Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Oliver GGG 19. 03. 2012, 08:56:52
-
Dobry den,
pred casom som zalozil temu ohladom bezpecnejsieho internetu, ale siel som na to moc komplikovane a detailne.
Podmne na to este raz a zosiroka:
PROBLEM:
Internet je nebezpecne miesto, nie je regulovany, moze tam ist hocikto, hocikedy a od hocikadial hocijaku lokalitu napadnut. Neriadi sa pravidlami a je plny rozdnych nastrah.
MOZNOSTI:
Dajme tomu ze financne neobmedzene. Povedzme ze ste STAT, ktory sa rozhodol spravovat internetove pripojenia ludi nejakymi STANDARDAMI - ako napriklad elektricke zastrcky. Ak chcete doma internet musite sa riadit pravidlami.
AKO:
Ake pravidla by to mali byt? Co vas napada? Ako by ste to riesili?
CIEL:
Chceme internet, siet, alebo VPN - proste hocico, s hocijakymi pravidlami - kde budu ale len "dobre pakety", virus free a ak nie tak sa vyvodi zodpovednost.
PODMIENKY:
- musi to vediet fungovat paralelne s "dnesnym" internetom, nove kable sa tahat nebudu :)
Proste si predstavte ze to chcete mat pod kontrolou....
Povedzme preco to robim:
Moj profesor tvrdi, ze podla jeho nazoru dnesny internet nemoze fungovat tak ako doteraz, minimalne nie rovnakej, neriadenej forme - prirovnal to k cestnemu poriadku - ze tam su tiez obmedzenia na rychlost, semafory, pravidla, a kazde auto je overene, a pripustene na cesty s tym ze ma aj znacku - a tak vieme kto je vodic...
Mojou ulohou je diskutovat a najst moznost podobneho modelu v inteternete - pozmote mi prosim a napiste mi co vas napada...
P.S.: Moje predstavy som zhrnul v dlhom poste: http://forum.root.cz/index.php?action=post;topic=4004.0;last_msg=33637 - ktory je neaktivny a dam ho lockut adminom, sprvaim to radsej malou brainstorming diskusiou :)
DAKUJEM
Oliver
-
Ona je potíž v tom, že ta pravidla už platí. Existují zákony, které je možné na internetové přestupky aplikovat. Otázka zní, jak je vymáhat a jak to celé hlídat. Internet je decentralizovaná síť vlastněná obrovským množstvím lidí a firem a jako taková se hlídá velmi špatně. Jediná šance je „velký firewall“, který hlídá provoz.
Ale tady je už velmi tenká hranice od hlídání ke zneužití. Proto to uživatelé nechtějí. Vzniká tím nový extrém: naprostá kontrola veškeré komunikace, jako třeba v Číně. Navíc to útokům uvnitř stejně nezabrání vůbec a šifrovaná spojení se hlídat nedají. Navíc je tu právní problém: někdo útočí z IP adresy X, ale je třeba dokázat, která osoba je za to zodpovědná, tedy kdo měl ruce na klávesnici. Říct: je to tvoje adresa a od tebe odcházejí viry, takže půjdeš sedět, je nesmysl. Postihlo by to běžné uživatele.
Jednoduché řešení neexistuje.
-
Ja vidim hlavni problem v tomhle:
kde budu ale len "dobre pakety", virus free a ak nie tak sa vyvodi zodpovednost.
Podle me neexistuje nic jako (objektivne) legitimni provoz ("dobre pakety") - paket je dobry nebo zly vzdy podle kontextu a podle subjektivne nastavenych pravidel jednotlivych systemu.
Vem si treba, ze bude existovat zranitelnost v Apachi takova, ze kdyz si nechas zobrazit stranku <cokoliv>/bad_page.html tak Apache spadne. Je pozadavek na takovou stranku legitimni nebo ne? Je to "dobry paket"?
-
Dakujem ze sa zapajate to ako hned na zaciatok :)
ako druhe hned reakcia na:
Jednoduché řešení neexistuje.
A to ani nechcem. to co by so mrad spracoval ma niekoholko planovanych stanic, od abstraktu, idei, az po apsolutny detail, spisanie projektu a fiktivne poziadanie o grant. Takze to neberiem len ako diskusiu na roote lebo sa nudim ale nieco co by som rad rozobral. Teraz zacinam len so zakladnou myslienkou.
Proto to uživatelé nechtějí.
Ano toto bola moja prva myslienka, ale dajme tomu ze - by to chceli, popripade mali zakonom dane. Viem si predstavit ze ja by som to doma nechcel, lebo sa tesim napriklad torrentom a nelegalnemu SW a s tym mozno aj nejaky ten malware... ale dajme tomu ze by som musel - bol v cine. Alebo chcel - bol firma a chcel sa dodatocne zabezpecit proti utokom zvonka.
Jediná šance je „velký firewall“, který hlídá provoz.
Ako? Musi sa user autentifikovat a jeho masina musi byt autorizovana? kolko a kde by boli brany firewallu? Nechcem ochranu len pred svetom vonku ale aj ochranu "vnutri" aby nemohli, na seba (alebo nemali to take lahke) utocit ani clenovia.. HW? SW? Opensource? Blackbox? :-)
Navíc to útokům uvnitř stejně nezabrání vůbec a šifrovaná spojení se hlídat nedají.
Ako moznost vam ponukam ich aj zakazat. Alebo povolit s tym ze autorita by kluc poznala a mohla kontrolovat.
naprostá kontrola veškeré komunikace, jako třeba v Číně
Ak je to podla vas na dosiahnutie nasho cielu nutne, tak kludne. Ja sa snazim najst riesenie ktore splni poziadvky a samozrejme bude najmenej agresivne/utocne/nakladne. Ale ak by to podla vas inak neslo tak kludne.
Ak sa Vam chce (mne by to dost pomohlo :) ) tak si predstavte ze mozete cokolvek, ze ste BIG BROTHER a chcete BEZPECIE. So sukromim uzivatelov si hlavu nelamte, oni to sami chcu, a jediny kto to vidi ste vy, a oni vam veria. A to ze ich data vidite vy je im milsie ako keby ich mal vidiet nejaky hacker.
