» »

Backdoor-i v Cisco (in drugih) napravah

Backdoor-i v Cisco (in drugih) napravah

1 2
3
4

Invictus ::

SeMiNeSanja je izjavil:


Tista omrežja, o katerih govori Jukoz, pa se mi zdijo kot ena sama velika anarhija, kjer očitno vsakdo lahko počne kar hoče. Najbrž zaposleni lahko tudi kakšen AP od doma prinesejo in ga nekaznovano priklopijo na mrežo, če je signal 'službenega' prešibek?

Ne boš verjel, ampak tudi to sem že videl ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

jukoz ::

tony1 je izjavil:


Klient se uspešno poveže na rogue AP1, firmin AP2 pa prejšnjim klientom pošilja odjavne beacone v takšni obliki, kot da jih je poslal rogue AP1. Gre za Rogue AP suppression funkcionalnost.


Em, SeMiNeSanja piše o:
"Bistvo je to, da se accesspoint obnaša kot pes ovčar, ki se nauči katere ovčke so njegove, kje je ograda in kje prežijo nevarnosti. Potem pa ves čas spremlja, kaj počno njegove ovčke. Če hočejo preko ograde, jim pošilja disconnect pakete. Lahko jih postavi v karanteno, da se ne morejo povezati niti v lastni WiFi in podobno."

Je to res to? Ker kar je on napisal, se bolj razume kot da veš kateri so tvoji klienti in če se ne obnašajo pravilno, jih vržeš iz mreže. Zakaj sicer z disconect oz deauth paketi, če bi jih lahko blokiral na bolj kulturne načine, ampak OK.

SeMiNeSanja je izjavil:


Tu pa lahko tiči največji problem tovrstnih rešitev, ki je v ZDA neki hotelski verigi nakopal kazen v višini $600.000 - starejše rešitve so izredno šibke pri klasifikaciji kaj je moje in kaj ni moje, česa se smem 'dotikati', česa pa ne. Celo tako šibke, da je znan proizvajalec v svojih navodilih odsvetoval vklapljanje samodejne klasifikacije.

Kot rečeno, čas ni obstal, tako da so danes tovrstne rešitve že precej bolj pametne pri avtomatski klasifikaciji AP-jev in odjemalcev. Definitivno pa moraš zelo paziti, kaj delaš...

Kako je pri nas glede morebitnih kazni, če zadeve narobe skonfiguriraš in motiš omrežja sosedov, pa nimam pojma. Predvidevam, da so simbolične v primerjavi z ameriškimi - če te sploh kdaj doleti. Vendar to ne pomeni, da naj zdaj kar vsakdo na slepo vklaplja tovrstno funkcionalnost, tudi če mu jo AP podpira. Treba je zadevo prej dodobra potestirat v okolju, kjer ne moreš povzročiti kakšne resne štale. Šele ko ti je res jasno, kako stvar deluje, pa se jo loti načrtno implementirat v produkcijskem okolju.

Marriot je blokiral druge AP-je. Če si s telefonom naredil Hotspot so ga njihovi APji po hotelu blokirali. Torej so posegali v omrežja drugih, kar pa je seveda protizakonito. Tako kot če bi ti sosedu pošiljal deauth paketke na njegov WiFi. Če samemu sebi si OK.

Zgodovina sprememb…

  • spremenilo: jukoz ()

Poldi112 ::

Zakaj bi imel problem, če bi blokiral tuj AP, ki se izdaja za tvojega?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

jukoz ::

SeMiNeSanja je izjavil:


Tista citirana odločba IP RS je iz 'nekih drugih časov', ko je bil delež https-a prometa kakšne 5-10x nižji kot danes, iz časa, ko se še nismo srečevali z izsiljevalskimi virusi, ko https še ni veljal za rizičnega pri distribuciji zlonamerne kode.

IP RS sicer izhaja iz načela sorazmernosti. Ta pa se je zaradi spremenjenih okoliščin tudi spremenila. Kat je bilo pred petimi leti za nekoga pretirano in paranoično, je danes 'must have', če nočeš jutri potegniti ta kratke.

V glavnem pa je ves problem pri odločbi (kolikor se spomnim...nisem jo šel še 1x prebirat) bil v implementaciji cele zgodbe in papirologiji - nikakor pa v sami tehnologiji.

Glavno je še vedno "pravice uporabnika omrežja zavezanca do razumne meje zasebnosti tudi na delovnem mestu, ki utemeljeno pričakuje zasebnost svoje korespondence in varstva osebnih podatkov".

Če uporabniki niso obveščeni in se s tem ne strinjajo, jim ne smeš pregledovati prometa. Tako kot ne smeš pregledovati njihovih zaklenjenih garderobnih omaric, predalov, zaprtih kuvert in e-pošte. Ker tam "utemeljeno pričakuje zasebnost svoje korespondence in varstva osebnih podatkov"

IP RS se tu ne spotika ob samo tehnologijo in tudi napiše, da bodo mnenja deljena. In tudi so. Jaz sem sicer proti tej tehnologiji, ampak če je uporaba upravičena jo seveda uporabljajte, vendar morate uporabnikom dati možnost izbire. Tako kot na letališču v Dubaju - se strinjaš z uporabo letališkega WiFija in se (verjetno) strinjaš s spremljanjem tvojega prometa.


SeMiNeSanja je izjavil:


Danes se v celo zgodbo vpleta še GDPR. Ampak tudi ta ne pravi, da "nenene fuj dekriptirat". Problematika zasebnosti namreč ni omejena le na https. Kar velja za kakršnokoli drugo logiranje prometnih podatkov velja tudi za https. Brez izjeme.

Tako je in tu spet velja, da se mora uporabnik strinjati. In da mora razumeti s čim se strinja. Tako da ja, ko se uporabniku razlaga da ga varujemo pred virusi mu moramo povedati, da mu bomo pogledali še kaj drugega.

SeMiNeSanja je izjavil:


Tista omrežja, o katerih govori Jukoz, pa se mi zdijo kot ena sama velika anarhija, kjer očitno vsakdo lahko počne kar hoče. Najbrž zaposleni lahko tudi kakšen AP od doma prinesejo in ga nekaznovano priklopijo na mrežo, če je signal 'službenega' prešibek?

APje bolj težko priklopijo. Tudi BYOD ni najbolj zaželen, je pa realnost, seveda v svojem omrežju.

Imava dve možnosti:
a) Ti še v življenju nisi videl omrežja nekega realnega podjetja. Ker to, da se pogovarjaš z dobavitelji, partnerji, kupci, različnimi razvijalci, tržniki, ... po različnih kanalih je realnost. Kako pošlješ pogodbenemu partnerju, ki ni informacijsko pismen dokumente - po googledrive/skype/dropbox/... Teoretiziramo lahko do smrti, ampak realnost je drugačna. Odvisno je od branže. Vprašaj kakšno strojniško firmi (ala danfos, inea, siemesovi zastopniki), kako njihovi pošiljajo tehnične dokumente raznim prodajalcem in monterjem opreme. V večini so strojniki informacijsko bolj slabo pismeni. Prav tako električarji, peki, gradbeniki, ...

b) Delaš samo za farmacevte. Oni imajo res pošlihtane zadeve. Dokler seveda ne pride ven Cisco/Juniper/Fortinet/... s svojimi backdoori, ko lahko samo čakajo da jim vrhovni IT naloži ali odobri nalaganje popravkov oz določi novo opremo.

SeMiNeSanja je izjavil:


V takih omrežjih je najbolje, da jih zadane eno totalno sesutje, da jim zakriptirajo vse računalnike od prvega do zadnjega. Tako se uporabnikom nekako začne svitat, da tako pa morda res ne bo šlo naprej (mogoče pa nebi bilo slabo imeti nek 'fake ransomware', da bi fino prestrašil uporabnike?).

Presenetljivo je bilo v obdobju 2015 - 2017 zelo malo zaklepov. Enkrat je eni vodji oddelka zaklenilo njen računalnik. Tudi NotPetya se ni pojavil, pa imajo pri strankah kar dosti še starih mašin (namenski stroji z XP in starimi win7). Segmentacija omrežja je ključna, dostopi do sharanih diskov tudi.

SeMiNeSanja je izjavil:


RAVNO zato, ker ima danes vsakdo v žepu mobitel, s katerim lahko opravi vse 'nujne' zasebne zadeve, lahko pričakujemo od uporabnikov razumevanje, da naj svoje 'občutljive zasebne stvari' ne počno na službenih računalnikih. Omogočimo jim uporabo guest WiFi omrežja s svojimi zasebnimi napravami, kjer se ne dekriptira prometa. Takointako pa tisti pretirano paranoični uporabljajo internet preko mobilnega omrežja.

Tako je, naj imajo prosti WiFi in brkljajo tam. Problem nastane, ko a) morajo v službene namene uporabljati račune za socialna omrežja (in ker so leni kar svoja zasebna) in b) če se ne strinjajo s spremljanjem.
V tem primeru boš moral blokirati dostope do določenih strani. In ker je https prometa 90%, je to do večine strani. Šment.

SeMiNeSanja je izjavil:


Ostalo pa je izobraževanje uporabnikov. Bolj ko so seznanjeni z zadevami, manj je težav in 'upora'.

To je pa ključno ja. Pri enih smo imeli šolanje za čisto _vse_ uporabnike. Najbolj kritičnim (računovodstvo/finance) je bilo vseeno. In tudi razumem, saj so totalno preobremenjeni in bi radi da stvari delujejo, vse ostalo jih ne briga. Ostali pa bolj tako-tako. Namen je bil, da si vodstvo umije roke in da so uporabniki krivi, če pride do kakšnega zaklepa podatkov, vdora, ... Vse v smislu - šolanje so imeli, če niso poslušali je to njihov problem =)

SeMiNeSanja je izjavil:


Drugače pa mogoče v takšnih anarhičnih okoljih tudi nebi škodoval kakšen obisk IP RS. Podjetje je pač dolžno ustrezno varovati zasebne podatke. Pri popolni anarhiji, pa to definitivno ne počne (backup ni varovanje osebnih podatkov!). Kazni sicer ne bo (predvidevam)...bo pa izdal kakšno priporočilo, ki bo odprlo pot do sprememb, tudi takšnih, ki so jih prej uporabniki blokirali. (sem preveč naiven?)

