» »

VPN in oddaljene pisarne

VPN in oddaljene pisarne

1
2
»

Mesar ::

Your turn to burn!

Zgodovina sprememb…

  • spremenil: Mesar ()

SeMiNeSanja ::

Pustimo ob strani, kar pišejo razni provokatorji, ker dobesedno zgolj provocirajo.

https://www.ip-rs.si/varstvo-osebnih-po......

https://www.ip-rs.si/varstvo-osebnih-po......

V obeh primerih je najprej 'sporno'....potem pa sledijo navodila, kdaj kao NI sporno.

SeMiNeSanja ::

Takointako pa tudi zdrava pamet vsakomur pove, da je kakršnakoli naknadna diagnostika težav na omrežjih nemogoča, če nimaš shranjenih ustreznih prometnih podatkov.

Tipičen primer: pride Jaka do admina v ponedeljek in mu jamra, da v petek pa nikakor ni mogel do neke določene strani.

Kako naj mu admin karkoli pomaga, če ne bo imel podatkov za nazaj?
Če se IP naslovi delijo preko dhcp, bo imel še težavo, da ne bo vedel IP naslova, s katerega je Jaka imel težave.
Če ima URL še cel niz dodatnih linkov in je prenos strani 'štekal' zato, ker nek določen content type nismo dovolili - kako naj vraga ugotovi, kateri je to, če nima logiranih podrobnih podatkov?
No Way!

darkolord ::

A bejž no.

Najboljš, da mu namontiraš še 24/7 kamero na glavo! Mogoče mu je drobtina padla pod Enter tipko pa mu zato ni prijel vnos - kako za vraga naj to ugotoviš, če nimaš videoposnetkov vsakega njegovega premika?

No Way!
spamtrap@hokej.si
spamtrap@gettymobile.si

SeMiNeSanja ::

Super argumentirano, ni kaj.

Ko pa kličeš providerja, ker ti nekaj ne dela, pa pričakuješ, da bo za tvoje težave vedel, še predenj si slušalko vzel v roke.

Dvojna merila? Ali zgolj trollaš?

Zgodovina sprememb…

darkolord ::

Od providerja seveda ne pričakujem, da mi bo znal povedati, zakaj mi nekaj dni nazaj ene strani ni odprlo, ampak da zna identificirati in diagnosticirati težave, ki so trenutno v teku.

Če stran ni delovala in sedaj deluje, problem precej verjetno ni bil pri tebi in lahko mirno dihaš naprej.
Če stran ni delovala in še zmeraj ne deluje, lahko hitro ugotoviš, kje je problem.
spamtrap@hokej.si
spamtrap@gettymobile.si

OmegaBlue ::

SeMiNeSanja je izjavil:

Že samo, da omenjaš 'ne ravno legalne' funkcije, vse pove o tvojem poznavanju problematike.

Ravno taki kot ti, pa čez mesec ali dva v bajto navlečejo kakšen PaloAlto.
Aja, ta kao ni UTM, ta je kao 'Next Generation'...?


Tvoja retorika se pa resnično ne spreminja, takoj ko nekdo omeni nekaj bolečega o tvojih produktih te požgečka po jajčkih in se spraviš diskreditirat ljudi ne da bi bil prepričan o njihovih kvalifikacijah.

Ne se bat smo navajeni takih in tukaj vedno dobiš nazaj argument https://pravokator.si/index.php/2010/09... (bodi pozoren na Slovenska ustava torej za posege v komunikacijsko zasebnost zahteva ustrezno zakonsko podlago in predvsem sodno odredbo.). To je vse kar je potrebno vedet - vsekakor pride v poštev pri uporabi "zanimivih" (da ne bo preveč bolelo) funkcij napravic, ki jih prodajaš.

tony1 je izjavil:

Nič posebej nelegalnega ni v UTM funkcionalnostih - na svojem prometu valjda lahko počnem kar hočem?


Nope, ni samo tvoj promet v podjetju pa če ti je všeč ali ne.

tony1 je izjavil:


Kot smo pa že videli na primeru odločb IP pa je, če gre na primer za skeniranje prometa, šifriranega z SSLom, na primer e-pošte zaposlenih v firmi, treba le-te vnaprej seznanti, da se to v omrežju počne.

