» »

Hoxx in varnost

Hoxx in varnost

Temo vidijo: vsi

Metabond ::

V službi so nas omejili z nekakšnim starševskim filtrom (McAffe). Le ta blokira tudi dostop do velike večine uporabnih stvari in ne samo orožja in seksa kakor nam zatrjujejo. Poleg tega se preko VPN navezujemo na www preko Poljske, Švedske, Švice..., zato me dostikrat pričaka nerazumljiva stranica, ki ne ponuja možnosti preklopa jezika. Nekaj časa sem iskal rešitev s katero bi se lahko spet normalno povezal s svetom. Ugotovil sem, da lahko s Hoxx-om spet neomejeno in dokaj hitro surfam. Uporabljam ga bolj občasno, ko pač naletim na blokado.

Sedaj pa me muči varnost saj navajajo, da imajo vpogled tudi za nazaj, ko add-on ni bil aktiven. Je dovolj da izklopim ta vtičnik in nato, preden ga ponovno vklopim, pobrišem zgodovino? Gre za prijave na PayPal, eBay, Amazon, Netstik in podobne. Seveda gesla za Paypal nimam shranjenega v FF za avtomatsko prijavo, ga pa imam pri spletnih trgovinah.

Kaj pa kakšen VPN, ki bi uporabljal domač (Synologic) NAS in/ali Fritz router - bi se dalo?

zee ::

Menjaj sluzbo, ce se ne strinjas z njihovo politiko.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

Metabond ::

Sem že malce prestar. Svoje prve kilometre sem nabiral na Comodorju (CP/M) in Atariju (Windows).

Nobeden ne vrta lukenj v "obrambni zid" delodajalcu?

DeeCoy ::

Načeloma se držim načela služben računalnik za službo privat pa za privat zadeve. In potem teh problemov sploh nimam.

zee ::

DeeCoy je izjavil:

Načeloma se držim načela služben računalnik za službo privat pa za privat zadeve. In potem teh problemov sploh nimam.


Enako. Še najmanj jajcanja.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

SeMiNeSanja ::

'Vrtanje lukenj' je lahko razlog za krivdno odpoved. Potem pa kar daj...

Pa kaj imate tako malo dela, da morate še spletne nakupe opraviti v službi, da vam nebi bilo preveč dolgčas?

Tisto, kar se pa potrebuje za DELO, to ti pa MORAJO omogočiti.
Taki in drugačni filtri so lahko tudi hudo butasti. Ampak to je treba adminu (in šefom) sproti dopovedovati, da se slabo rešitev z neživljenjskimi blokadami zamenja za tako, ki je bolj življenjska in ne ovira rednega dela, če za vsak drugi URL ne kličeš admina, da ga 'odklene'.

Npr. na WatchGuard požarnih pregradah smo imeli doslej črno-belo dovoli/ne dovoli varianto. Vendar je tudi pri 'ne dovoli' ovstajala možnost 'obvoza', če ti je admin povedal geslo za 'obvoz.
Sedaj se uvaja še dodatna 'pogojna' kategorija. Pri tej se bo uporabnika opozorilo, da se podaja nekam, kjer morda ni najbolj zaželeno, vendar se prepusti njegovi lastni izbiri, če bo šel naprej ali ne.

Namen je ravno v tem, da se 'demotivira' uporabnike, da bi 'vrtali luknje'.
Kar pride regularno preko požarne pregrade namreč lahko pregledujemo z različnimi AV orodji, tako da se minimizira potencialna ogroženost poslovnega omrežja.
Čim pa nekdo 'navrta luknjo', pa imaš resen problem, ker se vsebine pretakajo nepreverjene. Namesto treh do petih mehanizmov, ki preverjajo datoteke in vsebine, se vse skupaj na koncu zreducira samo še na AV, ki ga imaš ali nimaš nameščenega, aktiviranega, posodobljenega na svojem računalniku.

Če v takem primeru preneseš neko sranje z interneta in povzročiš okužbo omrežja, te ima delodajalec tudi vso pravico tožiti za nastalo škodo, ne le da te lahko postavi pred vrata. Zato v bodoče raje 2x razmisli, če nebi raje kako drugače preganjal dolgčas v službi.
Privatno brskanje pa lepo opravi od doma - je ni tako nujne zadeve, da nebi mogla počakati tistih par ur do konca šihta.

Metabond ::

Ups, morda nisem na pravem forumu? Tu je vse samo dobro in pravično - ali sanjam, da ne živim na Zemlji?