Za osebne podatke se seveda skrbi, zakonodaja je bila v Sloveniji zelo stroga že pred GDPR, in če si imel stvari pošlihtane, tudi z GDPR ni bilo veliko dela.
Anarhija je samo zaradi tvojega občutka. Ljudje sicer brskajo po internetih, ampak večino časa se dela. Če imaš prioritete pravilno nastavljene in da ti ni cilj samo koliko premoga bo delavec nakopal, potem mu lahko dovoliš tudi srfati. Ni vse v kvantiteti, nekateri dela(mo) tudi ne-fizična dela.

Poldi112 je izjavil:

Zakaj bi imel problem, če bi blokiral tuj AP, ki se izdaja za tvojega?

Marriot je blokiral tvoj telefon, ker si ga spremenil v AP. Tega se ne sme početi. To je tako kot da bi v bloku blokiral sosedov AP. Nimaš kaj posegati v njegovo omrežje.

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

Najprej glede Marriot-a - tako blokiranje se kaj hitro zgodi, če imaš zgolj statično klasifikacijo na Moje in Tvoje, pa potem morda še neko avtomatiko, ki pa ne deluje kot bi morala.

Če si je kdo pogledal Whitepaper, ki sem ga linkal, so danes zadeve že malo bolj prebrisane pri tej klasifikaciji. Zelo pomembno vlogo pri klasifikaciji AP-jev igra 'fizični stik' s tvojim omrežjem. AP, ki ni na tak ali drugačen način fizično povezan s tvojim omrežjem, tako da si lahko preko njega podaja nekakšen žetonček, se po defaultu samodejno označi kot "ne diraj - ta ni naš".
Šele takrat, ko dodatno prekrši še nekaj parametrov (recimo ima SSID preveč podoben našemu ali z njega izvirajo paketi, ki se jih zazna kot aktivne napade na brezžična omrežja) se ga ožigosa kot Rouge - zlonameren AP.

Klienti pa po drugi strani avtomatsko postanejo 'naši', čim se prvič uspešno povežejo in avtenticirajo na naš AP. Glede na SSID, se jih potem lahko razvrsti v običajne uporabnike ali goste.

Gostom ne boš omejeval, kam se lahko povezujejo. Če jim paše, pa naj poganjajo tethering in se povezujejo nanj.
To isto pa mogoče ne želiš dovoliti 'domačim' uporabnikom, ki se sicer povezujejo na SSID-je z dostopom do nekoliko bolj občutljivih podatkov (če govorimo o hotelu, recimo do hotelskega rezervacijskega sistema, kjer kar mrgoli občutljivih osebnih podatkov).

Kot rečeno, čas ni obstal. WiFi je vse bolj množično v uporabi, najhujše težave z njim pa bomo šele videli.

-----

Kar se tiče ostalega o čemer Jukoz govori, imam občutek, kot da servisira sama taka podjetja, kjer beseda direktorja nič ne pomeni. Kjer zaposleni še vedno živijo v globokem socializmu in menijo, da lahko počno kar jim je volja, sicer pa koj na barikade, štrajk, upor.
No, tudi druga skrajnost, ko se tresejo pred tem, kaj bo direktor rekel ni dobra. Vendar nekje je treba potegniti črto in reči 'zdaj pa dovolj!'.

Vodstvo podjetja je v prvi vrsti odgovorno za varstvo osebnih podatkov, posledično pa tudi za varnost omrežja. To pa pomeni, da je vodstvo prvo, ki bi se moralo podučiti o vseh aspektih varovanja omrežja.

V idealnem primeru bi za isto mizo posadil direktorja, kadrovnika, zastopnika delavcev in šefa IT. Potem pa da se definira varnostna politika podjetja od A do Ž. Pa ne suhoparno copy-paste iz nekega šindlca najdenega na internetu, temveč tako, da se vsi vpleteni naučijo in razumejo zakaj bi bilo dobro določeno zadevo obravnavati na tak ali na drugačen način.

Ko se varnostno politiko enkrat požegna, pa se lahko začnemo pogovarjati tudi o disciplinskih prekrških.

Drugače pa ne vem no... a se delavci tudi spuntajo, če jim varnostnik pomoli alkotest pod nos, ko pridejo na šiht? Jih je mogoče kdo vprašal, če imajo kaj proti temu, da se v firmi testira na alkoholiziranost? Aja...nekje v zakonu piše, da na šihtu naj nebi bili pod vplivom raznih substanc?
Ja, ampak v zakonu tudi piše, da je podjetje dolžno varovati osebne podatke, ki jih hrani. Tudi tiste na računalniških sistemih.

Zaposlenim je treba na lep način dopovedati, da jim je šiht njihov vsakdanji kruh. Če se v IT ne uvede konkreten red, ki ga morajo spoštovati vsi, se morajo zavedati, da s tem ogrožajo tudi svoja delovna mesta. Dokler te zavesti ni, lahko tuliš in skačeš, pa ne bo pomagalo. Zato pa vztrajamo in se trudimo razlagat, razlagat, razlagat,....., da bi se vsaj kakšnemu sem in tja kaj oprijelo.

Aja...še to... res je: računovodje so posebna sorta ljudi, ki imajo neko naravno rezistenco na poduke, ki se ne tičejo neposredno njihove stroke.

Zgodovina sprememb…

jukoz ::

SeMiNeSanja je izjavil:

Najprej glede Marriot-a - tako blokiranje se kaj hitro zgodi, če imaš zgolj statično klasifikacijo na Moje in Tvoje, pa potem morda še neko avtomatiko, ki pa ne deluje kot bi morala.


Mislim da je bilo tu problem to, da si si s svojim telefonom naredil AP, APji hotela pa so ti ga blokirali. Pol bi lahko še GSM signal blokirali in prisilili goste hotela, da uporabljajo hotelske telefone =)

SeMiNeSanja je izjavil:


Kar se tiče ostalega o čemer Jukoz govori, imam občutek, kot da servisira sama taka podjetja, kjer beseda direktorja nič ne pomeni. Kjer zaposleni še vedno živijo v globokem socializmu in menijo, da lahko počno kar jim je volja, sicer pa koj na barikade, štrajk, upor.
No, tudi druga skrajnost, ko se tresejo pred tem, kaj bo direktor rekel ni dobra. Vendar nekje je treba potegniti črto in reči 'zdaj pa dovolj!'.

Tako je. Rečejo dovolj, zaposleni morajo zaradi narave dela uporabljati tudi facebook/skype/whatsapp/viber/karkoližepač. In se odpre. Verjamem da če imaš neko proizvodnjo, da so stvari ločene. Ampak nabava/prodaja/marketing ima vseeno drugačne pogoje kot proizvodnja.

SeMiNeSanja je izjavil:


Vodstvo podjetja je v prvi vrsti odgovorno za varstvo osebnih podatkov, posledično pa tudi za varnost omrežja. To pa pomeni, da je vodstvo prvo, ki bi se moralo podučiti o vseh aspektih varovanja omrežja. ...

Vodstvo to ne zanima, za to so ali pravniki ali pa šef ITja.

SeMiNeSanja je izjavil:


Drugače pa ne vem no... a se delavci tudi spuntajo, če jim varnostnik pomoli alkotest pod nos, ko pridejo na šiht? Jih je mogoče kdo vprašal, če imajo kaj proti temu, da se v firmi testira na alkoholiziranost? Aja...nekje v zakonu piše, da na šihtu naj nebi bili pod vplivom raznih substanc?

Tvoje stranke so verjetno res sami rudniki =) Mamo sicer stranko kjer naključno delajo test alkoholiziranosti in ne, ni pretiranih pripomb. V veliki večini zaposleni ne hodijo na šiht pijani in/ali se napijajo v službi =)

SeMiNeSanja je izjavil:


Zaposlenim je treba na lep način dopovedati, da jim je šiht njihov vsakdanji kruh. Če se v IT ne uvede konkreten red, ki ga morajo spoštovati vsi, se morajo zavedati, da s tem ogrožajo tudi svoja delovna mesta. Dokler te zavesti ni, lahko tuliš in skačeš, pa ne bo pomagalo. Zato pa vztrajamo in se trudimo razlagat, razlagat, razlagat,....., da bi se vsaj kakšnemu sem in tja kaj oprijelo.


Poznam to, se uvede red v podjetju. Pol ti pa zaposleni kot zunanjemu partnerju fajle pošiljajo preko wetransfer/skype/dropbox/... Konkretno resna firma, nam en od glavnih developerjev pošilja fajle preko wetransfer. Sem se kar za glavo držal. Razlog pa tako kot pri nepopatchanih Cisco/Juniper/... - company policy. V tem primeru ne omogoča sharanja datotek z zunanjimi partnerji =)

tony1 ::

Taka zunanja firma je butasta, in ker jim ti plačuješ, naj plešejo kot ti žvižgaš. Pač poveš, da tvoja varnostna politika pa ne dovoli wetransferja.

Postavi en web server za file sharing na lastni infrastrukturi in konec.

SmeskoSnezak ::

tony1 je izjavil:

Taka zunanja firma je butasta, in ker jim ti plačuješ, naj plešejo kot ti žvižgaš. Pač poveš, da tvoja varnostna politika pa ne dovoli wetransferja.

Postavi en web server za file sharing na lastni infrastrukturi in konec.

Bi bilo treba. Marsikje je vse blokirano, razen kak wetransfer tu pa tam. :) In ko vidis da mnogo Enterprise podjetij tega nima, se pa res zamislis nad varnostjo vseh sistemov na svetu. :'( :)) :))
@ Pusti soncu v srce... @

jukoz ::

Zunanji ponudnik smo mi. In imamo infrastrukturo za izmenjavo datotek. Ki je pa v 80% stranke ne želijo uporabljati, saj je dropbox/wetransfer/googledrive lažje in tako delajo z vsemi =)

Pri eni stranki smo največjo spremembo naredili, ko smo dopovedali uporabnikom in vodji oddelkov naj si kupijo za tistih 10EUR poslovni dropbox. Dropbox so takoalitako uporabljali, je pa razlika v EULA med zastonjskim in plačljivim.

tony1 ::

Potem se ne sekiraj :)

SeMiNeSanja ::

SmeskoSnezak je izjavil:

tony1 je izjavil:

Taka zunanja firma je butasta, in ker jim ti plačuješ, naj plešejo kot ti žvižgaš. Pač poveš, da tvoja varnostna politika pa ne dovoli wetransferja.

