Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Viktor 07. 06. 2017, 10:36:44
-
Pekny den preji, potrebujem do firmy poridit firewall/router s podporou filtrovani https. Koukal jsem na ZyWall, ktery ma podle dokumentace moznost napojeni na domain controller - pro nas idealni. Potrebuju provadet omezeni webovych adres per uzivatel/skupina. Jak resite vy blokaci webu s https? Neznate nejake alternativy k ZyWallu?
Pozadavky na router/firewall -
- dual wan (WAN - WAN; WAN - USB)
- nastavitelne routovani mezi VLANy nejlepe pomoci firewallu (jak to jde na mikrotiku); aktualne mame Cisco rv320 kde jde jen povolit inter vlan nebo zakazat - uplne na hov..)
- trafic shaping per ip/uzivatel/sluzba
- VPN (l2tp/openvpn - idealni/ptpp/...)
- DHCP server per vlan
- DHCP static lease
- DHCP server podpora option 42 (ntp server)
- NAT/PAT
Pokud nebudete mit nic k tematu a budete chtit jen kritizovat politiku firmy a psat o pokutach zamestnancum apod tak radeji neprispivejte do vlakna. Potrebuju problem resit a ne poslouchat proc to tak nedelat/delat.
-
hociaka proxy s podporou MITM podhadzovania certifikatov, kludne napriklad squid. Ale rataj s tym, ze moderne weby prestanu fungovat. v dobe CDN je to ajtak bud zakazes vsetko, alebo povolis... ziadna cesta medzi tym neexistuje.
-
Nebudu kritizovat politiku firmy, říkat ti ať to neděláš, ani jiný voloviny, je to tvoje volba (tvé firmy), ale počítej s tím, že rozbiješ DANE, což sice momentálně asi zásadně nevadí, ale do budoucna by to mohl být trošku problém.
Edit: Ještě počítej s tím, že tím absolutně zabiješ jakoukoliv důvěryhodnost certifikátů, takže třeba i kdyby jsi měl super poučenou a svědomitou účetní, nebude mít absolutně žádnou možnost ověřit si, že stránky banky, na kterých chce poslat příkaz z firemního účtu, jsou opravdu stránky banky a ne nějaký podvod.
-
Dost čechů si nechá vysvětlit, že to co chtějí udělat je hloupost. Ovcoprc to bude chtít zrealizovat vždycky...
-
Jo jo, není nad to když zaměstnavatel automaticky podvrhuje všechny certifikáty svým. To pak nefunguje ani to, co má fungovat, takže zaměstnanci často nemůžou ani pořádně vykonávat svojí práci, natož rozumně trávit volný čas. Ale jo, bezpečnost na prvním místě.
Vlastně ani ta ne, protože si zaměstnanci zvyknout automaticky odklikávat všechny bezpečnostní varování, přestanou fungovat automatické aktualizace software a podobně.
Podobnou politiku jsme taky ve firmě měli. Dopadlo to tak, že každý měl na PC vlastní proxy přes TOR, případně jiný VPN software, stažený kdoví odkud, protože všechny officiální stránky kde to získat byly zablokované. Takže ve výsledku to dopadlo tak, že IT oficiálně všecko "škodlivé" zablokovalo a nikdo si nestěžoval, a na všech počítačích přitom běžel software kdo ví odkud, a data tekla kdo ví kudy. Všichni spokojeni.
A věř mi, že vždycky se najde někdo kdo tvůj skvělý systém ojebe, třeba si do počítače zapojí vlastní modem/wifi kartu a na celou síť se ti vyjebe. Místo hraní prohlížečových her si budou lidi nosit vlastní hry na datových nosičích, opět pochybného původu, aby měli co hrát.
-
V první řadě si musíte rozmyslet, co znamená „webová adresa“ – zda je to jen doménové jméno, nebo celá URL. V prvním případě můžete kontrolovat jen SNI a zakázat navázat HTTPS spojení bez SNI. V druhém případě musíte dešifrovat HTTPS spojení, tedy podvrhnout všechny certifikáty, a to už jsme u té nebezpečnostní politiky firmy, kde vám maximálně popřeju hodně štěstí. Že se tím rozbije DANE je řekl bych prkotina, dnes je horší, že se tím rozbije HPKP – nevím, zda prohlížeče umožňují nějak administrátorsky HPKP vypnout.
