Novice » Zasebnost » Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla
MMKK ::
Je predrago, ja, sploh ker kot sem že rekel, ta deanr dam jaz iz žepa (edina alternativa je, da eno leto zavrneš 10 pacientov, al pa da sestri znižaš plačo...). Jaz sem jih vprašal, če lahko s svojga obstoječega routerja preko IPSeca naredim povezavodo njih, pa ne smem.
tony1 ::
Kr neki jih poznam, ki bi ti razložili, da se z dyn.dns-om da vse zrihtat :-) Sploh če je en na statiki...
Da se, ampak zakaj bi si oteževal življenje in se jebal čez nekaj let, ko bo poljubni ponudnik Dyn DNS storitve čez noč crknil?
Ravno prejšnji teden sem dobil mail s takšnim obvestilom in sva čast jim, da so ga sploh poslali. Storitev, ki prinašajo denar ne obešam na dinamiko.
No, res je tudi, da dinamični dns ponujajo nekateri vendorji požarnih pregrad tudi out-of-the-box, lahko pa si jo tudi sam nastaviš...
Saul Goodman je izjavil:
a ni 400e za cisco blackbox, ki ti omogoča le VPN dostop cca 10x predrago?
Hja, za storitev IPSECa da, ker pa na škatli piše Cisco je pa (za našo javno upravo) nekarakteristično poceni. Upam, da škatle niso EOL
Zgodovina sprememb…
- spremenil: tony1 ()
SeMiNeSanja ::
Saul Goodman je izjavil:
a ni 400e za cisco blackbox, ki ti omogoča le VPN dostop cca 10x predrago?
Predrago celo za Cisco...
Toda hudičevo težko je dobiti profi napravo, ki zna 'samo' IPSec in nič drugega.
Sophos ima neke RED (Remote Ethernet Device) škatle, ki naj bi bile 'poceni' VPN Remote Gateway. Ampak tudi te so nekje okoli 300€ in v bistvu 'znajo premalo'. Pa še Sophos za centralni Gateway potrebujejo.
WatchGuard T15, Fortinet FG-30E sta overkill, pa si ravno tam nekje v rangu okoli 400€. SonicWall TZ SOHO pa to še prebije za polovico, če imam pravo ceno.
Point pa je, da so vsi našteti polno funkcionalne požarne pregrade in jih je škoda degradirat zgolj v VPN prehod.
Za domačo rabo si lahko privoščiš 'improvizirat'. Marsikdo bi rekel "vzameš Malino..." in zagotovo bi zelo uspešno naredili zadevo. Toda ko prideš do upravljanja in posodabljanja, pa imaš nočno moro, ko imaš takih naprav nekaj sto pod seboj.
Mogoče najbolj vprašljiv del zgodbe je tisti del, da ti ne pustijo, da s svojim firewall-om (Fortinet, Sophos, SonicWall, WatchGuard,...) postaviš VPN GW, si z njimi izmenjaš podatke in stvar sam upravljaš (ob pomoči nekoga, ki stvar obvlada).
Če hočeš zadostiti vsem zahtevam, dejansko potrebuješ lastno požarno pregrado. Zakaj bi potem po nepotrebnem podvajal strošek, namesto da bi denar porabil za varnostne storitve in spodobno konfiguracijo?
Me prav zanima, če tudi v zdravstvene domove postavijo svoje blackbox-e....?
MMKK ::
To da na škatli piše Cisco je en drek važno...samo v 2019 sem jaz našel tole naokol:
https://www.tenable.com/blog/management...
https://www.pentestpartners.com/securit...
https://blog.rapid7.com/2019/02/28/cisc...
https://tools.cisco.com/security/center...
https://www.zdnet.com/article/cisco-pat...
https://www.zdnet.com/article/hackers-a...
https://badpackets.net/over-9000-cisco-...
JA, vsi zdravstveni domovi so dobili blackboxe (točno kateri in koliko je težko predvideti, a na razpisu NIJZ je bila zahteva za 166kosov Cisco 1812, 16 kosov Cisco 2921 in 4 kose Cisco 3925, vse za končne točke sistema e-zdravja (vir: http://www.nijz.si/sites/www.nijz.si/fi....
Ministrstvo je izdalo svoje tehnične zahteve tu : http://www.mz.gov.si/fileadmin/mz.gov.s...
A na predavanju ministrstva je bilo govora o Cisco 2821, 3825 in ASR1020
Ne bi o tem, da je kar nekaj routerjev s seznama NIJZ z WiFi povezavo...in da so na ministrstvu celo rekli, da to ni problem. Pol pa moj 12 letni mulc s kali linuxem in dvosmerno anteno dobi geslo kateregakoli wi-fi omrežja v 10 minutah. 1km stran... Aja, so napisali, da ni problem, ker ima WPA zaščito....ha, ha...butale
Javnim zavodom je opremo čAstila država (MZ). Koncesionarji, čeprav so del javnega zdravstva (in so povsem enako plačani s strani ZZZS), morajo zanje plačati sami.
A mogoče kdo ve kakšno opremo namesti ISP? Ker za povezavo do NIJZ imajo zasebni izvajalci 3 možnosti
1. VPN s klofanjem 2FA vsako jutro na vsakem PCju posebej/vsak uporabnik posebej
2. Zgoraj omenjena Ciscotova routerja, ki jih morajo sami kupiti in predati v upravljenje NIJZ
3. Najeti opremo pri ISPju (nič ne vem kakšna, kako nastavijo, koliko stane...baje na telekomu neki dol pada...)
https://www.tenable.com/blog/management...
https://www.pentestpartners.com/securit...
https://blog.rapid7.com/2019/02/28/cisc...
https://tools.cisco.com/security/center...
https://www.zdnet.com/article/cisco-pat...
https://www.zdnet.com/article/hackers-a...
https://badpackets.net/over-9000-cisco-...
JA, vsi zdravstveni domovi so dobili blackboxe (točno kateri in koliko je težko predvideti, a na razpisu NIJZ je bila zahteva za 166kosov Cisco 1812, 16 kosov Cisco 2921 in 4 kose Cisco 3925, vse za končne točke sistema e-zdravja (vir: http://www.nijz.si/sites/www.nijz.si/fi....
Ministrstvo je izdalo svoje tehnične zahteve tu : http://www.mz.gov.si/fileadmin/mz.gov.s...
A na predavanju ministrstva je bilo govora o Cisco 2821, 3825 in ASR1020
Ne bi o tem, da je kar nekaj routerjev s seznama NIJZ z WiFi povezavo...in da so na ministrstvu celo rekli, da to ni problem. Pol pa moj 12 letni mulc s kali linuxem in dvosmerno anteno dobi geslo kateregakoli wi-fi omrežja v 10 minutah. 1km stran... Aja, so napisali, da ni problem, ker ima WPA zaščito....ha, ha...butale
Javnim zavodom je opremo čAstila država (MZ). Koncesionarji, čeprav so del javnega zdravstva (in so povsem enako plačani s strani ZZZS), morajo zanje plačati sami.