Postavi en web server za file sharing na lastni infrastrukturi in konec.

Bi bilo treba. Marsikje je vse blokirano, razen kak wetransfer tu pa tam. :) In ko vidis da mnogo Enterprise podjetij tega nima, se pa res zamislis nad varnostjo vseh sistemov na svetu. :'( :)) :))

Ne da 'nimajo' - imajo eksplicitno prepovedano pod grožnjo odpovedi, če ignoriraš prepoved in jo skušaš zaobiti.

AMPAK - samo s prepovedjo ni nič narejeno. MORAŠ ponuditi alternativo. Seveda se je treba malo potruditi, nekaj bo tudi stalo, pa čeprav za vse uporabiš OpenSource rešitve.

Vse ostalo pa vodi direktno v anarhijo.

SeMiNeSanja ::

jukoz je izjavil:

Zunanji ponudnik smo mi. In imamo infrastrukturo za izmenjavo datotek. Ki je pa v 80% stranke ne želijo uporabljati, saj je dropbox/wetransfer/googledrive lažje in tako delajo z vsemi =)

Pri eni stranki smo največjo spremembo naredili, ko smo dopovedali uporabnikom in vodji oddelkov naj si kupijo za tistih 10EUR poslovni dropbox. Dropbox so takoalitako uporabljali, je pa razlika v EULA med zastonjskim in plačljivim.

So še druge razlike. Sem ravno včeraj brskal zaradi AuthPoint 2FA in in ugotovil, da je SAML avtentikacija na voljo le na Business varianti.

jukoz ::

To že, ampak že pri besedilu je razlika. Za začetek v zastonjski verziji lahko tvoje datoteke delijo s tretjimi osebami. In s tem se strinjaš.

Kar mene jezi je to, da večinoma taka podjetja imajo nek način izmenjave podatkov, vendar je že sam pristop k temu kompleksen in za uporabnike neroden. Zato pa tudi posegajo po google drive in podobno. Google account ima večina ljudi in je lažje sharat s tem, kot pa da mora nekdo novo geslo nekam vpisovat.

Urejen stanje smo srečali samo pri farmacevtih in pravnikih. Vse ostalo je zelo tako... v oblakih. Pa imajo tudi ta podjetja tuje IT revizije in podobno. Ampak če ni nikjer vpisano, se ne uporablja in se ne da revidirati =)

SeMiNeSanja ::

Farmacevti imajo zadeve bolje pošlihtane, ker je v igri intelektualna lastnina. Bog ne daj, da jim kdo uspe ukrasti 'recepture' (ali kaj še bolj kočljivega?).

Ampak tudi pri farmacevtih se najdejo črne ovce, sploh ko se gre za kakšne manjše firme, ki niso del kakšnega koncerna.

Odvetniki? Nooooojaaaaaaaaaaaaaa...... imaš kakšno malo večjo odvetniško pisarno, ki si je najela 'specialiste', pa so zadeve kolikor tolikor pošlihtali. Imaš pa tudi kopico manjših, ki imajo zgolj ISP router, za njim pa improvizacijo kot standard.

In tako je v vseh branžah. Imaš ene, ki imajo stvari top, istočasno pa tudi en kup črnih ovac.

Je pa v bistvu hecno, da se marsikdaj zgodi, da se tudi tisti ki imajo zadeve top pošlihtane, tega sploh ne zavedajo. So imeli srečo, da so najeli pravega izvajalca, ki jim je stvari pravilno postavil.
Me pa to po svoje žalosti, ker bi moral naročnik točno vedeti, kakšno varnostno politiko ima definirano na svojem omrežju in kako je ta implementirana. Pa žal to le redki vedo, če že nimajo glih nekega lastnega IT-hišnika, ki sproti po malo pokrpava zadeve.

V bistvu je to spet ozaveščanje, izobraževanje, ponavljanje,......

Ne smemo pa pozabiti, da varnost ni nekaj kar enkrat 'naštimaš' in je potem 'problem' rešen. Takrat se 'problem' šele začne, saj je treba pričeti delati po novih pravilih in nadzirati, da se jih kdo ne izogiba. Če se izkaže, da so pravila moteča, da ovirajo delovne procese, se išče nove poti, ko bodo nadomestile staro pravilo. Če je katero preohlapno in se začenjajo pojavljati zlorabe (npr. nisi omejeval dostopa do spleta, pa potem vidiš da je 50% prometa pornografija...), pač zaostriš pravila.
Zadeve so žive in jih morajo sproti spremljati vsi, ki se jih tiče in ustrezno poročat. Nihče ne more reševati težav, za katere ne ve.
Ampak tudi to je del tistega, kar se morajo uporabniki naučiti.

Invictus ::

SeMiNeSanja je izjavil:

Farmacevti imajo zadeve bolje pošlihtane, ker je v igri intelektualna lastnina. Bog ne daj, da jim kdo uspe ukrasti 'recepture' (ali kaj še bolj kočljivega?).

Farmacevti imajo zadeve poštimane, ker zaradi inšpekcije izgubijo licenco za prodajo zdravil na določenem trgu.

Lek je izgubil milijardo dolarjev, ker so padli na FDA inšpekciji. Niso smeli prodajati zdravil v ZDA. Takrat so tudi glave letele...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Invictus je izjavil:

Lek je izgubil milijardo dolarjev, ker so padli na FDA inšpekciji. Niso smeli prodajati zdravil v ZDA. Takrat so tudi glave letele...

To zgodbo ne poznam, vem pa za konkreten primer nekih manjših nemških farmacevtov, ki so imeli kar precej improvizirane zadeve, pa se niso kaj dosti sekirali.

V primeru Leka pa je vprašanje, kaj je bilo tisto, zaradi česa so padli na inšpekciji. Od FDA bi pričakoval, da se bodo veliko bolj vtikali v vse drugo, kot pa IT varnost. Predvsem tu mislim na sledljivost procesov od nabave surovin do prodaje. Tu seveda igra IT podpora ogromno vlogo. Lahko da je tu kaj šepalo...?

Invictus ::

Ko je Lek vključeval Hexal (nemška firma) v Sandoz, smo se vsi čudili njihovi zaostalosti :D.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

jukoz ::

SeMiNeSanja je izjavil:

Ne smemo pa pozabiti, da varnost ni nekaj kar enkrat 'naštimaš' in je potem 'problem' rešen. Takrat se 'problem' šele začne, saj je treba pričeti delati po novih pravilih in nadzirati, da se jih kdo ne izogiba. Če se izkaže, da so pravila moteča, da ovirajo delovne procese, se išče nove poti, ko bodo nadomestile staro pravilo. Če je katero preohlapno in se začenjajo pojavljati zlorabe (npr. nisi omejeval dostopa do spleta, pa potem vidiš da je 50% prometa pornografija...), pač zaostriš pravila.


Me res zanima kdo so tvoje stranke, glede na to da forsiraš tako stroge pogoje. Nimamo nobenih velikih (za slovenske razmere) korporacij ali državnih podjetij/organov in načeloma se pornografije v službi ne gleda. Večinoma so podjetja, kjer se strogo ve kdo pije in kdo plača in se ob enem tudi ve, da brez zaposlenih ne gre. Večinoma gre za podjetja, ki so ali zrasla iz 1 na nekih 150 ljudi, ali pa so tuji lastniki. Vsi od njih iščejo ravnovesje, torej najboljši p/p in tudi ravnovesje med svobodo in omejitvami na omrežju (no, pa še kje).
Je pa res, da ko sem delal za mega mednarodno korporacijo, je bil youtube, facebook, ... seveda dovoljen, ker so bili zaposleni za časa "busy period" zelo obremenjeni in so vodje oddelkov vedeli, da rabijo sprostitev. Da bi jim ukinil youtube in ne bi bilo mogoče poslušati muziko, bi 95% ljudi dalo odpoved.

SeMiNeSanja je izjavil:

Zadeve so žive in jih morajo sproti spremljati vsi, ki se jih tiče in ustrezno poročat. Nihče ne more reševati težav, za katere ne ve.
Ampak tudi to je del tistega, kar se morajo uporabniki naučiti.


Kolikor opažam, je problem ravno v tem, da uporabniki ne sporočijo svojih zahtev oz so navajeni, da je odgovor vedno ne. Potem pa sledi da se vse shara preko googledrive, ker to uporabniki imajo.
Uporabnike je potrebno prepričati, da odgovor ni vedno "NE!" in da se stvari dajo narediti in urediti.
Primer pri enem poslovnem partnerju (spet veliko podjetje z par 1k zaposlenih) je, da se vsi konferenčni klici in izmenjave datotek izvajajo preko skype. Sej so stroge prepovedi in vse, ampak IT oddelek uporabnikom ne želi/ne zna/ne more urediti nekega shara z zunanjimi. Skype pa ne zna blokirati. Da ne omenjam da uporabljajo zastonjski TeamViewer da lahko na svojih desktopih pogledajo kaj ko so zunaj (laptopov nekateri nimajo) =)
Ampak varnostne politike pa imajo. Tudi kazni z odpovedmi in podobno, samo kaj ko če bi koga odpustili, ne bi dobili nikogar nazaj.

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

@jukoz - ne pretirano mešat teorije o kateri sem govoril z kruto realnostjo vsakdana :)
Ampak če bi ti ugotovil, da varnostnik celo noč buli v pornografijo, namesto da dela svoje obhode.... Noja, sicer je to še vedno bolje, kot da spi, ampak vse ima nekje svojo mejo.
Ravno zato pa se potem logira in kategorizira zadeve ter izdeluje periodična poročila, da se vidi, če so stvari še v okvirih normale, ali pa gredo v kakšne čudne smeri.
Če pravočasno ukrepaš, imaš na voljo več inštrumentov, manj je slabe volje, kot če si pozen.
Pogosto lahko že pogovor reši težavo, še predenj postane problem resen in bi moral posegat po bolj drastičnih ukrepih od omejevanja pa do kaznovanja.