Pri meni osebno je bil veliki poglavar IT in prikazal sem mu neverjetne sposobnosti (njegovega?) Velikega zidu. V očeta vseh iskalnikov sem mu pred nosom vpisal "gun" in mu demostriral, da niti ene stranice prve stranice Googlovih zadetkov ne prestreže. Ko sem vpisal url našega zunanjega dobavitelja iz sosednje ulice pa so se prižgale utripajoče rdeče luči, specijalci so po vrveh priskakali iz helikopterja in FBI mi je nataknil lisice. In kako je veliki šerif komentiral? "Sporoči mojim IT podložnikom kam te obzidje ne spusti in bomo premislili, če te tam spustimo." Kako bedast sistem imamo pove to, da so mi vrli stražarji zidu zadnjič poslali bližnjico do vsebine ki pa je kakopak bila na nedosegljivem delu zunaj obzidja. Cel dan sem se krohotal! Lahko bi jih še tožil za povzročene bolečine v trebuhu!

Veliki zid zelo enostavno obideš, če v Googlu klikneš na prevod v Slovenščino, sam take umotvore brati je pa res veselje. To naše obzidje ni bogzna kaj, saj prideš skozi z vsakim VPN-čkom, ki se valja po spletu. Svedre uporabljam že več mesecev in tudi moj šef je seznanjen s tem, da je zid padel - koliko pač to razume.

Glede okužb: če nisem v 30 letih še nobene zanesel v službo... OK, vse je možno ampak v podpis pa nismo dobili ničesar - najbrž ker nas imajo za precej butaste, saj smo med drugim morali podpisati, da ne bomo uživali alkohola tistih 8 ur. Torej, kar ni prepovedano je dovoljeno - tako učijo vsi odvetniki. Tudi lažeš lahko koliko hočes dokler imaš priče na svoji strani. Če pa jih nimaš, ali pa če druga stran celo dokaže laž, te sodišče ne bo preganjalo zaradi krivega pričanja - vem iz prve roke!

Če nič drugega ste me skoraj prepričali, da sem v prekleto dobri službi četudi sem letos kar tako, zaradi lepšega, izgubil 6 dni dopusta saj imam celo čas, da mislim na lepše stvari. Hvala neskončnemu vesolstvu, da mi ni v mozek vgradilo velikega sinapskega zidu pa da potem dan in noč mislim le na stvari za katere sem itak premalo plačan. Sicer pa bi pametni delodajalec lahko kaj primaknil, če kaj "izumim", ne pa da so mi že v naprej povedali, da je to za mene osebno le čista izguba časa. Ja komu ni prav da za dodatno delo ni primerno nagrajen lahko gre, a ne? In to ven iz Severoslavije, a ne?

Glede AV - seveda ga imamo! Prej NOD32 ampak ni dovolj bremzal postaj zato so ga nadomestili z McKofijem, ki to bolje zna. Aha varnost dokumentacije je zaradi mene kompromitirana? Saj ima vsaka tajnica Full dostop do nje pa lahko dela kar se ji zahoče (če bi to vedela). Če kaj zbriše ne bo toliko hudega, če pa prepiše pa je po prvem bejkapiranju zadeva že v večnih dvojiščih. Bolj nevarni so kakšni tehnologi, ki dodajo zraven, meni nič tebi nič, zraven še svoje fore. Kako to? Ker vrli ITitijevci ne znajo porihtat kdo je kje FA, RO ali AD. Glavno, da so vsi Kitajci znotraj!

SeMiNeSanja ::

Ti mešaš dve stvari.

Presneto dobro veš za kaj so potrebne določene omejitve na omrežju. Raje pošteno potrkaj po lesu, da ne boš navlekel kakšnega srenja na mrežo, ker se to lahko zgodi vsakomur, celo največjemu 'pridigarju' o tem, kaj je in kaj ni pametno početi na medmrežju. Rabiš samo trenutek nepozornosti, malenkost prehiter klik in že boš naredil sranje.

Ravno zato, ker se to lahko zgodi prav vsakomur in ne samo neki 'blond tajnici' (še raje kakemu 'blont' direktorju!), je treba vsaj poskusiti, da poloviš takšne 'človeške napake'. A ti si pameten in ta trud izničuješ z 'vrtanjem lukenj'. Če boš kdaj naredil sranje, bo to groba malomarnost. In nikar ne pričakuj, da se boš lahko izgovarjal na nevednost pa da nisi rabil nečesa podpisat. Saj tudi nisi podpisal, da se ne boš igral z ognjem. Pa verjemi, da bi te čakala tožba, če bi po malomarnosti zakuril podjetje!