A mogoče kdo ve kakšno opremo namesti ISP? Ker za povezavo do NIJZ imajo zasebni izvajalci 3 možnosti
1. VPN s klofanjem 2FA vsako jutro na vsakem PCju posebej/vsak uporabnik posebej
2. Zgoraj omenjena Ciscotova routerja, ki jih morajo sami kupiti in predati v upravljenje NIJZ
3. Najeti opremo pri ISPju (nič ne vem kakšna, kako nastavijo, koliko stane...baje na telekomu neki dol pada...)
SeMiNeSanja ::
2FA v bistvu nebi bil problem, če bi uporabljali kakšno sodobno varianto, kjer samo potrdiš prijavo na mobitelu, ne pa da rabiš klofat številke.
ISP varianta pa je tudi precej vprašanje... Nekako ni logike, da se podeljuje monopolni položaj določenim izvajalcem, drugim pa zapre dostop.
Niti ni logično, da bi ISP router bil 'dovolj dober' (ne glede na to, kaj za en je), tvoj (nihče ne vpraša, kaj imaš) pa že apriori ni dovolj dober?!?
Če ISP 'posodi' zadevo - a jo potem ISP skonfigurira?
Kako pa je potem z preostalo konfiguracijo? ISP-jevi tehniki običajno ne slovijo ravno kot strokovnjaki za konfiguriranje varnostnih rešitev....
In če imam denar... zakaj nebi smel najeti NIL, SRC, itd. itd., da mi ustrezno skonfigurira mojo 'škatlo' in vzpostavi tisti VPN?
Z borzo na Dunaju sem vzpostavljal VPN, pa ni bilo 1% tovrstnega cirkusa. Ti gospodje na NIJZ pa so zadevo zastavili, kot da se gredo rocket science...
Naj raje definirajo standarde in minimalne zahteve (za implementatorje?), pa se lahko veliko bolje porihta zadeve....brez metanja denarja skozi okno.
Res pa ne razumem, da niti zdravstvenim domovom ne zaupajo, da so sposobni vzpostaviti en ušiv VPN, da še tja rinejo svoj blackbox.
Čak... a če najameš telekom škatlo ti pa dajo parametre za Phase1 in Phase2? Se pravi, da jo najameš za en dan...toliko da dobiš podatke, potem pa adios? Dvomim...
Enako pa tudi ne verjamem, da ti privlečejo router, ki ga ne moreš uporavljati - pa da naj še plačuješ za to.
Težko pa tudi verjamem, da NIJZ potem šara po tvojem (najetem) ISP routerju, da ti v lastni režiji vzpostavi VPN...
Mogoče bi bilo dobro 'potipati' nekoga na Telekomu (ali ima še kateri ISP to v ponudbi?)
ISP varianta pa je tudi precej vprašanje... Nekako ni logike, da se podeljuje monopolni položaj določenim izvajalcem, drugim pa zapre dostop.
Niti ni logično, da bi ISP router bil 'dovolj dober' (ne glede na to, kaj za en je), tvoj (nihče ne vpraša, kaj imaš) pa že apriori ni dovolj dober?!?
Če ISP 'posodi' zadevo - a jo potem ISP skonfigurira?
Kako pa je potem z preostalo konfiguracijo? ISP-jevi tehniki običajno ne slovijo ravno kot strokovnjaki za konfiguriranje varnostnih rešitev....
In če imam denar... zakaj nebi smel najeti NIL, SRC, itd. itd., da mi ustrezno skonfigurira mojo 'škatlo' in vzpostavi tisti VPN?
Z borzo na Dunaju sem vzpostavljal VPN, pa ni bilo 1% tovrstnega cirkusa. Ti gospodje na NIJZ pa so zadevo zastavili, kot da se gredo rocket science...
Naj raje definirajo standarde in minimalne zahteve (za implementatorje?), pa se lahko veliko bolje porihta zadeve....brez metanja denarja skozi okno.
Res pa ne razumem, da niti zdravstvenim domovom ne zaupajo, da so sposobni vzpostaviti en ušiv VPN, da še tja rinejo svoj blackbox.
Čak... a če najameš telekom škatlo ti pa dajo parametre za Phase1 in Phase2? Se pravi, da jo najameš za en dan...toliko da dobiš podatke, potem pa adios? Dvomim...
Enako pa tudi ne verjamem, da ti privlečejo router, ki ga ne moreš uporavljati - pa da naj še plačuješ za to.
Težko pa tudi verjamem, da NIJZ potem šara po tvojem (najetem) ISP routerju, da ti v lastni režiji vzpostavi VPN...
Mogoče bi bilo dobro 'potipati' nekoga na Telekomu (ali ima še kateri ISP to v ponudbi?)
MMKK ::
Saj ni treba verjet meni. Preberi tu: https://www.list.si/pdf/Dopis_NIJZ_zNET...
Jaz sem sicer pred mesecem dni dobil podoben dopis, ki je malenkost drugačen samo v toliko, da je na seznamu opreme, ki jo lahko kupim tudi Cisco 892FSP
Jaz sem sicer pred mesecem dni dobil podoben dopis, ki je malenkost drugačen samo v toliko, da je na seznamu opreme, ki jo lahko kupim tudi Cisco 892FSP
SeMiNeSanja ::
Saj ni treba verjet meni. Preberi tu: https://www.list.si/pdf/Dopis_NIJZ_zNET...
Jaz sem sicer pred mesecem dni dobil podoben dopis, ki je malenkost drugačen samo v toliko, da je na seznamu opreme, ki jo lahko kupim tudi Cisco 892FSP
Kdo pa je rekel, da tebi ne verjame?
Če si meril na tisto, ko sem pisal 'ne verjamem' v mojem postu, se je šlo za špekuliranje o tem, kako naj bi ta celotna zadeva bila zamišljena.
Se pravi 'ne verjamem - v lastne špekulacije'.
ToniT ::
SeMiNeSanja je izjavil:
Enako pa tudi ne verjamem, da ti privlečejo router, ki ga ne moreš uporavljati - pa da naj še plačuješ za to.
Težko pa tudi verjamem, da NIJZ potem šara po tvojem (najetem) ISP routerju, da ti v lastni režiji vzpostavi VPN...
Mogoče bi bilo dobro 'potipati' nekoga na Telekomu (ali ima še kateri ISP to v ponudbi?)
Telekom in A1 sta ponudnika VPN-ja do NIJZ (vsaj kolikor jaz vem).
Tudi Telekom ti da svoj Cisco router, do katerega nimaš dostopa. Pošljejo ti naslovni prostor in IP številko routerja. Potem pa na svojem routerju delaš NAT 1:1 (ali pa ti ga oni naredijo).