Dajte fantazii sancu :) putite to na plne obratky a povedzte mi ako by ste to riesili :) aj ked krok po kroku :) postupne sa dopracujeme k napadu ci to vyznam ma, ci to mozne je a ked tak ako..
Este raz dakujem :)
-
Este raz davam na zretel: financne nie ste extra limotovany :) kazdemu domov asi nepostavime nejaky mainframe, ale ak by bolo riesenie ze by sa kazdy uzivatel musel overit heslom, biometrikou a podkoznym RFID :) tak pohode ... Ale opat, snazime sa dosiahnut nasho cielu - minimalisticky - ak to nie je nutne tak nie, ale zakladny ciel musi byt dodrzany :)
-
jnkjn - som ja pardon za zly nick
<cokoliv>/bad_page.html
Tak keby bol internet plny len tohoto tak myslim ze nemame az tolko starosti :) takze nie .. hentaky request by nebol povazovany za utok, alebo nesplnenie podmienok :)
-
„Já bych všechny ty internety a počítače zakázala“
To myslím vyřeší všechny tvoje problémy dokonale.
-
„Já bych všechny ty internety a počítače zakázala“
Ale o to tu vobec nejde. Je viacero dovodov preco by dany projekt mohol mat hlavu a patu.
Napisem ti dva:
- podla mna nie je momentalne uplne normalne ze 10% internetovych userov su roboti ktori behaju pod nete a scanuju servery na defaultne hesla. V nasej "sieti" (ak budeme vediet ako moze vyzerat) by takyto uzivatel bol odhaleny do par sekund, odpojeny od siete, kedze pri vstupe by sa musel autorizovat - tak by sme vedeli kto to je a mohla by sa vyvodit zodpovednost.
(to znie dost dost "diktatorsky" ze? ale predstav si aj dnes na CZ a SK su ucivatelia ktori by zaujem mali)
- firmy: Firmy internet potrebuju, maju citlive data a systemy. Stredne a male firmy tvoria minimalne 50% prijmu statu a napriek tomu nemaju infrastrukturu ako sa realne branit cielenym utokom z vonka, ci uz hackerov alebo konkurencie. Tito uzivatelia by podla mna siet, kde sa nmusia nicoho bat, a komunikovat medzi sebou ako doteraz, uvitali.... :)
-
Tak keby bol internet plny len tohoto tak myslim ze nemame az tolko starosti :) takze nie .. hentaky request by nebol povazovany za utok, alebo nesplnenie podmienok :)
Jde o to, ze v Apachi by byla chyba takove, ze po takovem requstu by Apache spadl. Cili pomoci takoveho requestu by bylo mozne utocit na Apache a polozit ho. To by byl "legalni paket"?!
-
Tak ti co to chtějí (i ty co to nechtějí ;-)) mají datové schránky :-)
Jinak na to tvoje řešení (pro ty co to chtějí a to je velmi důležité) stačí blackbox PC s VPN připojením. Nic magického.
-
@Miro: mne tak nejde ani o persekuovani utocnika. Mne jde o bezpecnost site - v nasi siti, jak by byl identifikovan, byl by odpojen - pro bezpeci ostatnich. O exekutivu ted nejde :) ale minimlane bychom vedeli odkud to jde a jak ho odpojit.
@pindal: Ano blackbox s VPN - dobra myslenka, mala krabicka uz kazdeho PC. V poradku. Ale: kto by ji spravoval? Dava ti takova mala krabicka jistotu ze tvuj vlastni PC neni infikovan? to potreubjeme taky. NEchceme jenom sterilitu site ale taky stanic co na dane siti sou. A co kontakt s vencim? Jak by si to resil? Ta firma ma aj webserver - jake pravidla by sli tam? Jenom webservisy? Vyhrazene porty? :-)
-
Tím blackboxem myslím kompletní PC s uživatelsky nemodifikovatelným softwarem. Spravovala by to ta samá firma co VPN.
-
@Pindal: Blizis se me predstave. Ok - takze male a stredni firmy by meli moznost dostat od spravce (treba do prenajmu) BLACKBOX DESKTOP PC, se Softwarem o ktery zazadaji. Treba reknou (Lenovo desktop, s Office a Skype)?
Otazky:
- a co se stanicemi ktere uzivatel uz ma? - museli by se nahodit nanovo? Nebo staci nejaky software co skontroluje co tam je a co neni? A pak by byli vzany do VPN a autorizovany?
- jakou technologii by si tlacil? UNIX? Microsoft? proc?
-
Internet není třeba cenzurovat nebo jakkoliv omezovat, protože nad ním lze postavit bezpečnou síť která je prakticky nenapadnutelá, pokud se jedná o virtuální internet. Vynucování pravidel by přineslo nutnost kompletní změny infrastruktury internetu, zákaz šifrování jiného než skrze "důvěryhodnou" třetí stranu (=stát) a tvrdé postihy za nedodržení. Asymetrická kryptografie pro výměnu symetrických klíčů by musela být zločin, a to by bylo rozporu s listinou základních práv a svobod. Nutnost blokovat nejenom politické stránky, ale jakékoliv odkud jde získat software a nebo zdrojáky. Povolit uživatelům pouze pustit ověřené programy. Přineslo by to tolik problémů, že to snad nikdo nezavede.
Jak to udělat? Vytvořit státní operační systém založený na open source a ten provozovat ve virtuálech nad VPN a dovnitř pustit pouze povolené weby, tedy whitelist systém. Při každém spojení by se nad tím šifrovaný ustavilo ještě jedno dočasné skrze výměnu symetrických klíčů pomocí asymetrické kryptografie pro větší bezpečnost, pro hlavní kanál by se použilo šifrování pomocí podpisu vypáleného do TPM (trusted platform module) nebo pomocí klíčů vydaných státem uznávanou certifikační autoritou. Dnešní procesory mají často i podporu šifrování, takže zpomalení je zanedbatelné. Jakmile existuje zabezpečená síť i virtuální prostředí, hned tak něco s tím nikdo neudělá. Co se virů týče, problémem je že většina lidí má Windows a pracuje s administrátorskými právy.
