Strokovnjaki za "obnovitev" omrežja

Kot je rekel Invictus - za zunanje je Guest omrezje in pika. Dejansko nobena firma kjer sem delal zadnjih 10 let ni imela internega WiFi omrezja, obstajal je izkljucno public WiFi z geslom ki se je menjalo 2-3x letno.

Se cudim da imate stranke glede na attitude ki ga tle kazete :)

SeMiNeSanja je 3. jun 2016 ob 10:26 izjavil:

AnotherMe je 3. jun 2016 ob 09:24 izjavil:

Še najslabše je pa v raznih podjetjih, ko porihtajo mrežo, dobijo tudi specialista, ki poskrbi za varnost ipd...

Potem, pa najprej en, potem še drugi uporabniki začnejo jokat, ko jim kaka malenkost ne dela, ali pa je "prekomplicirano" za uporabo...

In sedaj pride na pomoč sosedov Jože/Franci/Matevž, ki to vse porihta v parih urah (če sploh tako dolgo), in so potem vsi srečni ko jim VSE dela!

Sosed je sedaj junak, ki jim je vse ZRIHTAL, specialist ki je sodeloval pri postavitvi in zaščiti, pa je idiot, ki ničesar ne zna, pa še take dnarje je vzel, da bi lahko dobili vsaj nov služben avto za tajnico, ki ga res potrebuje!

Večina drage opreme pa je sedaj verjetno oklopljene in nabira prah...

Samo dejansko se to dogaja veliko prepogosto.
Sem že sam dostikrat naletel, da so kakšni 'serviserji' firewall preprosto izklopili / zaobšli / privlekli kakšen low-end routerček in podobno.
Se mi je zgodilo v eni od pokojninskih družb, da sem prišel naložit posodobitve pa še malo hotel pogledat, če je še kaj za popraviti na konfiguraciji požarne pregrade. Se hočem povezat na požarno pregrado...ne gre. Gremo v serversko sobo... požarna pregrada prižgana, kablov pa nikjer. Gledamo debelo kaj za vraga... pa en ušiv routerček namesto požarne pregrade priključen - ne da bi v hiši sploh karkoli vedeli za to.
Potem so se spomnili, da so par dni nazaj imeli 'na obisku' serviserčka iz ene 'ta velikih' računalniških firm...

Tako da ni vedno nek sosedov Jožek, včasih naredijo štalo tudi taki, ki jim to nebi pripisal.

Še huje je, da to počnejo (so počeli?) tudi operaterji. Uporabniku "crkne" internet in kliče tehnično pomoč. Navodilo tehnične pomoči operaterja pa je: LAN kabel iz firewalla, "ki ne dela", pretaknite direktno v modem - tehnik pa nato modem prestavi iz bridge v routed mode.

Neverjetno

In, kaj? "Sej use dela!" :P

SeMiNeSanja je 3. jun 2016 ob 13:13 izjavil:

Tehnično gledano, se da v 5-10min pogruntat, kaj je treba na FW odpreti in to izvesti.

Ampak ta zadeva je 'tehnične narave' samo v anarhičnih malih in srednje velikih podjetjih. V kakšnem 'resnejšem', je treba še en kup papirjev porihtat, da se to lahko izvede, na koncu pa se mora še ta prava oseba podpisati pod vse skupaj. To pa seveda lahko potem traja - čeprav se gre 'zgolj' za 10-minutni tehnični poseg.

Ne nucaš za vsako drekanje iso sledljivosti. Dovolj je da so spremembe v okviru dobrih praks. Ko je sistem nastavljen ni potrebe po odvečni birokratiji. In se sistemi dobrih praks zelo pogosto uporabljajo tudi v večjih sistemih.

Invictus je 4. jun 2016 ob 12:34 izjavil:

noraguta je 4. jun 2016 ob 10:53 izjavil:

Ne nucaš za vsako drekanje iso sledljivosti. Dovolj je da so spremembe v okviru dobrih praks. Ko je sistem nastavljen ni potrebe po odvečni birokratiji. In se sistemi dobrih praks zelo pogosto uporabljajo tudi v večjih sistemih.