-
Abych byl trochu konstruktivní, doporučuju směrovat port 53 TCP i UDP natvrdo na vlastní DNS, aby někdo neměl blbý nápady použít gouglí DNS a a logovat jen dotazy. Sice nezjistíš, na kterou stránku kdo leze, ale zjistíš alespoň doménu, což by ti mělo většinou stačit. Spárovat potom data z DNS (doménu) a z firewallu (počet přenesených dat, počet a délka spojení) je celkem triviální úkol. Nic se tím nerozbije, ale přijdeš tím o přesný URL (což nebude zase tak moc zásadní) a obsah komunikace. Pokud mají uživatelé administrátorský přístupy na stanice, dá se to teoreticky obejít zapsáním záznamu do hosts, čímž se vyhne tvé DNS, ale na druhou stranu stejně většinu takové komunikace odhalíš dostatečně přes reverzní záznamy, nebo přes whois. Nicméně, pokud mají ke stanici admin práva, stačí celkem libovolnej otevřenej port ven a kdo bude chtít, tak si to protuneluje.
-
Nebudu kritizovat politiku firmy, říkat ti ať to neděláš, ani jiný voloviny, je to tvoje volba (tvé firmy), ale počítej s tím, že rozbiješ DANE, což sice momentálně asi zásadně nevadí, ale do budoucna by to mohl být trošku problém.
Nejen ze rozbije dane(to by se ostatne dalo podvrhnout taky), rozbije toho o dost vic ... napriklad firemni csob pres to fungovat nebude vubec, protoze certifikaty resej pres appku a kdyz web vrati jinej, tak se to proste vubec nepripoji. A pak tu mame jeste ty uzasny HPKP hlavicky, to rozbije taky naprosto dokonale. Takze pokud to nejakej web posila, tak se k nemu z ty firmy taky nikdo nikdy nepripoji.
BTW: Taky sem nekolikrat proxy zprovoznoval, zcela 100% to skoncilo do 14 dnu jejim vypnutim. Samo neni nad nazornou ukazu, na upozorneni ze to nebude a nemuze fungovat nikdo nereflektoval.
-
Super dekuji za reakce - co se tyce bank a certifikatu to me vubec nenapadlo.
Jsem rad ze se vlaknonezvrhlo v kritiku firmy. Neni moje ale delam pro ni ;) Kazdopadne problem blokace facebook a streamovacich sluzeb je obrobvsky. Jak donutite aby lidi ve firme necuceli na videa? Nejde o to, ze cuci, at si to pusti o tom zadna. At si ctou na netu, ale jak zacnou volat lidi, ze jim nejdou stahnout emaily, protoze nejaky dement ve vyrobe ma zaple full hd video z youtubu, ksichtbook, ... to je na posrani. Vedeni firmy se proto rozhodlo to radikalne resit. Napadlo me jeste vyuzit vlastni dns server, ale ty prolinky to je neresitelne.
-
Abych byl trochu konstruktivní, doporučuju směrovat port 53 TCP i UDP natvrdo na vlastní DNS, aby někdo neměl blbý nápady použít gouglí DNS a a logovat jen dotazy. Sice nezjistíš, na kterou stránku kdo leze, ale zjistíš alespoň doménu, což by ti mělo většinou stačit. Spárovat potom data z DNS (doménu) a z firewallu (počet přenesených dat, počet a délka spojení) je celkem triviální úkol. Nic se tím nerozbije, ale přijdeš tím o přesný URL (což nebude zase tak moc zásadní) a obsah komunikace. Pokud mají uživatelé administrátorský přístupy na stanice, dá se to teoreticky obejít zapsáním záznamu do hosts, čímž se vyhne tvé DNS, ale na druhou stranu stejně většinu takové komunikace odhalíš dostatečně přes reverzní záznamy, nebo přes whois. Nicméně, pokud mají ke stanici admin práva, stačí celkem libovolnej otevřenej port ven a kdo bude chtít, tak si to protuneluje.