Náklady na virtualizaci jsou podstatně nižší než na překopání celé infrastruktury.
-
@Waseihou:
Tak tomu rikam odpoved :) pekne si to lustroval. Velice pekne, takze jednoduse: Po prihlaseni po VPN je kontrolovan provoz a vime kto to je a vidime co komunikuje a muzeme ho v pripade potreby odpojit. Ok! :)
otazky:
- a co koncove stanice, co s keyloggery, trojany a malwarem? Museli by v tvem scenariu mit lidi unifikovane pracovne stanice? Nebo by mohli mit vlastni s nejakym SW resenim? Protoze pro ucastniky by treba bylo dulezite nejenom aby neboli napadnuti z venku pres kabel ale taky aby jim treba v PC nesedel nejaky skodlivy kod... Jak by se resili to?
- a co komunikace z vencim? jak by mohl nekdo uplne z venku "vstoupit" dnu a treba si objednat neco na webstrance? Nebo neco zapsat do DB - mohl by to? Jak by to mohl? Mohl by vstoupit do VPN aj bez autorizovane a overene (treba zavirene stanice)? Ne nemohl? to by byl problem :)
- kolik by bylo VPN, firewall kontrolnich bodu? reknime ze muj system je otevreny celosvetove - jak by so to ohranicili? mesta? obce? staty? krajiny? kontinenty? nejaka specialni pravidla pri vstupu ze zony do zony?
-
No a právě proto je to na státní úrovni nesmysl.
Ale zpět k té "výběrové" síti, tam jen blackboxy a i když máme neomezený budget, tak použijeme stávající systémy, aby to bylo v rozumném čase :-)
-
@Miro: mne tak nejde ani o persekuovani utocnika. Mne jde o bezpecnost site - v nasi siti, jak by byl identifikovan, byl by odpojen - pro bezpeci ostatnich. O exekutivu ted nejde :) ale minimlane bychom vedeli odkud to jde a jak ho odpojit.
Ja se ti ale snazim rict, ze bezpecnost nebo nebezpecnost cehokoli je dana kontextem a politikou (co nekde povazuji za bezpecne, je jinde nebezpecne). Neexistuje zpusob, jak neco obecne zmerit (bez ohledu na kontext) a prohlasit za bezpecne/nebezpecne.
Ta idea s tim odpojenim je samozrejme spravna, tak se to ve velkych firmach dela - mas nejaky IDS a kdyz dostanes alert, tak ten dany system odpojis od zbytku site.
Ale plati tady to, co jsem ti rikal v minulym tematu - pokud bys trval na 100%ni bezpecnosti, tak bys z takoveho systemu nemohl ani na Facebook, prijimat emaily z venku apod.
-
miro: Tak ale na facebook preci v nejakem systemku kde nemam zadna prava preci muzu a moc mi toho nehrozi ne?
pindal: ja to nepsal abych te odradil :) od myslenky ale abych znal jak by sis to treba predstavoval dal. kvuli cemu myslis ze by to na statni urovni nemelo smysl? moc robustni? nakladne? neprehledne?
-
Miro: jako priklad uvedu banku v ktere pracuji - mas pocit ze muzes vsecko, ve skutecnosti nemas zadna prava a nemuzes nic co nebylo testovano 1000x, kazda tva komunikace je strezene tak IN jak OUT a pokazde jak vypnes pocitac se lokalne vsecko smaze, a jeste je to na tom sifrovane za behu. USB nenapojis, mechaniku to nema, biosem je vsetko externi zakazano a zaheslovano, proste tam toho moc nenadelas, a stejne muzu skypovat, jit na FB, a delat svoji praci .... je to LUXUS - krasne spojeni bezpecnosti a volnosti -jedina cena kterou zaplatis je cena obrovska - v EUR :), za testery, systemy, IT speciality atd atd ...
no a ja chci docilit teoreticky neceho takoveho pro hocikoho kto by o to mel zajem, a to tak doma, jak ve firme
-
Proč? Protože to tak nefunguje třeba ani v Íránu nebo Číně. O Severní Koreji nemluvím neb tam se de facto zařídili právě dle paní Pohlové ;-)
A porušovalo by to Listinu základních práv a svobod. Proto to není v současné době možné. A pokud se prolomí Listina, pak budeme mít zcela jiné problémy :-)
-
No vidíš v bance to máš vyřešené. Jsou to borci. Dešifrujou skype komunikaci o https facebooku ani nemluvě. BIOS si resetnout nemůžeš, ba ani ethernet kabel zřejmě nemůžeš vyndat :-) A ten software prost všech chyb, toť ráj na pohled :-) Právě jen na ten pohled :-)
-
miro: Tak ale na facebook preci v nejakem systemku kde nemam zadna prava preci muzu a moc mi toho nehrozi ne?
No to je prave otazka, jestli to vyhodnotis tak, ze ti nic nehrozi. Jak vis, ze v prohlizeci nemas zneuzitelnou diru, kterou zneuzije nejaka FB aplikace? Neni pravda, ze nemas "zadny" prava. Mas prava ke svym dokumentum - malware na webu je muze smazat, odcizit nebo pozmenit bez tvyho vedomi. Nalepka "100% bezpecnost" tak muze byt sama o sobe nebezpecna jako falesny pocit bezpeci.
K te posledni vete: slysel jsem peknou historku o tom, ze v jakesi zemi zavedli povinne "detem-odolne" vrsky na leky, s tim, ze pak bude mene otrav deti leky. Skutecny efekt byl presne opacny - zatimco leky s normalnimi vrsky lidi peclive davali mimo dosah deti, na leky s bezpecnostnimi vrsky si davali min pozor a doslo k VETSIMU mnozstvi otrav. (dolozit to neumim, klidne to muze byt urban legend, ber to jako ilustraci)
USB nenapojis, mechaniku to nema, biosem je vsetko externi zakazano a zaheslovano, proste tam toho moc nenadelas, a stejne muzu skypovat, jit na FB, a delat svoji praci .... je to LUXUS - krasne spojeni bezpecnosti a volnosti -jedina cena kterou zaplatis je cena obrovska - v EUR :), za testery, systemy, IT speciality atd atd ...
no a ja chci docilit teoreticky neceho takoveho pro hocikoho kto by o to mel zajem, a to tak doma, jak ve firme
Jasne, vsak jsem rikal, ze tohle je podle me spravny zpusob mysleni - jednotlivci a male firmy by mely pouzivat outsourcing, aby dostaly stejne kvalitni peci, jaka je bezna ve velkych firmach. ANO, souhlasim, tohle je urcite spravna cesta, tohle je budoucnost.