Tukaj bi te prosil za referenco, vsekakor je odvisno kako se to počne. (The UTM way pač ne)

tony1 je izjavil:


DPI sicer ni nič nezakonitega, tudi naši operaterji ga že leta uporabljajo, pa če nam je to všeč ali ne.

No ravno oni ga ne smejo, bi prosil za kakšne dokaze tukaj. (vem ni ravno lahka naloga)
Never attribute to malice that which can be adequately explained by stupidity.

tony1 ::

Po zakonodaji ne bi brskal zdajle (sem pa imel IP že za vratom), glede operaterjev pa poglejva primer: po netu srfaš preko 3G omrežja. In operater ti lepo pove, da imaš na voljo X prenesenih megabajtov, nato pa te čaka omejitev pipe na 64kbit/s. To se seveda počne z napravami, ki delajo DPI.

SeMiNeSanja ::

@tony1 - brezvezno komentirati OmegaBlue, ki do danes še ni dojel, da so danes v bistvu vse požarne pregrade že UTM. Ki ne dojema, da se UTM ne postavlja zato, ker bi koga zanimalo, ali je na nekem portalu kliknil 'sem za SDS' ali 'sem za XXX'. Ki širi naokoli polresnice in enostranske interpretacije nekega portala, ki nima veze z dejanskimi problemi, s katerimi se soočajo admini v omrežjih. Ki silja na osebno diskreditacijo, namesto da bi razložil, kako bo on zagotovil, da njegovo strežniki ne bodo trosili malware naokoli.

Ne - tistega, ki se potrudi in nekaj razloži, je treba jebat?
Ne vem, kaj je njegov problem - se boji, da bo mogoče kdo prebral in ne bo več čisto neveden?
Zakaj me napada, da reklamiram 'moje' proizvode, ko opisujem celo industrijo, v kateri se najde vse proizvajalce, ki kaj veljajo. Sem mogoče enega izpostavil?

Ne vem, kakšne probleme mora nekdo imeti, da se spravi napadati nekoga, ki opisuje, kaj je danes standard v varnostni industriji.

Kaj ni to isto, kot če bi napadal nekoga, ki bi razlagal, da imajo avtomobili različne varnostne in pomožne sisteme, od servo volana, ASR, ESP pa do airbag-ov?

Res škoda takemu provokatorju karkoli odgovoriti.

tony1 ::

Da se razumemo: promet, ki je moj, je promet iz mojih osebnih kišt.

Od tu naprej pa govorimo o prometu, ki izvira (oz. se prejema) v moji administrativni domeni (moja firma oz. moje stranke, ki plačujejo tudi za to, da jim zagotavljam informacijsko varnost).

Jaz bi namesto le legislativnega vidika prestrezanja SSL kriptiranega prometa (kakršen ta že pač naj bo), raje izpostavil še tole:
a) Danes je šifriranega že ogromen delež prometa. Vse od vpisa v googlov iskalnik naprej. Bi bilo smiselno reči, da je varnostno upravičeno imeti vpogled v večino tega prometa? (Moramo se strinjati, da so izjeme: finančni in zdravstveni podatki.)

b) Še druga stvar pa je ta: ali res lahko zaupam firewallu, ki je robna naprava, ki z enim vmesnikom sedi direktno na javnem omrežju?

Recimo, da imam kriptiran promet, in ga kriptiram v browserju. Nato pa dovolim firewallu, da brska po njem v clear-textu. Lahko res zaupam firewallu v luči vseh mogočih exploitov Enesa? Kaj pa če jim je do firewalla še za razred lažje priti kot do kište, ki je nekje v LANu, jaz pa namerno čez firewall spuščam nešifriran promet? :|

Niso več hec takšni razmisleki... Podira se celotna paradigma varnosti, kakšno smo poznali zadnjih 20 let...

SeMiNeSanja ::

Paničarji, ki skačejo v zrak, čim se omeni dekripcija SSL prometa, ustvarjajo vtis, da s tem admin dobi vpogled v celotno vsebino komunikacije - npr. če preko https pišeš mail na Gmail-u, da lahko admin bere vsebino tvojega sporočila. Bullshit!