Povsem druga zgodba pa je diletantizem vaših IT-jevcev in ponesrečena izbira ali konfiguracija rešitev, katere uporabljajo.
Dokler hodiš samo po straneh, ki so potrebne da opraviš delo za katero si bil najet in prejemaš plačilo, sploh opaziti nebi smel, da se kaj filtrira.
Za ostalo pa je treba dati jasno vedeti, ali je ali ni dopustno, da dostopate do takih ali drugačnih kategorij spletišč. Če si baraba, lahko celo pustiš odprt dostop do njih, potem pa daš delo kadrovski službi, da poskrbi, da boš imel 'več dela', če te zalotijo, da si vseeno zahajal tja.

Vrtanje lukenj pa je hud prekršek. Ti se pa še hvališ s tem. Si tak ko oni poslanec s sendvičem. On je tudi delal "družbene eksperimente".
Kot rečeno: 'vrtanje' je lahko direten razlog za krivdno odpoved.
Potem pa razmisli, če se ti za zadnjih nekaj let pred penzijo še išče drugo službo.

Če IT-jevci ne delajo kar bi morali, jih je pač treba brcat dokler ne naredijo kar je treba. Nikakor pa nimaš kaj iskati raznorazne obvoze. Sploh pri 'nesposobnih' IT-jevcih so takšni 'žrtveni kozli' izredno dobrodošli, če pride kdaj do kakšnega sranja, da si potem rešujejo lastno rit.

Metabond ::

Ne vem kam ostali zahajajo vendar zase vem, da je največja možnost da kaj staknem kakšen droben freeware programček kot je npr. zadnja prdobitev Dualmonitor tools. Če je poreden, ga doma ustavi FW. Če rabim kakšen keygenerator, pa ga bom seveda štartal le v peskovniku. Namigni mi za kakšne temne in nevarne zadeve gre, da je lahko tudi izkušen uporabnik računalnika hitro v težavah?

Kar se tiče FW z otroškim dodatkom v službi je to pri nas nova "pridobitev", ki pri delu ovira vse sodelavce. Glede tega smo potarnali čisto vsem, ki se jih zadeva vsaj malo tiče. Ampak, če ima lažna supervarnost prednost pred neoviranim delom potem tu ne morem nič. Dojadilo mi je stalno naročevanje deblokiranja stranic ker traja običajno cel dan!

Mene zanima le, če je sam VPN add-on varen in ne vsebina, ki lahko priteče skozi njega. Po domače: če lahko raznese pištolo med uporabo in ne, koga vse bi lahko ustrelil z njo. In, ali obstoja kakšen način, ki bi pohitril sistem, ko se na domači računalnik povežeš preko oddaljenega namizja in tako oddaljeno šurfaš?

SeMiNeSanja ::

Pa kakšne diletante imate to pri vas, ki vam rihtajo IT?
To niti za nivo 'amaterjev' niso!
Po možnosti pa so še zapravili kup denarja, nazadnje pa vse skupaj ne dela drugega kot zdraho.

Prvo kot prvo, so vsi uporabniški VPN-i popolni no-go. Ni ga resnega okolja, ki bi dovoljevalo uporabnikom, da kar malo po svoje vsak poganja nek VPN.
Na eni strani imaš Drive-by download-e, ko obiščeš neko spletno stran (lahko tudi čisto legitimno!), pa se ti v ozadnju nekaj prenese na računalnik. Malo googlaj za pojmom "Drive-By download".
Drug aspekt... recimo, da požarni zid v podjetju uspešno blokira poskuse dostopov do Command&Control strežnikov trojancev in kriptolockerjev. Z malenkost sreče v takem primeru okuen računalnik ne bo pričel s kriptiranjem datotek, saj si (še) ni izmenjal ključev za kriptiranje.
Če na takem računalniku zaženeš nek svoj VPN, pa teh zaščit in filtrov nimaš. Zlonamerna koda se bo preko VPN povezala na nadzorne strežnike in kriptiranje se bo pričelo.
Če boš imel srečo, bo zakriptiralo tudi tvoj VPN plugin, da te ne bodo naslednji dan obesili za uhle.

Sicer pa je bilo dovolj povedanega. To kar hočeš, je nedopustno in te lahko košta glave, če te dobijo. Mogoče so vaši IT-jevci preveč butasti, da bi ti preprečili uporabo VPN, ampak ne zanašaj se, da so tudi prebutasti, da te ne bodo enega dne razkrili. Pa prav rad bi te videl, kako boš takrat cvilil, da naj te ne vržejo ven iz firme. Toda kaj bi si pa drugega sploh zaslužil za tako grobo malomarno ravnanje v nasprotju z vsemi pravili?
Kako sploh lahko trdiš, da se kao nič ne more zgoditi - kaj se bo moralo nekaj zgoditi, da boš verjel, da opozarjanja, prepovedi in tozadevna pravila niso 'brezvezna'? Ali bo dovolj, da bo virus okužil tvoj računalnik, da boš verjel? ali mora celo firmo okužiti, da boš dojel, da si naredil pizdarijo?