Jenom muze mit trochu jine parametry, nez si predstavujes - muze to treba vypadat tak, ze vetsina lidi nebude mit doma plnohodnotny pocitac, ale jenom nejaky "tablet" (v uvozovkach, protoze o formu PC nejde, jde o zpusob spravy), ktery bude bezudrzbovy a s presne definovanou mirou bezpecnosti.
-
Pindal: chlavni rozdil vidim v tom ze v cine je to dane prikazem, a musi vsichni a proto berou ohled na lidska prava, u nas by to clenove chteli, nebo by by byla podminka pro firmy - tam se na lidkse rpava hledet nemusi a taky by nechteli... vychazdjme z toho ze oni souhlasi se vsim co neni nejak extra namahave a zvladne to ledajaky uzivatel :)
A k te bezpecnostni:
- na uzamcenem tenkem klientovi toho s biosem moc nenadelas
- na FB toho taky moc neudelas, pac je zamezen pristup browsera k filesystemu - kvuli uploadu souboru
- skype komunikace detto - rict a napsat muzes co chces, ale jak chces poslat nejaky file tak ti to nepujde
- ethernet kabel klidne u nas vytahni ale bude ti to k nicemu pac tenky klient nic nepamatuje a ani se nenaloguje bez aktivniho pristupu na domain controller
- a k moznosti bootovat neco jineho nez to co tam je - taky bios - taky seknuto ....
u nas toho opravdu moc nenadelas ....
Miro: ano tak at maji doma a v praci polohodnotne pocitace - ja vychazim z toho z to chteji a chteji to outsourcovat a ja mam teoreticky pripravit system ktery by tohle vsechno nejako manazoval a spravoval.
Takze zatim sme dosli na to ze:
- to bude nejaka VPN
- stanice budou manazovany autoritou
co mam jeste otevrene sou zony: byly by neajke? co komunikaze ven - dnu, a dnu - ven? co s statnima hranicema? jiny kraj jiny mrav - jiny zakon?
a co s hardwarem ktery je "privatni" a zamestnanci si ho do firmy chteji donest ... nebo si treba cist maily z exchange taky doma? smeli by? jak? jenom webmail?
-
Mozna jeste drobnost: ja osobne bych si to umel predstavit treba tak, ze by uzivatel nabootoval ze site (v budoucnu klidne pres internet) nejnovejsi verzi OS se vsemi zaplatami + aplikace by bud pouzival kompletne hostovane jinde (pres web, pres rdp apod.), nebo by si je treba nejakym zpusobem primountoval opet ze vzdaleneho uloziste - v nejnovejsi plne opatchovane verzi. Zadne aplikace by sam instalovat nemohl.
Uz jenom takovahle blbost by zvysila bezpecnost bezneho domaciho pocitace (nebo pocitace v male firme) imho o nekolik radu.
Problem je, ze takovehle cary jdou sice snadno delat s Unixovymi systemy, ale s Windows je to o dost slozitejsi.
Dalsi moznost (ktera se postupne stava cimdal realnejsi) je mit doma jenom tenkyho klienta a pripojovat se kamsi do cloudu... V pripade, ze nepotrebuju pracovat s velkymi daty (strih videa) by to uplne v pohode slo zrealizovat uz dneska.
-
2Miro: tak tak :) tenky klient - to me taky napadlo ... bylo by to aj levne ... nekde bych postavil nejaky mainframe za par milionu treba a pak jenom tenke klienty za 50 EUR a byl by klid ... taky jako varianta skvele ale premyslim nad plusy a minusy ...
velike data vidim jako minus, rychlost jako minus ... a obrovske minus zatim - skalovatelnost...
jelikoz by toto reseni bylo MASIVNE - urcite by se objevil klient se specialni pozadavkou a ja by mu chcel vyhovet ... ci uz vlastni hardware, nebo velika data nebo tak ... co s nima? povolit? nepovolit? pokud ano - za jakych podminek? co extra by musel udelat?
-
Mě by, ale ten tenkej klient nezajímal, mě by zajímal ten DC ;-) S BIOSem nic? Šroubovák a JTAG? :-) Kabel vytáhnu, připojím hub a NB a koukám :-) Jo prohlížeč má vyplej přístup, ale taky má plno chyb, kterými ho donutím pustit svůj kód a ten už přístup mít bude :-) Prostě spousta zábavy. Neříkám, že neexistuje pořádná bezpečnost, ale na počítači kde máš skype a běžný prohlížeč jí opravdu nehledej.
-
Takze zatim sme dosli na to ze:
- to bude nejaka VPN
- stanice budou manazovany autoritou
No na to jsi dosel ty, ja si myslim, ze VPN nicemu nepomuze :)
Ja osobne bych to videl zhruba takhle:
je (nejak) zabezpeceno, ze
1. uzivatel vzdy nabootuje nejnovejsi plne opatchovanou verzi OS
2. muze pouzivat jenom urcite aplikace, jine instalovat proste nemuze
3. nekdo sleduje advisories pro vsechny aplikace, ktere maji uzivatele moznost pouzivat - jakmile se najde v nektere z nich nejaka zavazna chyba, uzivatelum se to da jasne najevo (napr. kdyz aplikaci spusti, prvne se zobrazi okynko, ze je v aplikaci chyba, at si da pozor), nebo se spousteni aplikace az do opraveni proste zakaze (to by asi zalezelo na tom, jakou uroven bezpecnosti by si uzivatel nasmlouval)
4. vsechna ostatni data (dokumenty, nastaveni, ...) jsou korektnim zpusobem zalohovana bez zasahu uzivatele a je mozne je snadno obnovit
- to jsou podle me zakladni veci, ktere by uplne stacily. Nektere je ale technicky trochu problematicke dosahnout v prostredi domaciho pocitace, ktery k serverum pristupuje pres internet...