Res pa je, da se s telekomovci bolj težko pogovarjaš oz. najdeš kompetentnega sogovornika.
SeMiNeSanja ::
Samo to, da si daj nabaviti ASA5506, potem pa da ne moreš nič upravljati z njim, je pa resnično popolni fail.
Če so se že odločili, da imajo v centrali Cisco opremo, je to njihova stvar. Prednost, ki ti jo ta izbor nudi je ta, da je danes praktično vsak proizvajalec svojo rešitev testiral, da je združljiva z Cisco IPSec VPN. Zakaj vraga potem to možnost ne izkoristijo?
Zakaj vraga hočejo nadzor nad obema koncema VPN povezave? Tega ne vidiš nikjer. Vsaka stran / vsak partner v VPN povezavi odgovarja za svoj konec. Edino tako lahko zagotoviš nadzor in varnost brez nepotrebnega podvajanja opreme.
Dobesedno mi gre na jok, če pomislim, da ne bo tako malo lokacij, kjer bo postavljena ASA5506, nanj pa bo priključen še en ASA5506. Idotizem brez primere! Če je kos po 400€, bi za ta denar lahko na 5506 dodali 3 leta IPS-a ali na neki drugi opremi še cel kup drugih varnostnih storitev. Namesto tega bo šel denar za NIJZ ASA 'blackbox', za dejansko varovanje lokalnega omrežja bo pa moral služiti najcenejši Linksys/Asus/NameItShit... ? Kaj na koncu zdravstvo s tem pridobi?
VARNOST ne more biti razlog, da NIJZ hoče držati roko nad obema stranema povezave. Torej se gre za dvom v sposobnost 'hišnih vzdrževalcev' za konfiguracijo enega ušivega VPN? Kot da je to neka raketna znanost. Jim napišem jaz 'How to' navodila, če menijo, da brez tega vzdrževalci niso sposobni en VPN vzpostaviti.
Ali se gre za kakšen koruptivni Cisco deal... no, ne bom špekuliral v to smer....
Če so že hoteli, bi se tudi lahko z ISP-ji dogovorili, da do tebe pripeljejo tisti VPN tako, kot imaš na routerju port za TV in telefon, da bi imel še poseben port za NIJZ. Kako je ponudnik tisti VPN pripeljal do porta, pa te ne zanima. Toda to bi najbrž bilo že preveč poceni rešeno...?
Če so se že odločili, da imajo v centrali Cisco opremo, je to njihova stvar. Prednost, ki ti jo ta izbor nudi je ta, da je danes praktično vsak proizvajalec svojo rešitev testiral, da je združljiva z Cisco IPSec VPN. Zakaj vraga potem to možnost ne izkoristijo?
Zakaj vraga hočejo nadzor nad obema koncema VPN povezave? Tega ne vidiš nikjer. Vsaka stran / vsak partner v VPN povezavi odgovarja za svoj konec. Edino tako lahko zagotoviš nadzor in varnost brez nepotrebnega podvajanja opreme.
Dobesedno mi gre na jok, če pomislim, da ne bo tako malo lokacij, kjer bo postavljena ASA5506, nanj pa bo priključen še en ASA5506. Idotizem brez primere! Če je kos po 400€, bi za ta denar lahko na 5506 dodali 3 leta IPS-a ali na neki drugi opremi še cel kup drugih varnostnih storitev. Namesto tega bo šel denar za NIJZ ASA 'blackbox', za dejansko varovanje lokalnega omrežja bo pa moral služiti najcenejši Linksys/Asus/NameItShit... ? Kaj na koncu zdravstvo s tem pridobi?
VARNOST ne more biti razlog, da NIJZ hoče držati roko nad obema stranema povezave. Torej se gre za dvom v sposobnost 'hišnih vzdrževalcev' za konfiguracijo enega ušivega VPN? Kot da je to neka raketna znanost. Jim napišem jaz 'How to' navodila, če menijo, da brez tega vzdrževalci niso sposobni en VPN vzpostaviti.
Ali se gre za kakšen koruptivni Cisco deal... no, ne bom špekuliral v to smer....
Če so že hoteli, bi se tudi lahko z ISP-ji dogovorili, da do tebe pripeljejo tisti VPN tako, kot imaš na routerju port za TV in telefon, da bi imel še poseben port za NIJZ. Kako je ponudnik tisti VPN pripeljal do porta, pa te ne zanima. Toda to bi najbrž bilo že preveč poceni rešeno...?
MMKK ::
Hvala ti, sem že mislil, da sem jaz nor, ker tako razmišljam...se ne bi mogel bolj strinjati s tvojim komentarjem. Se me morš odločit al so tolk brilijantni in uvajajo nekaj v ozadju kar ne razumemo, al pa tolk neumni/nesposobni, da ne vidijo vrhunskih nesmislov pred njimi...
tony1 ::
Gre se preprosto za to, da so 10 let zadaj. Takrat je rešitev z obvezno NIJZjevo napravo morda res NIJZju prinesla kaj prihranka pri je6anju s stranko in njeno konfiguracijo ali pa je zelo majhen % strank sploh imel ustrezno napravo za postavitev IPSEC VPNja.
Zadeva spominja na čase KZZ terminalov po ZDjih ali pa čase, ko se v HKOM omrežje zaposleni v državni upravi od doma niso smeli povezati drugače kot prek nešifrirane PPP dial-up povezave
Misliti, da so tako na NIJZju dosegli kaj več varnosti je pa seveda napačno.
Zadeva spominja na čase KZZ terminalov po ZDjih ali pa čase, ko se v HKOM omrežje zaposleni v državni upravi od doma niso smeli povezati drugače kot prek nešifrirane PPP dial-up povezave
Misliti, da so tako na NIJZju dosegli kaj več varnosti je pa seveda napačno.
SeMiNeSanja ::
Me prav zanima, kako pri NIJZ utemeljujejo pristop, ki je drugje že zdavnaj preživet.
Kako bi bilo, če bi vsi tako počeli....
Si predstavljate, da se DARS speča z Renault-om in dovoli samo Renault-om voziti po avtocestah, češ da so drugi avtomobili 'prenevarni' ali 'nekompatibilni'? Pa še na servis bi morali svoje Renault-e voziti na DARS.
Razumel bi, da bi zahtevali, da se priklaplja izključno rešitve, ki so posodobljene na zadnji firmware. Ali rešitve, katere dokazano dobro delujejo v kombinaciji z Cisco opremo.
Toleriral bi tudi, če bi definirali konkretne zahteve, katere bi dvignile nivo zaščite v omrežjih ambulant (načeloma bi morali prej ali slej investirati v to!).
Ravno tako bi toleriral, če bi predpisali določene konfiguracije (da npr. v tunel ne spuščaš ničesar drugega, kot nujno potrebne porte) in zahtevali nekakšno kotrolo nad izvedbo.