In ne izgovarjaj se, da nisi nečesa podpisal. Točno veš, da kršiš pravila.

To je tako ko oni pijanček, ki trdi, da 0.5 promila ni problem, da on pri dveh promilih še nikoli ni imel nesreče. Ne le to, pri dveh promilih celo bolje vozi kot trezen....

Invictus ::

Kaj se sekiraš kako ti zaklenejo mrežo?

Pač poročaj šefu, da ne moreš delati, oz. da vsak task traja dlje časa, ker ti morajo odpreti stran...

Zadeva se bo hitro popravila...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Metabond ::

Vse je bilo bob ob steno. Našo omejenost smo nemudoma izrazili in jo podprli z dokazi. Spremenilo se ni nič! Le iz IT-ja me je kontaktiral katere stranice mi otroški dodatek ne prepreči. Pa sem mu rekel naj pogugla za "gun" in začne na začetku 2 miljard zadetkov. Na vsak mesec pa lahko mirno začne znova na prvi strani, da ne bo predaleč hodil. Pa kak je smisel, če že translate obide blokado?

Torej IT šefič je full pameten, pa misli, da smo vsi You stupid woman in ne vemo za obvoze(še pomnite udbo?).

Drugo: o zrušitvi kitajskega zidu sem se pohvalil lokalnemo skrbniku (ni IT šolan) in naši zunanji najeti vdrževalni IT službi. Noben ni, za razliko Seminesanja niti obrvi dvignil. Torej sem svojo dolžnost opravil, saj pravilnik ne omenja nič specifičnega, le da se o novih programih kontaktira lokalnega IT šerifa. Glede na to, da niti nimamo administratorskih pravic z njihove strani ni nobene bojazni.

Analogija: na cestah rastejo znaki omejitve na 60/uro kot gobe po dežju. Ob vsakem malanju črt potegnejo še par km neprekinjene, ki jo zamenja prekinjena v nepreglednem ovinku. Kaj so s tem omejevanjem dosegli? Pri meni konkretno, da sploh ne gledam več kakšna črta je, hitrost pa zmanjšam le v naselju.

SeMiNeSanja ::

Napačni pristop.
"Shadow IT", kakor se temu reče, je izredno velik problem današnjega časa.

Uporabniki vedo ravno toliko o vseh teh zadevah, da ti lahko naredijo resno štalo.
Pa ne gre se zgolj za tvoje luknje. Imaš tudi frajerje, ki od doma prinesejo svoje accesspointe in jih priklapljajo na službeno mrežo in še goro drugih neumnosti.

Vse to je potem nekako 'na pol' nastavljeno po standardih, za domačo rabo, ne pa za poslovno. Neredko, zaradi napačnih nastavitev, celo na koncu moti delovanje poslovnega omrežja (nekdo svojemu routerju dodeli IP naslov domenskega strežnika?).

Pravo pot je nakazal Invictus: vodstvu dati jasno vedeti, da se tako ne da delati in se držati pravil kot pijanec plota. Ko se bo nakopičilo neopravljeno delo, bo že počasi nekdo povzdignil glas in nekoga brcnil v tazadnjo, da naj že naredi za kar prejema plačo. S tem mislim predvsem IT-jevce, ki se jih plačuje, da vam v prvi vrsti omogočijo nemoteno opravljanje za posel nujnih funkcionalnosti. Vse ostalo filtriranje in blokiranje pa naj si potem izmišljujejo, ko nujne stvari delujejo.

Metabond ::

Sem že prej posumil, da si z IT foha. No, jaz pa nisem, sem bolj deklica za vse. V naši org. pritisk od dol navzgor nima nobene teže. Lokalni IT je bolj v službi globalnega zato se tudi smejijo, če globalce nekdo mal okrog nese. Vsi imamo svoj prav in ko pravi Seminesanja, ko bo, če bo zaropotalo, bomo bolj izenačeni ker bodo ugotovili, da je varnost še zmerom prekleto pogojena z čisto vsakim posameznim uporabnikom in ne kakšne grde slikice spusti čez otroški dodatek. Če so grde slikice, ki jih vsak lahko vidi na TV poročilih bolj pomembne od opravil s katerimi si firma služi kruh, to ni ravno moj problem. Jaz si bom pomagal sam! To me spomne na pilota, ki mu ni šlo v glavo da lučke podvozja še vedno gorijo, čeprav se je prepričal, da je podvozje dejansko pospravljeno. Toliko se je ukvarjal z ubogimi lučkami, da je nazadnje še letalo zrušil.