-
2Miro: tak tak :) tenky klient - to me taky napadlo ... bylo by to aj levne ... nekde bych postavil nejaky mainframe za par milionu treba a pak jenom tenke klienty za 50 EUR a byl by klid ... taky jako varianta skvele ale premyslim nad plusy a minusy ...
velike data vidim jako minus, rychlost jako minus ... a obrovske minus zatim - skalovatelnost...
Skalovatelnost mi prijde jako nejmensi problem - dalo by se to resit klidne nejakymi bladeservery, kde 1 blade=1 uzivatel.
Me by spis zajimalo, jakym zpusobem by se dalo zabezpecit, ze image, ze ktereho by ty blady bootovaly, by byl plne opatchovany. Docela by me zajimalo, jak neco takoveho udelat na Windowsech. Na unixech si to predstavit umim.
-
2pindal: Ok :) nebudu se s tebou hadat nema smysl :) musel by sis overit .. ale kdybych te posedil za nasi vyplou masinu a dal ti hodinu tak stavim 100 k 1 ze neudelas nic :) ... ale to je jedno ... ale az by si prisel na to jak na to :) tak by te Deuts.che Bank urcite hodne odmenila :) mame na to oddeleni asi 200+ IT Security specialistu jenom ve Frankfurtu a pak asi 2-3 lokalne v kazdem velkym meste a minimlane 1ho roaming na kazdou lokaci .... ale nebudu se hadat .. takze pokud hledas bezpecnost tak nevim kde kdyz ne tady :) a ano 100% neexistuje ale 99,99'''' ano :P
2miro: bez VPN? A jak by si kontroloval sit? Druhe kabely tahnout nechceme :) to vime takze potrebujeme reseni kde bude strezen provoz dat a taky bude kazdy uzivatel autorizovan a autentifikovan :)
-
2miro: bez VPN? A jak by si kontroloval sit? Druhe kabely tahnout nechceme :) to vime takze potrebujeme reseni kde bude strezen provoz dat a taky bude kazdy uzivatel autorizovan a autentifikovan :)
To si myslis ty, ze by to nejakou bezpecnost prineslo, ja si to nemyslim :)
-
hmmm vysvetli prosim
pre mna je hlavne autorizacia a autentifikacia klienta moznost ako mat nieco pod kontrolou. Viem kto kedy kde a ako na siet vstupil a ked robi neplechu ho odpojim. Ta ksa mi nestane ze mi tu budu behat roboti a skusat hesla, nebude mi niekto posielat SPAM, tojani a spol to s komunikaciou nebudu mat take lahke kedze kontrolne servery odrezem? a s vlastnym DNS (napriklad) by som odstavil aj zle webstranky ....
TO mi skor pride ako ESENCIALNE pre "bezpecnost"
lebo napriklad keby som mal siet nekontrolovany len dobre image , tak pride hocikt oa napichne svoj hardware - so svojim OS, co by sa mi uz tak nepacilo ....
-
Pro autentizaci a autorizaci klienta můžeš skusit RSA SecurID přívěšek s RNG v kombinaci s heslem a certifikátem kterému důvěřujete.
http://en.wikipedia.org/wiki/Securid
do kompů narvat TPM
http://en.wikipedia.org/wiki/Trusted_Platform_Module
a používat to, ale pozor na cold boot attack
antiviru atd. se také nevyhnete
Thin client a přístup na virtuál stanice je možnost.
Veškeré spojení šifrovat.
Ne všichni klienti toto řešení budou akceptovat, protože tam prostě nějaké aplikace instalovat chtějí.
-
Waseihou:
Aplikace: ano to je jasne, ale kedze my na rozpocte setrit nebudeme, a nieco si tie firmy aj zaplatia, tak ja som mal za navrh proste aplikacie balickovat a kazda firma/spolocnost by si nacitavala svoj OS na svojom tenkom klientovi so svojimi balickami ....
Toto by podporili aj producenti SW podla mna ...
A cele by to predislo testovaniu samozrejme.
-
hmmm vysvetli prosim
No myslim, ze by bylo lepsi, kdybys vysvetlil, co by se podle tebe tim dosahlo a ja na to muzu reagovat, proc si myslim, ze by se toho nedosahlo, respektive cena, za ktere by se toho dosahlo, by byla vyssi nez dosazeny benefit.
Viem kto kedy kde a ako na siet vstupil a ked robi neplechu ho odpojim.
K tomu nepotrebujes VPN. Proste totez udelas primo na serveru: X mi posila moc podezrelych pozadavku? Ok, budu jeho pozadavky ignorovat.
lebo napriklad keby som mal siet nekontrolovany len dobre image , tak pride hocikt oa napichne svoj hardware - so svojim OS, co by sa mi uz tak nepacilo ....
Podle me je tohle mylny pristup. Bezpecnost by imho mela byt v privni rade dosazena tim, ze jsou vstupy radne kontrolovany - tj. zadnym requestem se nemuzu probojovat nekam, kam se probojovat nemam. Samostatna kapitola je samozrejme ddos apod.
Proste zaklad je mit system, ktery utoku nepodlehne. Zabezpecovat, ze utok ani neni mozne provest, to muzu resit az potom jako tresnicku. (protoze to beztak 100%ne udelat nejde - jednoduse vyndam ethernet kabel, nastavim patricnou mac adresu a uz si delam co chci)
-
Miro: vec je taka ze ja nechcem zabezpecovat systemy a servery proti vonkajsku viac ako su dnes... ja by som mal rad prostredie ktoreho sa nemusi PC bat. nemusi sa bat ze pride DDOS napriklad. nemusi sa bat ze pride robot alebo spam. tieto elementy chcem odstranit. v tovjom scenariu by stale niekto z ugandy vecel klopat na moj server a mohol by sa dostat po milionty pokus dnu.. alebo by mohol posielat spam, alebo broadcastit alebo co ja viem co ...
v mojom systeme taketo nechcem, chcem ho vediet odpojit, proste povedat - ahoj ty si zly stroj, papa - komu to patri? aha jemu - ok robil to uz niekedy? ano? tak je v tom umysel, odpojid navzdy ... napriklad.
ja myslim ze nieco v zmysle VPN je must ... centralna kontrola provozu, centralny switch, centralne odpajanie proste automobilova doprava a ja by som bol policajt - kto porusi predpisy sa musi zodpovedat .... to podla mna bez VPN nepojde
-
A jak je něco centrální a převezme nad tím někdo kontrolu, tak začne lergrace ;)
-
Miro: vec je taka ze ja nechcem zabezpecovat systemy a servery proti vonkajsku viac ako su dnes... ja by som mal rad prostredie ktoreho sa nemusi PC bat. nemusi sa bat ze pride DDOS napriklad. nemusi sa bat ze pride robot alebo spam. tieto elementy chcem odstranit.
