» »

VPN in oddaljene pisarne

VPN in oddaljene pisarne

«
1
2

bsslo ::

Zdravo! Imamo več pisarn po Sloveniji, zdaj pa bi radi na eni lokaciji postavili strežnik za različne namene (file share, AV server, videonadzor, ipd.), ki bi služil vsem lokacijam. Kolikor raziskujem je rešitev povezati lokacije z načinom site-to-site VPN. Ker v tem nimam izkušenj, imam nekaj vprašanj.

Pa začnimo z lažjimi vprašanji:
a) zaželeno je, da ima vsaka lokacija statični IP naslov - da se nam ne bo treba ubadati z Dynamic DNS servisi?
b) zaželeno je, da ima vsaka lokacija svoj subnet - različen naslovni prostor? Npr. Ljubljana ima subnet 192.168.1.x, Maribor ima subnet 192.168.2.x
c) Predvidevam, da mora na centralni lokaciji biti zmogljivejši usmerjevalnik, ki bo sposoben vzdrževati toliko VPN povezav kot je lokacij? Če bo lokacij 10, bo ta usmerjevalnik v redu? Priporočate kakšnega drugega?
d) Ali je lahko na oddaljeni lokaciji usmerjevalnik drugega proizvajalca? Npr. tale ali je bolje vzeti slabši usmerjevalnik istega vendorja - npr. tega?

zelja_1) Želja je imeti tudi dostop Point to site VPN (če se temu tako reče). Da opišem: iz svojega računalnika iz kjerkoli na svetu, bi se rad povezal vsaj s centralno lokacijo. Predvidevam, da do oddaljenih ne potrebujem takega dostopa saj bi ga imel že z dostopom iz centralne lokacije?

zelja_2) oddaljene lokacije imajo dostop do interneta, vendar izkoriščajo "primarni" internet in ne tistega iz centralne lokacije.

Vem, veliko vprašanj, ampak obljubim da bom pozorno preučil vaše nasvete :) Brihtnim glavam se vnaprej zahvaljujem za pomoč in usmeritve!
  • spremenil: bsslo ()

NoName ::

Pa začnimo z odgovori:
a) načeloma ti vsak slovenski internetni operater lahko ponudi vsaj statični IP naslov, z nekaj papirologije (ripe obrazci) pa kak subnet, torej cel skupek statičnih IP naslovov; nekateri gredo celo korak dlje, in ti, če imaš na vseh lokacijah istega ponudnika, omogočajo lastne VPN rešitve (MPLS/VPLS)
b) vsekakor... 'network design' je sila pomembna reč, morebiti boš videl, da bi /24 (256 IPjev) bilo premalo za določeno lokacijo, pa bi lahko dodeljeval recimo /16 (65536 IPjev) na posamezno lokacijo.. ki bi jih potem seveda naprej razbil v /24-ke... eden za DMZ, drugi za računovodstvo, tretji za tajništvo, ... priporočam, da pridobiš kakšno pomoč na to temo
c) na glavni lokaciji je vsekakor priporočeno imeti zmogljivejši usmerjevalnik, bolj kot to, pa je pomembno imeti zanesljivo in hitro linijo do interneta (najbolj sigurno je, da sešteješ pasovne širine vseh oddaljenih lokacij, prišteješ še zahteve glavne lokacije, in naročiš linijo)... če si lahko privoščiš, postavi dva usmerjevalnika, zato da bo eden v pripravljenosti, če primarni zaštrika (kakšen VRRP ali kaj)
d) na trgu je cel kup proizvajalcev, ki omogočajo 'VPN' rešitve.. bodisi PPTP, L2TP, IPSec, SSTP, ovpn, ... ker boš iz nule postavljal več lokacij, svetujem enega samega vendorja, saj bo verjetno več popusta na naprave, če jih boš kupil v paketu, če ne druga; velika verjetnost pa je, da se bosta tudi usmerjevalnika različnih proizvajalcev lahko pogovarjala v istem jeziku, če podpirata isti protokol

zelja_1) road warrior vpn... ja, načeloma lahko s kjerkoli po svetu dostopaš do VPN-a (če ga kdo vmes ne blokira), in potem usmerjaš ves internet čez šifrirano povezavo, svetujem kak SSTP, ker se tcp/443 redkokdaj blokira

zelja_2) da, to je bolj priporočeno (torej se v Mariboru le promet za Ljubljano usmerja čez VPN, ostalo gre direkt ven)

Priporočam, da pogledaš opremo Mikrotik (RouterBoard), ter za nadaljnje svetovanje in morebitno vzpostavitev poiščeš strokovno pomoč, saj sprašuješ dosti začetniška vprašanja :) Šefi pa verjetno ne bodo veseli, če bo zadeva slabo postavljena.

Jaz pa se osebno izogibam Draytek usmerjevalnikom, ker so pred časom imeli nek grd bug, ki je omogočal izkoriščanje sistema za DrDOS napade (imel je odprt DNS razreševalni strežnik). Upam, da so zadevo v novejših firmwareih že odpravili...
I can see dumb people...They're all around us... Look, they're even on this forum!

klemenst1 ::

Zdravo,

naj se samo na hitro vključim v pogovor. Uporabnik Noname vam je že podal prave odgovore na vaša vprašanja in vam tudi predlagal opremo, ki je definitvno najboljša izbira glede zmožnosti, kvalitete in cene.
Mi smo naredili že veliko takih implementacij omrežja ravno z Mikrotik opremo (predhodno smo delali s Cisco, zdaj že nekaj časa zaradi boljšega razmerja kvaliteta/cena take implementacije delamo z Mikrotik opremo, tudi za zelo velike IS).
Če vas zanima sama implementacija, me prosim kontaktirajte z zasebnim sporočilom in lahko vam naredim bolj natančen predlog ter seveda ocenim stroške. Tudi opremo vam lahko priskrbimo.

LP

NoName ::

Če se že reklamiramo, tudi jaz se bavim z implementacijami takšnih rešitev :) Več na ZS
I can see dumb people...They're all around us... Look, they're even on this forum!

Zgodovina sprememb…

  • spremenil: NoName ()

Gapi ::

Še en glas za mikrotik .........
No person is rich enough,to buy back his past.

SeMiNeSanja ::

Gapi je izjavil:

Še en glas za mikrotik .........

No comment!

Jaz sem OP-u zasebno zastavil še kopico dodatnih vprašanj, pa še ne vem, kaj bi bilo optimalno zanj. Vi pa kar čez palec "Mikrotik naj bo!".
Resnost je nekaj drugega.

Pa nimam nič proti Mikrotiku, če je uporabljen tam, kjer mu je mesto!

NoName ::

@SeMiNeSanja, bsslo je imel zelo specifična vprašanja, na katera sem odgovoril, vmes pa nekajkrat izpostavil, da naj raje pridobi strokovno pomoč. Moje osebno mnenje je, da bi rešitev z Mikrotiki bila boljša kot z Drayteki (ali tistim TP-Linkom), saj imam z prvimi dobre, s slednjimi pa slabše izkušnje. Vsekakor pa lahko nekdo predlaga UTM naprave, magari z DPI-jem za SSL, in vsem preostalim, kar paše zraven, vendar cena ene naprave potem verjetno ne bo enaka draytekom in tplinkom ampak n-krat večja, odvisno od velikosti sajta (števila subnetov in uporabnikov), količine prometa, zmogljivost naprave, itd.
I can see dumb people...They're all around us... Look, they're even on this forum!

bsslo ::

Zdravo in hvala za dosedanje odgovore.