Torej, dokler ne zropota, kako se lahko še drugače boljše povežem na www preko svoje domače opreme (doma in ne priklopljene v službi ;-) ) razen z uporabo oddaljenega namizja in oblačnih pogonov? To je bilo tudi vprašanje mojega posta na katerega dobivam malce preveč filozofiranja. Če hočete pomagati prav, če ne pa tudi.

SeMiNeSanja ::

Ma ne... to je bolj kot dohtarska posla.

Danes vsak, ki zna uporabljati Google meni, da zna postavljati boljše diagnoze kot dohtar. Ko temu potem še doda nagooglano terapijo, pa sploh dohtarja več ne rabi.

Ja, mogoče, če te samo rit srbi. Ampak nekje pa je črta, kjer je treba zdravilstvo prepustiti tistemu, ki je to študiral, sicer se lahko soočimo z zelo neprijetnimi posledicami.

Tako pa je tudi v IT. Ni problem, če sam zamenjaš toner v tiskalniku. Ravno tako ni problem, če nazaj vtakneš kakšen kabel, ki se je na računalniku iztaknil.

Kadar pa se gre za stvari, s katerimi lahko ogroziš varnost celotnega poslovnega omrežja (morda celo globalno!), pa prosim ne pričakuj mojo podporo. Tu prečkaš črto dopustnega in o tem nimamo kaj diskutirat.

Metabond ::

No pa se vidi kam IT pes taco moli: čisto nič nisi drugačen od naše IT službe! Vse mora in bo tak kakor IT pravi in amen! Nobenih kompromisov ker IT=Bog! Ti grešnik, ki znaš VPN uporabljat pa greš v pekel, ker ti tu itak ne morem nič.

SeMiNeSanja ::

Lahko nekomu razlagam, kako se zavaruješ pred tatovi, ne bom pa razlagal, kako čim bolj učinkovito krasti.

Ravno tako ne bom razlagal, katere rožice bi mogoče lahko pomagale proti bolezni X.

Ene stvari so neetične, druge so kaznive.

Precej podoben si tistim, ki tukaj tečnarijo, da torrenti ne delujejo (po možnosti celo še v službi). To se ne podpira.

PRI TEM JE TORRENT ŠE DROBIŽ V PRIMERJAVI S TEM, KAR TI POČNEŠ.

Samo eno napako narediš, pa lahko nekaj tvojih sodelavcev ostane brez dela. Daj razumeti, da to ni šala. Ti to jemlješ tako na lahko ramo, kot da se tebi pa res ne more zgoditi, da boš naredil sranje. In to z znanjem "home userja"!
Celo IT eksperti si tega ne upajo trditi, ker iz vsakodnevne prakse vedo, kako hitro lahko narediš usodno napako. Ti pa kot amater zineš "pa sej še nikoli ni nič zgodilo"....

Kako je že oni rekel..."gospod odpusti jim, saj ne vedo kaj govorijo"

Metabond ::

Saj sem priznal, da sem laik vendar z max možnimi leti izkušenj - odkar nam je računalništvo in nato še www na voljo. Do sedaj sem staknil le en browser hijack (LastXdoor) in prosil tule za pomoč: Lastxdoor spyware
Kot je razvidno iz posta sem se moral sam izkopati iz problemov in se pri tem naučil da AV tu ne more čisto nič. Od takrat ne uporabljam več ActiveX in podobnega, če ni nujno potrebno. Omislil sem si tudi FW in se ga koliko toliko naučil uporabljati. Tako sem med drugim prestregel tudi vsa javljanja skrekanih programov domov. Ko se je pojavil FF sem prešel nanj, da sem imel še več kotrole nad dogajanjem.

Okrog nesem večino IT profesionalcev s katerimi sem v življenju imel opravka. Če se meni ustavi, potem tudi ne vem več koga bi še lahko vprašal. Nazadnje sem sam prepričal Win-10 da se naveže na novo pridobitev (NAS). Win-XP ga je koj zavohal, zablindirani Win-10 pa še sam sebe ni videl! Kaka kolobocija: na izkaznici piše, da je v Workgroup, če ga hočes od tam odstraniti pa ne moreš, saj ga tam dejansko ni! Pa ti vsakodnevni "popravki", ki delajo s tvojim računalnikom kot da je vsa oprema last božja last (tokrat Maliamehki). Nič ni pomagalo... OK, FW blokiraj! Aja saj vem, IT pekel mi ne uide!