Isto je v tistih primerih 'shadow IT-ja' kakor se reče tisti 'iznajdljivosti' uporabnikov, ki zadeve rešujejo po svoje, ker jih 'zgoraj' nihče ne usliši.
Ko jih enkrat navadiš, da je čisto normalno (če ne celo nujno), da se morajo znajti po svoje, bo kar hudo, če jutri prideš z nečem, kar jim bo zablokiralo še Skype.
IT bi moral vedeti, da tam ni zaradi samega sebe, temveč zaradi uporabnikov. Če se morajo pri vsemu sami znajti, potem IT-ja ne potrebujejo.

Mogoče bi morali uvesti pisma Božičku (beri IT-jevcu)? (joke)
Resno bodo teli tvoji morali nekaj izboljšati na interni komunikaciji...

jukoz ::

Ima še kdo kaj pripomnit k osnovni debati - torej ali se zaradi backdoorov kaj planira zamenjava Cisco opreme? Se planira kakšni drugačni nakupi? Revizija obstoječega stanja?

tony1 ::

Glej, fant, tega ti nihče ne more reči, ker nihče ne ve, kakšne so tvoje potrebe in, po drugi strani, znanja.

Kaj te najbolj moti? Firewalli?

Potem si kupi en osnoven model kakšnega solidnega proizvajalca na primer Fortinet Fortigate 50E (sogovornik iz te teme bi rekel WatchGuard) in se nauči delati z njo. Če boš zadovoljen z njim, razmišljaj o menjavi. Če ne pa naštudiraj kaj drugega.

Nekateri vendorji imajo na netu tudi free dostopen demo GUI vmesnika svojih naprav.

Če te motijo stikala in routerji, imaš alternativo HP (obvezno Comware linijo) ali Brocade. Itd.

Srečno.

jukoz ::

tony1 je izjavil:

Glej, fant, tega ti nihče ne more reči, ker nihče ne ve, kakšne so tvoje potrebe in, po drugi strani, znanja.

Kaj te najbolj moti? Firewalli?

Potem si kupi en osnoven model kakšnega solidnega proizvajalca na primer Fortinet Fortigate 50E (sogovornik iz te teme bi rekel WatchGuard) in se nauči delati z njo. Če boš zadovoljen z njim, razmišljaj o menjavi. Če ne pa naštudiraj kaj drugega.

Nekateri vendorji imajo na netu tudi free dostopen demo GUI vmesnika svojih naprav.

Če te motijo stikala in routerji, imaš alternativo HP (obvezno Comware linijo) ali Brocade. Itd.

Srečno.


Glej sine, midva se ne razumeva (pa še s kom, ker vsak samo svojo malho hvali).

Mene zanima, ali si ti, tvoji odločevalci, tvoji kupci, ... kadarkoli pripravljeni zamenjati proizvajalca networking opreme, ki jo trenutno uporabljajo. Torej ali to, da najdejo (očitno namenske) backdoore v mrežni opremi kakorkoli vpliva na to, da ob naslednjem nakupu kupijo kaj drugega.

Zgodovina sprememb…

  • spremenilo: jukoz ()

SeMiNeSanja ::

Potem si kupi en osnoven model kakšnega solidnega proizvajalca na primer Fortinet Fortigate 50E (sogovornik iz te teme bi rekel WatchGuard) in se nauči delati z njo. Če boš zadovoljen z njim, razmišljaj o menjavi. Če ne pa naštudiraj kaj drugega.


Jaz imam resne pomisleke s tovrstnim pristopom....

Požarne pregrade so danes platforma za poganjanje varnostnih storitev. Včasih je bil pomemben hardware, danes pa se zadeve vse bolj prevešajo na stran storitev, ki se jih poganja na tem hardware-u.

Samo z nakupom 'osnovnega modela' pa spoznaš le platformo, ne pa tudi same storitve. Tako se nadaljuje zgodba, ki smo jo gledali leta in leta na ASA platformah, kjer se je kupilo le 'škatlo', ne pa tudi IPS ali karkoli drugega, kar je ASA bila še sposobna poganjati.

Kot da smo narod, ki mora imet Merđota na dvorišču - a samo osnovni model brez vse dodatne opreme, ker je zanjo zmanjkalo denarja.

Kdor kot prodajalec ali 'serviser' nikoli ni uporabljal varnostnih servisov (ni važno na kateri rešitvi), teh tudi svojim strankam ne bo znal priporočiti, prodati in vzdrževati. Torej bo prodajal škatlo, ne pa varnost.

Dugače pa priznam, da je lahko problem ugotoviti, katera rešitev bo prava zate oz. za tvoje stranke.
Že res, da ima kar precej proizvajalcev kakšne demo sisteme na spletu, vendar če nisi 'iz foha', tudi slučajno ne veš, na kaj se splača biti pozoren.
Pa tudi če si 'iz foha', je dobro imeti nekoga pri roki, da ti mimogrede demonstrira tiste 'malenkosti', ki jih sicer zlepa nebi sam odkril.

Zgodovina sprememb…

SeMiNeSanja ::

@Jukoz - saj veš odgovor....

Eni so zapriseženi na HP, drugi na Juniper, tretji na Cisco,.....

Hrošč, ranljivost, backdoor - koliko strank sploh ve za te zadeve?

Celo v velikem podjetju se ne bo metalo ven opreme proizvajalca A in jo na vrat na nos menjalo z opremo proizvajalca B - nenazadnje se lahko čez nekaj mesecev ponovi cela zgodba pri proizvajalcu B.

Poleg tega je na opremo vezano še marsikaj, od izobraževanja, do dodatnih podpornih rešitev. Večji kot si, dražje te bo prišlo kakršnokoli menjavanje.

Pri tem odkrite ranljivosti sploh niso tako velik problem, ko so enkrat odkrite in zanje imamo ustrezne popravke. Veliko večji problem so neodkriti problemi. Ti se pa lahko skrivajo v katerikoli napravi bilokaterega proizvajalca.

Bolj pomembna je odzivnost proizvajalca. Če ob razkritju težave moramo ugotoviti, da popravkov za našo rešitev ne bo, potem obstaja kar nekaj možnosti, da se bomo počutili prevarane in se v bodoče za tega proizvajalca ne bomo več odločali.

Po drugi strani pa ne smemo pričakovati čudežev pri napravah v cenovnem rangu izpod 1000€. To je 'potrošni material', ki se ga praktično nobenemu proizvajalcu ne splača vzdrževati dlje kot kakšno leto. Toliko da 'preživi' garancijsko dobo.

tony1 ::

Seminesanja: seveda sem z osnovnim modelom mislil tudi polne licence z NGFW funkcionalnostmi. Praviloma se drugače teh škatel niti ne prodaja (le na izrecno željo).

Jukoz: In ja, seveda sem že spravil veliko večjih (za naše razmere) sistemov na točno te vendorje, ki sem jih naštel. Včasih zato, ker ga je prejšnji vendor začel srati, bil kupljen s strani nekakovostnega lastnika, storil kruto smrt ali pa ukinil produktno linijo. Od tega živim, zakaj pa bi bilo to kaj posebnega? Kdo drug pa na kakšne druge, in svet se še naprej vrti.

Nikakor pa nisem odločevalec, sem pa tisti, ki njihove podrejene pripelje do stanja, v katerem so kljub spremembam odločevalci še naprej srečni. In mimogrede, odločevalci niso nič posebnega, radi se (preveč) zanašajo na Gartnerjeve (kupljene) študije in osebna prijateljstva s prodajalci, ki jih za roko vodijo skozi življenje (pa če ti prodajajo kopirne stroje ali firewalle, vseeno). In ne, niti nepodkupljivi niso. Praviloma so tudi omejenega roka, ker sedijo na politično izpostavljenih pozicijah, kjer včasih iz sapice zapiha vihar. Vendar precej redko zato, ker so "nehali kupovati IBM". 8-)

Prvi korak pri odločanju za morebitne spremembe pa mora biti spoznavanje produktov, ki so na trgu, in če te to stane pod 1k EUR na vendorja je to hudičevo poceni. Le nekaj tvojega časa ti bo vzelo za igranje, nato pa se odloči za tisto, ki ti bolj ustreza (če jih seveda hočeš preizkusiti več.) Nato boš tudi odločevalcu lahko iz prve roke povedal, da obstajajo rešitve vseh vrst in sort, in da te in te poznaš tudi iz 1. roke...

SeMiNeSanja ::

tony1 je izjavil:

Prvi korak pri odločanju za morebitne spremembe pa mora biti spoznavanje produktov, ki so na trgu, in če te to stane pod 1k EUR na vendorja je to hudičevo poceni. Le nekaj tvojega časa ti bo vzelo za igranje, nato pa se odloči za tisto, ki ti bolj ustreza (če jih seveda hočeš preizkusiti več.) Nato boš tudi odločevalcu lahko iz prve roke povedal, da obstajajo rešitve vseh vrst in sort, in da te in te poznaš tudi iz 1. roke...

To tudi jaz nonstop pridigam, da je treba spoznavat rešitve, ki so na trgu na voljo, pa se to le redko koga oprime.

Že res, da v načelu delajo vse isto, a samo v načelu. Razlike med rešitvami so ogromne. Splošni prodajalci in vzdrževalci PC krame običajno ne poznajo kaj več kot dve rešitvi - eno 'poceni' za 'ta ohrne' stranke in eno 'drago' za tiste 'dobre' stranke, ki jim lahko prodajo karkoli. Najdražje pa je običajno najboljše...kajne?
Kaj je 'najdražje', se potem nekako določi glede na klientelo, katero pokriva določeni prodajalec. Pri bolj premožni klienteli bo to kakšen PaloAlto, CheckPoint,.... Pri bolj 'revni' klienteli pa so to lahko že razni Zyxel-i, in Draytek-i.

Po svoje ni nič narobe s tem - če ti prodajalci nebi tu 'obstali' in malo spremljali kaj ponuja konkurenca, kaj so trendi v industriji, itd.
Neredko se izkaže, da tisti 'cenejši' proizvod sploh ni cenejši, zmogljivosti pa da so predpotopne v primerjavi s kakšnim konkurentom. A če ne pogledaš ne levo ne desno, potem tudi ne veš, kaj zamujaš.... Škoda edino, da mora kupec na koncu plačati za nerazgledanost prodajalca (če odštejemo lastno nerazgledanost).