Tisto česar nisem omenil, pa bi očitno moral, je sledeče:
- oddaljenih lokacij je zdaj cca 6. Usmerjevalnik naj bo dimenzioniran na vsaj 15 lokacij (oz. 15 hkratnih VPN povezav), za primer razširitve poslovanja.
- na vsaki lokacijo bodo max 3 uporabniki, izjema je centralna lokacija kjer bo max 5 uporabnikov, pa še to ne vedno.
- zakaj se sploh gremo ta projekt? Kot omenjeno, na centralni lokacij bo file server. Nanj se bodo odlagali poskenirani dokumenti in različne tekstovne datoteke. Kar se zna še postaviti je videonadzor lokacij -> na oddaljenih lokacijah bo IP kamera, ki bo streamala v Ljubljano (cent. lokacija) na strežnik, ki bo hranil zgodovino posnetkov za recimo 7 dni nazaj. S tem upam, da sem odgovoril na obremenjenost samih (VPN) povezav, da boste lahko lažje predlagali dovolj zmogljiv usmerjevalnik
- UTM/appliancei zdaj niso v načrtu, bo pa vsaka delovna postaja zaščitena s protivirusnim programom.
- subneti oddaljenih lokacij se ne smejo videti s seboj, lahko pa vidijo centralno lokacijo oz. samo file server. Bo potreben namenski firewall ali bo "izbrani" usmerjevalnik na centralni lokaciji dovolj?

Prosil bi, da tisti, ki tržite tovrstne zadeve, demonstracije/linke pošljete na ZS. V temi pa bi rad obdržal argumentirane predloge in nasvete. Pa upam da ne bo prevladalo "svaki cigo svoga konja hvali" :)

NoName ::

Kako velike datoteke se bo stregel fileserver? Kako je s potrebo hkratnega dostopa do datotek? Nameravaš uporabljati FTP, Microsoftova omrežja (SMB/CIFS), WebDAV, ...? Potrebuješ tudi brezžično omrežje? Kako hiter dostop do interneta imaš na voljo na primarni lokaciji? Kakšne videokamere uporabljaš? Po mojih izkušnjah je na glavni lokaciji postavljen strežnik ki odjema stream, torej mora videoserver imeti dostop do kamer na oddaljenih lokacijah, sama kamera ne zna streamat slike gor (z izjemo FTP push-a, kar verjetno ne pride v poštev). Konec koncev - kakšen budget je na voljo?

Zadevo se lahko lotiš na več možnih načinov... lahko pozabiš na VPN, in na glavni lokaciji omogočiš 'port forwarding' do file serverja, ki pozna WebDAV s TLS, ali pa postaviš takšna prava omrežja z IPSec-om in PFS-jem.

Jaz bi se verjetno lotil slednjega, na Mikrotikih. Za glavno lokacijo kakšen RB1100AHx2 ali CCR (ti podpirajo HW encryption offloading za IPSec), morebiti ločeno dostopovno točko za brezžično omrežje (če je večji razvejan site, Ubiquiti UniFi 3-pack), na oddaljenih lokacijah pa bi kak RB2011 zadostoval. IPSec ESP SHA-1/AES ter PFS in pravo politiko ter pravili požarnega zidu, brezžični dostop za zaposlene bi omogočal z avtentikacijo prek Radius strežnika (WPA2, kakopak), če bi bila potreba dostopa obiskovalcev, bi lahko postavil kak hotspot. Pa na centralnem sajtu je verjetno 50Mb/s simetrije preko kakega optičnega priključka ne uide.
I can see dumb people...They're all around us... Look, they're even on this forum!

SeMiNeSanja ::

Glede Drytek-a priporočam, da si prebereš kar piše na smallnetbuilder.

Če samo na dve bistveni točki pokažem:

Site-to-Site VPN

The 2920 also supports standard IPSec options for creating a VPN tunnel between two or more routers. The 2920 can have up to 40 defined VPN tunnels, but only 2 can be active at any one time.


Zelo veliko o primernosti pove tudi test VPN performans: IPSec Site-to-Site 15,9Mbps

S tem mislim, da ni več potrebno naprej razpravljati o tem routerju, ker ne ustreza najbolj osnovnim zahtevam, ki jih ima OP - brez ozira na to ali je komu proizvajalec všeč ali ne.

Projekt je zelo ambiciozen, žal pa se mi zdi, da OP še ne razume, kako zelo ambiciozen:

1 IP kamera v resoluciji 640*480 in 7fps porabi 2,5Mbps - pri čemur se priporoča še 40% rezerve. To pomeni, da bi bilo imeti na oddaljenih lokacijah samo za kamere rezerviranega upstream bandwidth-a 3,5Mbps - ob dokaj skromni sliki. Če se ignorira 'rezervo', bi še vedno potreboval povezavo, ki bi imela najmanj 4Mbps upstream kapacitete.

Ko se to vse zgrne nad centralno lokacijo, nastane pri 10 lokacijah samo na račum videa najmanj 25Mbps prometa, če pa upoštevaš še rezervo, moraš planirati na 35Mbps. Če želiš, da bo zadeva zdržala tudi potem, ko boš imel 15 kamer, moraš že danes planirati dobrih 50Mbps.

K temu pa je potem potrebno prišteti še data promet.
Skeniran A4 list v PDF znese cca. 1-1,5 Mb (vsaj tisti, ki sem jih jaz nazadnje skeniral). Verjetno ne bodo vse oddaljene lokacije istočasno nalagale skenirane dokumente, definitivno pa na WAN odpade uporaba SMB ker je preveč počasen, pa še prekinjenega prenosa ne zna reštartati od mesta prekinitve. FTP je tu bistveno bolj na mestu in ga ni problem vzpostaviti na katerikoli platformi.

Če danes začneš s 50/50 na optiki boš za nekaj časa pokrit, lahko pa računaš, da boš nekoč (če se načrti s širitvijo izidejo) moral nadgraditi na 100/100.

Jaz bi na centralno lokacijo postavil UTM in ne Mikrotika, ker nebi imel čiste vesti in bi se zdel samemu sebi šalabajzer, če bi uporabnika prepustil v veri, da je s tem kaj naredil za varnost. Lahko še tako zapiraš porte, vendar manjkajo vsi dodatni varnostni mehanizmi, brez katerih si jaz danes nebi upal hraniti osebnih in finančnih podatkov. Tu se pač razhajajo mnenja 'povezovalcev' in 'varnostnih paranoikov'. Mikrotik je USMERJEVALNIK in NI varnostna rešitev. Kdor ga v svojih rešitvah uporablja, naj ga uporablja tam, za kamor ga proizvajalec dela, ne pa da ga prodaja kot ultimativno ceneno zaščito, za kar ni bil nikoli delan. Čisto OK je, če ga uporabljajo telefonisti za point-to-point povezavo kjer ne prepuščajo čez ničesar drugega kot IP telefonijo med dvema znanima IP naslovoma, ravno tako je OK, če usmerja promet pred požarno pregrado. OK je tudi, če ga uporabljamo za segmentacijo omrežja izza požarne pregrade. Ne pa NAMESTO požarne pregrade poslovnega omrežja, ki hrani občutljive osebne in finančne podatke!

Z mojega vidika, je bil celoten projekt zastavljen nekoliko prenagljeno, ne da bi se preračunalo, kaj dejansko pomeni shranjevanje videa na centralno lokacijo, koliko pasovne širine je za to potrebno in kakšen HW se za podporo tega dejansko potrebuje, da ne govorimo o tem, kakšne vrste zaščite je tu na mestu.
Predvidevam, da OP-u manjka izkušenj na tem področju in upam, da bo pazljivo prebral nasvete ter mnenja in še enkrat premislil projekt oz./ali proračun, ki ga zanj predvideva.

Priporočam tudi, da si nekje pusti demonstrirati Mikrotika, kako se ga upravlja in podrobno razložiti, kaj lahko za varnost njegovega omrežja nudi.
Enako pa naj si gre nekam pogledati demonstracijo spodobne UTM rešitve, kako se to upravlja in kaj to nudi za varnost njegovega omrežja.
Priporočam, da obe demonstraciji obišče skupaj z direktorjem - koneckoncev ta določa proračun. Če bo direktor rekel 'dam največ 2000€', potem naj tudi ve, kaj to konkretno pomeni in se zaveda, kaj bo za ta denar dobil - seveda pa tudi prevzame odgovornost za odločitev.