Ne uporabljam torrentov, že 15 let ne. Sem pač spoznaval navidezni svet okrog sebe. Svoje znanje pa uporabljam, da si olajšam delo s svojim osnovnim orodjem. Nazadnje sem rabil nekaj, da mi miška ne uhaja vedno na sosednji monitor. Sem poiskal in downloadal preko VPN. Če ne bi šlo, bi ga od doma prinesel na ključku. Uporaba nepreizkušenih programov je z moje strani največja grožnja. Doma mi pomaga FW in tišina v kateri koj zaznam povečano uporabo CPU, v službi pa lahko kvečjemi spremljam CPU na ikonci v taskbaru.

Nekoč sem delal pri enemu privatniku. Uporabljal sem poseben program, ki je delal v DOS-u. Pa so imeli tam enega malega pametnega (sumim, da bodočega IT-jevca), ki je na računalnik vrgel Win-95 zato, ker je za tako mašino skoda da uporablja DOS. Seveda sem stresel prah z hlač in odšel. Računalnik po vaše ni sredstvo za delo ampak nekaj kar mora biti pod vašo nadoblastjo. Kako se pa da z njim delati, kako je prilagojen posamezniku... to pa ni vaš problem.

Če veš, da je uporaba VPN prepovedana, zakaj potem ne podaš prijave na policijo zoper neznanega storilca?

Saul Goodman ::

ne stresaj bedarij. delaj kar hočeš, očitno je, da si prišel na forum le po samopotrditev. ampak za take bedarije jo boš prej našel v lokalni oštariji, kjer lahko z ostalimi jamrači svoje probleme razlagaš random 16-letni kelnarci.

Metabond ::

Točno tako! Ker si v mojih letih želim čim več živčiranja, prerekanja in moraliziranja, sem se obrnil na vrle člane Slo-techa. In ne zato, da bi dobil kakšen tehnični nasvet kako rešiti problem ker se mi ne da več toliko ukvarjati z odkrivanjem zame novih rešitev. Boste že videli, ko boste starejši, da se vam ne bo ljubilo brkljati po računalniku temveč le še uporabljati.

V vmesnem času sem po izčrpnih navodilih proizvajalca routerja vzpostavil VPN povezavo. Problem je bil, da nisem niti vedel čemu točno to služi. In ko sem naletel na članek o (obvezni) rabi VPNa na mobilnih napravah v javnih omrežjih... Imam še eno moralno nesporno) vprašanje: zakaj program (OWLR) na telefonu ne vidi domačih kamer preko VPNa? Torej ni vse tako, kot bi bil fizično doma?

Pa še za Seminesanja: katere zadeve pa lahko prestreže FW? Po mojih izkušnjah FW le skriva in zapira porte pred zunanjim svetom ter prestreža notranjo zalego, ki si želi v svet. Glavno preventivno zaščito po mojem predstavlja brskalnik z No-scriptom.

SeMiNeSanja ::

@Metabond - koliko let pa imaš? 90? Jaz grem 55-im naproti, pa se ne izgovarjam na leta, da bi na nekem omrežju 'lahko' počel reči, ki tam nimajo kaj iskati. Ne glede na 'dober' namen.

Kaj danes FW lahko prestreže? Marsikaj. Zaščita pred 'zunanjim svetom' že dolgo ni več primarna naloga požarnih pregrad. Primarna naloga je danes varovanje od notri proti zunanjemu svetu, tzv. egress filtriranje prometa.

Direktno 'vdirajo' ti lahko bolj ali manj samo na kakšnih izpostavljenih servisih (spletni strežniki, RDP,...), sploh če so ti slabo skonfigurirani in neposodobljeni.
Toda v celoti gledano, je to izredno mali del prometa na omrežju. Bistveno večji in veliko bolj tvegan je tisti del, ki ga ustvarjajo uporabniki z brskalniki in vsemi mogočimi drugimi orodji od dropbox do nevem katerih drajv-ov, torrentov in ja, tudi sumljivih VPN povezav.

Ta del prometa, ki gre direktno preko požarne pregrade se pregleduje glede na destinacijo (web filtri, DNS filtri, reputation filtri), glede na vsebino (blokiranje izvršljivih datotek, AV skeniranje,...) potem pa še glede na samo komunikacijo (aplikacijski filtri, IPS,...).

Skratka vse kaj drugega, kot skrivanje in zapiranje portov.