Celo to bi toleriral, da bi zahtevali, da izvajalec opravi nekakšen 'workshop' in dokaže ustrezno usposobljenost za vzpostavitev VPN po njihovih standardih.
Tukaj se pa potem počasi konča moje razumevanje.
Ko se gre za standardizirane zadeve, ki v praksi drugje že leta in leta odlično delujejo, se pri takem protekcionizmu določenega proizvajalca zelo upravičeno začne špekulirati o korupciji.
Kako bi bilo, če bi vsi tako počeli....
Si predstavljate, da se DARS speča z Renault-om in dovoli samo Renault-om voziti po avtocestah, češ da so drugi avtomobili 'prenevarni' ali 'nekompatibilni'? Pa še na servis bi morali svoje Renault-e voziti na DARS.
Razumel bi, da bi zahtevali, da se priklaplja izključno rešitve, ki so posodobljene na zadnji firmware. Ali rešitve, katere dokazano dobro delujejo v kombinaciji z Cisco opremo.
Toleriral bi tudi, če bi definirali konkretne zahteve, katere bi dvignile nivo zaščite v omrežjih ambulant (načeloma bi morali prej ali slej investirati v to!).
Ravno tako bi toleriral, če bi predpisali določene konfiguracije (da npr. v tunel ne spuščaš ničesar drugega, kot nujno potrebne porte) in zahtevali nekakšno kotrolo nad izvedbo.
Celo to bi toleriral, da bi zahtevali, da izvajalec opravi nekakšen 'workshop' in dokaže ustrezno usposobljenost za vzpostavitev VPN po njihovih standardih.
Tukaj se pa potem počasi konča moje razumevanje.
Ko se gre za standardizirane zadeve, ki v praksi drugje že leta in leta odlično delujejo, se pri takem protekcionizmu določenega proizvajalca zelo upravičeno začne špekulirati o korupciji.
b3D_950 ::
Najprej omenimo staro modrost porab-
nikov javnega denarja, in sicer, da je treba
do konca leta nujno poskrbeti, da so pora-
bljena vsa razpoložljiva sredstva. Napol v
šali pravilo niti ni tako zelo skregano z rav-
nanjem dobrega gospodarja, saj bo orga-
nizacija v nasprotnem primeru prihodnje
leto prejela ustrezno manj denarja.
Stran 12:
https://www.monitor.si/media/objave/dok...
Zdaj ko je mir, jemo samo krompir.
tony1 ::
Glede primerjave z DARSom in Renojem: trditev drži, ampak vic na to temo z MSjem je že star in obrabljen. Včasih se računalništvo izkaže za (zelo) čudno reč...
Človeku, ki se je v življenju lotil ene same platforme routerjev ne boš dopovedal, kaj je to standard, in da je cel internet narejen na standardih. (U, mater! Kako pa to sploh kaj dela?! )
Verjetno je tudi to posledica MSjeve večne strategije EEE, kjer se MS tako dobro drži standardov, da vse dela samo z njihovimi produkti, ki so bolj standardni od standardov.
Človeku, ki se je v življenju lotil ene same platforme routerjev ne boš dopovedal, kaj je to standard, in da je cel internet narejen na standardih. (U, mater! Kako pa to sploh kaj dela?! )
Verjetno je tudi to posledica MSjeve večne strategije EEE, kjer se MS tako dobro drži standardov, da vse dela samo z njihovimi produkti, ki so bolj standardni od standardov.
SeMiNeSanja ::
Pri avtomobilih imaš veliko različnih, za vsak okus se najde nekaj.
Pri routerjih je tudi kar precej izbire. Recimo, da se da nabrati 10 proizvajalcev, za katere ne moreš trditi, da ponujajo 'šrot'.
Dokaj podobno je tudi pri požarnih pregradah. Tudi tu se najde cca. 10 proizvajalcev, ki so širom sveta uveljavljeni in cenjeni.
Ko pa prideš na operacijske sisteme za osebne računalnike, pa dihaš zelo zelo redek zrak.
Imaš Microsoft, potem pa dolgo nič, nato enkrat izza vogala prikoraclja ena tolpa med seboj skreganih pingvinov. Še malo bolj zadaj stopica en hudiček, za katerim se kotali ogrizek (ali ogrizek z vilami poriva pred seboj?).
Gledano z vidika 'konkurence', lahko sešteješ pingvine, hudička in ogrizek, pa ne prideš na nivo enega poštenega konkurenta, kot jih imaš v svetu avtomobilizma, routerjev ali požarnih pregrad.
v bistvu je na koncu še toliko bolj absurdno, da se forsira Cisco ASA, ki je že zdavnaj izgubil primat, kar se tiče požarnih pregrad, ker je preprosto zaspal na lovorikah. Ko so vsi konkurenti že prešli v UTM vode in šli v smeri 'NextGen' požarnih pregrad, so oni komajda uspeli novo HW platformo vreči na trg - ASA5500-X. Pa še tu jim je na spodnjem koncu HW zamujal še par dodatnih let.
Potem so končno kupili in pokrpali še tisto nesrečno FirePower zgodbo, s katero so marsikaterega zvestega Cisco uporabnika pregnali v roke PaloAltu (ki so jim ga Cisco prodajalci vsilili kot optimalno zamenjavo - optimalno seveda za žep prodajalcev).
Je že tako, da ne moreš jutri ponujati Fordov, če si do včeraj prodajal Mercedeze. Moraš vsaj na Bentley ali Tesle preiti... Itak smo vsi tako bogati, da se potem nabavlja nobel šasija... za nove gume in redno servisiranje pa zmanjka denarja.
Potem pa se še norčujejo iz lastniko 'Fordov', ki imajo za 3x manj denarja 3x boljši paket....
Včasih je veljal pregovor, da še nikoli niso nikogar odpustili, ker je kupil Cisco opremo.
Potem se je realnost spremenila in danes velja, da ne drži več, kar pravi stari pregovor.
No, to velja za 'rest of world'... pri nas očitno še kar velja prvotni pregovor.
Pri routerjih je tudi kar precej izbire. Recimo, da se da nabrati 10 proizvajalcev, za katere ne moreš trditi, da ponujajo 'šrot'.
Dokaj podobno je tudi pri požarnih pregradah. Tudi tu se najde cca. 10 proizvajalcev, ki so širom sveta uveljavljeni in cenjeni.
Ko pa prideš na operacijske sisteme za osebne računalnike, pa dihaš zelo zelo redek zrak.
Imaš Microsoft, potem pa dolgo nič, nato enkrat izza vogala prikoraclja ena tolpa med seboj skreganih pingvinov. Še malo bolj zadaj stopica en hudiček, za katerim se kotali ogrizek (ali ogrizek z vilami poriva pred seboj?).