Ne vem, ali namerno zavajajo, ali dejansko nimajo pojma. Od vseh požarnih pregrad, ki delajo SSL inšpekcijo, kar sem jih videl, tudi ena sama adminu ne razkriva VSEBINE komunikacije, niti se vsebina ne logira - procesira se skozi AV, IPS, whatever - ne da bi admin (ali kdorkoli drug) pri tem na katerikoli točki videl vsebino.

Če kateri paranoik trdi drugače, naj to dokaže!

Požarna pregrada je varnostna rešitev in ne vohunska. Kdaj bo to že paranoikom jasno?
Kdor hoče vohuniti za zaposlenimi ima na voljo BISTVENO boljše rešitve od požarnih pregrad (npr. NetWitness). Takih rešitev se bojte! Zganjati paranojo proti DPI požarnim pregradam, je enako zganjati paniko pred vsakršnim cepljenjem, ki nas ščiti pred boleznimi.

Ste sploh že kdaj pomislili, zakaj se najrazličnejši virusi in črvi tako s tako razantno hitrostjo širijo po internetu? Mogoče zato, ker je več kot preveč 'odprtih' omrežij, ki nudijo gostoljubje tem nadlogam? Nič drugače ni s spam in DDOS bot-i. Z zagovarjanjem nikakršne zaščite, aktivno podpirate širjenje tega sranja po internetu. Kje je tu odgovornost? Potem pa si upate moralizirati čez tiste, ki omrežje ščitijo, da se iz njega kaj takega ne more širiti?

Sicer pa - zakaj sploh uporabljate službeno omrežje za privat zadeve? Če bi ločili zasebno in službeno, se o tej tematiki sploh nebi pogovarjali. Če si paranoik pač ne uporabljaš službenega omrežja za zasebne zadeve in je zadeva rešena.

Ampak ja - obstajajo ljudje, ki so rezistentni na kakršnokoli prigovarjanje. Poznam mikro firmo, kjer imajo skupen mail account in vsak svoj alias na tem accountu. Zaposlenemu so neštetokrat rekli, da naj ne tala naokoli službenega maila za zasebne stvari - brez uspeha. Potem pa se tip pritožuje, da ostali vidijo njegove maile?!? Po najmanj petih letih, si še vedno ni bil sposoben odpreti lastnega gmail/hotmail/yahoo/whatever accounta! Ja, takle mamo - in taki potem jamrajo čez 'zasebnost', ki jo sami teptajo, ker ne upoštevajo, kar se jim govori.

Mesar ::

SeMiNeSanja> Paničarji, ki skačejo v zrak, čim se omeni dekripcija SSL prometa, ustvarjajo vtis, da s tem admin dobi vpogled v celotno vsebino komunikacije - npr. če preko https pišeš mail na Gmail-u, da lahko admin bere vsebino tvojega sporočila. Bullshit!

Niti ni tak problem, da lahko admin vidi to ampak da imaš še na neki tretji lokaciji dekriptirane podatke pa še kakšne certifikate in kaj...

SeMiNeSanja> Ste sploh že kdaj pomislili, zakaj se najrazličnejši virusi in črvi tako s tako razantno hitrostjo širijo po internetu? Mogoče zato, ker je več kot preveč 'odprtih' omrežij, ki nudijo gostoljubje tem nadlogam? Nič drugače ni s spam in DDOS bot-i. Z zagovarjanjem nikakršne zaščite, aktivno podpirate širjenje tega sranja po internetu. Kje je tu odgovornost? Potem pa si upate moralizirati čez tiste, ki omrežje ščitijo, da se iz njega kaj takega ne more širiti?

Nah... med krivci človeški faktor prepričljivo vodi.

SeMiNeSanja> Sicer pa - zakaj sploh uporabljate službeno omrežje za privat zadeve? Če bi ločili zasebno in službeno, se o tej tematiki sploh nebi pogovarjali. Če si paranoik pač ne uporabljaš službenega omrežja za zasebne zadeve in je zadeva rešena.

Ja, daj, razloži jim to, direktorju (ki to odobrava) in vsem pod njim. Pa realno, koliko je takšna tvoja rešitev praktična? En čisto simple primer, recimo, da firma pričakuje pomemben mail ali pa dva, ki bi morala priti od druge firme (ki ima misconfigured mail server) in zato ta tvoja škatlica zadevo zavrne ali pa dropa, kdo bo potem odgovarjal za to če pride do škode? Pa to je samo en primer...