Nemaji admin prava, jen uzivatelska. Mame DC takze i DNS - zkusim do nej vlozit nechtene weby.
-
ale jak zacnou volat lidi, ze jim nejdou stahnout emaily, protoze nejaky dement ve vyrobe ma zaple full hd video z youtubu, ksichtbook, ... to je na posrani.
Ale to je potom chybny navrh siete. Preco vyroba je v rovnakom subnete ako office? A preco nemas aplikovane QOS pripadne shaping na ten subnet? Riesit to generalnym blockom je trochu ako kanon na komara
-
Ale to je potom chybny navrh siete. Preco vyroba je v rovnakom subnete ako office? A preco nemas aplikovane QOS pripadne shaping na ten subnet? Riesit to generalnym blockom je trochu ako kanon na komara
Navrh site je v poradku. Vyroba je separovana do vlanu ale do ted se neresilo omezeni. Shaping bych chtel a mel resit viz. muj dotaz. Hledam router ktery to umi. A blokovat celou domenu pomoci dns nebude asi ta spravna cesta a asi by to ani neproslo u vedeni.Opet se vracim zpet k proxy, pres kterou bych hnal jen usery, kteri maji mit provoz filtrovany. Tzn neco jako vychozi praidlo povol vse a nezasahuj do pripojeni, ale pokud je pripojeni na nezadouci stranky blokuj. Tim by se nezasahovalo do pripojeni napr k bankam a pod. Otazka je jestli to jde a taky s jakym hardwarem.
-
Ale to je potom chybny navrh siete. Preco vyroba je v rovnakom subnete ako office? A preco nemas aplikovane QOS pripadne shaping na ten subnet? Riesit to generalnym blockom je trochu ako kanon na komara
Navrh site je v poradku. Vyroba je separovana do vlanu ale do ted se neresilo omezeni. Shaping bych chtel a mel resit viz. muj dotaz. Hledam router ktery to umi. A blokovat celou domenu pomoci dns nebude asi ta spravna cesta a asi by to ani neproslo u vedeni.Opet se vracim zpet k proxy, pres kterou bych hnal jen usery, kteri maji mit provoz filtrovany. Tzn neco jako vychozi praidlo povol vse a nezasahuj do pripojeni, ale pokud je pripojeni na nezadouci stranky blokuj. Tim by se nezasahovalo do pripojeni napr k bankam a pod. Otazka je jestli to jde a taky s jakym hardwarem.
Jediny co bude fungovat, je banlist, ne whitelist, v pripade proxy. Jinak se bude pro kazdy povolovany web muset osetrit kazdy externi zdroj, ktery ta stranka pouziva. A ze jich je (google api, cdn, atd). A na MITM certifikaty bych zapomel rovnou - stacilo videt, kdyz Avast sahnul do https spojeni a komercni web na https zobrazoval varovani o chybnem certifikatu. Nejlepsi cesta je otestovat omezeni na vedeni, aby videli, jak se to chova.
-
Jakýkoliv blacklist ti obejdou například TORem, VPN a podobně. Asi to ale nebudou dělat nějaký pipiny v kanclu, ale ani to nelze vyloučit, protože stačí se zeptat googlu a kliknout na první odkaz. Je úplně jedno, zda jim to zprovozní fb nebo ne, ale spustí ti na PC nějakou aplikaci kdo ví odkud.
-
HPKP by v tomto pripade byt problem nemelo za predpokladu pouziti vlastniho duveryhodneho certifikatu.
"The RFC 7469 standard recommends disabling pinning violation reports for "user-defined" root certificates, where it is "acceptable" for the browser to disable pin validation."
Problem s bankovnictvim v pripade kontrolni aplikace se da zase vyresit separatni vlanou pro oddeleni ktere to bezpodminecne potrebuje a ostatni at si tam lezou z domova.
-
Problem s bankovnictvim v pripade kontrolni aplikace se da zase vyresit separatni vlanou pro oddeleni ktere to bezpodminecne potrebuje a ostatni at si tam lezou z domova.