S tem, ko pa ti z VPN položiš obvoz naokrog, ustvarjaš promet, kateri se izogne vsem zgoraj našteim kontrolam.
Jaz ne morem reči, kakšno požarno pregrado imate pri vas v podjetju, katere vrste filtrov ima vgrajene oz. licencirane in kako je stvar skonfigurirana. Lahko imaš top opremo in vse licence, pa ti nič ne koristi, če ni ustrezno skonfigurirano.

Da pa ni ustrezno skonfigurirano, pa se vidi že po tem, da ti VPN povezovanje sploh deluje. Med vsem ostalim, bi namreč morala biti požarna pregrada sposobna preprečiti tudi nedovoljene VPN povezave, vsaj tiste najbolj standardne.

Metabond ::

Na leta se zgovarjam, ker me je minila vnema po "hekanju", sem pa toliko bolj občutljiv na kakršnokoli omejevanje osebne svobode in to ne samo v deželi dvojiškega sistema. To pa še toliko bolj koliko je to omejevanje nesmiselno. BTW: kot kaže smo isti letnik:D

Funkcijo prestrezanja not->ven sem tudi omenil in jo na svojem FW zelo s pridom uporabljam - sploh odkar imam ta pobalinski Win10. Ni ga lepšega kot ko zvečer prižgeš računalnik da bi nekaj naredil in ugotoviš, da so izginili drajverji za printerje, da o tem kot ti sredi procesiranja kar resetirajo vse skupaj ne govorim. Kjer miš šlatam tam sem jaz gospodar, pa magari v ilegali!

Omenjaš izvršljive datoteke - to ima predvem AV (na lokalnem računalniku) na čez. Poleg tega VPNa ne uporabljam, če ni potrebe. Moje vprašanje v tem postu je bilo kako nevarna je sama uporaba free VPN-a, če ponudnik opreza za zanimivimi podatki ki gredo skoz (no free lunch!). Po mojem gre bolj za gesla kot da bi kaj poskušal skrivaj namestiti. V primeru VPN dodatka v samem brskalniku morebitni škodljivi programi še vedno ne morejo skozi (not->ven), saj za to črvino ne vedo če že je slučajno odprta.

Sicer pa uporabljam(o) čisto vse oblačne pogone od PRO-Dropboxa, 1driva, Gdriva naprej, tak da lukenj se nabere kar nekaj. Do sedaj je bilo nekaj poskusov fishinga z mejli katerim, kot kaže ni nihče nasedel.

SeMiNeSanja ::

Lokalni AV skenira 1x....in zgreši praktično vse, kar je 0day.
Celo po dveh ali treh dnevih se še vedno najde cela kopica AV proizvodov, ki določeno škodljivo kodo še ne zaznavajo. V nekaterih posameznih primerih lahko ta zamuda znaša tudi cel mesec (in več)!

Če si kdaj uporabljal Virustotal, potem veš o čem govorim.
Zato je dobro imeti še kakšen AV 'pri roki'. Ker na samem računalniku več AV proizvodov hkrati hitro povzroča težave, poleg tega pa največ škodljivih stvari privlečemo preko omrežja, je dosti logično, da so že zelo dolgo nazaj pričeli uvajati tzv. 'Gateway AV' rešitve na požarnih pregradah.

Z leti pa ni ostalo zgolj pri enem navadnem AV - danes se npr. na WatchGuard požarnih pregradah kar 3-4x preverja datoteko z različnimi tehnologijami, od klasičnij AV, preko novejših analitik v peskovniku, pa tja do najnovejših AI baziranih AV brez signatur (Cylance).
Poleg tega se je tudi politika glede AV na računalniku nekoliko omehčala in se danes dodaja na računalnike dodatne 'Endpoint Protection' proizvode, kateri zamenjajo ali pa nadgradijo obstoječi AV proizvod. Boljše rešitve na tem področju delujejo usklajeno z požarno pregrado korelacije dogodkov in s pomočjo napredne logike poskušajo zaznavati različne grožnje v omrežju.

Skratka stvari, če vzameš 'cel paket' niso niti približno več enostavne. Vendar v praksi najdeš vse preveč požarnih pregrad, katere imajo le najbolj osnovne licence. Imajo Merđota z zlizanimi gumami in dvema airbagoma. Od asistenčnih sistemov pa samo tisto, kar je v osnovnem paketu. Potem se pa čudijo, ko ob malenkost prehitri vožnji zletijo s ceste.
Ampak tako kot pri avtu, ima pri požarni pregradi zadnjo besedo še vedno šofer - administrator. So situacije, kjer tudi najboljši šofer ne bo preprečil, da bi pristal v grabnu ob cesti. Imaš pa tudi objestne šoferje, katerim ne pomaga nič, kar imaš od varnosti in asistenčnih sistemov vgrajeno v avto.
---
VPN dodatek v brskalniku? Odvisno od tipa. Če v sistem doda default routo, potem bo prav vsak program po defaultu hotel preko VPN do svojega cilja.
Saj to je smisel VPN-ov, da deluje tudi Outlook (in še kaj), ne pa samo spletni brskalnik.