Vem, da me bodo ljubitelji Mikrotika napadli, kaj se 'spet grem'. Vendar jaz vsaj približno poznam razliko med povezovanjem in varovanjem omrežja. Če bi se šlo zgolj za povezovanje, je Mikrotik odlična izbira, saj zgoraj imenjeni model(baje) zmore do 800Mbps IPSec prometa - brez licenčne omejitve, koliko tunelov lahko poganjaš. Toda ko pridejo v igro osebni podatki, se je treba pogovarjati tudi o varovanju. Tu pa SPI filtriranje povezav ni več dovolj.

darkolord ::

SeMiNeSanja> samo za kamere rezerviranega upstream bandwidth-a 3,5Mbps - ob dokaj skromni sliki

Malo sicer pretiravaš, s takim bandwidthom brez težav prenašaš odlično 720p@25 sliko.

SeMiNeSanja> SMB ker je preveč počasen, pa še prekinjenega prenosa ne zna reštartati od mesta prekinitve

Zakaj bi se pa prenos prekinil?
spamtrap@hokej.si
spamtrap@gettymobile.si

SeMiNeSanja ::

darkolord je izjavil:

SeMiNeSanja> samo za kamere rezerviranega upstream bandwidth-a 3,5Mbps - ob dokaj skromni sliki

Malo sicer pretiravaš, s takim bandwidthom brez težav prenašaš odlično 720p@25 sliko.

Sem uporabil 'bandwidth kalkulator' enega od proizvajalcev kamer/snemalnih sistemov - vsaj teoretični bi moral dati 'uporabne podatke' od sebe.

darkolord je izjavil:


SeMiNeSanja> SMB ker je preveč počasen, pa še prekinjenega prenosa ne zna reštartati od mesta prekinitve

Zakaj bi se pa prenos prekinil?

Tebi vedno vsi prenosi potekajo 100% gladko? Saj načeloma stvari 'delujejo' - ampak ko se ti najbolj mudi zvleči kakšen ISO, bo pa zagotovo kje kakšen škrat - če ne drug pa čistilka z metlo, ki se bo zataknila ob stikalo.
Ampak resno - SMB preko VPN je neuporabno počasen. Sam uporabljam FTP kadar je le možno. Že samo sprehajanje med mapami je na SMB nočna mora. Če je pa potem še mapa nabita z datotekami, pa ti po možnosti gre še kakšen refresh delati vmes...potem sam prekineš zadevo, tudi čistilke ne rabiš.

darkolord ::

FTP je neprimerno bolj neroden (glede ACL, sharanja, quotov, VSS, ni transparent, ...), poleg tega še posebej pri dokumentih nočeš, da se ti uploadajo nekje napol (in ostanejo tako), če pride do težav v povezavi.

Za ISOte je OK.
spamtrap@hokej.si
spamtrap@gettymobile.si

Zgodovina sprememb…

  • spremenilo: darkolord ()

SeMiNeSanja ::

Jaz nimam nobenih od naštetih težav pri uporbi FTP strežnika na Windows serverju.
Za resnejše (od zunaj) zadeve pa imam SFTP server, ki je tako skonfiguriran, da nima veze z Windows userji (cena licence cca. 12.000EUR).

Če pa malo pogledaš v svet 'malo resnejšega' IT-a, na področje 'Managed File Transfer' rešitev, pa takointako vse teče preko SFTP. Tako da ne govori preveč grdo čez njega.
Je pa res, da je navaden FTP priporočljiv samo za interne in 'anonymous' zadeve.

Zgodovina sprememb…

SeMiNeSanja ::

Upload 'nekje napol' in težave povezane s tem, so pogosto tudi posledica FTP odjemalca, ki ga uporabljaš. Včasih se splača preizkusiti še kakšen drug odjemalec, če ti določeni povzroča težave pri nadaljevanju prekinjenega prenosa.

darkolord ::

Ne govorim o težavah pri nadaljevanju, ampak da mora to delovati seamless.

Npr. v Wordu dam File -> Save, izberem direkt mapo na strežniku in kliknem OK. Vmes se mi prekine povezava, pa še malo popravim dokument, preden ponovno kliknem Save.
spamtrap@hokej.si
spamtrap@gettymobile.si

SeMiNeSanja ::

Word+FTP pa nista ravno idealen par za 'oženiti'.
Potem bi bilo že bolje presedlati na NFS.... NFS server za Windows pa moraš danes že dobesedno iskati - vsaj jaz sem ga, ko sem ga potreboval za neke finte (Google pomaga, ampak vseeno).

Ampak je res tako teško datoteko urejati lokalno in potem shraniti popravljeno verzijo na server? Word mislim, da defaultu kreira začasno datoteko na oddaljeni lokaciji, od koder si odprl datoteko, s čemer se že takointako vsa zadeva zamori.

darkolord ::

Jah, vem da nista idealen par, ampak tak scenarij je tipičen pri corporate file serverju.

NFS (btw, NFS server je v Windows Serverju) je pa praktično isti šmorn kot SMB; bolj primeren je kvečjemu če imaš zelo heterogeno okolje ali večino ne-win clientov.
spamtrap@hokej.si
spamtrap@gettymobile.si

SeMiNeSanja ::

Iz mojih izkušenj in meritev, ki sem jih imel pred leti z komercialnim NFS serverjem za Windows server neke danes že predpotopne generacije, se je NFS lepše obnašal, kot SMB - je pa tudi možno, da je bil 'user experience' bistveno boljši zaradi 'directory caching-a', ki ga je uporabljal.

Za NFS SERVER nisem prepričan, da je v Windoes serverju (takointako sem ga potreboval na Windows 7) - vem, da je klient 'notri', za server pa nisem čisto prepričan. Vem da je MS nekoč imel 'Unix Services for Windows'...samo tudi to mi je že malo ušlo iz glave, ali je to vsebovalo tudi server ali samo klient (za googlat pa je zdejle že preveč ura).

bsslo ::

Glede odlaganja datotek sta edina pogoja, da na lokalnem računalniku vidim network share iz file serverja, ki bi po možnosti bil 'home' folder tega računalnika/uporabnika. Drugi pogoj pa seveda, da je zadeva večino cajta uptime. Zadeva se bo bolj uporabljala za odlaganje datotek in bolj poredko za branje/odpiranje.

tony1 ::

definitivno pa na WAN odpade uporaba SMB ker je preveč počasen, pa še prekinjenega prenosa ne zna reštartati od mesta prekinitve. FTP je tu bistveno bolj na mestu in ga ni problem vzpostaviti na katerikoli platformi.


Ampak resno - SMB preko VPN je neuporabno počasen. Sam uporabljam FTP kadar je le možno. Že samo sprehajanje med mapami je na SMB nočna mora. Če je pa potem še mapa nabita z datotekami, pa ti po možnosti gre še kakšen refresh delati vmes...potem sam prekineš zadevo, tudi čistilke ne rabiš.


Zelo dobro ste utemeljili tole, kolega, tudi po mojih izkušnjah je včasih s SMBjem tako hudo, da se sploh delati ne da. Pa te vaše UTM rešitve nimajo funkcionalnosti za WAN protocol optimization?

Bakunin ::

a MPLS ne pride v postev ?
http://ipv6.si/

tony1 ::

Verjetno je število lokacij še premajhno in niso še razmišljali o poslovnih paketih...

Mesar ::

No to, da razmišljajo o centralizaciji je že ok :D

Mogoče nebi bilo slabo če bi napisal seznam kaj vse že imate. Drugače pa v kolikor je cilj poceni rešitev, določite "glavni server" (eno Win Serv boxo že imate si napisal?) pa pred njega postavite gateway z OpenVPN + ClamAV + Snort pa rešeno :)
Your turn to burn!

SeMiNeSanja ::

Mesar je izjavil:

No to, da razmišljajo o centralizaciji je že ok :D

Mogoče nebi bilo slabo če bi napisal seznam kaj vse že imate. Drugače pa v kolikor je cilj poceni rešitev, določite "glavni server" (eno Win Serv boxo že imate si napisal?) pa pred njega postavite gateway z OpenVPN + ClamAV + Snort pa rešeno :)

V teoriji že mogoče - vendar se bojim, da OP sam tega ne bo sposoben postaviti na noge in skonfigurirati. V takem primeru bi jaz odsvetoval takšno 'do-it-yourself' varianto. Vprašljivo postaja tudi, kakšna bi bila dejanska prepustnost navadnega PC-ja, ki bi mu to naložil - zdejle nimam časa, da bi googlal, če je kdo kje objavil kakšne rezultate meritev, kakšne prepustnosti uspe dosegati s tovrstno implementacijo, ki je za povrhu še zelo odvisna od strojne opreme, ki jo uporabiš (CPU, RAM, single/multicore arhitektura,...). Brez testiranja oz. konkretnih podatkov bi bil previden.