Takze separatni vlan pro sefa, par ucetnich, k tomu resit funkcnost na ntb/wifi...to neni zrovna dobry napad.
-
Jen pro zajimavost, na co sem prave narazil ... firma, pouzivaj eset ... a maj tam zapnutou nejakou tu hruzu na tema blokujeme porno ... mno a ony se jim nepatchou widle, protoze nekde v url je neco na tema xxx/prn/... nebo vi buh co, protoze tech keywords tam maj cca 5k.
-
Kazdopadne problem blokace facebook a streamovacich sluzeb je obrobvsky. Jak donutite aby lidi ve firme necuceli na videa?
Dáte jim práci ;-)
At si ctou na netu, ale jak zacnou volat lidi, ze jim nejdou stahnout emaily, protoze nejaky dement ve vyrobe ma zaple full hd video z youtubu, ksichtbook, ... to je na posrani.
To chápu, ale to je myslím úplně jiný problém. Řekl bych, že to mnohem lépe řeší QoS a omezování rychlosti déletrvajících spojení. Pokud někdo bude běžně používat web ke své práci, žádné omezení nepozná. Teprve pokud začne něco stahovat nebo streamovat, dané spojení se mu zpomalí (čímž se zároveň efektivně dosáhne toho, že nebude blokovat linku ostatním). A nemusíte řešit, které všechny weby máte zakazovat – prostě ať bude streamovat nebo stahovat odkudkoli, nikdy tím nezahltí linku.
A i pokud byste chtěl blokovat konkrétní weby, pořád bych to dělal jen na základě SNI hlaviček HTTPS, nebo by nejspíš stačilo blokovat je v DNS. Dešifrovat HTTPS komunikaci je mnohem větší zásah do komunikace, spoustu věcí tím rozbijete, musíte všude instalovat certifikáty své autority, a hlavně tím na sebe přebíráte odpovědnost za to, že všechny certifikáty ověřujete správně. A přihlášení klientským certifikátem (třeba bezpečné přihlášení do datových schránek) vám takhle nebude fungovat vůbec.
Shrnul bych to – MitM na HTTPS komunikaci bude komplikované a způsobíte si tím spoustu problémů, a nebudete pak mít čas řešit ten problém, který jste chtěl řešit původně, tj. vyžírání kapacity internetové přípojky nedůležitým provozem.
-
Jen pro zajimavost, na co sem prave narazil ... firma, pouzivaj eset ... a maj tam zapnutou nejakou tu hruzu na tema blokujeme porno ... mno a ony se jim nepatchou widle, protoze nekde v url je neco na tema xxx/prn/... nebo vi buh co, protoze tech keywords tam maj cca 5k.
Za většinu problému na widlích můžou právě všecky tyhle antiviry. V druhej řadě pak všechny ty čističe a urychlovače (čím víc, tím líp...).
Ale hlavně, že se cítíme bezpečně, protože u hodin je pěkná ikonka, za kterou se platí X tisíc ročně a když se něco rozbije (třeba nejdou uvedené aktualizace), nadává se na MS.
Jestliže někdo čučením na video znemožní prohlížení emailu ostatním, je v síti něco brutálně špatně. Pochopitelně firma musí mít odpovídající linku.
Jak to asi dělají ve velkých korporacích, kde máš několik pater a každým stovky PC, IP telefony atp? Prakticky všechny firemní aplikace tam běží outsourcované na serveru někde v tramtárii a v jedem okamžik tam ještě jede mnoho video streamů, facebooků atp a nikde se problém neprojeví, natož aby někomu nešel email nebo dokonce IP telefon.
Blokování nic nevyřeší, jen všechny bude srát, že si ani místo oběda nevyřešej osobní věci, natož aby nějak zabili čas, když maj třeba hotovo. Místo relativně bezpečného facebooku pak začnou lézt na pochybné weby, které zrovna nebudou zablokované.
Nastav normální QoS, dej prioritu firemním záležitostem a na zbytku kapacity ať si někdo třeba stahuje XXX. Vždyť to už může bejt jedno.