Gledano z vidika 'konkurence', lahko sešteješ pingvine, hudička in ogrizek, pa ne prideš na nivo enega poštenega konkurenta, kot jih imaš v svetu avtomobilizma, routerjev ali požarnih pregrad.
v bistvu je na koncu še toliko bolj absurdno, da se forsira Cisco ASA, ki je že zdavnaj izgubil primat, kar se tiče požarnih pregrad, ker je preprosto zaspal na lovorikah. Ko so vsi konkurenti že prešli v UTM vode in šli v smeri 'NextGen' požarnih pregrad, so oni komajda uspeli novo HW platformo vreči na trg - ASA5500-X. Pa še tu jim je na spodnjem koncu HW zamujal še par dodatnih let.
Potem so končno kupili in pokrpali še tisto nesrečno FirePower zgodbo, s katero so marsikaterega zvestega Cisco uporabnika pregnali v roke PaloAltu (ki so jim ga Cisco prodajalci vsilili kot optimalno zamenjavo - optimalno seveda za žep prodajalcev).
Je že tako, da ne moreš jutri ponujati Fordov, če si do včeraj prodajal Mercedeze. Moraš vsaj na Bentley ali Tesle preiti... Itak smo vsi tako bogati, da se potem nabavlja nobel šasija... za nove gume in redno servisiranje pa zmanjka denarja.
Potem pa se še norčujejo iz lastniko 'Fordov', ki imajo za 3x manj denarja 3x boljši paket....
Včasih je veljal pregovor, da še nikoli niso nikogar odpustili, ker je kupil Cisco opremo.
Potem se je realnost spremenila in danes velja, da ne drži več, kar pravi stari pregovor.
No, to velja za 'rest of world'... pri nas očitno še kar velja prvotni pregovor.
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
MMKK ::
Drgac pa za razmislek in pomoč pri urejanju stanja za tiste, ki ste sistemci...
Danes sem na hitro preletel spletne strani naših zdravstvenih domov. Pustimo dejstvo, da je večina oblikovno nekje po letu 2000, v oči bode dejstvo, da lahko takšne, ki uporabljajo https:// povezavo praktično preštejete na prste ene roke. Od 57ih zdravstvenih domov v SLO...Recimo da sprejmem argument, da za predstavitvene strani ni potrebna namestitev ssl certifikata (čeprav bi se dalo razpravljati o tem, kako si ena uradna inštitucija, ki temelji na zaupanju, lahko privošči, da si jih nekdo privošči :-)) Vendar, večina ima pod način naročanja naveden e-mail naslov. In ja, kar nekaj jih ima spletne obrazce tipa pošlji sporočilo, nažalost pa kar nekaj tudi omogoča e-naročanje/registracijo uporabnika na http povezavi...
Jaz bom pripravil en prispevek za kolege, vas bi pa prosil, če lahko tudi med sistemci razširite vest (če je to možno), da naj ne predvidevajo, da zaposleni v zdravstvu karkoli vedo o načinu varovanja v prenosu, pa o phishingu, pa varovanju e-mail/plain text komunikacije. Če se pojavi naročilo o izdelavi spletne strani, naj PROSIM pojasnijo naročniku, da nižji standard od upoštevanje zakonodaje pač ni možen. Te spletne strani niso postavljali sami izvajalci ZD, večinoma so spodaj podjetja a svojimi spletnimi stranmi in pravno obliko...
Danes sem na hitro preletel spletne strani naših zdravstvenih domov. Pustimo dejstvo, da je večina oblikovno nekje po letu 2000, v oči bode dejstvo, da lahko takšne, ki uporabljajo https:// povezavo praktično preštejete na prste ene roke. Od 57ih zdravstvenih domov v SLO...Recimo da sprejmem argument, da za predstavitvene strani ni potrebna namestitev ssl certifikata (čeprav bi se dalo razpravljati o tem, kako si ena uradna inštitucija, ki temelji na zaupanju, lahko privošči, da si jih nekdo privošči :-)) Vendar, večina ima pod način naročanja naveden e-mail naslov. In ja, kar nekaj jih ima spletne obrazce tipa pošlji sporočilo, nažalost pa kar nekaj tudi omogoča e-naročanje/registracijo uporabnika na http povezavi...
Jaz bom pripravil en prispevek za kolege, vas bi pa prosil, če lahko tudi med sistemci razširite vest (če je to možno), da naj ne predvidevajo, da zaposleni v zdravstvu karkoli vedo o načinu varovanja v prenosu, pa o phishingu, pa varovanju e-mail/plain text komunikacije. Če se pojavi naročilo o izdelavi spletne strani, naj PROSIM pojasnijo naročniku, da nižji standard od upoštevanje zakonodaje pač ni možen. Te spletne strani niso postavljali sami izvajalci ZD, večinoma so spodaj podjetja a svojimi spletnimi stranmi in pravno obliko...
SeMiNeSanja ::
No, kar še bolj bega je dejstvo, da "naroči se po mailu" direktno poziva k temu, da bo prej ali slej nekdo postal žrtev kakšne grde obužbe.
Čim ti nekdo pošlje na mail 'napotnico' ali 'izvid', je zelo visoka verjetnost, da bo priponko nekdo šel tudi odpirati, da bi preveril, kaj v njej piše. Tisti klik pa je lahko že usoden za celo omrežje, ne le za računalnik.
Koliko ambulant pa ima dejansko dovolj močno zaščito, da bi se lahko ubranile?
Koliko jih ima posebej ločen računalnik (izoliran segment omrežja), za 'stik s svetom'? Utopija. Ker niti nimaš prostora za kaj takega. Mogoče bi šlo kot virtualka...pa tudi to ni življenjsko.
Koneckoncev si tam zato, da narediš svoje delo, ne pa da se greš 'varnostnega eksperta - paranoika'.
Poleg tega imaš maile, ki se naslavljajo na ambulanto in osebne, ki so naslovljeni na zdravnika. Seveda ne bo sestra/administratorka 'v karanteni' odpirala mailov, ki so bili poslani na zdravnikov osebni naslov.
Če že mogoče delaš z 'javnimi' maili v rokavicah... še vedno ostajajo visoko tvegani osebni maili.
Da se zna kakšen zdravnik nekomu zameriti, ni nič novega. Smo tudi na TV že videli razne grožnje pacientov... sicer bolj z fizično silo, a vendarle ne smeš tudi ne izključiti, da ti ne bo jutri nekdo namerno poslal kakšen virus po mailu.
Skratka že samo zato, ker imaš tako delo, kot ga imaš, si med bolj tveganimi skupinami uporabnikov in moraš že zato podvzeti 'nekaj več', kakor pa navaden uporabnik, da bi se zaščitil.