Mislim no, varnost ja... ampak če bo začela omejevati zaposlene dvomim, da bodo dolgo to tolerirali, misliš da ne?
Your turn to burn!

SeMiNeSanja ::

@Toni1 - tvoji pomisleki glede ranljivosti požarne pregrade so do neke mere povsem legitimni.

Vendar vsa Snowden/NSA štorija meni mestoma zveni preveč znanstvena fantastika.
Vsi smo brali, da ima NSA exploit, s katerim kvazi lahko 'prisluškuje' Cisco PIX (kdor to danes še uporablja, je ekstremno malomaren!), ASA, Juniper in Huawei požarnim pregradam.
Toda je kdo dokazal dejanski obstoj te kode? Se ne spomnim, da bi raziskovalci potrdili njen obstoj.

Če na koncu ne moremo zaupati niti požarni pregradi - čemu pa bomo potem sploh lahko še zaupali? Bo bolje, če smo brez nje? Resno dvomim.
Smo pri podobni situaciji, kot s cepivom. Enemu na 100.000 bo škodovalo, ostalim bo koristilo.

Pogosto pri varnostnih rešitvah tudi obstaja možnost, da preverimo checksum nameščenega firmware-a. Kdor se boji, da mu je NSA ali kdo drug kaj podtaknil, bi moral ta test poganjati vsakodnevno.

Mesar ::

LOL Kdo kaj prisluškuje?

http://gigaom.com/2013/12/29/nsas-backd...

Backdoor imajo, ki verjetno pride nameščen že z prvim softwarom in ga odstraniš šele ko - če izdajo patch brez backdoora. Seveda se govori samo o takšnih stvareh, ki so jih našli poštenjaki in predstavili javnosti, marsikdo bi raje molčal in zadevo s pridom uporabljal ali pa celo prodajal.

In zdaj če se tolažimo, da tega ni blo, to je zdaj prišlo ven za PiXe, ki so že pre2000 in vsa ta čas je nekaj ljudi že vedelo za tak backdoor. Kaj vse je skrito v škatlicah, ki so zdaj aktualne bo jasno verjetno šele čez par let.
Your turn to burn!

tony1 ::

Absolutno rabimo požarne pregrade in če jih že imamo v omrežju, jim moramo zaupati.

Čeprav ima NSA možnost zahtevati dostop (in izdati gag order, da mora biti firma o tem tiho) se po do zdaj leaking dokumentih zdi, da raje delajo drugače - zbirajo 0day varnostne luknje, o njih molčijo ko grob in jih šparajo za dovolj pomembne tarče. Kode čisto brez bugov gotovo ni, ker nimaš pa niti izvorne kode, da bi jo sam šel preverjat, pa ti ostane le še (za)upanje.

V luči Iranskih centrifug, kjer so bile uspešno uporabljene 3 (?) 0Day ranljivosti, ki so jih iz rokava stresle obveščevalne službe, je govoriti o znanstveni fantastiki kot tiščati glavo v pesek.

Vseeno pa nima nobenega smisla ne ignorirati rednega posodabljanja programske opreme ne uporabljati firewallov, ki so že 6 let end of life.

Če gremo še malo naprej, še tole: vemo, da se vsa mogoča internetna komunikacija shranjuje "v oblak" :-) za odbobje 10, 15 let. Danes to veselo šifriramo, ampak, čez 15 let bo to tako trivialano razbiti kot danes 56-bitni DES... Hmm... :-P

SeMiNeSanja ::

@Mesar - točno o tem 'katalogu' sem govoril.

Snowden je nabral vse powerpoint-e in ostale dokumente, ki jih je našel. Koliko od tega je bilo samo material za prezentacije idej, koliko je bilo fake materiala z namenom propagande in zavajanja, koliko je bilo zastarelega.... ne bomo nikoli vedeli.

Nakradeno 'dokumentacijo', ki se ji ne da dokazati verodostojnosti, analizirajo novinarji, ki jo potem po svoje 'prepakirajo' za splošno javnost, na koncu pa izpadejo ven zgodbe, ki občasno mejijo na znanstveno fantastiko.