-
Byť mám tento server a web rád, proto sem ostatně chodím ;), rozhodně není vhodným prostorem na dotazování se na podobné oblasti a témata, jako je masivní blokování nežádoucího provozu, omezování a monitoring uživatelů čí případně důsledné vynucování dodržování bezpečnostních politik.
Základem je maximální omezení uživatelských oprávnění k cílové stanici. Pokud máte dostatečně vyprofilované pozice (role), dá se dokonce postupovat tak, že zakážete úplně všechno, a pak povolíte opravdu pouze to, co uživatel potřebuje ke své práci. V prostředí s MS AD a MS stanicemi je to víceméně legrace, u linuxových stanic trošku bádání, u MACu peklo, ale dá se to zvládnout také.
Neexistuje, že by si uživatel mohl stáhnout jakoukoliv aplikaci z neautorizovaného zdroje, natož ji nainstalovat. Kromě omezení uživatelských oprávnění má ještě každá stanice instalovaný dohledový software, který hlídá její integritu, aktualizace a patche, a kterou lze zvlášť v prostředí Windows jen velmi obtížně vypnout - a to i pro administrátora.
Samostatnou kapitolou je Internet. Role, které ho ani nepřímo nepotřebují ke své práci, ho mají kompletně blokovaný - to je práce přímo pro firewall. Výjimku má pouze e-mailový klient, protože e-mail máme stručně řečeno "v cloudu".
Role, které potřebují Internet nepřímo k práci (například omezenou skupinu stále se opakujících domén), mají vše blokováno, ale whitelistované povolené domény, a je monitorováno, kde a kdy se jak pohybují. To je úkol pro proxy.
Ojedinělé role, které potřebují tzv. "celý Internet", na něj přistupují přes pravidelně udržované blacklisty, které jednak obsahují konkrétní domény, druhak regulární výrazy na různé řetězce v doméně, koncovky, velikost a formát stahovaných souborů (například multimediální soubory, archivy ZIP, RAR apod. jsou blokovány kompletně pro všechny), ve třetí řadě pak je vše monitorováno a vyhodnocováno. Nalezení byť je pokusu o použití TOR, jakékoliv formy VPN na VPS nebo konkrétní IP je považováno za hrubé porušení pracovní kázně, protože je to ošetřeno i v příslušných právních dokumentech.
Samozřejmostí jsou blokované USB porty, hesla k BIOSům, šifrované disky a u vybraných rolí pak vícefaktorová autentizace. Nyní se testuje svázání uživatelského jména s konkrétním zařízením (jinde se tím uživatelem přihlásit pak nejde), a timeplany - nejde se přihlásit mimo předpokládanou pracovní dobu, anebo případně jen na velmi omezenou dobu. Koncept BYOD zanikl sám o sobě, protože jeho podmínkou byla aplikace firemních bezpečnostních nástrojů a politik i na ta vlastní donesená zařízení, což pochopitelně nikoho moc nenadchlo.
Celou tuhle legraci zajišťují dva redundantní security appliance od poměrně neznámé firmy, které však mají poměrně široký záběr. Doplňují ji antispam od naopak věhlasné firmy, antivir od relativně známé firmy, pro speciální účely pak "lehké" řešení v kombinaci SQUID a HAproxy. "Backbone" je MS doména, AD, a mnoho dalších featur, které MS nabízí. Nenakupují se žádné internetové služby ani aplikace, které nemají tlusté klienty.
Nadstavbou je pak automatická klasifikace a podepisování citlivých firemních dokumentů, které pak nelze vynést z firmy nijak jinak, než nafocené na mobil.
Když se toto celé dva roky testovalo a postupně nasazovalo, největší odpůrci hlasitě křičeli, že odejde většina lidí, pak že podstatná část, a pak že ti nejschopnější, protože to už není bezpečnost, ale šikana. Výsledek? Odešlo několik jedinců, kteří byli přesvědčeni, že volný přístup z práce na Internet, volná možnost instalovat si do služebních zařízení co je jen napadne a různé fejkování a obcházení bezpečnostních opatření je snad uvedeno v Základní listině práv a svobod. Mírně se to kompenzovalo nabídkou SIM karet zaměstnancům s datovým tarifem a 10GB FUP za velmi výhodnou cenu, protože není žádný důvod, aby neměli ve svých soukromých tabletech a telefonech solidní Internet, a také zřízením separátní WiFi sítě pro "hosty", důsledně izolované od čehokoliv firemního, aby případně ti, kteří o SIM od firmy zájem neměli, alespoň v práci šetřili svá data.