Nesmysl. To prostě nejde.
Ale nechci ti brát elán - jestli si myslíš, že to jde, pracuj na tom, přesvědčuj, vytvářej takovou síť - uvidíš, jestli o ni bude zájem a jestli dosáhneš kýženého efektu.
-
Miro: takze definitnivne myslis ze sit jako takovo ua jeji provoz nelze zabezlecit a jedine ralne opatreni sou neprustrelne stanice a dobra bezpecnost?
Waseihou: tak ono je to planovane jako koncept ktery by fungoval bok po boku s normalnim internetem. bylo by to pribvilegium, pro uzivatele co by se do toho dotali by vedeli ze sou chraneni, a vseco co tam najdou neni podvod .. treba takovej obchod s elektronikou. ze budou vedet ze je mozne vypatrat dany server a jeho majitele a podobne ... proste domaci uzvatele co nechteji resit viry a ochranu a zaroven chteji mit sva data a sve aktivity zabezpeceny ....
a ta kontrola: jelikoz by tam byla volba bud normalni net a nebo VPN tak nemyslim ze by to mela byt az takova hruza ne ? pokud se mi nelibi tak holt neprestoupim...
a ma nekdo jiny jeste nejake nazory mozna ? :)
i tak hodne dekuju!
-
Ale tohohle se dá dosáhnout i na normálním netu pomocí certifikátu vydaného důvěryhodnou autoritou, DNSSEC a SSL. Potom vím že jsem opravdu spojen s tím, o kom si myslím že se s ním bavím, ustanovit zebezpečené spojení není problém. Nebezpečí je DNS spoofing a nebo třeba virus co zaneřádí hosts file, viděl jsem na Widlích. Rozumný člověk si u opravdu důležitých věcí ověří i tu IP adresu se kterou komunikuje že je to to co mu vrací DNS, ale tohle má právě řešit DNSSEC, které se již dnes používá, ale ne každý server ho ještě podporuje.
http://en.wikipedia.org/wiki/DNSSec
Co se v tom vašem hypotetickém netu stane, když dokonale ověřený obchod nebude doručovat obědnané zboží a bude se vymlouvat na interní problémy? Bude vyřazen? A na základě čeho tak bude rozhodnuto? Ono nebezpečím může být i poskytovatel služby, v tom vašem netu sice možná zajistíte že bude zaručeno s kým se uživatel baví, ale pořád nezaručí že ten někdo bude poctivý.
Mimochodem, bude ve vašem internetu možno pouštět nějaké skripty nebo budou mít prohlížeče podporu HTML5? A bude moci každý uzel v síti být zároveň i poskytovatelem služby, nebo půjde o model kdy budou pouze povolení producenti obsahu a zbytek budou pouze konzumenti?
-
2Waseihou: dakujem ti za tovje nazory. A na tvoje otazky odpoviem predstavou - sam to nemam jasne a preto som tu a idkutujem, hladam moznosti ale k tvojim otazkam a nazorom ma napada toto:
1.
Ve VPN nevidim problem mat vlastnu DNS, klientom DHCP a zabezpecenym hosts.
2.
DNSSEC - viporna podpora navyse
3.
obchod nebude dorucovat: to je mne uplne jedno, klidne by tam mohl zustat ale pokud by doslo k rizeni nebo by chtela policie info o danem obchode, mel bych ho, at je aj z ciny treba.
4.
myslim ze skripty HTML5 a v podstate uplne vsetko - by sa malo dat, nema to byt krok spat ale krok dalej, otazka je ako? a ci to bude tazke resp v com su dane technologie problematicke / nebezpecne?
5.
producent/konzument: kazdy moze byt hocico, ale musi danu skutocnost oznamit a bude mu to umoznene: niekto cce zdielat -nahlasi co chce zdielat na akych portoch a co to je a moze hned zacat. tiez - to nesmie byt krok spat - vsetky "kvalitne" stranky dnesneho internetu by mali byt obsiahnute - myslis ze by to mohol byt problem?
6. zdielanie zo siete smerom von k uzivatelom na "Starom" internete - by sa riadilo asi inymi pravidlami - nemam este predstavu akymi ale az taketo detaily mozeme spravit neskor
-
Miro: takze definitnivne myslis ze sit jako takovo ua jeji provoz nelze zabezlecit a jedine ralne opatreni sou neprustrelne stanice a dobra bezpecnost?
Ale samozrejme ze jde - ale "zabezpecit" znamena vymyslet nejakou bezpecnostni politiku a pote ji vynucovat. Cili pokud by se vsichni lidi v te tve oddelene siti domluvili na nejake JEDNE politice, tak by to samozrejme slo. Ale to je nerealne, pokud by ta sit mela byt vetsi nez podnikova.
-
ano toto boli aj moje myslienky ... tak ma napadal zonacia ... kazdy si je zodpovedny za kontrolu toho co sa deje pod nim.
FIRMA je zpodpovedna za zamestnancov
OKRES je zodpovedny za userov v okrese
KRAJ za KRAJ
STAT za STAT
vsetci by vedeli o pravidla, prava by boli delegovane a kontrolvoane....
bolo by to menej narocne na cetralu a prehladnejsie, otazka je ci sa to da nastavit nepriestrelne keby v nejakej firme bol nechschopny ITik ....
otazka: UPLNA CENTRALIZACIA A KONTROLA Z JEDNEHO BODU VS ZONACIA a delegacia pravomoc...