Prav zanimiv fenomen imamo pri nas tudi z Mikrotik-i. Ko spremljaš 'zahodne' strokovne forume, le redko naletiš na Mikrotik. Pri nas pa je 'univerzalno zdravilo' za kupce z malim proračunom. Po drugi strani v tem istem segmentu zunaj izredno porajtajo Ubiquity Edge routerje, ki so pri nas praktično nepoznani - medtem ko vsi dobro poznajo Ubiquity Accesspointe.

In prosim, ne se izgovarjat, da je spoznavanje drugih rešitev drago. Saj jo ni treba kupiti, da bi jo spoznal. Pokličeš ponudnika in se dogovoriš za demonstracijo. V večini primerov ti ne bodo nič zaračunali (vsaj jaz še nisem nikomur).

tony1 ::

Nekdo je hotel v živo videti produkt, ki ga ne pozna? In ne pozna ne tebe osebno ne tvoje firme? Skorajda ti ne verjamem, meni se to še ni zgodilo :D

Šur, vsake toliko se pri kakšnem vzpostavljanju VPNjev strank najde kdo, ki jamra nad vsem skupaj in kako je vse v r..., ampak se je vsak še vsakič, ko omenim zastonjsko enourno predstavitev na ta zaresnem hardveru, skril v mišjo luknjo. Tudi, če sem 3x povedal, da bo zastonj in popolnoma neobvezujoče. Tudi na tem forumu se je to že zgodilo ;)

SeMiNeSanja ::

tony1 je izjavil:

Nekdo je hotel v živo videti produkt, ki ga ne pozna? In ne pozna ne tebe osebno ne tvoje firme? Skorajda ti ne verjamem, meni se to še ni zgodilo :D

Šur, vsake toliko se pri kakšnem vzpostavljanju VPNjev strank najde kdo, ki jamra nad vsem skupaj in kako je vse v r..., ampak se je vsak še vsakič, ko omenim zastonjsko enourno predstavitev na ta zaresnem hardveru, skril v mišjo luknjo. Tudi, če sem 3x povedal, da bo zastonj in popolnoma neobvezujoče. Tudi na tem forumu se je to že zgodilo ;)

Hja, dejansko se na koncu sprašuješ, če se ljudje bojijo takih predstavitev, da nebi videl, kako malo znanja imajo s področja varnosti. Kot da to nebi vedeli.
Pa saj ti ni namen, da jih 'razgališ' kot kvazi 'butce', ampak da jih malo podučiš, da bi razumeli vsaj osnovne koncepte, da odnesejo vsaj eno dobro prakso, da se zavedo vsaj ene napake, ki bi jim lahko kdaj v bodoče zagrenila življenje.

Ne razumem pa administratorje, ki nabavljajo varnostne rešitve, ne da bi preverili kaj je na trgu na voljo, koliko to stane in kaj jim to omogoča. Kupujejo ali po neki inerciji ali po priporočilu 'dvornega dobavitelja', ki pa seveda tudi ni cybersec expert ampak predvsem komercialist. To pa vemo, kaj pomeni.

Do kakšnih Gartnerjev in NSS Labs sploh še nismo prišli. Ne bom trdil tako, kot nekdo zgoraj, da je Gartner kupljen. Prej bi rekel, da ga je treba razumeti, da ne meri tehnično zmogljivost rešitev, temveč marketinško zmogljivost prodajalca. Na eni strani je Gartner 'about storytelling', na drugi pa 'who bought the story'. Merijo moč blagovne znamke, bi se temu lahko reklo. Pa to nima popolnoma nič skupnega z kakovostjo proizvoda. Tako, kot ne boš hitreje tekel, če si boš nadel Niky superge, čeprav bi se te v njihovem kvadrantu znašle skrajno desno zgoraj.

Če že srečaš koga, ki si je ogledoval Gartnerjev MQ, pa na koncu pogosto ugotoviš, da je gledal Enterprise, ne pa SME kvadrant. Pa tudi dlje od pogleda na slikco ni prišel - medtem ko se znajo v besedilu skrivat prav zanimive informacije, na osnovi katerih se dejansko čudiš, kako vraga so na osnovi napisanega 'spacali' tisto grafiko.

NSS Labs spet sledi nekim tehničnim kriterijem, ki se jim lahko določena rešitev bolje ali slabše prilagodi, da bi izvlekli boljšo pozicijo. Če smo pri cenovni efektivnosti, se bo vedno najbolje odrezal tisti, ki lahko privleče 'največjo' škatlo. Sicer bo nabavna cena v 6 ali 7 mestnem območju, ampak podeljeno na megabit-e, ki jih prepušča, bo seveda cena per megabit izpadla najnižja. A koliko je to relevantno za povprečno podjetje, ki nima 10Gbps internetnega priključka?
Ravno tako je tudi vprašljiv kriterij, po katerem se konfigurirajo naprave za take teste. Pri avtomobilih smo imeli dieselgate. Mar res kdo meni, da varnostne rešitve pa ni možno 'optimizirat' za takšne teste?

Na koncu se ti zdi, da so še najbolj realni Miercom testi, za katere se točno ve, kdo jih je naročil in plačal. Je pa lahko zabavno, ko v roki držiš dva različna Miercom testa sorodnih rešitev, ki prikazujejo povsem drugačno sliko....

aleksander10 ::

V isti sapi omenjeti Miercom in NSS labs je "bogokletno". Miercom dela teste več ali manj sam s pomočjo vendorjev. NSS labs pove na kakšen način bodo preverjali in potem da vendorjem možnost, da sami nastavijo naprave glede na to kaj bo NSS labs počel. Vseeno malo drugače kot prvo, kjer te več ali manj pokažejo v dobri luči oz. omenijo več ali manj kjer blesti dovtična testirana rešitev, naprava, itd.

V tem pogovoru je zelo veliko brezvezne paranoje. Napake se dogajajo, pomembno je, kako hitro se jih zazna in kako hitro se vendor na njih odzove in jih popravi.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

aleksander10 je izjavil:

V isti sapi omenjeti Miercom in NSS labs je "bogokletno". Miercom dela teste več ali manj sam s pomočjo vendorjev. NSS labs pove na kakšen način bodo preverjali in potem da vendorjem možnost, da sami nastavijo naprave glede na to kaj bo NSS labs počel. Vseeno malo drugače kot prvo, kjer te več ali manj pokažejo v dobri luči oz. omenijo več ali manj kjer blesti dovtična testirana rešitev, naprava, itd.

Kot sem rekel: pri Miercom-u vsaj veš kdo je plačal...
NSS Labs pa...... nisem povsem prepričan, če RES lahko vendor nastavi čisto po svoje. Če bi npr. blokirali vse executable kode, kar na nekaterih rešitvah ni noben problem, bi testi merili nekaj povsem drugega, kot če ti prepovedo tako blokado - pa čeprav bi jo v realnem življenju zagotovo implementiral. Samo z eno takšno omejitvijo, se potem že oddaljuješ od real-life scenarijev, nekam v smer "koliko blokiraš pri slabi konfiguraciji".
Žal je dejstvo, da ne moreš postaviti 100% pravičnega testa, ki bi vsem udeležencem omogočil pokazati polni potencial rešitve.

Kot sem že rekel prej, pa je največji problem NSS Labs testov, da primerjajo naprave, ki so cenovno lahko v popolnoma drugem svetu. Razlike v nabavnih cenah so na nivoju desetkratnika in več. Od rešitev za miljon $ pa do tistih za 100.000 $.

Na koncu pa po izidu izbiramo našo škatlo za 2-5 tisočakov ?

aleksander10 je izjavil:

V tem pogovoru je zelo veliko brezvezne paranoje. Napake se dogajajo, pomembno je, kako hitro se jih zazna in kako hitro se vendor na njih odzove in jih popravi.

Sem kaj drugega rekel kakšne tri poste višje?

aleksander10 ::

NSS labs, glede na moje poznavanje in pričevanje ljudi, ki tam sodelujejo, zahtevajo, da sam nastavljaš zadeve. Okvirno je znano kaj bodo testirali, ne povedo pa točno kaj. Vendor mora nastaviti tako kot je predlagana praksa, ki jo sam promovira. NSS labs pa potem z istimi inputi preizkušajo posamezne naprave/rešitve. In ne merijo samo uspešnost zaznavanja, ampak hitrost le tega in kako hitro je zadevo preprečil. V tem delu, se pa rešitve mnogokrat kar razlikujejo. Zato pa PaloAlto 2x ni želel nastopati. Le zakaj?

Nisem tebe misli pri paranoji, predvsem ostale. (jukoz, ...)
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

aleksander10 je izjavil:

NSS labs, glede na moje poznavanje in pričevanje ljudi, ki tam sodelujejo, zahtevajo, da sam nastavljaš zadeve. Okvirno je znano kaj bodo testirali, ne povedo pa točno kaj. Vendor mora nastaviti tako kot je predlagana praksa, ki jo sam promovira. NSS labs pa potem z istimi inputi preizkušajo posamezne naprave/rešitve. In ne merijo samo uspešnost zaznavanja, ampak hitrost le tega in kako hitro je zadevo preprečil. V tem delu, se pa rešitve mnogokrat kar razlikujejo. Zato pa PaloAlto 2x ni želel nastopati. Le zakaj?

Sem pred nekaj leti od A-Ž šel skozi NSS Labs test požarnih pregrad (je precej več strani, kot jih običajno vendorji talajo strankam) in celo preračunaval tiste njihove rezultate, da bi v podrobnost razumel za kaj se gre, sploh pri tistem delu z TCO/protected Mbit.
Ko se tega lotiš, vidiš kako teško je različne rešitve postavljati na skupni imenovalec, da bi jih lahko vsaj približno primerjal med seboj.

To že drži, da proizvajalci sami skonfigurirajo svoje rešitve. Vendar obstajajo določeni okvirni pogoji, ki se jim morajo prilagoditi. Nenazadnje bi lahko zaprli rešitev za ves forwardiran promet in tako bili 100% 'varni'.
Ne vključuje se endpoint zaščite, ko se testira požarne pregrade - čeprav se danes tudi te zadeve vzpostavljajo v nekakšen 'ekosistem', če se izrazim po botanično.
Potem je tu že omenjena blokada vseh tipov datotek, ki so lahko kakorkoli problematične. Če boš blokiral prav vse razen plain html in txt, je praktično brezveze testirat, ker bo bolj malo še ostalo, kar bi lahko predstavljalo kakšno grožnjo.
Potem pa je tu še vprašanje 'dnevne forme'. Lahko imaš še tako dobre signature, pa se lahko nekje nekaj zatakne pri kateremu od ponudnikov signatur ali komunikaciji do njega. To te pa lahko vrže kar nekaj stopničk nižje v končni uvrstitvi.