Důsledek byl však takový, že za poslední 4 roky jsme neměli žádný bezpečnostní incident - jakože vůbec žádný. Kupodivu údajně stoupla produktivita práce (o tohle se nezajímá, ale dokážu si představit, že když už někdo neměl jinou možnost, než v té práci opravdu 8 hodin pracovat, tak to možná začal i dělat... nevím), a na výstupním interface do WAN poklesl provoz o 64 procent.
Možná to bude tím, že nepracuji pro nadšený technologický startup o 10ti lidech, ale pro zavedenou mezinárodní společnost, která jen v Čechách zaměstnává přes 850 lidí. Možná to bude tím, že nás už nebavilo neustále řešit problémy způsobené zjevně nevhodným nebo neuváženým chováním uživatelů. Každopádně osobně si myslím, že doba "neomezeného" je dávno pryč, a nyní je z mnoha různých důvodů (bezpečnost nevyjímaje) doba restrikcí a omezování. Čím důmyslnějších a efektivnějších, tím lepších.
Pokud bude někdo chtít, rád mu sdělím do e-mailu konkrétní informace o obecně popisovaných věcech v mém příspěvku.
-
V ktere veznici delas ? 8) Ve firme s tolika omezenimi bych nevydrzel ani minutu.
-
Role, které ho ani nepřímo nepotřebují ke své práci, ho mají kompletně blokovaný
Mohl byste aspoň naznačit, jaké role to jsou? Dneska je na internetu prakticky všechno, a co tam ještě není, u toho se řeší, jak to dělat „pohodlně přes internet“. I ten poslední podržtaška podle mne někdy potřebuje něco přeložit, stáhnout si nějaký návod, formulář, najít ordinační dobu závodního lékaře, jeho adresu nebo spojení k němu. Opravdu by mne zajímalo, zda existují role, které internet k práci nijak nemohou využít, nebo zda je to „sice jim to trvá dýl, ale nakonec si nějak poradí i bez internetu“.
-
V ktere veznici delas ? 8)
;D ;D ;D
Ve firme s tolika omezenimi bych nevydrzel ani minutu.
+∞
-
Když se toto celé dva roky testovalo a postupně nasazovalo, největší odpůrci hlasitě křičeli, že odejde většina lidí, pak že podstatná část, a pak že ti nejschopnější, protože to už není bezpečnost, ale šikana. Výsledek? Odešlo několik jedinců... Mírně se to kompenzovalo nabídkou SIM karet zaměstnancům s datovým tarifem a 10GB FUP za velmi výhodnou cenu
No, a takhle to pro změnu končí (https://www.lupa.cz/clanky/odchody-lidi-a-smirovaci-software-ceske-kerio-je-po-akvizici-od-gfi-v-rozkladu/), když se podobné fašistické metody zavádějí někde, kde nejsou zaměstnávány lopaty, které se nechají uplatit šaškárnou typu zaměstnanecký mobilní tarif s 10GB dat. Sorry jako.
-
... Kazdopadne problem blokace facebook a streamovacich sluzeb je obrobvsky. Jak donutite aby lidi ve firme necuceli na videa? Nejde o to, ze cuci, at si to pusti o tom zadna. At si ctou na netu, ale jak zacnou volat lidi, ze jim nejdou stahnout emaily, protoze nejaky dement ve vyrobe ma zaple full hd video z youtubu, ksichtbook, ... to je na posrani. Vedeni firmy se proto rozhodlo to radikalne resit. Napadlo me jeste vyuzit vlastni dns server, ale ty prolinky to je neresitelne.