-
A popravovalo by se už za co? Vytvoření viru, pokud vám nějaký vir pronikne do počítače, za kritiku ministra informatiky na fóru zive.cz? A za návštěvu pornowebu by se uživatel dostal podmínku nebo trest natvrdo?
-
wfB: Ale ja nechcem "zakazovat", "prikazovat" alebo "nutit" niekoho kto o to nema zaujem. Ak tahas torrenty, chodis na chil.d por.n, si hacker alebo jednoducho mas v zadeki v akej si sieti tak kludne bude na starom decentralizovanom internete. Ja by som v najvacsej pravdepodobnosti mal doma oba a switchoval podla potreby....
Ja chcem firmam a ludom ktori o to zaujem ponuknut (teoreticky zatial uplne) alternativu .. Nieco coho sa nemusia bat, nemusia mat starosti a nemusia byt paranoidny...
Ale ano, keby si uz bol v sieti a napisal by s vir, tak by to urcite nepovsimnute neostalo, a s najvacsou pravdepodobnostou by si bol len vyradeny to je vsetko.... mne nejde o exektutivu... (no v pripade ze by si sposobil milionove skody nikomu tak by so mtvoje data samozrejme posunul vysetrovatelovi dalej... o tom zadana...) ale ako pisem ak nechces nemusis
nikto kto nechce, nemusi, ja tu riesim teoreticky pripad ze by ludia chceli, alebo firmy museli...
-
Myslím, že nemá cenu se snažit přímo na internetu zavést nějaká globélní pravidla. To je úplně proti jeho podstatě. Já vidím řešení ve vzdělávání lidí a umožnění přístupu k internetu podle schopností uživatele. Jsi schopný se na síti chovat hezky a bezpečně? Jestli ano, tak si surfuj, jak chceš. Jsi li blb, co klikne na všechno, co vidí, tak tady máš uzavřené PCčko s možností brouzdání po wikipedii a podobně a na nějaký DC, torrent a bezohledné streamování HD videa zapomeň... Prostě bych zavedl "řidičák" na internet...
-
Stále tě to neopustilo? :-) Náklady na vytvoření a hlavně provozování takové bezpečné sítě by byly nepředstavitelně větší než současné náklady na zabezpečení a řešení průniků/spamu na dnešním internetu (a že to už jsou peníze).
Dnes musím být hodný tak píšu méně expresivně :-)
-
ahojte :)
nene nepustilo :)
co k nakladum: o ty tady vubec nejde... pochop delam jestli bych to dal dokopy teoreticky tak se na to zapomene :) a zapadne to prachem ale az za par let stat pro ktory to delam pochopi ze by se neco takoveho mohlo hodit, ze to podniky, nebo lidi potrebuju pac hekeri sou uz proste k nezastaveni tak to nekde vyhrabou a penize do toho potecou bez limitu ... bylo mi receno ze pokud bych to dostal do teoreticke urovne tak mi uvolni milion eur na testovaci provoz pro 30 firem ... ale to je daleko .. a otazne jestli se tam ten projekt dostane..
proto ta otazka spise ze JAK? a jak by to melo vypadat kdyz uz a tak ....
k tomu ridicaku... nj jenomze na firme mame tety co nemaj o bezpecnosti paru a stejne maji read/write prava na nas oracle ... chapes? aj neskuseni potrebuju prostredi kde muzou delat cokoli .... :)
jeste nekto s nejakyma napadma? vylepsenima?
-
k tomu ridicaku... nj jenomze na firme mame tety co nemaj o bezpecnosti paru a stejne maji read/write prava na nas oracle ... chapes? aj neskuseni potrebuju prostredi kde muzou delat cokoli .... :)
No tak když budeme uvažovat lidi, co nemají páru, tak nemůžeme budovat bezpečnou síť. Internet nemůže být blbuvzdorný, blubuvzdorná mohou být jen konečná zařízení. To, co se snažíte vymyslet, není bezpečný internet.. Možná je to nějaká bezpečná síť, ale není to internet..
PS: Viz paradigma telekomunikací (chytrá, drahá a jednoúčelová síť + hloupé koncové body) versus paradigma poč. sítí (hloupá levná a univerzální síť + chytré koncové body) http://www.earchiv.cz/l212/index.php3 -> úvod, slajdy 21,22
-
Pořád mám pocit, že jsi to nepochopil. Právě díky těm tetám žádnou bezpečnou síť mít nebudeš. Pokud tetka bude mít přístup do databáze a zároveň bude mít na tom samém počítači skype či obyčejný prohlížeč, pak má přístup do databáze kdokoliv :-) Tedy kdokoliv je dostatečně schopný nebo ochotný zaplatit za exploit. A dokázat, že software chyby nemá nelze. A i kdyby šlo nebo když postavíš plně managed prostředí tak stejně skončíš na uživatelích. A ten tvůj milion eur je kapka proti tomu co bys potřeboval.
-
Bezpecny Internet uz tady je. Jmenuje se teletext nebo tak nejak. Dokonale read-only a jeste jsem neslysel o tom, ze by se nekomu zavirovala televize, ktera pak nasledne zavirovala pracku a mixer a ty pak posilaly spam a utocily na jine televize.
-
bylo mi receno ze pokud bych to dostal do teoreticke urovne tak mi uvolni milion eur na testovaci provoz pro 30 firem ...
Kam ten svet speje...?!?
(prosim neber si to osobne, ale jestli ti nekdo nabidl teoretickou moznost takove investice na zaklade toho, co jsi tady prezentoval, tak to je teda fakt sila... )
-
@Miro: tak ja nie som sam. vyclenenych ma byt na to asi 7 clenov IT Security institutu v St.Polten - len je to v plienkach, zatial o tom vieme traja a ja som zacal len diskusiu aby som sa zorientoval o nazoroch ... rozdnych nazoroch. nic viac... samozrejme kykolvek grant je este straaaaasne a ani ho neberiem vazne, skor ma to zauima ako tema, to som spomenul len preto aby ste verili ze v teoretickej hladine netreba pozerat na rozpocet.
@Jarda: Ale READ ONLY sluzba dnesnym potrebam uzivatelov internetu nestaci.