Sledenje mora biti. ne da pride en direktorček in reče, meni pa nek x page ne dela. Daj odpri. Ko pa pride virus v firmo, pa ni nihče kriv.

Direktor nima kaj odločat o infrastrukturi to je zajeto v do rih praksah. Če si že delal v velikih sistemih je čudno da niste šli prek teh protokolov. Je precej huje. Če nekdo ki posipa cesto po isotu ne sme naredit zdravorazumske odločitve. In ja dobrr prakse so po isu. Prelaganje odgovornosti je pa včasih pač kontraproduktivno. Če pride virus v firmo pa skrivanje za podpisom nadrejenega ni opravičilo.

Hja, glede na to da so imeli (in nepopachani tudi imajo) Juniperji hardcodan user/pass v firmwaru, je ravnal kar pravilno.

Sicer pa, kaj pa lahko naredi ko pride v neznano firmo z neznanano konfiguracijo. Admin ki ga ne placajo pac ne bo povedal kaj je kje.
Res pa je da bi lahko bolje poskrbel za konfiguracijo :)

Ja, ven je pa prišlo decembra 2015. Za tem pa še januarja 2016 Fortinet s svojim "management authentication issue"
...

Nima Edward veze s tem. Problem je v tem da si tri in več črkovne agencije zrihtajo dostop do opreme. Pol pa ti dostopi pridejo v javnost, najprej do specializiranih odjemalcev na s torom zaščitenih forumih, pol pa kar vsi.

Verjemi mi da bomo tole še srečevali - če ne drugje pa za zaščito kakšnih davno pozabljenih naprav ki nekje visijo in nekaj počnejo - kakšen PC ki pobira neke podatke iz kakšnega stroja in jih posreduje naprej, do čudnih SCADA sistemov za nadzor nečesa. Tako kot najdemo PPTP VPNjanje povsod. Še vedno. Od blagajn do boh vedi česa.

Uporablja kdo COBIT? Naj bi bil "sveta knjiga" za IT prakse v podjetjih.

Drugače pa imamo ISO 27001.

ISO standard je predvsem papirologija.

Firma zadostuje ISO standardu tudi, če butast admin pravilno napiše papirje. Seveda če firma plača članarino...

Praktično vsi standardi predpisujejo papirologijo, včasih celo uporabne procese. Tako COBIT, kot ITIL.

noraguta je 5. jun 2016 ob 21:31 izjavil:

Šimpanz jedan, iso ti zgolj definira prakse pa ne vedno dobre, kako se izvajajo pa ni noben garant. Vlečt iso h adminu ki ima cca 20 uporabnikov je pa kronana traparija. Pa je ravno tako nujno da je sistem dokumentiran. Sicer pa iso sledljivost ni veliko vredna.

Še vedno ne vidim linka do tvojih sistemov dobrih praks, vse kar vidim, je pluvanje po ISO. Admin 20 uporabnikov, pa ne rabi ISO? Kje pa je rečeno, da je to mala firma? Kolega dela sisteme za zavarovalnice in MORA imeti ISO 27001 in MORA imeti ljudi, ki imajo certifikate za IBM, pa še cel kup druge papirologije. Zadnjič je dobil preverbo ene od strank, je prišel IT iz zavarovalnice s pravnikom in so preverili, kako shranjujejo podatke, kaj se zgodi v primeru naravnih katastrof itd... In veš koliko ljudi dela v firmi? 6.

Prav se strinjam s tabo, da je ISO zgolj na papirju, ampak razloži mi od kje vzpostavim dober delujoč sistem? Katere knjige preberem? Preberem standard? Kako nek admin postavi firmo na noge, da dela tako kot mora in da je malo birakracije in da je krit v primeru tožb? Prosim lepo, realni primer.