Problem pa je, da to še vedno ne rešuje oddaljenih lokacij.
Zakon o varovanju osebnih podatkov je jasen:

Kršitev določb o zavarovanju osebnih podatkov

93. člen

(1) Z globo od 4.170 do 12.510 eurov se kaznuje za prekršek pravna oseba, samostojni podjetnik posameznik ali posameznik, ki samostojno opravlja dejavnost, če v skladu s tem zakonom obdeluje osebne podatke in ne zagotovi zavarovanja osebnih podatkov (24. in 25. člen).

(2) Z globo od 830 do 1.250 eurov se kaznuje za prekršek iz prejšnjega odstavka tudi odgovorna oseba pravne osebe, samostojnega podjetnika posameznika ali posameznika, ki samostojno opravlja dejavnost.

(3) Z globo od 830 do 1.250 eurov se kaznuje za prekršek odgovorna oseba državnega organa ali organa samoupravne lokalne skupnosti, ki stori dejanje iz prvega odstavka tega člena.

(4) Z globo od 200 do 830 eurov se kaznuje za prekršek posameznik, ki stori dejanje iz prvega odstavka tega člena.

Ravno tako njihovo dejavnost obravnava tudi zakon o zavarovalništvu. Ta predvideva celo odvzem dovoljenja za opravljanje dejavnosti, če stvari niso poštimane kot treba.

Problem pa je, ker nikjer ne obstaja neka jasna definicija, kaj je še "ustrezno varovanje", kaj pa je že "neustrezno".
Glede na zakonodajo o zavarovalništvu, bi se jaz na mestu OP-a NAJPREJ povezal z ustreznim revizorjem pri zavarovalnici za katero delajo in od njega zahteval ustrezne smernice. Koneckoncev Zavarovalnica tudi deloma odgovarja za pravilno varovanje osebnih podatkov pri njihovih zavarovalniških posrednikih in bi praviloma morala že sama izvajati nadzor, ter v primeru nespoštovanja minimalnih standardov sankcionirati posrednike, v najhujšem primeru celo z prekinitvijo pogodbe u njimi.

Treba je razumeti, da se tu ne gre za domače omrežje, tudi se ne gre za laboratorij na faksu. Tehnično se da čarati marsikaj, da bo KOMUNIKACIJA delovala - vendar ko so enkrat v igri različne kazni, tja do prepovedi opravljanja dejavnosti, se pa ni več za hecat in si ne moreš privoščiti zadev reševati amatersko.

Mesar ::

Ta 93. člen govori o katerih osebnih podatkih? Tistih, ki jih pokriva ZVOP? Seveda, če ima avtor teme sploh opravka s tem...

druga stvar pa je, da še sploh ne vemo kak budget je v planu.
Your turn to burn!

Poldi112 ::

Treba je razumeti, da se tu ne gre za domače omrežje, tudi se ne gre za laboratorij na faksu. Tehnično se da čarati marsikaj, da bo KOMUNIKACIJA delovala - vendar ko so enkrat v igri različne kazni, tja do prepovedi opravljanja dejavnosti, se pa ni več za hecat in si ne moreš privoščiti zadev reševati amatersko.


O čem ti sanjaš? Kakšne kazni? A če ne bo uporabil tvoje črne škatlice za n-tisoč eurov?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Mesar je izjavil:

Ta 93. člen govori o katerih osebnih podatkih? Tistih, ki jih pokriva ZVOP? Seveda, če ima avtor teme sploh opravka s tem...

druga stvar pa je, da še sploh ne vemo kak budget je v planu.

Zavarovalničarji imajo več podatkov o nas, kot nam je ljubo!

Samo če avto zavaruješ, imajo vse tvoje osebne podatke, kot tudi vse podatke o avtu, vključno z registracijo in vsemi prometnimi nerodnostmi, ki si jih doživel.
Ti podatki povsem zadoščajo, da lahko tretja oseba naredi lažno odškodninsko prijavo in obere zavarovalnico, ti se boš pa potem čudil, kako ti je šel bonus k vragu.

Ko greš na področje življenjskih zavarovanj in raznih nezgodnih zavarovanj, pa postane zadeva še bolj kočljiva, saj poleg osebnih podatkov hranijo tudi tvojo zdravstveno dokumentacijo iz posameznih odškodninskih zahtevkov. Podatki, s katerimi se res ni za hecati.

Premoženjska zavarovanja - super informacija za potencialne tatove, saj jim lepo pove, kje se splača vlomiti in kaj lahko pričakujejo, da bodo našli. Če si na račun alarmne naprave znižal zavarovalnino, bodo tudi zanjo vedeli in se ustrezno pripravili.

Je potem sploh še za diskutirati če zadošča zgolj navaden ACL na routerju za varovanje takih podatkov?

b3D_950 ::

V osnovi je glede zavarovanjem osebnih podatkov potrebno upoštevat to:

14. Kakšne so dolžnosti upravljavcev osebnih podatkov v zvezi z zavarovanjem osebnih podatkov?

Organizacijski, tehnični in logično-tehnični postopki in ukrepi za zavarovanje osebnih podatkov morajo biti opredeljeni v notranjih aktih organizacij in morajo v prvi vrsti preprečiti nepooblaščeno obdelavo in slučajno ali namerno nepooblaščeno uničevanje in izgubo podatkov ali njihovo spreminjanje. Zato je v notranjih aktih potrebno predpisati, kako se varujejo prostori, oprema in sistemska programska oprema, kako se varuje aplikativna programska oprema, s katero se obdelujejo, kako se preprečuje nepooblaščen dostop do osebnih podatkov pri njihovem prenosu, kako se zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkov ter kako se omogoča poznejše ugotavljanje, kdaj so bili posamezni podatki vneseni, uporabljeni ali obdelani, kdo je to izvajal in kdaj. Seveda se morajo predpisani postopki in ukrepi tudi dejansko izvajati, zato je treba s temi akti seznaniti vse zaposlene in določiti odgovorne osebe za posamezne zbirke osebnih podatkov in osebe, ki zaradi narave njihovega dela lahko obdelujejo določene osebne podatke.

Glede dobe hranjenja osebnih podatkov ZVOP-1 v 21. členu navaja, da:

(1) se osebni podatki lahko shranjujejo le toliko časa, dokler je to potrebno za dosego namena, zaradi katerega so se zbirali ali nadalje obdelovali.
(2) se osebni podatki po izpolnitvi namena obdelave zbrišejo, uničijo, blokirajo ali anonimizirajo, če niso na podlagi zakona, ki ureja arhivsko gradivo in arhive, opredeljeni kot arhivsko gradivo, oziroma če zakon za posamezne vrste osebnih podatkov ne določa drugače.

za primer:
Če gledam po teh regelcih, potem bi se morala moja zgodovina nakupov na neki spletni trgovini samodejno zbrisat, ker je bil nakup že zdavnaj končan in s tem "namen dosežen".

V glavnem, megla.

SeMiNeSanja ::

Točno tako, kot praviš - megla.

Nikjer nobenih konkretnih 'minimalnih standardov', ki bi se sproti prilagajali s stanjem tehnološkega razvoja, panožne ocene ogroženosti in občutljivosti podatkov.

Jaz že leta trdim, da imamo cel niz inštitucij, ki 'pridigajo' varnost na internetu, nobena pa ne naredi tistega koraka, da bi se nekje pa magari za začetek zgolj kot priporočilo definiralo 'minimalne standarde', po katerih bi se lahko podjetniki orientirali.

Če se v računovodstvi točno ve, kaj moraš imeti, o čem voditi evidence, poročati, pa vse tja, do tega kateri podatki morajo biti napisani na računu - zakaj mora potem biti v informatiki toliko megle?

