» | Majhen router z OpenVPN podporoOddelek: Kaj kupiti | 5931 (5101) | AndrejO |
» | VPN in oddaljene pisarne (strani: 1 2 )Oddelek: Omrežja in internet | 13852 (12186) | SeMiNeSanja |
» | Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )Oddelek: Omrežja in internet | 22750 (19727) | NeMeTko |