Resnično me zanima, kako bi ti vzpostavil, recimo en startup? Trenutno sem v tej situaciji, ko jim pišem varnostno politiko in se primarno opiram na ISO 27001, seveda se ne bodo certificirali, ker je predrago in trenutno tega niti ne rabijo. Ampak razsvetli me, kako naj se drugače lotim stvari?

Žalitve in zmerjanja, so resnično nepotrebne, raje drži debato na argumentiranem nivoju, trenutno se zadiraš vse povprek in ne odgovovarjaš na nobena podvprašanja.

Stvar je čisto preproste. Imaš različne stopnje strokovnosti pri upravljanju inf. sistemov. Začne se pri 'domačih uporabnikih', gre preko 'ljubiteljev' in amaterjev do šalabajzerjev in pocarjev, potem so tu polprofesionalci,...., na koncu pa profesionalci.

Kako 'domači uporabnik' rihta svoj informacijski sistem takointako vsak ve.
Od tu imaš naprej vse mogoče pojavne oblike upravljanja, vse tja do one variante, ki je v skladu z različnimi standardi.

'Dobre prakse' pri tem spadajo bolj med tehnična znanja in same po sebi nimajo nič skupnega z UPRAVLJALSKIMI veščinama. Ljudje še vedno zmotno mislijo, da upravljanje pomeni spreminjanje konfiguracij. Ne razumejo, da je upravljanje tesno povezano z porazdelitvijo ogdovornosti, sledljivostjo sprememb in papirologijo.

Lahko nek sistem odlično upravljaš - pa na koncu za en drek deluje, če ni ustreznega tehničnega znanja - ampak se bo pa točno vedelo, kdo je za to odgovoren. Dobro upravljanje pa je na koncu pogoj, da se lahko stvari premaknejo na bolje - za razliko od tam, kjer se ne ve za odgovornost, oz. je ta kvazi kolektivna in je najbolje zamenjati kar celo ekipo.

krneki0001 je 6. jun 2016 ob 07:44 izjavil:

Kaj pomeni "imajo certifikate za IBM"?
Sam imam namreč tam nekje 22 ali 23 IBM-ovih certifikatov, pa če nebi imel znanja, mi nič ne pomagajo.
Namreč v tujih firmah, kjer se dela z IBM-ovimi mašinami, se še vedno gleda kaj kdo zna in ne koliko ima papirjev.

Pri pridobivanju poslov iščejo zavarovalnice točno določene parametre, glede na obstoječo infrastrukturo in ena od teh zahteve so bili tudi določeni IBM certifikati. Firma je poslala nekaj ljudi na izobraževanje, da sedaj lahko rečejo, da imajo tudi te certifikate. Kolega ima znanja "dovolj", ampak za določene razpise so rabili te certifikate, kakor se pač neumno sliši.

111111111111 je 6. jun 2016 ob 08:38 izjavil:

Ja slovenija, ni važno koliko je znanja, važni so papirji. In potem tip s srednjo šolo vse obvlada, dobro plačo pa dobivajo samo tisti s faksi in magisteriji, ki pa ne znajo delat. Pa spijo potem med službo. (pa boljš da spijo, ker drugače bi itak škodo delal, al pa težil srednješolcu, kako se kaj naredi - imam že prakso s tem v slovenskih podjetjih).

Tak je če posluješ z delno državnimi mastadoni. :)

Kar se gesel tiče, so pri nas v sefu pri upravi (dostop do sefa imajo trije in vsaj 2 morata biti prisotna) in v enem sefu na oddaljeni lokaciji, kjer mora spet biti primerna prisotnost.

AnotherMe je 6. jun 2016 ob 08:52 izjavil:

Sem pričakoval neko podobno varjanto.

Kdo ma geslo/ključ od sefa?

Hvala!

Uprava in pravna pisarna. 3 ljudje. Aja pa kot zanimivost, ko gremo na sindikalni izlet za avtomobili, se moramo peljati mešano. :) Šef je paranoik in se informatiki nikoli ne smemo peljati skupaj. :D

Jst je 6. jun 2016 ob 10:38 izjavil:

Imamo v Sloveniji kakšne firme, ki delajo security auditing?