Medtem, ko se američani tresejo pred PCI DSS, se pri nas nanj požvižgajo tudi tisti, ki bi mu načeloma morali biti zavezani - še celo marsikatera banka ne izpolnjuje PCI DSS v celoti.

Po moje nikomur nebi škodovalo, če bi si z neta prenesel PCI DSS self assessment formular (mislim, da nekje mora obstajati celo slovenska verzija) in pogledati, koliko od tistih checkbox-ov lahko oni v svojem omrežju obkljukajo pod stolpcem 'izpolnjujemo'. Koneckoncev PCI DSS ne zahteva nečesa nerazumnega in ga lahko jemljemo kot zbirko dobrih praks, tudi če ne poslujemo s kreditnimi karticami.

Poldi112 ::

Pa si bral kdaj PCI DSS?. Ker je res samo to - zbirka dobrih praks. In niti ni potrebe, da slediš vsem. Ker boš notri sigurno našel nekaj, kar za tvojo situacijo ni smiselno (oz. samo podraži situacijo, doprinosa pa nobenega).

Vedno rabiš razmerje med pomembnostjo podatkov / sistemov, ki jih ščitiš, in investicijo. Pri tebi se zdi, da ti to manjka. Ali pa namenoma tlačiš notri institucije, ki imajo veliko občutljivih podatkov. Kaj točno imajo zavarovalnice veze s problemom tu? Ki ga sicer ne poznamo točno, ampak verjetno nihče razen tebe ne pričakuje, da potrebujejo enako stopnjo varnosti kot zavarovalnica.

Z meglo je pa po mojem mišljen tvoj fear mongering. Izjava, da se banke požvižgajo na PCI DSS, je tudi močna. Ko jih enkrat opali kazen hitro začnejo migati. Trenutno močno dvomim, da imaš koga, ki se ukvarja s karticami, pa grobo krši te smernice.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Invictus ::

SeMiNeSanja je izjavil:


Medtem, ko se američani tresejo pred PCI DSS, se pri nas nanj požvižgajo tudi tisti, ki bi mu načeloma morali biti zavezani - še celo marsikatera banka ne izpolnjuje PCI DSS v celoti.

Dokler ne poslujejo s tujino, je to res malo mimo. Standarde imaš ponavadi zaradi tega. Recimo VISA lepo zahteva svoje standarde in če jih ne izpolnjuješ, tista črna škatlica, ki jo VISA zagotovi za kartično poslovanje, preprosto neha delat. In vse transakcijo z VISA kartico preko tebe ne delujejo.

Se je zgodilo na Bankartu ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

bsslo ::

Zdi se mi, da smo malce zašli s teme. Osebni podatki bodo ustrezno varovani, o tem ni dvoma. Ni še dorečeno, vendar strežnik bo imel kriptirane diske, RAID-1 mirroring, vsak uporabnik pa bo videl samo svoj "home" folder, tuneli bodo enkriptirani, vsaka delovna postaja pa bo še zaščitena z ustreznim AV. Mislim, da je to dovolj za majhno podjetje. Lahko pa o tem razglabljamo v forkani temi...?

Všeč mi je kar je @SemiNeSanja komentiral glede Drytek usmerjevalnika. Pa da vprašam - kateri usmerjevalnik pa je zmožen furati 10-15 hkratnih tunelskih povezav, brez da bi ga moral vsak mesec resetirati?

darkolord ::

Pa da vprašam - kateri usmerjevalnik pa je zmožen furati 10-15 hkratnih tunelskih povezav, brez da bi ga moral vsak mesec resetirati?
Mikrotiki definitivno
spamtrap@hokej.si
spamtrap@gettymobile.si

levaky ::

Kak Ubiquity Edgerouter tudi, a je tam malo več ročnega dela, da se postavi tunel in vse...

Matej
---
http://www.zunaj.si - outdoor blog

SeMiNeSanja ::

@Podli112 - Predenj si se lotil komentiranja, bi se vsaj potrudil, da bi prebral, za kaj se pri celotni problematiki gre.

Ker se nisi in nabijaš v prazno, bom tvoje komentarje ignoriral, saj niso relevantni in ne doprinašajo k temi.

Glede PCI DSS, pa si takointako samo ponovil za mano, da za vse ostale, ki niso v kartični industriji, ta standard, oz. vprašalnik predstavlja 'plonk ceglc' dobrih praks - veliko tega, kar je notri, namreč velja za vsako podjetje.

Pa prosim ne nabijaj, da ne razumem, da je treba preceniti "razmerje med pomembnostjo podatkov / sistemov, ki jih ščitiš, in investicijo" - pozanimaj se pri OP-u, če mu nisem točno to napisal vsaj 2x na zasebno sporočilo.

Ni mi všeč tvoj odnos, da se zapodiš vame, samo zato, da bi me obtoževal, da skušam OP-u nekaj vsiliti. Jaz mu želim prikazati možnosti - odločiti se bo pa moral takointako sam.
Ne razumem, kaj je slabega pri tem, da se nekomu pokaže možnosti, ki so na voljo, mu predlaga, da naj se poduči o prednostih in slabostih posameznih možnostih, ter ceni?

Kar ti govoriš o 'črnih škatlicah', da so drage kot pes, v nekaterih primerih sicer drži, nikakor pa ne v vseh - danes so na voljo tudi alternative za bistveno bolj sprejemljivo ceno - vendar se je treba tudi kaj razgledati, kaj na trgu obstaja in ne vztrajati na nekem spoznanju, ki te je bog vedi kdaj 'prešinilo'.

Ravno tako ti tudi nebi škodovalo, da bi osvežil znanje glede tega, kaj je razlika med 'črnimi škatlicami' in nekim Mikrotik-om. 90% uporabnikov tega znanja namreč nima! Samo zato, ker si nekje slišal, da so za 'škatlo' dali 10+kEUR, namreč še ne pomeni ničesar, če ne veš kaj so dejansko dobili za ta denar. Včasih je taka investicija proč vržen denar, včasih pa je lahko tudi dobra naložba, včasih lahko sumiš na korupcijo, drugič pa so lahko naredili preklemasko dober posel, če so za 10kEUR pokrpali zadevo. Tu ni uravnilovke, kakršno bi ti rad uvedel!

Bi pa bilo dobro, da razložiš, zakaj si po tvojem mnenju OP nebi smel ogledati kakšne 'črne škatlice', da bi videl kaj zmore, kako se jo upravlja, kaj bi z njo pridobil - in kolikšno ceno bi za to moral plačati.

In ne dopuščam ti, da pljuvaš po meni, da skušam nekaj vsiljevati! Še dolgo predenj si ti sploh zasledil temo, sem spraševal, če kdo ve še za kakšno alternativo, ki bi bila nekje vmes med Mikrotikom (ki JE premalo) in UTM-i - (ki so predragi) za TA projekt.
Poleg tega OP-u nisem predlagal nobene konkretne 'črne škatlice' - kar ti bo znal tudi sam potrditi, temveč sem mu ponudil, da mu lahko pokažem razliko in razložim za kaj je katera funkcionalnost koristna - da bo znal REALNO preceniti, kaj od vsega tega dejansko potrebuje in kaj v posameznih rešitvah nižjega cenovnega razreda dobi ali ne dobi - da bo znal razen cene definirati še kakšen dodatni kriterij za rešitev, ki jo bo na koncu izbral.

Ampak enim očitno bolj ustreza, da so ljudje nevedni, nerazgledani,....., da nimajo kriterijev in vzamejo kar prvo, kar jim nekdo porine pod nos, brez da bi znali biti kritični pri tem?

Zgodovina sprememb…

Poldi112 ::

Glej, nič nimam proti črnim škatlicam per se. Zmotile so me stvari tipa:

vendar ko so enkrat v igri različne kazni, tja do prepovedi opravljanja dejavnosti, se pa ni več za hecat in si ne moreš privoščiti zadev reševati amatersko.


Zakaj sploh si začel s sranjem o ščitenju podatkov in vlekel v temo zavarovalničarje, poslovanje s kreditnimi karticami in pci dss?