Lahko je vse res, lahko je vse nateg. Jaz ne vem. Veš TI?
Resnica je najbrž nekje vmes - toda kje?
Si res naredimo uslugo, če vsemu verjamemo, brez zadržkov?

Kar se tiče različnih bug-ov v Cisco rešitvah, ki bi jih bilo možno zlorabiti, se ni le 'vedelo', bili so tudi narejeni ustrezni popravki, obveščalo o nujnosti nadgradnje - tudi preko CERT-a. Če admin popravkov ni namestil, potem ni opravil svojega dela, za katerega je plačan! Ali so to 'tisti' bug-i, ki naj bi jih NSA zlorabljala, pa lahko samo ugibamo.
Zelo podobno je tudi z vsemu drugimi resnimi proizvajalci. Mnogi aktivno in zgledno sodelujejo s CERT-i in z njimi koordinirajo javno objavo bugov z razpoložljivostjo ustreznega popravka.

Bolj v skrbeh bi bil glede proizvodov, za katere nikoli ne slišimo, da bi imeli kakšen bolj ali manj resen bug. Tu se moramo resno vprašati, če nam slučajno česa ne prikrivajo in popravke hujših napak (če jih sploh ponudijo) prodajajo kot kakšen 'feature update'. Tako lahko marsikdo preskoči tak update, saj ne ve, da odpravlja resen problem.

Kar se tiče tvoje pripombe glede mailov - če bi jih firewall-i preprosto 'požrli', bi jih že zdavnaj vsi zmetali skozi okna.
Kdor ima tako 'razštelan' mail server, da bi ga firewall zavrnil, temu bi ga tudi mail server - in to ne samo tvoj, temveč še marsikateri drugi.

@Toni1 - nisem mislil, da je vse znanstvena fantastika, kar je Snowden privlekel na dan.
Uporaba 0day exploitov zagotovo ne spada v kategorijo znanstvene fantastike. Na tem področju predvidevam, celo to, da NSA te kupuje na črnem trgu, kjer počasi nastaja prava borza s temi zadevami.
So pa druge stvari, sploh zadnje objave, pri katerih imaš občutek, da gre bolj za idejne projekte, kot pa za nekaj, kar bi lahko v realnosti obstajalo.
Idejnih projektov je v taki organizaciji, kot je NSA, nešteto. Mnogi ostanejo zgolj na nivoju ideje, ker bi bili tehnično prezahtevni, predragi ali iz kerega drugega razloga neizvedljivi. Drugi se razvijejo naprej v proove of concept, nekaterim pa uspe postati standardni del 'orodjarne'.
Žal nam NSA nikoli ne bo povedala kateri so to.

Hayabusa ::

Vsi smo brali, da ima NSA exploit, s katerim kvazi lahko 'prisluškuje' Cisco PIX (kdor to danes še uporablja, je ekstremno malomaren!), ASA, Juniper in Huawei požarnim pregradam.

http://www.spiegel.de/netzwelt/netzpoli...

BigWhale ::

A bi se lahko vrnili nazaj na temo in bi nekateri nehali derailat celoten thread?

SeMiNeSanja ::

Back to the topic:

Kontaktiraj ustrezne revizorje pri zavarovalnicah, s katerimi sodelujete.
Pri njih se pozanimaj za minimalne standarde IT varnosti, ki jih predpisujejo.

Rešitve potem išči na osnovi teh določil, ki so med drugim merodajna tudi za pogodbeno razmerje z zavarovalnico in izpolnjevanje pogojev agencije za nadzor zavarovalnic.

Vsa ostala mnenja raznih amaterjev in wannabe 'ekspertov' ignoriraj, ker ti ne bodo storila nič dobrega.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

IP POS

Oddelek: Omrežja in internet
354262 (566) Cifix63
»

Lekarne Ljubljana žrtev izsiljevalskega virusa (strani: 1 2 3 )

Oddelek: Novice / Varnost
12511636 (4103) SeMiNeSanja
»

Informatika naloga

Oddelek: Loža
10919 (392) Invictus
»

Ruter z 4x1Gbps LAN porti in VPN podporo (strani: 1 2 )

Oddelek: Kaj kupiti
864566 (3322) levaky
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10714802 (11779) NeMeTko

Več podobnih tem