Če več let spremljaš NSS Labs teste, potem vidiš, da se novinci na testu običajno razmeroma slabo odrežejo. Če bi se šlo le za 'splošno priporočene nastavitve', bi se tudi naslednje leto enako slabo odrezali. Dejansko pa vidiš, da se prilagodijo in svojo rešitev optimizirajo za pričakovane teste. Enkrat malo bolje, drugič malo slabše. No, s kakšno izjemo sem in tja, ki skače iz vrste in potem kalimerota špila, kot se je pred leti zgodilo z PaloAlto. Začuda so letos (prvič!) vrhunsko optimizirali svojo škatlo (ni mi pa čisto jasno, kakšen tuning so izvedli na strani TCO, ki jih prikazuje kot razmeroma 'cenovno ugodno' rešitev, čeprav še vrabci na strehi vedo, da to ne drži)...

Če prav razumem, je NSS Labs še par let nazaj bil prav nepopustljiv pri rezultatih, ki jih je izmeril. Ko si se enkrat prijavil, ni bilo več poti nazaj. Če so ti izmerili še tako nemogoče rezultate, so šli v objavo.
Po PaloAlto 'zgodbi' so začeli največjim poražencem omogočati 'popravek' (ali le PaloAltu?), kar je danes očitno postalo nekakšen standard, saj pri večini proizvajalcev prikazujejo nekakšen popravek pozicije.

Najbolj sta letos 'optimizacijo' zgrešila CheckPoint in Sophos, oba sprva le okoli 25% učinkovita. Po popravki sta potem pristala nekje tam, kjer je večina ostalih.

Bolj bi bil pozoren na Juniper in Huawei, ki sta oba dobila warning, da NSS Labs ni mogel izmeriti njune učinkovitosti....

Ampak če smo realni - bolj ali manj so vse 'spodobne' rešitve tam nekje med 90 in 99% učinkovite. Imaš zgolj nekaj izjem, za katere potem tudi izdajo warning, kateremu (predvidevam?) sledi kakšen bugfix. Vse ostalo pa je optimiziranje prav za NSS Labs test, ki nima prav veliko skupnega z konfiguracijami, s katerimi se srečujemo v vsakdanjem življenju.

V realnem življenju je veliko bolj pomembno, kaj ti neka rešitev dejansko omogoča. Ali imaš nekaj instant nastavitev v varianti 'for dummies', ali pa imaš švicarski nož z kopico orodij, ki ti omogočajo granularen nadzor nad prometom.

SeMiNeSanja ::

NSS Labs test je precej podoben dirki F1.
Nastopajo različni proizvajalci, ki se bolj ali manj temeljito pripravijo na točno določeno dirkališče. Vozila nastavijo v podrobnosti, glede na pričakovane zahteve določene dirke.

Vendar o zmagi ne odloča le vozilo. Je tu še voznik, vremenski pogoji, nepričakovani dogodki na progi (nesreče,..)....

Ampak na koncu...... ali bi z dirkalnikom F1 peljali svojo družino na dopust?
Nekako dvomim, da bi to bilo izvedljivo.

Ravno tako NSS Labs konfiguracija ni uporabna za real life pogoje.

Maximus ::

@SeMiNeSanja kaj pa priporočaš za domače uporabnike? Vse rešitve/ideje ki si jih naštel in omenjaš velja več ali manj za podjetja ki imajo kaj pod palcem...

jukoz ::

aleksander10 je izjavil:

Nisem tebe misli pri paranoji, predvsem ostale. (jukoz, ...)

Nisem paranoičen, uporabljam OpenBSD =)

SeMiNeSanja je izjavil:


Sem pred nekaj leti od A-Ž šel skozi NSS Labs test požarnih pregrad (je precej več strani, kot jih običajno vendorji talajo strankam) in celo preračunaval tiste njihove rezultate, da bi v podrobnost razumel za kaj se gre, sploh pri tistem delu z TCO/protected Mbit.
Ko se tega lotiš, vidiš kako teško je različne rešitve postavljati na skupni imenovalec, da bi jih lahko vsaj približno primerjal med seboj.


Resno se računa TCO/protected Mbit? Potem je tisti tvoj primer iz Iskra najboljša stvar ever. Kako pa veš kdaj je protected =)

Maximus je izjavil:

@SeMiNeSanja kaj pa priporočaš za domače uporabnike? Vse rešitve/ideje ki si jih naštel in omenjaš velja več ali manj za podjetja ki imajo kaj pod palcem...


Vedno je vprašanje kaj rabiš. Ti pa svetujem da za začetek narediš to kar se naredi v vsakem omrežju - popis mrežne infrastrukture, naprav in programske opreme. Na osnovi tega boš vedel kaj lahko narediš.

Zgodovina sprememb…

  • spremenilo: jukoz ()

aleksander10 ::

Seminesanja:
EndPoint sec je težko zraven testirati, ker bi bilo preve glomazno in prenaporno za obe strani. Bi bilo pa seveda smiselno to početi skupaj. Vem, da testirajo Endpoint sec posebaj.

Do NSS rezultatov (zelo obširnih) lahko prideš, samo plačati moraš za njih. :D

Ni fora, da zaprš vse, ker potem je čisto vseeno če se odklučiš od neta in si "varen". Fora je v tem, da veš kaj te je doletelo, ako boš to zaznal in kaj boš posfestum naredil na to temo. Torej če nekaj spustiš notri, pa sprva misliš, da je OK in kasneje izveš, da ni OK, da veš kje se "zalega" nahaja (če govorimo o zalegi).

In ja tudi NSS labs ni pametno 100% zaupat. Najbolje je peizkusiti na realnem prometi. Narediti PoC ali vsaj PoV. To je sicer včasih težka, a s tem najlažje prepričas stranko.

Jukoz:
Preveč si zaupljiv. :D
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

Maximus je izjavil:

@SeMiNeSanja kaj pa priporočaš za domače uporabnike? Vse rešitve/ideje ki si jih naštel in omenjaš velja več ali manj za podjetja ki imajo kaj pod palcem...

Seveda - saj je bilo govora o poslovnih rešitvah. Cene pa tudi tam niso vedno tako grozne, kot jih nekateri prikazujejo. Samo pozanimati se je treba in primerjati.

Domača raba je pa popolnoma druga zgodba, bi ponavadi že v samem štartu naleti na veliko težavo: znanje uporabnika.

Znanje je lahko na nivoju "Ti-si-pi-aj-kaj*!?" pa vse tja do "profesorja", zato je tudi nemogoče podati nek pavšalni odgovor.
Če imaš opravka z poslovnim "Ti-si-pi-aj-kaj*!?" uporabnikom, mu boš pač ti (ali njegov serviser) nudil upravljanje kot storitev. To pa pri domačih uporabnikih odpade.

Poleg tega morajo biti za domačo rabo zadeve čim bližje 0€, saj imamo druge prednosti (položnice), kakor pa nek 'advanced security'.

Torej začneš tam, kjer so zadeve najlažje obvladljive, hkrati pa največ 'nucajo' - poskrbiš za backup vseh pomembnih podatkov, ki jih skladiščiš po različnih sistemih v hiši (ne pozabiti na mobitele...). Najbolje, da imaš dvojno hrambo, tako da če se eni nekaj zgodi, da imaš še vedno rezervno opcijo.

Naslednje je nek AV, lahko tudi zastomnjski - boljši bo kot nič, sploh pa tudi najboljši ne varujejo pred 0day zadevami.

Naslednje je malo izobraževanja na temo 'kaj je pametno in kaj ne' - tudi to nič ne stane, imaš tega na netu kolikor hočeš (Arnes ima kar nekaj video materiala s svojih delavnic za učitelje).
S pametnim obnašanjem na netu lahko preprečiš veliko tega, kar bi sicer moral imeti zelo napredne in prefinjeno nastavljene tehnične rešitve - pa še nebi bilo nujno, da bi te obvarovale.

Potem pride na vrsto router....kje smo pa običajno že hudo limitirani. Običajno se bolj gleda na domet WiFi-ja, kakor na kakšne dodatne funkcionalnosti. Pa tudi če jih ima, znajo biti te hitro preveč kompleksne za povprečnega domačega uporabnika (npr. vzpostavitev VPN in podobno).
Danes se pojavljajo rešitve, ki nudijo nekakšno dodatno varnostno funkcionalnost (npr. na malo boljših Asus usmerjevalnikih), vendar me bo šele moral kdo prepričati, da te 'zastonjske zaščite' (ne plačuješ nobene naročnine) dejansko tudi kaj 'zaležejo'.

Koristno zna biti uporabiti katerega od DNS filtrirnih ponudnikov. Zadnji primerjalni test je sicer visoko povzdignil Strongarm.io, vendar ta žal ni več na voljo v zastonjski inačici (vsaj na spletni strani 'personal' ponudbe ne vidim več). Naslednji za njim so bili 'Neustar Free Recursive DNS', SafeDNS, Safesurfer in Quad9.
'Comodo SecureDNS', 'Norton ConnectSafe' in 'Cisco Umbrella' se niso izkazali, čeprav je slednji bil precej popularen kot FreeDNS.

Bistvo teh DNS servisov je blokada domenskih imen, za katera že ves svet ve, da se izza njih ne skriva nič dobrega. Brskalniki počno nekaj podobnega, vendar to velja le za okolje samega brskalnika, medtem ko ne ovira vsem drugim aplikacijam, da bi se povezovale z nevarnimi destinacijami. Tu potem pomagajo takšni DNS filtri.