Glede PCI DSS, pa si takointako samo ponovil za mano, da za vse ostale, ki niso v kartični industriji, ta standard, oz. vprašalnik predstavlja 'plonk ceglc' dobrih praks - veliko tega, kar je notri, namreč velja za vsako podjetje.


Nisem nič ponovil za tabo - moj point je bil, da je TUDI za kartično industrijo ta standard več ali manj skupek dobrih praks. Te pa smrad od pci dss efektivno sili, da ponekje optimalno rešitev zamenjaš z dražjo in nič bolj varno, samo zato, da boš prišel čez.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

SeMiNeSanja ::

Zakaj sploh si začel s sranjem o ščitenju podatkov in vlekel v temo zavarovalničarje, poslovanje s kreditnimi karticami in pci dss?


Zato, ker je dejavnost OP-a ZAVAROVALNIŠKO POSREDOVANJE.

PCI-DSS pa s samim problemom, ki ga ima OP nima NIČ skupnega (razen dobrih praks) - pozorno preberi že enkrat post, v katerem sem omenil PCI DSS in zakaj sem ga omenil, ter v kakšnem kontekstu.

Če nebi bil tako osredotočen na spodkopavanje mojih izjav in se bolj fokusiral na samo temo, bi OP-u zagotovo bolje pomagal - kar naj bi bil namen oglaševanja v neki temi, ne pa da se med sabo 'kausamo', ko otroci v vrtcu!

Zgodovina sprememb…

Poldi112 ::

>Zato, ker je dejavnost OP-a ZAVAROVALNIŠKO POSREDOVANJE.

Od kje ti pa ta informacija? In zakaj je ni v temi? Pa ne poznam točno tega področja, ampak v prvem postu piše, da rabi upload scanov in oglev posnetkov videonadzornih kamer. Kako točno gre to skupaj?

Kar bi jaz rad v tej temi so konkretni predlogi (z modeli naprave). Zato jo spremljam. Berem pa natepavanje zraka. Zato sem malo nataknjen. Tudi od tebe konkretno bi najraje videl eno specifično ponudbo. In utemeljitev, zakaj je dražja in kaj imaš od tega. Potem se pa človek lahko odloči, ali to rabi ali ne.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Zgodovina sprememb…

  • spremenil: Poldi112 ()

bsslo ::

Uporabniku 'SeMiNeSanja' sem v zasebnem sporočilu povedal da se ukvarjamo z zavarovalniškim posredovanjem. V temi pa smo jo pozabili omeniti.

Invictus ::

Ker toliko bluzite o PCI-DSS ...

To je namenjen samo podjetjem, ki dejansko upravljajo in uporabljajo plačilne kartice. Za vse ostale nepomemben standard ...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

@Invictus - zgrešil si point (včasih je dobro prebrati, kar je bilo napisano, predenj odgovarjaš).
PCI DSS je bil prvotno omenjen kot zbirka dobrih praks, ki bi jih moral vsak upravljalec mreže imeti v mezincu - v odsotnosti nekega splošnega minimalističnega slovenskega IT standarda ali priporočil. PCI DSS vprašalnik je prosto dostopen, medtem ko razne ISO standarde skrivajo in moraš poseči v žep, če hočeš prebrati kar v njih piše - kot da nebi bili narejeni za uporabo.
Manjka se nek razumljiv slovenski splošni 'standard', katerega bi lahko vsakdo pogledal, tako kot PCI DSS self assessment in ocenil, kje stoji - zgolj v tem kontekstu je bil PCI DSS omenjen! (Zakaj to sploh razlagam?)

@Poldi
Čim bi konkretiziral in začel govoriti o konkretnih modelih, ki bi jih jaz uporabil v takem primeru iz lastne ponudbe, bi me obsodili, da zganjam reklamo. Mogoče ni fer, ker ostali lahko konkretno omenjate bilokateri proizvod, vendar pa tudi ni nič narobe pri tem.

Zato se omejujem na to, da vam dopovedujem, da ni nujno vedno vse tako hudo grozno drago, če naj bi bilo malenkost bolj zmogljivo. Nekaj domače naloge pa lahko tudi sami opravite. Saj ni tako teško vzeti v roke gartnerjev kvadrant UTM rešitev, pogledati, kdo kaj velja in malo pogooglati za cenami in si ustvariti realno sliko, kaj je na trgu na voljo in po katerih cenah?
Če si potencialni kupec, pa je še bolje zavrteti telefon in se pozanimati pri prodajalcih posameznih rešitev, saj lastno brskanje po spletu hitro pripelje do tega, da ne upoštevaš dodatke, ki bi jih moral pri enemu proizvajalcu dokupiti, medtem ko jih drugi že v osnovni ceni vsebuje.

Če te pa še malo bolj firbec, pa greš do prodajalca in si pustiš zadevo demonstrirati, eventuelno ga nažicaš, če ti zadevo posodi za en teden.

Kdor kupuje po drugem postopku, samo zato, ker je nekdo rekel 'tole je pa coool', dela veliko napako. Vsak od nas ima svoja merila in prav je, da si vsak ustvari lastno mnenje, ne pa da slepo posluša, kaj je nekdo drug rekel - pri vsej žlehtnobi, ki so jo nekateri sposobni, ti bodo tudi nalašč hvalili rešitev, ki jo sami nebi nikdar kupili.

Najprej pa je sploh potrebno razumeti, da obstajajo različne kategorije rešitev, da jih proizvajalci pakirajo zelo različno, da se tudi sami UTM servisi od proizvajalca do proizvajalva bistveno razlikujejo po kakovosti in ne le po ceni.

Routerji, kot npr. Mikrotik razen SPI paketnega filtra nimajo nobene dodatne varnostne funkcionalnosti. Lahko določiš, kateri IP sme komunicirati s katerim in po katerem portu, to je pa tudi vse. Glede na to, da se gre za KOMUNIKACIJSKO napravo, je to tudi povsem dovolj - če jo uporabiš tam, kjer ji je mesto (žal mnogi implementatorji in kupci ne razumejo, kje je to mesto).
Ker jim je namen čim hitrejše premetavanje paketov z enega vmesnika na drugega, tudi ne premorejo neke resnejše logike, ki bi nam dovoljevala analize prometa. Logirajo običajno preko Syslog protokola (cleartext) na nek syslog daemon. Iskanje po logih je iskanje po gromozansko veliki tekstualni datoteki, če nimamo dodatnih analitičnih orodij.
Prednost jim je, da so izredno zmogljivi na komunikacijskem nivoju, pri čemer ima Mikrotik še zelo ugodno politiko licenciranja VPN tunelov na zmogljivejših modelih.
Več tu ni za povedati.

VARNOSTNE rešitve, pa se lahko razdeli na klasične požarne pregrade in UTM rešitve. 'Klasiko' danes redko kdo še kupuje, zato se ne bom ukvarjal z njo.
UTM rešitve so multifunkcijske varnostne naprave. Tako kot imaš 'multifinkcijski tiskalnik', ki je hkrati tiskalnik, fotokopirc, scanner in še fax, je podobno tudi pri UTM rešitvah.
V eni napravi lahko združujejo funkcionalnosti, za katere se je včasih postavljalo ločene naprave in strežnike, namesto da vzdržuješ pet različnih rešitev, plačuješ vzdrževanje samo še ene. Ravno tako se poenostavlja tudi upravljanje in nadzor, saj imaš opravka zgolj še z eno samo integrirano rešitvijo.
UTM zmore kar nekaj tega, kar zmore router - ni pa nujno, da vse (večina npr. ne obvlada MPLS). Vendar tudi ni nobene potrebe, da bi - saj v bolj zahtevnih okoljih pred UTM napravo stoji router, ki lahko prevzame vse zahtevnejše komunikacijske naloge.