Nerodno pa je, če potem pride nek E-zdravje, ki gleda samo na svojo lastno rit, ne pa na splošno dvigovanje 'kibernetske' varnosti v zdravstvu. Za sebe bodo izsilili, da boste investirali 400€ ali koliko pač pride tisti ASA5506-X (ali je možno, da gre tudi z bistveno cenejšim Mikrotikom? - baje, da sta dve napravi požegnani, pa ne vem, katera je tista ta druga) - namesto da bi ta denar investirali v nekaj bolj univerzalnega, kar bo varovalo tudi ambulanto in ne le NIJZ.
Ker vam odvzamejo denar, ta potem manjka za kakšno 'boljšo' zaščito.
Za moje pojme čisto sfaljen pristop.
Čim ti nekdo pošlje na mail 'napotnico' ali 'izvid', je zelo visoka verjetnost, da bo priponko nekdo šel tudi odpirati, da bi preveril, kaj v njej piše. Tisti klik pa je lahko že usoden za celo omrežje, ne le za računalnik.
Koliko ambulant pa ima dejansko dovolj močno zaščito, da bi se lahko ubranile?
Koliko jih ima posebej ločen računalnik (izoliran segment omrežja), za 'stik s svetom'? Utopija. Ker niti nimaš prostora za kaj takega. Mogoče bi šlo kot virtualka...pa tudi to ni življenjsko.
Koneckoncev si tam zato, da narediš svoje delo, ne pa da se greš 'varnostnega eksperta - paranoika'.
Poleg tega imaš maile, ki se naslavljajo na ambulanto in osebne, ki so naslovljeni na zdravnika. Seveda ne bo sestra/administratorka 'v karanteni' odpirala mailov, ki so bili poslani na zdravnikov osebni naslov.
Če že mogoče delaš z 'javnimi' maili v rokavicah... še vedno ostajajo visoko tvegani osebni maili.
Da se zna kakšen zdravnik nekomu zameriti, ni nič novega. Smo tudi na TV že videli razne grožnje pacientov... sicer bolj z fizično silo, a vendarle ne smeš tudi ne izključiti, da ti ne bo jutri nekdo namerno poslal kakšen virus po mailu.
Skratka že samo zato, ker imaš tako delo, kot ga imaš, si med bolj tveganimi skupinami uporabnikov in moraš že zato podvzeti 'nekaj več', kakor pa navaden uporabnik, da bi se zaščitil.
Nerodno pa je, če potem pride nek E-zdravje, ki gleda samo na svojo lastno rit, ne pa na splošno dvigovanje 'kibernetske' varnosti v zdravstvu. Za sebe bodo izsilili, da boste investirali 400€ ali koliko pač pride tisti ASA5506-X (ali je možno, da gre tudi z bistveno cenejšim Mikrotikom? - baje, da sta dve napravi požegnani, pa ne vem, katera je tista ta druga) - namesto da bi ta denar investirali v nekaj bolj univerzalnega, kar bo varovalo tudi ambulanto in ne le NIJZ.
Ker vam odvzamejo denar, ta potem manjka za kakšno 'boljšo' zaščito.
Za moje pojme čisto sfaljen pristop.
Invictus ::
Mislim, glavni zajeb vsega skupaj je, da ima vsak zdravstveni dom svoj IT.
Kjer lokalni direktorčki najemajo za take rešitve sinčke znancev, sploh v bolj zabačenih ZD.
Zadeva ni nujno poceni, ampak kar se tiče rešitev, pa je še v kameni dobi...
Kjer lokalni direktorčki najemajo za take rešitve sinčke znancev, sploh v bolj zabačenih ZD.
Zadeva ni nujno poceni, ampak kar se tiče rešitev, pa je še v kameni dobi...
"Life is hard; it's even harder when you're stupid."
http://goo.gl/2YuS2x
http://goo.gl/2YuS2x
Zgodovina sprememb…
- predlagalo izbris: bfranklin ()
ToniT ::
Naročanje preko maila je tam zato, ker inšpektorji to zahtevajo!
To je sicer neumnost, ampak tako je.
To je sicer neumnost, ampak tako je.
poweroff ::
Ni res, da inšpektorji to zahtevajo.
Je pa zakon jasen in se da narediti drugače. Samo je treba znati narediti.
Je pa zakon jasen in se da narediti drugače. Samo je treba znati narediti.
sudo poweroff
MMKK ::
Naročanje preko maila je tam zato, ker inšpektorji to zahtevajo!
To je sicer neumnost, ampak tako je.
Pri nas inšpektor ni zahteval majla, pa precej dobro sem naštudiral zakonske obveznosti. Omogočiti moraš elektronsko naročanje in naročilno knjigo (sledljivost, kdaj se je kdo naročil), nikjer pa ni govora o elektronski pošti. Ta je dejansko namenjena samo še komunikacijami z uradnimi ustanovami za vsebine, ki ne vsebujejo občutljivih podatkov).
Jaz sem tudi mislil, da bodo dominirali zabačeni ZDji, pa sem si premislil o tej tezi, ko sem videl stran od ZD Črnomlja. Lepo in urejeno, brez pozivanja k uporabi emaila, z lastno narejenim obrazcem za naročanje, še anketo o zadovoljstvu imajo gor. Vse na https.ju... Pravzaprav eden redkih.
Pol imaš pa strani, kjer imajo omogočeno ustrezno rešitev (recimo Ljubljana im ain https:// in ustrezen sistem e-naročanja), pa je rešitev za e-naročanje prazna (niso omogočili, da bi se dalo naročat, je samo prazna tabela), pod ambulanto pa piše, da je naročanje preko elektronske pošte. Isto rešitev za e-naročanje ima ZD kočevje, ki ima ravno tako vse prazno v terminih. Tisto kar pri ZD Kočevje ne razumem, je zakaj so samo poddomeno ( z enaročanjem) dali na https://, sama osnovna spletna stran pa je brez SSLa.
100 ludi, 100 čudi
Vidi pa se, da nekdo vzdržuje te strani, ker so na tekočem z zakonodajo in velikokrat imajo objavljeno tako število opredeljenih pacientov kot načine naročanja, pa člane tima...odgovorne osebe za čakalne sezname sicer večinoma ne
ToniT ::
SeMiNeSanja ::
Ne vem, zakaj niso naredili kar v sklopu e-zdravja skupno platformo za naročanje, katero bi lahko vsi uporabljali.
Zmanjkalo denarja?
Zmanjkalo denarja?
MMKK ::
Sem šel gledat še enkrat uradni dopis inšpektorata iz junija 2018. Dejansko je notri stavek: "Elektronsko naročanje se omogoči po elektronski pošti IN/ALI preko spletne strani izvajalca zdravstvene dejavnosti".
Če bi kdo hotel komplet dopis inšpektorata iz junija 2018, naj mi piše.