Tisti ki obvladajo več, si lahko pomagajo z bolj naprednimi rešitvami, od pfSense pa vse do Untangle in Sophos home variante.

aleksander10 ::

SeMiNeSanja je izjavil:


Koristno zna biti uporabiti katerega od DNS filtrirnih ponudnikov. Zadnji primerjalni test je sicer visoko povzdignil Strongarm.io, vendar ta žal ni več na voljo v zastonjski inačici (vsaj na spletni strani 'personal' ponudbe ne vidim več). Naslednji za njim so bili 'Neustar Free Recursive DNS', SafeDNS, Safesurfer in Quad9.
'Comodo SecureDNS', 'Norton ConnectSafe' in 'Cisco Umbrella' se niso izkazali, čeprav je slednji bil precej popularen kot FreeDNS.


Človek, ki je to testiral, amlo meša zastonjske zadeve in malo plačljive. OpenDNS (free) ni enako Cisco Umbrella. Sploh ne vem zakaj še OpenDNS obstaja kot free servis, ker dejansko ne dela nobenege melware zaščite, ampak samo preprečevanje dostopa do posmaeznih kategorij strani. Pomoje, bi morali to ukiniti, ker zavajajo ljudi, da so zaščiteni.
Testirati bi moral plačljive zadeve in jih primerjati.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

DiDo ::

SeMiNeSanja je izjavil:


Prav zanimiv fenomen imamo pri nas tudi z Mikrotik-i. Ko spremljaš 'zahodne' strokovne forume, le redko naletiš na Mikrotik. Pri nas pa je 'univerzalno zdravilo' za kupce z malim proračunom. Po drugi strani v tem istem segmentu zunaj izredno porajtajo Ubiquity Edge routerje, ki so pri nas praktično nepoznani - medtem ko vsi dobro poznajo Ubiquity Accesspointe.

Realno je MikroTik (switchi, wireless) vse kar rabi večina naših firmic. Je pa res, da nič ne moreš zaslužit na njih kot na primer na Ciscotu, kjer ti že v štartu dajo 60% rabata pa so še vedno dragi ko žafran.

UBNTijeva Edge linija routerjev ima DPI vključno z Layer 7 firewall in trenutno nima konkurence za to ceno... Nekaj se celo govori, da bodo dodali "IPS" od Suricate kot ga imajo v liniji Security Gateway...

SeMiNeSanja ::

DiDo je izjavil:


Realno je MikroTik (switchi, wireless) vse kar rabi večina naših firmic. Je pa res, da nič ne moreš zaslužit na njih kot na primer na Ciscotu, kjer ti že v štartu dajo 60% rabata pa so še vedno dragi ko žafran.

UBNTijeva Edge linija routerjev ima DPI vključno z Layer 7 firewall in trenutno nima konkurence za to ceno... Nekaj se celo govori, da bodo dodali "IPS" od Suricate kot ga imajo v liniji Security Gateway...

Mikrotik je ok kot router.
Ni pa niti slučajno ok kot varnostna rešitev za omrežja z uporabniki. Kdor si to upa trditi, ta preprosto nima pojma o sodobnih rešitvah za varnost omrežij.

Kljub temu pa jih imaš polno, ki nimajo pojma in podjetjem tupijo, da nič več kot to ne potrebujejo. Potem pa nastavijo tisti mazohizem od IPtables zgolj toliko, da vse ven spusti in se čudijo, če kdo trdi, da to ni niti V od varnosti.

Koliko Mikrotikov pa je še tam zunaj kompromitiranih, da pridno rudarijo? Bojim se namreč, da posodabljanje firmware-a tudi ni na vrhu prioritet tipičnega Mikrotik lastnika, saj ti delujejo v večini primerov po sistemu 'nastavi in pozabi'.

Samo hudič, daj ljudem dopovedat, da ne obstajata brezveze različni kategoriji 'komunikacijskih' in 'varnostnih' rešitev. Že res, da se funkcionalnosti deloma prekrivajo, a po drugi strani mora vsaka od kategorij izpolnjevati še celo vrsto dodatnih zahtev, ki jih druga ne pokriva.

Je Mikrotik firewall? Je en toliko, kot je 8-iglični matrični tiskalnik tiskalnik. Saj bo nekaj natiskal.... ampak barv pa ne bo nikjer. Resolucija pa tudi nikogar ne zanima, mar ne?
Zanimivo, da je povsod jok in stok, če se uporabi 20 let stara tehnologija. Pri filtriranju IP prometa pa je 20 let stara tehnologija čisto v redu?

Kot da rečemo, da ni problem, če kakšni dve pivi spiješ, predenj se vsedeš v avto. Da ni problem, če se ponoči skozi naselje pelješ z 80 km/h.

Eni se trudijo ozaveščati, potem pa pridejo drugi, ki to poteptajo, ne da bi vedeli kakšno škodo s tem pravzaprav povzročajo. Vse to pa bolj ali manj samo zato, ker ne ločijo med povezovanjem in varovanjem omrežij.

tiborrr ::

Uporablja kdo od vas IPFire?

Pravkar postavljam domač strežnik (dhcp, firewall, plex, nas) na osnovi R5 2400G, pa bom verjetno gnal Win 2016 Standard (sem ga pač vajen, licenca pa je bila 30EUR) + hyper-V IPFire z namensko 2x1Gb PCIe x1 Intel mrežno.

Kakšne osebne izkušnje v primerjavi s pfsense?

lp,
N.
Don't test the captain's validity or his vulnerability!

b3D_950 ::

Vse te free verzije so bolj na nivoju Mikrotika ali še manj. Glede funkcij za varnost, pa spet nič posebnega - nek basic filtering na osnovi IPja/porta. Zastonj ne vem, če kaj obstaja, Sophos UTM maybe?

Lahko probaš s Security Onion in OSSEC HIDS. Ni ravno "klik klik Next" instalacija. Oboje je bolj namenjeno loggingu.
Zdaj, ko je mir jemo samo krompir.
豪快すぎ

tony1 ::

DiDo je izjavil:

SeMiNeSanja je izjavil:


Prav zanimiv fenomen imamo pri nas tudi z Mikrotik-i. Ko spremljaš 'zahodne' strokovne forume, le redko naletiš na Mikrotik. Pri nas pa je 'univerzalno zdravilo' za kupce z malim proračunom. Po drugi strani v tem istem segmentu zunaj izredno porajtajo Ubiquity Edge routerje, ki so pri nas praktično nepoznani - medtem ko vsi dobro poznajo Ubiquity Accesspointe.

Realno je MikroTik (switchi, wireless) vse kar rabi večina naših firmic. Je pa res, da nič ne moreš zaslužit na njih kot na primer na Ciscotu, kjer ti že v štartu dajo 60% rabata pa so še vedno dragi ko žafran.

UBNTijeva Edge linija routerjev ima DPI vključno z Layer 7 firewall in trenutno nima konkurence za to ceno... Nekaj se celo govori, da bodo dodali "IPS" od Suricate kot ga imajo v liniji Security Gateway...


Mikrotik je reč za... mazohiste. Kar bi moral vedeti vsak, ki bere ta forum, ker je *najbolj* osnovnih vprašanj o konfiguraciji Mikrotika vedno dovolj, ljudi, ki bi jim znali kompetentno odgovoriti pa hudičevo (pre)malo.

Meni ga je skurila prenapetost, ki je užgala po WAN portu, in zdi se mi, da je bil to kar žegen, hehe :|

tiborrr ::

b3D_950 je izjavil:

Vse te free verzije so bolj na nivoju Mikrotika ali še manj. Glede funkcij za varnost, pa spet nič posebnega - nek basic filtering na osnovi IPja/porta. Zastonj ne vem, če kaj obstaja, Sophos UTM maybe?

Lahko probaš s Security Onion in OSSEC HIDS. Ni ravno "klik klik Next" instalacija. Oboje je bolj namenjeno loggingu.

Ipfire in pfsense imata container filter (squid). Katera od funkcionalnosti po tvojem mnenju manjka?
Sophos UTM izgleda super, hvala za nasvet, a nekako imam čuden priokus glede na to, da je 'freemium'.
Security Onion in OSSE HIDS pa sta verjetno over the top zame. Saj se rad ljubitejsko priučim novega softvera, jezika ali OSa, a nekje je potrebno potegniti črto :)
Don't test the captain's validity or his vulnerability!

aleksander10 ::

DiDo je izjavil:

SeMiNeSanja je izjavil:


Prav zanimiv fenomen imamo pri nas tudi z Mikrotik-i. Ko spremljaš 'zahodne' strokovne forume, le redko naletiš na Mikrotik. Pri nas pa je 'univerzalno zdravilo' za kupce z malim proračunom. Po drugi strani v tem istem segmentu zunaj izredno porajtajo Ubiquity Edge routerje, ki so pri nas praktično nepoznani - medtem ko vsi dobro poznajo Ubiquity Accesspointe.

Realno je MikroTik (switchi, wireless) vse kar rabi večina naših firmic. Je pa res, da nič ne moreš zaslužit na njih kot na primer na Ciscotu, kjer ti že v štartu dajo 60% rabata pa so še vedno dragi ko žafran.

UBNTijeva Edge linija routerjev ima DPI vključno z Layer 7 firewall in trenutno nima konkurence za to ceno... Nekaj se celo govori, da bodo dodali "IPS" od Suricate kot ga imajo v liniji Security Gateway...


Glede rabata 60% kar na lepe oči si pa potegnil iz kje? Ne ga srat fant. 60% rabata ne dobi vsak, še posebaj ne za zadeve v rangu v katerem ti kotiraš.

Tu elaboriraj, kaj je pri Cisco-u drago? Rad bi vedel.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

aleksander10 je izjavil:

Tu elaboriraj, kaj je pri Cisco-u drago? Rad bi vedel.

Potem je treba najprej definirat kaj pomeni beseda 'drago'.
Za nekoga je drago, če je cena routerja več kot 30€, medtem ko kdo drug meni, da je še poceni prišel skozi, če je dal 30k€ za neko rešitev...

Poleg tega je težko primerjat rešitve, ker imajo različne 'pakete', različno funkcionalnost, različne zmogljivosti.

Ampak če gremo delat nekakšno klasično primerjavo, da hočemo skozi firewall spraviti vsaj 1Gbps UTM prometa (z https dekripcijo in AV skeniranjem!), vključimo VSE razpoložljive varnostne storitve na tej napravi (tudi napredno log analitiko), v paket še dodamo Endpoint zaščito in VPN odjemalce........... Da naredimo 'polni paket', ki ga proizvajalec nudi, potem JE Cisco drag. Pa ne samo Cisco. Kakšen Juniper zna tudi postati izredno drag.