Kaj torej UTM doda?
    - IPS - preverja promet na značilne vzorce znanih napadov in zlorab. Za to potrebuje stalno posodobljene signature, podobno kot antivirus. Od kakovosti signatur zavisi tudi uspešnost IPS-a
    - Antivirus - preverja datoteke, ki jih prenašamo preko naprave, če so okužene s škodljivo kodo. Proizvajalci UTM rešitev se zelo razlikujejo po kakovosti AV signatur, tako da je vedno dobro preveriti, kakšen AV dejansko dobiš v paketu.
    - Prepoznava aplikacij - danes, ko gre že skoraj vse preko porta 80 ali celo kriptirano čez 443, je dobro, če lahko ločimo med aplikacijami in dovoljujemo promet samo zaželjenim - tega z blokiranjem porta ne moremo doseči. Različne rešitve so na tem področju različno močne.
    - Antispam - je tudi prisoten pri večini ponudnikov. Nekateri znajo zgolj dodati [Spam] pred subject, drugi pridejo skupaj s strežnikom, ki hrani neželjeno pošto, in uporabniku zgolj pošlje periodično poročilo o neželjeni pošti, ki jo nato lahko prepošlje v svoj predal, če bi se kaj napačno okarakteriziralo kot spam.
    - Prepoznavanje uporabnikov - večina UTM rešitev danes omogoča, da pišemo pravila glede na uporabnika ali skupino uporabnikov, ne glede na njegov IP naslov. Tako lahko napišeš pravilo "From:Admin To:Any". Podprte so različne metode avtentikacije, od ActiveDirectory, pa do Radious-a, običajno pa obstaja tudi možnost integrirane avtentikacije, če nimamo MS domene, radius strežnika, ipd.
    - URL filter - če smo še tako liberalni in nas ne moti, če zaposleni med delovnim čason brskajo po pornografiji, pa bomo še vedno želeli, da se jim blokira dostop do spletnih strani, za katere že ves svet ve, da se preko njih širi škodljiva koda. Večina UTM ponudnikov ima v svojih filtrih tudi možnost blokiranja tovrstnih, resno nevarnih strani.
    - Cloud servisi - večina ponudnikov ima danes na voljo še dodatne storitve v oblaku, ki podobno kot URL filter preprečijo dostop do IP naslovov in vsebin, za katere se je z zbiranjem podatkov iz različnih virov pokazalo, da so potencialno nevarni. Ti servisi strežejo vedno aktualne podatke, za razliko od IPS in AV signetur, ki se v najboljšem primeru posodabljajo le nekaj krat na dan.
    - Analitika prometa - Če govorimo o vpogledu v realnem času, kaj se ta hip dogaja na požarni pregradi, obstajajo precejšnje razlike med posameznimi ponudniki. Večina omogoča nekakšen 'dashboard', kjer se naniza 'top users', 'top destinations', 'top applications'. Korelacija med temi podatki je težavna, vendar poljše rešitve ponujajo tudi možnost 'vrtanja' po podatkih. Če imaš pred seboj 'top users', lahko klikneš na tistega, ki ustvarja največ prometa, in ti analitika takoj pokaže, katere so NJEGOVE 'top aplikacije', 'top destinacija', 'top spletne kategorije',... Tako lahko že na prvi pogled oceniš, ali imaš opravka z začasno povečanim legitimnim prometom, ali pa se bo treba pogovoriti s tem uporabnikom, da naj internet uporablja bolj racionalno.
    - Logiranje podatkov - nekatere rešitve pridejo vključno z možnostjo naprednega logiranja in analitike, pri drugih je to potrebno dokupiti, včasih celo kot samostojno dodatno napravo. Boljše rešitve kriptirajo komunikacijo med napravo in strežnikom, ki shranjuje podatke. Ker se podatki običajno shranjujejo v SQL bazo, je tudi njihova uporabnost bistveno višja, kot pri navadnem Syslog logiranju. Analitika logiranih podatkov zavisi od proizvajalca, v boljših primerih, lahko 'vrtamo' po podatkih enako, kot sem omenil zgoraj pri vpogledih v trenutno dogajanje.
    - Aplikacijski proxiji - določene rešitve uporabljajo specifične proxije, ki pregledujejo promet na protokolske anomalije in ga 'normalizirajo'. Omogočajo tudi, da blokiramo prenašanje različnih tipov datotek ).exe, .bat,....). Nudijo še niz drugih možnosti 'odstranjevanja' nevšečnosti in omejevanja zahtev (npr. število napačnih avtentikacij na ftp strežniku, omejitev tipov dns query-jev,...) Spisek možnosti je predolg, da bi se tu spuščal v podrobnosti.
    - Centralizirano upravljanje - ponekod je vključeno, drugič moraš dokupiti posebno napravo, tretjič kupiti licenco za ustrezno število naprav. Čim imaš opravka z večjim številom naprav, ti centralizirano upravljanje bistveno olajša delo. Žal pa se v nekaterih primerih prodaja za izredno visoko ceno (ali pa celo sploh ni na voljo).
    - ..........

Ker je večina UTM storitev vezana na posodabljanje signatur ali dostop do aktualnih podatkov v oblaku, je samoumevno, da se mora zanje plačevati naročnino. Ta se lahko močno razlikuje od proizvajalca do proizvajalca. Dejansko se nam lahko zgodi, da plačujemo visoko naročnino, dobimo pa slabe signature - in obratno. Zato je pred nakupom treba temeljito opraviti domačo nalogo in iz prodajalca izvrtati tudi tiste umazane podrobnosti, o katerih ne mara govoriti. Včasih tudi ne škoduje vprašati konkurenta in potem prodajalca soočiti z 'govoricami'.

Bistvo varnosti UTM rešitev je v tem, da vsaka od storitev, doda nek dodaten nivo zaščite, tako da na koncu zelo teško še kaj neželjenega pride skozi požarno pregrado.
Pri tem ne govorim o prometu, ki bi mogoče od zunaj prišel noter, temveč o prometu, ki zapušča naše omrežje. V 90% primerov namreč sami 'zvlečemo' težave na naše omrežje - od vznotraj.
Večina postavljalcev 'routerjev' se ne potrudi, da bi v smeri proti ven zaprla vse nepotrebne porte. Dejansko je to tudi teško izvedljivo, ker za to potrebuješ dober pregled nad tem, kaj se v danem omrežju dejansko uporablja in na osnovi tega definirati outgoing pravila. Pri orodjih, ki jih routerji nudijo, je to zelo mukotrpno delo, katerega se potem večina sploh ne loti.
Kaj nam potem na koncu k varnosti doprinese SPI paketni filter, ki navzven prepušča ves promet, razen kar morda blokira peščico izbrani 'neželjenih' portov? NIČ! Zgolj lažen vtis varnosti. Uporabniki so seveda navdušeni, ker se nikoli nič ne zatakne - namesto, da bi bili alarmirani, da morda nekaj z njihovo varnostno rešitvijo ni čisto tako, kot bi moralo biti. Seveda navdušenje izgine, ko se nalezejo kakšnega cryptolockerja, li ga njihova 'varnostna' rešitev ne more zaustaviti. Žal pa se vsa krivda prevali na antivirus na delovni postaji in ne razmišlja o tem, da bi tako grožnjo morda lahko blokirali že na prehodu na internet.

Kaj od naštete UTM funkcionalnosti dejansko potrebuješ?
Če je cena ugodna, se to ne boš spraševal. S tem vprašanjem se ukvarjamo zgolj takrat, ko je cena visoka in moraš kupovati opcijo po opcijo, cena pa z vsako dodatno raste v višave.