Skratka, ni obvezno (zato nam inšpektor ni težil, ker imamo elektronsko naročanje integrirano v page), je pa katastrofa, da pride tak dopis od uradne inštitucije. Email pač ni primeren način za pošiljanje kakršnihkoli osebnih podatkov.
Sam še to rabmo, ja...e-zdravje že tako beleži preveč, s prevelikimi pooblastili nezdravstvenega kadra na NIJZ in ZZZS. Vsakič ko izvajalec izpolni napotnico, mora gor napisat kronične diagnoze in terapijo. To gre tudi na ZZZS z imenom in priimkom pacienta. Tega prej ni bilo, oni so vse dobivali anonimizirano...
Če bi kdo hotel komplet dopis inšpektorata iz junija 2018, naj mi piše.
Skratka, ni obvezno (zato nam inšpektor ni težil, ker imamo elektronsko naročanje integrirano v page), je pa katastrofa, da pride tak dopis od uradne inštitucije. Email pač ni primeren način za pošiljanje kakršnihkoli osebnih podatkov.
SeMiNeSanja je izjavil:
Ne vem, zakaj niso naredili kar v sklopu e-zdravja skupno platformo za naročanje, katero bi lahko vsi uporabljali.
Zmanjkalo denarja?
Sam še to rabmo, ja...e-zdravje že tako beleži preveč, s prevelikimi pooblastili nezdravstvenega kadra na NIJZ in ZZZS. Vsakič ko izvajalec izpolni napotnico, mora gor napisat kronične diagnoze in terapijo. To gre tudi na ZZZS z imenom in priimkom pacienta. Tega prej ni bilo, oni so vse dobivali anonimizirano...
Zgodovina sprememb…
- spremenilo: MMKK ()
SeMiNeSanja ::
Email bi lahko bil - če bi bil kriptiran.
Samo kaj, ko tudi danes, v letu 2019 niti s certifikatom podpisan mail ne smeš pričakovati od kogarkoli, da bi na ta način vsaj lahko potrdil njegovo identiteto.
Če bi VSE uradne inštitucije sprejele predpis, da morajo biti VSI maili podpisani s certifikatom, bi že takoj v osnovi bistveno otežili zlorabo naslova za phishing.
Dejstvo je, da dejanski VSI uradniki IMAJO certifikate.... samo uporabljati jih ne znajo, kaj šele, da bi jih nekdo prisilil v uporabo.
Ko bi se to enkrat 'oprijelo', bi si bilo tudi otročje enostavno pošiljati kriptirane maile, saj bi zlahka prišel do javnega ključa naslovnika (če ga nebi že imel).
Toda na žalost niti v bančništvu, kjer je največ phishinga, še ni bilo tega miselnega preskoka, da bi podpisovali maile s svojimi certifikati.
Ko pa ti kaj podpišeš....te pa čudno gledajo...
Drugače pa je mail predvsem 'delovno intenziven' za naročanje. Če je stvar dobro izvedena na spletu, ti verjetno lahko prihrani vsaj kakšnih 15 min dela dnevno (pojma nimam, koliko res porabite)- pa vse tja do kakšne ure (če moraš še usklajevati zadeve in iz 'naročanja' rata pingpong).
Na koncu pa te itak še vedno najbolj zafrkne, ko se naročeni pacient ne pojavi v čakalnici, odjavil pa se tudi ni...
Samo kaj, ko tudi danes, v letu 2019 niti s certifikatom podpisan mail ne smeš pričakovati od kogarkoli, da bi na ta način vsaj lahko potrdil njegovo identiteto.
Če bi VSE uradne inštitucije sprejele predpis, da morajo biti VSI maili podpisani s certifikatom, bi že takoj v osnovi bistveno otežili zlorabo naslova za phishing.
Dejstvo je, da dejanski VSI uradniki IMAJO certifikate.... samo uporabljati jih ne znajo, kaj šele, da bi jih nekdo prisilil v uporabo.
Ko bi se to enkrat 'oprijelo', bi si bilo tudi otročje enostavno pošiljati kriptirane maile, saj bi zlahka prišel do javnega ključa naslovnika (če ga nebi že imel).
Toda na žalost niti v bančništvu, kjer je največ phishinga, še ni bilo tega miselnega preskoka, da bi podpisovali maile s svojimi certifikati.
Ko pa ti kaj podpišeš....te pa čudno gledajo...
Drugače pa je mail predvsem 'delovno intenziven' za naročanje. Če je stvar dobro izvedena na spletu, ti verjetno lahko prihrani vsaj kakšnih 15 min dela dnevno (pojma nimam, koliko res porabite)- pa vse tja do kakšne ure (če moraš še usklajevati zadeve in iz 'naročanja' rata pingpong).
Na koncu pa te itak še vedno najbolj zafrkne, ko se naročeni pacient ne pojavi v čakalnici, odjavil pa se tudi ni...
MMKK ::
SeMiNeSanja je izjavil:
Email bi lahko bil - če bi bil kriptiran.
Itak.
Čeprav se tudi tu jaz strinjam z GDPR načelom privacy by design. Večina inbound pošte pride do nas z gmaila. Večina uporabnikov nima pojma in sistem moraš postavit tako, da onemogoči neumnosti tudi najbolj butastim uporabnikom. Pri gmailu enkripcija sicer pomaga v prenosu, a ti google vse prebere.
Drgač pa pri nas sistem naročanja odnese 1 uro telefonov dnevno. naročanje receptov vzame enako časa kot prej po telefonu ali e-pošti, pošiljanje sporočil pacientov pa je tam tam z majlom. Imamo pa razen prvi 2 in zadnjo uro vse odprto takoda se lahko sami naročajo.
nahitrejši je še vedno telefon, a je dokazljivost/sledljivost porazna, če ne snemaš pogovorov. Kar je pa spet pol problem to hrant, varovat...
Zgodovina sprememb…
- spremenilo: MMKK ()
MMKK ::
SeMiNeSanja je izjavil:
Ne vem, zakaj niso naredili kar v sklopu e-zdravja skupno platformo za naročanje, katero bi lahko vsi uporabljali.
Zmanjkalo denarja?
Parabl so najmanj 35 milijonov, eni navajajo tudi preko 100milijonov od 2009... Kar je treba priznat, da je ena večjih nategancij. Sploh za tak končni izdelek.
Največji absurd pri vsem skupaj pa je, da je sistem skupaj z lokalnimi programi pri izvajalcih pravzaprav ena velika davčna blagajna s priveski za priponke, ki so sicer zdravstvenega tipa :-) Popolnoma nič ne pripomore k boljšemu zdravljenju ali izboljšanju varnosti oskrbe, primarno služi beleženju storitev, ključni podatki pa niso dostopni ristim, ki bi jih morali videti. Važno je, da imata NIJZ in ZZZS vse pod kontrolo...