Jj, tak nasaď QUEUE na datový tok. Pokud je vysoký po dobu x (třeba 5 sec), tak aplikuj omezení rychlosti pro zdrojovou IP třeba na 1MB po dobu 5ti minut ... a pokud bude někdo stahovat, nebo streemovat, prostě mu klesne rychlost a zbytek sítě je v pohodě.
A nebo si pro VLANy/Subnety nastav QUEUE tak, aby měly "vyhrazenou rychlost".
A blokování facebook a pod. lze i na L7, jen je to docela výpočtově náročné.
To jsem ve firmě zaváděl taky, protože downloadeři blokovali zbytek firmy.
-
...že když už někdo neměl jinou možnost, než v té práci opravdu 8 hodin pracovat...
Ehm .. mam poridit fotku? Az budu u zakose? Taky tam maj zakazanej net ... mno tak sedej, kazdej se svym patlafounem, a browsaj si na nem. Noproblemo.
Zaroven si pak s klidem dovolim konstatovat, ze neexituje kancelarska pozice, ktera by potrebovala pocitac a zaroven nepotrebovala pristup na net. Sem prochazel logy, a mimo jiny ten "porno" filtr zablokoval nektery casti webu financni spravy ... kamzto lezou trebas ucetni ... Sem se ptal co s tim delali, a ze prej to hlaseni poslali z domova. Megalol.
-
...že když už někdo neměl jinou možnost, než v té práci opravdu 8 hodin pracovat...
Ehm .. mam poridit fotku? Az budu u zakose? Taky tam maj zakazanej net ... mno tak sedej, kazdej se svym patlafounem, a browsaj si na nem. Noproblemo.
Ano, tak to často dopadá, ale třeba je to tak účel? Ten provoz jde z jejich telefonů, přímo k operátorovi, jde to na jejich účet a ne přes infrastrukturu firmy.
V řadě firem ani s firemním mobilem toto neuděláš, protože datové spojení z firemního mobilu je smluvně ošetřeno u oprátora a jde prvně do firmy a ven přes její proxinu/filtry, zkrátka v mobilu nefunguje něco jako APN internet, ale funguje APN mojefirma.
A pokud nám slavná EU dotlačí do úspěšného konce akci primární odpovědnosti právnické osoby za obsah provozu v její neveřejné sítě (čili co teče z/do firmy ven), tak podobně agresivní začne být víc firem (a bude to konec všech různých guest sítí)...
-
Pokud bude někdo chtít, rád mu sdělím do e-mailu konkrétní informace o obecně popisovaných věcech v mém příspěvku.
a email je?:)
-
A co DPI na Router ech Ubiquiti?
-
At si ctou na netu, ale jak zacnou volat lidi, ze jim nejdou stahnout emaily, protoze nejaky dement ve vyrobe ma zaple full hd video z youtubu, ksichtbook, ... to je na posrani.
Aha, takže nejdřív jsi velmi natvrdo napsal, že víš, co potřebuješ, a že ti to nemáme rozmlouvat, a za chvíli z tebe vylezlo, že vlastně nepotřebuješ žádné filtrování HTTPS, ale shaping/QoS.
Tak třeba maily: prioritizovat porty 25/465/993/995. A videa: shapovat TCP spojení na port 443 po prvním přeneseném megabajtu.
Tzn neco jako vychozi praidlo povol vse a nezasahuj do pripojeni
To nejde. V době CDN musíš vždy zasáhnout do připojení (MITM), protože jinak nemáš jak zjistit, jestli je to legitimní, nebo ne.
nevím, zda prohlížeče umožňují nějak administrátorsky HPKP vypnout.
Ve Firefoxu ty zakompilované přes security.cert_pinning.enforcement_level a HPKP hlavičku stripne proxy. Akorát se bude muset vymazat keycache každému, kdo se někdy připojil mimo proxy… No výsledek nejspíš bude snížení bezpečnosti.
...
Fakt nevím, co vaše firma dělá, ale já bych v takovém prostředí produktivní nebyl.
-
>> Mohl byste aspoň naznačit, jaké role to jsou?
>> Fakt nevím, co vaše firma dělá, ale já bych v takovém prostředí produktivní nebyl.
1. Otrok u pasu
2. vyroba Autokramu.