Večje slovenske firme naročajo pri Deloitte & Touche.


Imaš pa pri nas Hic Salta od Braneta Vasiljeviča in delajo tudi takšne preglede.
http://www.hicsalta.si/

Sva imela enkrat debato z njim, da bi postavila server, kamor bi vsi, ki imamo doma postavljen honeypote, odlagali IP-je (z datumom in časom vred) iz katerih se vdira (IP-je zombijev), pa da bi potem to pošiljali ISP-jem, ki bi domače opozarjali, tuje pa blokirali.
Ampak je projekt potem ustavila kokoš informacijska pooblaščenka, ker gre za uraden podatek (IP) in da se tega ne sme objavljat.

krneki0001 je 6. jun 2016 ob 10:45 izjavil:

Jst je 6. jun 2016 ob 10:38 izjavil:

Imamo v Sloveniji kakšne firme, ki delajo security auditing?

Večje slovenske firme naročajo pri Deloitte & Touche.


Imaš pa pri nas Hic Salta od Braneta Vasiljeviča in delajo tudi takšne preglede.
http://www.hicsalta.si/

Sva imela enkrat debato z njim, da bi postavila server, kamor bi vsi, ki imamo doma postavljen honeypote, odlagali IP-je (z datumom in časom vred) iz katerih se vdira (IP-je zombijev), pa da bi potem to pošiljali ISP-jem, ki bi domače opozarjali, tuje pa blokirali.
Ampak je projekt potem ustavila kokoš informacijska pooblaščenka, ker gre za uraden podatek (IP) in da se tega ne sme objavljat.

Takim pametnjakovičem je potrebno vliti eno cisterno dreka** na glavo, drugače jim je zelo težko razložiti da niso nedotakljivi.

**v tem primeru kakšen ddos, postavitev njihovega mail strežnika na black listo in podobno.

nebivedu: me zanima, kaj bi inf. pooblaščenec rekel na "Honeypot as a service"...

Hm, glede na to da te sami kontaktirajo...
Sicer pa lahko napišeš na page, da če te kontaktirajo se strinjajo s pogoji uporabe - torej da se njihovi kontaktni podatki uporabijo za komercialne namene. Če jim ni všeč, pa seveda omogočiš tudi odjavo.

Ki ga SLO IP ni prepovedal !

Se pravi, da ko sem laufal honeypot dva tedna, nepatchan WinXP in čakal, koliko časa, da postane zombi, sem kršil zakonodajo? Čaki mal, to pa ne gre skupaj.

ps: 9 dni v mojem primeru.

111111111111 je 6. jun 2016 ob 19:42 izjavil:

Nope. Narobe si razumel. Zakonodajo bi kršil, če bi na primer jaz kot ISP na podlagi IP naslova tvojega zombi računalnika, dobil ime in priimek in ti poslal pošto in te obvestil da imaš zombi računalnik.

Nobenih težav pa ni če na javnem forumu napišeš IP naslov in zraven svoje ime, priimek, davčno, naslov, mail, skratka osebni podatki so tvoja last in lahko delaš z njimi kot svinja z mehom.

TO pa ne bo ravno držalo, saj bi potemtakem ISP-ji neprestano kršili zakon, saj točno to počno: lastnike zombi računalnikov obveščajo o 'nespodobnem vedenju njihovega računalnika' in jim zagrozijo z odklopom, če to ne uredijo.

Še več: za moje pojme, to spada med dolžnosti ISP-ja, da takšne uporabnike na svojem omrežju opozarja, koneckoncev ti predstavljajo grožnjo za ostale uporabnike, nenazadnje pa tudi lahko izničijo ugled ISP-jevega omrežja, če nič ne ukrepa proti takšnim uporabnikom - ki sicer najpogosteje sploh niso v stanju ugotoviti, da je njihov računalnik postal zombi.

NEZAKONITO bi šele bilo, če bi ISP na oglasno desko izobesil seznam IP naslovov skupaj z imeni in priimki naročnikov.