MMKK ::
SeMiNeSanja je izjavil:
Nerodno pa je, če potem pride nek E-zdravje, ki gleda samo na svojo lastno rit, ne pa na splošno dvigovanje 'kibernetske' varnosti v zdravstvu. Za sebe bodo izsilili, da boste investirali 400€ ali koliko pač pride tisti ASA5506-X (ali je možno, da gre tudi z bistveno cenejšim Mikrotikom? - baje, da sta dve napravi požegnani, pa ne vem, katera je tista ta druga) - namesto da bi ta denar investirali v nekaj bolj univerzalnega, kar bo varovalo tudi ambulanto in ne le NIJZ.
Ker vam odvzamejo denar, ta potem manjka za kakšno 'boljšo' zaščito.
Za moje pojme čisto sfaljen pristop.
Požegnani sta trenutno Cisco ASA 5560 in Cisco 892 FSP.
In ja, jaz sem že vpostavil delujočo VPN povezavo (IPSec) med mikrotik cloud routerjem in Cisco ASA 5560. Ker ima bolj ali manj enak konfigurator, ne vidim zakaj ne bi mogel narediti enako tudi z nekega cenejšega modela serije HEX... Morš pa res vedet kaj delaš pri mikrotikih (če bi vzpostavljali uradno povezavo tega ne bi delal jaz- jaz se bolj igram zase, pa da lahko kasneje sistemcem gledam pod prste :-)) No, pa glede na leto 2018 je treba pri mikrotikih skrbet za redne patche firmware-a. Razen če ste en unih ki je rudaril...
No, na nijz pravijo da taka povezava ni dovoljena. Hočjo imet lokalni nadzor. Sem jim poslal dopis zakaj ne, čakam odgovor.
spegli ::
Je blo pa pocen. Pa verjetno mojstri za jurja ne želijo delati v IT. Kot zdravniki :)
Zgodovina sprememb…
- spremenilo: spegli ()
SeMiNeSanja ::
Požegnani sta trenutno Cisco ASA 5560 in Cisco 892 FSP.
Cisco 892.....z EoL oktobra 2019? Ali je to kakšna druga podvarianta, ki bo še en malo 'preživela'? Vrag ti ga vedi...
Če je to ta, ki je v zadnjih vzdihljajih, potem v bistvu imajo samo en 'požegnan' proizvod - saj 892 že 5 let ni več v prodaji....
SeMiNeSanja ::
In ja, jaz sem že vpostavil delujočo VPN povezavo (IPSec) med mikrotik cloud routerjem in Cisco ASA 5560.
Lahko da je težava tudi v tem, da (sodeč po neki slikci, ki sem jo nekje videl) ne uporabljajo 'navaden' IPSec, temveč furajo še GRE tunel preko tega. S tem pa se takoj zoža izbor 'kompatibilne' opreme, sploh tiste z nižjega konca cenovne lestvice.
Če potem hočeš še podporo IKEv2, boš na koncu precej omejen. Če se ti pa niti ne ljubi raziskovati in testirati, če je vendarle še kje kaj kompatibilnega na voljo, pa končaš na takem vendor lock-in, kot v tem primeru.
WatchGuard podpira neko tako varianto "Virtual IPSec Interface", ki naj bi baje bila združljiva s Ciscom. V praksi pa tega nisem imel priložnosti preveriti, ker se povsod držijo klasike, da bi bili čim širše združljivi.
Je pa res, da sem za lastno uporabo tudi že kar dolgo nazaj prešel na Virtual IPSec Interface, ker se določene reči poenostavljajo, lahko jih pa tudi nadgradiš z dinamičnim routingom, kar se pri klasičnem IPSec ne da. Je pa vprašanje, če ga potrebujejo za to aplikacijo.
Kakorkoli že... snovalcem in upravljavcem nebi škodovalo, če bi se malo manj skrivali in se kdaj soočili z uporabniki in njihovimi izkušnjami, potrebami in zahtevami.
Tako dobiš občutek, kot da sistem ni tu zaradi uporabnikov, temveč uporabniki zaradi sistema (katerega se jih prisili uporabljati). To pa je popolnoma napačen pristop. Nezadovoljstvo pa predprogramirano.
tony1 ::
Skoraj dvomim, da uporabljajo IKEv2, državna uprava nima pojma, kaj bi to bilo. Pravzaprav vsa naša IT srenja ni dosti boljša: so že slišali, ampak 10 let+ star standard je še preveč nov, da bi kje šli v kakšno implementacijo.
Z GRE tuneli in non-cisco opremo ter kompatibilnostjo s Ciscom pa nimam slabih izkušenj.
Pravi razlog je, po mojem, še vedno povsem političen: da so admini NIJZ komot (ali pa zarukani, kakor vzameš) in živijo nekje v času preloma tisočletja. Ništa novog na zapadu...
Z GRE tuneli in non-cisco opremo ter kompatibilnostjo s Ciscom pa nimam slabih izkušenj.
Pravi razlog je, po mojem, še vedno povsem političen: da so admini NIJZ komot (ali pa zarukani, kakor vzameš) in živijo nekje v času preloma tisočletja. Ništa novog na zapadu...
SeMiNeSanja ::
Z GRE tuneli in non-cisco opremo ter kompatibilnostjo s Ciscom pa nimam slabih izkušenj.
Samo najprej jih mora določena oprema sploh podpirati. To še zdaleč ni samoumevno, v nižjem cenovnem razredu pa bi bil Mikrotik eden redkih, kjer bi to podporo pričakoval. Povsod drugod bi bila presenečenje.
Čim pa je implementirana, pa se bo vsak pameten proizvajalec potrudil napraviti zadevo kompatibilno s Cisco varianto, katera definitivno velja za 'referenco'. Če s tem nisi združljiv.... škoda, da si se sploh trudil stvar implementirat. Industrija živi na standardih in interoperabilnosti. Tudi ko se gre za konkuriranje, ne more nihče resen pričakovati, da bo nekdo vrgel ven vse Cisco-te in jih zamenjal z rešitvami proizvajalca X. Namesto tega morajo različne rešitvo dolgo koekistirati in se dokazati kot 'dostojni naslednik'. No, razen če so neki 'strici iz ozadja' na delu.... Kar pa žal tudi ni taka redkost.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )Oddelek: Novice / Zasebnost | 45284 (31641) | SeMiNeSanja |
» | Ima bolnišnica Izola problem z razumevanjem delovanja interneta? (strani: 1 2 )Oddelek: Novice / Zasebnost | 27362 (20317) | MMKK |
» | Piškotki kot dimna zavesa spletne varnosti in zasebnostiOddelek: Novice / Zasebnost | 15088 (12658) | ExtraBacon |
» | Odgovorno razkritje ali neodgovorno nerazkritje (strani: 1 2 3 )Oddelek: Novice / NWO | 53135 (43272) | fujtajksel |