Toda kaj je tu UGODNA cena?
Domači uporabnik bo rekel 40€, morda bi bil celo pripravljen odšteti do 100€ in plačevati 20€ za letne naročnine. Ker je kaj takega vsaj za enkrat nerealno, UTM rešitev ne boste našli po domovih.
Pri poslovnih uporabnikih pa bi morala biti zavest in pripravljenost investirati v varnost na bistveno višjem nivoju.
Toda če si nek frizeraj in imaš zgolj en računalnik, potem je razumljivo, da ne boš investiral več kot 100€ v zaščito, ki jo v večini primerov sploh ne potrebuješ. V končni fazi si edini uporabnik in (vsaj misliš), da veš, kaj počneš na internetu.
Čim pa imaš več kot le frizeraj in imaš dva, tri zaposlene, se že začnejo kazati določene problematike, ki se jih zlahka rešuje z UTM rešitvami, medtem ko jih navaden router ne more. Vendar je potrebno opraviti domačo nalogo in poiskati USTREZNO rešitev in ne iti najprej do najdražjega ponudnika, ki te bo šokiral s ceno, na kar boš ostal na navadnem routerju, saj boš prepričan, da je vse to čisto izven tvojega dosega.
Če je za podjetje s tremi zaposlenimi 22 cenov/dan/zaposlenega prevelik strošek (20€/mesec!) za nabavo in vzdrževanje napredne varnosti, potem tako podjetje že tako nima ravno svetle prihodnosti pred seboj in je čisto vseeno, če jih pokoplje virus, črv, ali pa stečajni upravitelj.
Pri 30 zaposlenih cena pade že na 7 centov/zaposlenega/dan, pri 100 na 4 cente,.....
Vse je odvisno, s katere perspektive gledaš. Seveda lahko operiraš tudi z absolutnimi številkami, vendar sem namerno želel ponazoriti, kako 'butasto' lahko izpade razmišljanje o N+K€ za spodobno varnostno rešitev. Seveda bo šla nabavna cena v tisoče, če imamo ogromno uporabnikov in apetite po 10+Gbps prepustnosti - vendar se ob pametni izbiri tudi v takem primeru še ni potrebno ubadati z številkami v šestmestnem področju, če smo opravili domačo nalogo.

Glavni problem pa je, ker nihče ne opravlja svoje domače naloge in se meče denar skozi okno, potem pa se jamra, kako so take rešitve grozljivo drage.
Tisti redki, ki pa so opravili domačo nalogo, pa se jim lahko samo posmehujejo - ali pa se sprašijejo, kako težka je bila kuverta, ki je romala pod mizo.

darkolord ::

In kje vse te funkcionalnosti UTMja, ki si jih naštel, pridejo v poštev pri site-to-site VPNjih?
spamtrap@hokej.si
spamtrap@gettymobile.si

SeMiNeSanja ::

darkolord je izjavil:

In kje vse te funkcionalnosti UTMja, ki si jih naštel, pridejo v poštev pri site-to-site VPNjih?

IPS in AV zagotovo tudi na VPN-u koristita, če je računalnik na oddaljeni lokaciji okužen.
Tudi prepoznava uporabnika zna včasih priti prav, ravno tako prepoznava aplikacije, ki ji dovoliš komunicirati češ VPN tunel.

Če se okužba kljub temu prenese, pa spet pridejo v poštev vsi našteti mehanizmi, da okužba nebi mogla komunicirati z internetom.

Pa kaj res moram razlagat najbolj osnovne fore varnostnih mehanizmov?

Zgodovina sprememb…

OmegaBlue ::

Povsod jih pa spet ni potrebno tlačit, čeprav so mogoče smiselne za manjša podjetja je fajn, če ima kupec toliko soli v glavi, da ne bo vklapljal funkcij, ki pri nas seveda niso ravno legalne(seveda se to ne zgodi, ker jih prodajalci kot ti veselo tržijo stranki).

Seveda delamo na čisto drugačnih skalah omrežja ampak UTM rešitev ne želim videt v nobenem resnem omrežju(aka več kot tajnica in 10 zaposljenih).

Imam občutek, da se ponavlja enaka gonija kot nekaj časa nazaj z uporabnikom NeMetko, kar izgleda si pritimač klon.
Never attribute to malice that which can be adequately explained by stupidity.

Zgodovina sprememb…

SeMiNeSanja ::

Že samo, da omenjaš 'ne ravno legalne' funkcije, vse pove o tvojem poznavanju problematike.

Ravno taki kot ti, pa čez mesec ali dva v bajto navlečejo kakšen PaloAlto.
Aja, ta kao ni UTM, ta je kao 'Next Generation'...?

SeMiNeSanja ::

Sicer pa ne vem, kaj sploh bluziš, kao 'nočem videti UTM' - danes je tudi Cisco ASA kvazi UTM/nextGen firewall!

Mesar ::

Pri vprašljivosti legalnosti je verjetno mislil iz vidika zasebnosti zaposlenih, kar zna biti zanimivo pri nas, sicer ne poznam na pamet naše zakonodajo ampak kolikor zasledim tu in tam se zadeve hitro spreminjajo in naša IP tudi ukrepa, ni blo ravno par dni nazaj, ko so morali nekje v Celju v neki šoli cel "elektronski sistem" za malice izklopit, ker ni bil v skladu s zahtevami IP?
Your turn to burn!

tony1 ::

Nič posebej nelegalnega ni v UTM funkcionalnostih - na svojem prometu valjda lahko počnem kar hočem?

Kot smo pa že videli na primeru odločb IP pa je, če gre na primer za skeniranje prometa, šifriranega z SSLom, na primer e-pošte zaposlenih v firmi, treba le-te vnaprej seznanti, da se to v omrežju počne.

DPI sicer ni nič nezakonitega, tudi naši operaterji ga že leta uporabljajo, pa če nam je to všeč ali ne.

SeMiNeSanja ::

@Mesar - vse je samo vprašanje, kako imaš poštimano po ustreznih pravilnikih in kako so z njimi seznanjeni delavci, ter seveda, kako se držiš pravilnikov, pa bo IP prišla, pogledala in odšla brez vsake pripombe.

Ničesar tu ni ilegalnega, če se stvari uporablja v skladu z zakonodajo in internimi akti podjetja. Kdor trdi drugače, je en velik bumbar, ki naokoli trosi laži. Če se potrudiš, lahko celo najdeš konkretna mnenja/priporočila IP na to tematiko. Obstajajo tudi odvetniške pisarne, ki so specializirane, da ti poštimajo potrebno papirologijo, če nekdo to sam ni sposoben naresti.

Seveda pa je groba kršitev zakonodaje, če se bo nekdo zgolj iz firbca pasel po URL-jih, ki jih je neka oseba obiskovala.
Vendar mislim, da ni bilo govora o zlorabah informacij, temveč o golem beleženju teh. Če bi to bilo v nasprotju z zakonodajo, potem bi bila vsa resna omrežja v Sloveniji v prekršku, saj se povsod shranjujejo prometni podatki - od Arnesa pa stavim, da tudi na omrežju IP. Nikoli v bistvu ni problem samo beleženje podatkov. Problem je namen beleženja, kdo ima dostop do teh podatkov in na kakšen način in za kaj so uporabljeni. Dokler se uporabljajo zgolj za diagnosticiranje težav na omrežju s strani pooblaščenih oseb, se ne bo nihče obregnil.

Žal pa je razumevanje informacijske varnosti pri nas tako nizko, da nekateri posamezniki naokoli trobijo, da je že dekriptiranje https prometa kriminalno dejanje. Pri tem pa ignorirajo dejstvo, da se danes vse več malware-a prenaša na naše računalnike ravno preko https in tako IPS in AV nadzor nad tem prometom postaja čedaje večja nuja.

Je pa res, da kljub temu, številni uporabniki, čeprav bi lahko, (še) ne uporabljajo https dekripcije, ker je to povezano z distribucijo certifikatov, da se ohranja 'veriga zaupanja' in ne more kar tako nekdo tretji še vskočiti v povezavo (da ne dobiš stalnih lažnih sporočil, da spletna stran ni varna). Potem moraš dodajati razne izjeme, kjer se promet ne bo smel dekriptirati (vse bančne transakcije, kje se uporablja dvostranske certifikate). Skratka nekaj dodatnega dela in možnih zapletov.

Tudi je razlika, če dekriptiraš https promet gostom v cyberkafiču ali pa v podjetju. Predenj boš gostom razložil zakaj in čemu, je bolje da to opcijo zanje izklopiš in se ne ubadaš z njimi. Svoj lastni promet pa še vedno lahko pošlješ skozi vse filtre, od AV pa do xy.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IP POS

Oddelek: Omrežja in internet
354263 (567) Cifix63
»

Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )

Oddelek: Novice / Varnost
12511700 (4167) SeMiNeSanja
»

Informatika naloga

Oddelek: Loža
10922 (395) Invictus
»

Ruter z 4x1Gbps LAN porti in VPN podporo (strani: 1 2 )

Oddelek: Kaj kupiti
864583 (3339) levaky
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10714824 (11801) NeMeTko

Več podobnih tem