@Pindal: ano mas pravdu, co do oracle+skype, ale dnesna situacia je aktastorfickejsia, nemyslis ze keby bol niekde niekto kto testuje, kontroluje, schvaluje a updatuje software na PC - tak by to opat mali hackeri tahsie? Lebo by sa nenasla niekde verzia skype 2.1 niekde 2.22beta .. ale vsade 3.0, schvalena a testovana, a keby sa nieco objavilo - tak sa aplikuje ako critical v najkratsom moznom case a exploit by na mojej sieti bol minulostou? lebo exploity i ked sa rychlo zaplataju tak to chvilu trva kym sa to realne aj objavi ... ved to pozname vsetci "nechat update na neskor"
a k tomu milionu: to je len na test, na nejaky blade server, so softom a najmom v serverovni je to podla mna fura penazi ...
@kei: dekuju za odkaz - hned prectu ale jedna otazka: a nestava se casem s "obrovske" site "interent"? :)
-
a ja som zacal len diskusiu aby som sa zorientoval o nazoroch ... rozdnych nazoroch. nic viac...
Mě právě trochu zděsilo, že by někdo sliboval grant někomu, kdo se na internetovém fóru "zorientovává o názorech"... Ale třeba to jenom vypadá divně z vnějšku... Nesoudím.
-
Mňo evidetně nevíš jak to s těma exploitama chodí. Tady si můžeš koupit exploit na co chceš (teda hlavně na co máš :-) :
http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/
A neprodávají to jen oni ;-) Testovat software sice můžeš, ale chyby prostě zůstanou. Navíc složitost dnešního SW a HW je tak velká, že není reálné ani otestovat bežný OS na běžné architektuře, natož pak s aplikacema :-) Na to nemáš ani peníze ani lidi ani čas :-)
-
@Jarda: Ale READ ONLY sluzba dnesnym potrebam uzivatelov internetu nestaci.
Vyber si: Chces bezpecnost nebo pouzitelnost?
Osobne me desi, ze by mi nekdo chtel zavadet bezpecny Internet. Na Internet chodim s tim, ze je to dzungle. Mam zaplatovano, mam ohnovou zed. Zbyva sice nejake riziko, ale s tim se radsi smirim, nez aby mi Internet nekdo byrokraticky reguloval a rozhodoval o tom, ktere viry a backdory se smi uzivatelum instalovat a ktere ne. Za ta leta jsem nikdy zadnou nakazu nechytil, ani v dobe, kdy jsem mel Widle. Bezpecnost je totiz hodne o blbosti a ta svetem cloume. Chces-li vyssi bezpecnost, zacni prodavat inteligenci. Lidstvo to potrebuje, jak koza drbani. Z iniciativ, jako bylo treba MS Palladium, se mi jezi vlasy na hlave. Povedou tak k tomu, ze z pocitace bude zarizeni, na kterem budeme moci akorat sledovat reklamy, jako v televizi, kde jiz nic jineho neni, navic ale o nich budeme moci hlasovat anketach.
@Pindal: ano mas pravdu, co do oracle+skype, ale dnesna situacia je aktastorfickejsia, nemyslis ze keby bol niekde niekto kto testuje, kontroluje, schvaluje a updatuje software na PC - tak by to opat mali hackeri tahsie?
A to jako kdo? Software jiz testuji hackeri. Jsou k tomu povolanejsi, nez nejaky urad, kde budou lidi zamestnavani proto, ze se znaji s bratrancem nejakeho dobytka. A kdyz chces, aby software byl updatovan, donut Magorsoft, at s tim neco udela. Jejich Widle jsou zodpovedne za naprostou vetsinu cinnosti malware na Internetu. At si treba daji do systemu updatovaci sluzbu, do ktere se software pri instalaci zaregistruje s elektronickym podpisem a treba dalsimi opickami a ta sluzba bude overovat, je-li k dispozici nova verze a bude ji instalovat podobne, jako se to deje na Linuxu. Soucasny stav ve Widlich stoji za starou belu. Udrzet system zaplatovany je fuska, zejmena, kdyz ma clovek vice stroju. Kazdy soft se updatuje sam budto pomoci specialni sluzby nebo tak, ze si sam stahne update, ten se pokusi pustit pod beznym uzivatelem a ani si nedokaze vyzadat heslo a update tedy selze nebo jeste casteji software neumi uzivateli ani nahlasit, ze je nova verze a ta stavajici je derava a update se doporucuje v nejkratsim moznem terminu.
BTW, chces-li bezpecnejsi Internet, odpoj vsechny Widle. Tim se situace zlepsi aspon o 99%. BTW, nejvetsi nebezpeci, ktere na uzivatele dnes na Internetu ciha, jsou stejne asi vselijake podvody.
-
BTW, nejvetsi nebezpeci, ktere na uzivatele dnes na Internetu ciha, jsou stejne asi vselijake podvody.
Presne tak. Proto jsem psal, ze by uzivatel takove site nesmel ani na blbej Facebook. Oliver se proste snazi vymyslet neco, co z principu udelat nejde - kdyby si stanovil rozumejsi cil ("bezpecnejsi", ne "bezpecny" internet), bylo by to o necem jinym...
-
@Miro: Tak ne "bezpecny" pac to asi nepujde :) tak podmne na bezpecnejsi.
Co vseco by se dalo udelat? :)
-
Co vseco by se dalo udelat? :)
To, co se dělá.
-
hh :) no ok, vidim ze teoretizovani a SCI FI sme meli uz hodne :D ze uz asi nemate chut a tak :)
i tak moc omc dekuju, jeste dam dokopy jine fora kde sem to rozebral, udelam si najakou predstavu a kdyztak sem napisu az budu mit neco noveho ...
dik
-
Jezismarja, doufam, ze se toho pak nekdo nechyti.
-
Cink Cink:
http://connect.zive.cz/clanky/eu-kyberneticka-bezpecnost-a-regulace-internetu/sc-320-a-163197/default.aspx
-
Můj bože, oni s tím ani po všech SOPAách, PIPAách a ACTAách nepřestanou. Máme se očividně ještě na co těšit. Některá přirovnání v tom článku jsou docela děsivá a legrační zároveň.