Samo ko se resno lotiš takšne analize, tudi moraš ugotoviti, da marsikdo določenih storitev sploh ne ponuja (npr. antispam pri PaloAltu), druge pa po kakovosti in zmožnostih niso primerljive.

Res ni enostavno naresti REALNE primerjave, pa še spreminjajo se zadeve ves čas...

aleksander10 ::

Nič bolj kot ostali. Vedno se primerja samo skatla za skatlo. Tako veno lahko najdes se cenejse zdeve. Daj v paket tudi implementacijo, support in naredi TCO vsaj na 5 let, v slo se raje na 7, pa bos videl, da ni bitvene razlike, seveda ce primerjamo jabolka in zraven ne mesamo hrusk, a tega veliko ljudi ne zna.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

SeMiNeSanja ::

aleksander10 je izjavil:

Nič bolj kot ostali. Vedno se primerja samo skatla za skatlo. Tako veno lahko najdes se cenejse zdeve. Daj v paket tudi implementacijo, support in naredi TCO vsaj na 5 let, v slo se raje na 7, pa bos videl, da ni bitvene razlike, seveda ce primerjamo jabolka in zraven ne mesamo hrusk, a tega veliko ljudi ne zna.

Emmm... kaj pa si ti to nazadnje resno primerjal?

Poleg tega pa pri firewall-ih nimaš kaj primerjat škatlo s škatlo, ker je škatla zgolj 'platforma'. Kar šteje, so licence za varnostne storitve, ki nanesejo glavnino stroška oz. cene.

Čim primerjaš zgolj škatlo s škatlo, boš tudi prodal oz. kupil samo škatlo....in denar vrgel proč, ker v večini primerov, tisto kar počne 'samo škatla' počne tudi en Mikrotik ali pfSense na starem PC.

DiDo ::

SeMiNeSanja je izjavil:

DiDo je izjavil:


Realno je MikroTik (switchi, wireless) vse kar rabi večina naših firmic. Je pa res, da nič ne moreš zaslužit na njih kot na primer na Ciscotu, kjer ti že v štartu dajo 60% rabata pa so še vedno dragi ko žafran.

UBNTijeva Edge linija routerjev ima DPI vključno z Layer 7 firewall in trenutno nima konkurence za to ceno... Nekaj se celo govori, da bodo dodali "IPS" od Suricate kot ga imajo v liniji Security Gateway...

Mikrotik je ok kot router.
Ni pa niti slučajno ok kot varnostna rešitev za omrežja z uporabniki. Kdor si to upa trditi, ta preprosto nima pojma o sodobnih rešitvah za varnost omrežij.

Kljub temu pa jih imaš polno, ki nimajo pojma in podjetjem tupijo, da nič več kot to ne potrebujejo. Potem pa nastavijo tisti mazohizem od IPtables zgolj toliko, da vse ven spusti in se čudijo, če kdo trdi, da to ni niti V od varnosti.

Koliko Mikrotikov pa je še tam zunaj kompromitiranih, da pridno rudarijo? Bojim se namreč, da posodabljanje firmware-a tudi ni na vrhu prioritet tipičnega Mikrotik lastnika, saj ti delujejo v večini primerov po sistemu 'nastavi in pozabi'.


V mojem postu sem imel v mislih switche in wireless. Poznam kar nekaj ISPjev, ki imajo MikroTikovo opremo kompletno v njihovi infrastrukturi in dela brez problema vključno z BGPjem, MPLSom, LACP... MikroTik je prav s tem gor zrasel. So pa vedno bolj močni tudi v SMB networkingu. Njihove cene za 10 Gbit/s so smešne napram konkurenci. Tako, da se strinjam s teboj. Kot routerji so odlični, da bi ga uporabljal kot požarno pregrado pa strel je v koleno.

Rudari jih kar nekaj ja. Ampak, če bi "strokovnjaki" po firmah uredili MGNT vlan in jih updejtali tega ne bi bilo. Problem je v adminih in ne toliko v proizvajalcu omrežne opreme.


tony1 je izjavil:

DiDo je izjavil:

SeMiNeSanja je izjavil:


Prav zanimiv fenomen imamo pri nas tudi z Mikrotik-i. Ko spremljaš 'zahodne' strokovne forume, le redko naletiš na Mikrotik. Pri nas pa je 'univerzalno zdravilo' za kupce z malim proračunom. Po drugi strani v tem istem segmentu zunaj izredno porajtajo Ubiquity Edge routerje, ki so pri nas praktično nepoznani - medtem ko vsi dobro poznajo Ubiquity Accesspointe.

Realno je MikroTik (switchi, wireless) vse kar rabi večina naših firmic. Je pa res, da nič ne moreš zaslužit na njih kot na primer na Ciscotu, kjer ti že v štartu dajo 60% rabata pa so še vedno dragi ko žafran.

UBNTijeva Edge linija routerjev ima DPI vključno z Layer 7 firewall in trenutno nima konkurence za to ceno... Nekaj se celo govori, da bodo dodali "IPS" od Suricate kot ga imajo v liniji Security Gateway...


Mikrotik je reč za... mazohiste. Kar bi moral vedeti vsak, ki bere ta forum, ker je *najbolj* osnovnih vprašanj o konfiguraciji Mikrotika vedno dovolj, ljudi, ki bi jim znali kompetentno odgovoriti pa hudičevo (pre)malo.

Meni ga je skurila prenapetost, ki je užgala po WAN portu, in zdi se mi, da je bil to kar žegen, hehe :|


V zahodnem svetu so se razpasli Cisco poznavalci, ki furajo svojo Cisco religijo in za te verjamem, da jim je karkoli drugega tuje, ker so pač nadr*ali Ciscota in ko ga je treba povezat z kaki drugim poizvajalcem opreme vidiš, da nimajo pojma o osnovah networkinga. Recimo primer iz prakse: ga vprašaš kaj vidi v njegovi ARP tabeli pa te debelo gleda.

In obstaja tudi druga stran, za katere je tudi konfiguriranje in upgrade Ciscota mazohizem. :) Se pa strinjam, da je izobraženega kadra za MikroTik premalo.

aleksander10 je izjavil:

DiDo je izjavil:

SeMiNeSanja je izjavil:


Prav zanimiv fenomen imamo pri nas tudi z Mikrotik-i. Ko spremljaš 'zahodne' strokovne forume, le redko naletiš na Mikrotik. Pri nas pa je 'univerzalno zdravilo' za kupce z malim proračunom. Po drugi strani v tem istem segmentu zunaj izredno porajtajo Ubiquity Edge routerje, ki so pri nas praktično nepoznani - medtem ko vsi dobro poznajo Ubiquity Accesspointe.

Realno je MikroTik (switchi, wireless) vse kar rabi večina naših firmic. Je pa res, da nič ne moreš zaslužit na njih kot na primer na Ciscotu, kjer ti že v štartu dajo 60% rabata pa so še vedno dragi ko žafran.

UBNTijeva Edge linija routerjev ima DPI vključno z Layer 7 firewall in trenutno nima konkurence za to ceno... Nekaj se celo govori, da bodo dodali "IPS" od Suricate kot ga imajo v liniji Security Gateway...


Glede rabata 60% kar na lepe oči si pa potegnil iz kje? Ne ga srat fant. 60% rabata ne dobi vsak, še posebaj ne za zadeve v rangu v katerem ti kotiraš.

Tu elaboriraj, kaj je pri Cisco-u drago? Rad bi vedel.


Fant sem bil mogoče pred 20 leti. Si si sam potrdil v tvojem postu, da ga dobiš. Sicer si pa odpri cenik za nadaljno prodajo in se sam še enkrat prepričaj. V primeru večjih odstopanj pa menjaj dobavitelja.

aleksander10 ::

Dido,

Očitno "vidiš" Miktortik kot P/PE routerje (LOL). Tam se najdejo navečkrat Cisco, juniper, Alcatel in v zadnjem času še Huawei ostalo je eksotika in to kupujejo samo titi, ki so mazohsti. Miktrotik kot BNG, zanimivo. Mikrotik je zrastel kot SMB in tam tudi ostaja. Noben resen SP tega ne uporablja, pa ti povem, da poznam rešitve pri DTju, Verizonu, BT itd in tam tega ni na teh mestih. Lahko bi jih uporabil na access-u. Eno je podpirati BGP, drugo pa je kaj paetnega početi s tem. Tu ni pomemben samo HW in SW, ampak kakšen dober support ima vendor in ja to je pomembno velikim sistemom in nek Miktrotik tega žal nima.

Zopet GPL price list ne pove prav nič. To je cena, ki je brez česar koli (popusti, DDV-ja, td) in to imajo vsi vendorji. Še vedno nisi utemeljil tvoje predpostabke in pokazal primer, kjer si po privzetem dobil 60% off. To si potegnil iz riti in zdaj se sprenevedaš.

Seminesanja
Ko sem pisal, da gledemo samo škatlo na škatlo sem mislil seveda z vsemi pripadajočimi licencami, a še vedno je to en delček omrežja. Omrežje je pa vse kaj več kot FW. Celostno je potrebno gledat na zadevo (arhitekturno) in šele takrat se lahko odločaš kaj boš kje uporabil in kako boš to sestavil, da bo delovalo kot mora. Več ali manj pa vidim vrtičkarje, ki jih zanima samo njihov vrt in čez ograjo tudi ne pogledajo, v njihov vrt pa ne spustijo, da jim poveš, da se lahko tudi motijo. To je velik problem.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"
1 2
3
4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mikrotik T-2 IPTV IGMP Proxy

Oddelek: Omrežja in internet
218791 (433) Daniel
»

Spreminjanje HTTP prometa v HTTPS/SSL

Oddelek: Omrežja in internet
51002 (877) Vaseer
»

Intel GMA 3150 na Windows 8

Oddelek: Operacijski sistemi
6794 (530) rddezh9
»

[C#] Simobilov Glasnik

Oddelek: Programiranje
133407 (487) Mrch
»

Nemški ponudniki dostopa do interneta morajo na zahtevo izbrisati prometne podatke

Oddelek: Novice / Zasebnost
63330 (2841) SavoKovac

Več podobnih tem