Metabond ::

No lepo, se že bolje razumeva ;) Kar se tiče AV si pozabil na njihovo glavno poslanstvo, da zavirajo hitrost izvajanja, ko ob vsakem zagonu programa on-the-fly skenirajo datoteke ki jih uporablja. Tako je bolj problem, če AV prepozna škodljivo kodo kot pa kdaj jo bo prvič ovohal.

Na domačem računalniku imam inštalirano nekaj podobnega kot Sysinternals Process monitor ali Autoruns. Klikneš na process nakar se datoteka preko weba poskenira z (vsemi znanimi) AV-ji. In kot si omenil ima veliko vlogo šofer: ko zaznam povišano št. vrtljajev ventilatorja (to se na prenosniku sproži nemudoma), me vedno firbec mantra kateri proces jih je sprožil in ga koj preverim. Pri starem računalniku pa je itak vse skupaj tako zabremzalo tako, da nisi rabil niti poslušat.

Hoxx add-on je le za sam brskalnik in ne odpira vrat ostalim. Sicer pa je izvorna koda javna.
https://addons.mozilla.org/sl/firefox/a...
https://www.bestvpnrating.com/review/ho...
https://addons.mozilla.org/en-GB/firefo...

Po mojem nima smisla, da odpre luknjo tudi za Outlook saj ta seveda ni blokiran. Kdor hoče biti anonimen, ga tudi ne bo koristil (inštaliral na PC) pač pa uporabil kar brskalnik. Tista fora, da so si teroristi izmenjavali sporočila tako, da e-maila sploh niso poslali ampak ga le shranili v draft. To možnost sem "iznašel" še pred njimi za izmenjavo manjših podatkov, ko še ni bilo oblakov.

Poskusil sem tudi Opero, ki ima že vgrajen VPN. Ni se prebila skozi filter...

SeMiNeSanja ::

Niti ni redkost, da se ne dovoljuje prenos elektronske pošte z drugih strežnikov izven podjetja, saj nihče ne jamči za neke XY mail serverje, da je bila pošta na njih kakorkoli preverjena in tako hitro lahko kdo navleče nesnago na omrežje podjetja.
Zapreš in je mir.

...dokler se ne najde kakšen 'smartass', ki meni, da mora nadmudriti vse in ves svoj delovni čas posveti temu, da najde nek obskurni VPN software, s katerim bo vseeno lahko vlekel nesnago z interneta.

Naj se eni še tako trudijo vzdrževati nek red, se vedno nekje najde nek poseben brihtnež, ki to vse potepta.
Marsikje se takšna brihtnost kaznuje z odpovedjo.

Saul Goodman ::

so bli majstri, na veliko so holaVPN plugine uporabljal. bil je popularen, pa lahk so geoblokirano vsebino gledali. dokler ni blo http://adios-hola.org/, https://www.bleepingcomputer.com/news/s..., ipd.

vi kar.

Metabond ::

Seveda, vse je mogoče (narediti). Kje piše, da ni še kakšen drug plug-in prerihtan, da prenakazuje Pay-pal sredstva?

Ali kdo ve zakaj preko VPN-a na androidu (Fing) ne vidim domačega omrežja pač pa samo svoj telefon in router kjer sem prijavljen? Brskalnik sicer naveže stik z ip kamero (slike ne more prikazati), namenski program OWLR pa je ne vidi.

Metabond ::

Policajčki, sploh pa psihoanalitiki, kjeeeeee ste?

Smo fasali ransomware! Moji računalniki so ga žal lepo dobesedno prespali. Ni pa čudno, saj so nasi super(b)luzerji izbrali AV, ki sploh nima zaščite pred največjim strahom vsakega IT-jevca.:D:D:D

BTW: še vedno niso odkrili mojega osebnega sprehajalca miške;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )

Oddelek: Omrežja in internet
5015786 (14730) SeMiNeSanja
»

Majhen router z OpenVPN podporo

Oddelek: Kaj kupiti
415963 (5133) AndrejO
»

VPN in oddaljene pisarne (strani: 1 2 )

Oddelek: Omrežja in internet
6813896 (12230) SeMiNeSanja
»

Dostop do oddaljenega omrežja

Oddelek: Omrežja in internet
123483 (3129) mladec
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10722912 (19889) NeMeTko

Več podobnih tem