1. Fórum Root.cz
  2. Profil PanTrumpetka
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - PanTrumpetka

Stran: [1]
1
Software / Re:Veeam Backup dotazy
« kdy: 10. 06. 2021, 13:41:06 »
Zdravím,

1) ano je to možné - přes menu Advanced / Active full backup, nelze to ovšem nastavit po X zálohách, ale pouze pro jednotlivé dny v týdnu, event. je k dispozici i měsíční interval; druhou možností je místo plánovače Veeam použít plánovač operačního systému, i free verze má podporu spouštění backup jobu přes CLI

2) ne, diferenciální backup není podporován ani ve free ani v placené verzi

3) to moc nerozumím, k čemu by taková věc byla vlastně dobrá? free verze agenta pracuje tuším v režimu forward incremental, kdy je po provedení zálohy nejstarší přírůstek automaticky konsolidován do full backup souboru s příponou VBM a tím pádem není teoreticky nutné provádět (periodicky) plnou zálohu - v praxi je pak ale dobré zapnout si healt-check a případně i defragmentaci zálohy alespoň v měsíčním intervalu

2
Vývoj / Re:SMS gateway pro OTP
« kdy: 11. 12. 2020, 20:09:13 »
"Taky se to dá všechno nastavit jako alias do jedné schránky a skript si odesílatele zjistí z hlaviček mailu" - tak tím lépe, pokud by to šlo až takto jednoduše. Díky za hint, zapíšu si to do poznámek k projektu.

"a co to dělá tak zásadního, že to nemůžete provozovat na normálním Linuxu?" - no to je právě to, ono to ty zásadní věci dělá - s prostým IPtables se to vůbec nedá srovnávat, obzvláště-li pokud je to navěšeno na centrální management a centrální analyzátor logů. Ono to vůbec není vymyšleno špatně - po těch letech, co s tím pracuji, už se mi to i začalo líbit :), ale ta zabugovanost je něco neskutečného - tolik sarkastických poznámek a tolik pláče ze strany adminů, když vyjde nový očekaváný firmware, který je opět produkčně nepoužitelný, jsem v komunitních diskuzích nikde jinde nezažil (a to prosím dotyční admini nepřehánějí).
Samozřejmě - pokud bychom potřebovali pouze tu VPNku a k tomu stavový firewall, tak bychom do NGFW nešli - pořídili bychom si třeba nějaký výkonější Mikrotik a postavili to celé na něm za pár krejcarů.

3
Vývoj / Re:SMS gateway pro OTP
« kdy: 11. 12. 2020, 02:20:19 »
".forward" - už jsem chtěl napsat, že to by asi v tomto případě nefungovalo, ale pak jsem si uvědomil, že klidně můžu naduplikovat příjemce OTP jako uživatele s lokální schránkou - nastíním tvé řešení kolegovi, který se o ty naše Linuxy stará, co by na to řekl ... děkuji za další střípek do skládačky

"(a tedy bez supportu a oprav chyb), že to nechceš používat." - ano to bychom samozřejmě nechtěli, to mi pak docvaklo, chvíli potom, co jsem tu otázku položil, že taková specializovaná distribuce by asi byla nějaká "jednochlapovka" bez pravidelných aktualizací a bez podpory

"ale doporučil bych okamžitě utéct od čehokoliv" - není kam utíkat, bugy mají všechny podobné NGFW boxy: ZyXEL, Checkpoint, Sophos, Cisco, SonicWall, Palo Alto, atp. - v tomhle ranku si prostě nevybereš - příležitostné bezpečnostní chyby ve firmware mají prostě úplně všichni, stačí jen nahlédnou do release notes ... tristní je bohužel celková zabugovanost těchto zařízení, zřejmě je to nějaký obecný problém této technologie (SSL deep packet inspection, UTM, Layer7 application rules, etc.), jinak si to prostě neumím vysvětlit - nikdy v životě jsem se nesetkal se zařízeními v této cenové relaci, které by obsahovaly tolik zásadních chyb v produkčních firmwarech, které mají v příslušné řadě deset a více minor verzí a stále něco zásadního nefunguje, tak jak by mělo...

4
Vývoj / Re:SMS gateway pro OTP
« kdy: 10. 12. 2020, 21:50:56 »
S tím RADIUSem by to neklaplo - má to proprietální mechanismus pro OTP, který je integrovaný jak do samotného firewallu, tak i do SSL VPN klienta.

Co se týče čísla emailového účtu, tak to bohužel taktéž není použitelné - zapomněl jsem napsat do otázky, že to není řešení pro interní zaměstnance (ti se přihlašují přes certifikát), ale pro externí kontraktory. A tam se musí počítat s tím, že mají různé telefonní operátory a různé mobilní tarify.

Já už jsem mezitím získal technické informace o té GSM bráně, co tam na tom Slovensku mají a to sem jim doporučil, aby to odvezli do eko-dvora, že tím se u nás nikdo zabývat nebude. Softwarové tokeny nechtějí - licence jsou pro ně příliš nakládné a GSM brána s podporou Email2SMS (že bych to měl bez práce) je pro ně taktéž příliš drahá ... takže to asi skončí nákupem malého GSM modemu Teltonika, který má ethernet rozhraní a velmi jednoduché API a nějak se to naroubuje na ten Maildrop, jak mi tu radil IT kolega. Bude s tím nějaká práce, ale fungovat by to mělo při minimálních pořizovacích i provozních nákladech (člověko-hodiny inhouse ajtíka se do toho samozřejmě nezapočítavájí :).


5
Vývoj / Re:SMS gateway pro OTP
« kdy: 09. 12. 2020, 13:38:59 »
Děkuji za reakce. O Kannelu jsem si již něco četl, ale co jsem zkouknul letmo nějaké příklady, měl jsem pocit, že to je právě určené pro setup, kdy je SMS brána připojena přímo k serveru s touto distribucí, což není náš případ. Ale zkusím se trošku víc ponořit do dokumentace, jestli tam nebude implementované i to Mail2SMS.

------

Máte pravdu pane Jirsáku, že lepší by byla aplikace se softwarovým OTP tokenem. Fortinet ji nabízí, ale licence něco stojí :) Každopádně váš názor oprintuji a pošlu na IT vedení naší dceřinné společnosti, jestli si to třeba ještě nechtějí rozmyslet s těmi SMS.

Jinak to, co popisujete s tím maildropem bude zřejmě přesně to, co jsem měl na mysli. Externí proces s emailem na vstupu a zbytek je pak na mě. Děkuji za radu. Mějte se.


6
Vývoj / SMS gateway pro OTP
« kdy: 09. 12. 2020, 12:18:58 »
Zdravím,

budu teď zřejmě řešit 2FA přes SMS u firewallu Fortigate, prakticky stejným způsobem, jako to uvadí na svých stránkách Samuraj:

https://www.samuraj-cz.com/clanek/fortigate-dvoufaktorova-autentizace-spouzitim-otp/

Zadání je takové, že v naší dceřinné společnosti, kde to chtějí nastavit, mají údajně nějakou GSM bránu, která umí posílat i SMS a je tam k tomu nějaké API. Podrobnosti zatím neznám, ale bude to zřejmě REST API nebo něco na ten způsob. Fortigate nicméně umí poslat pouze email. Napadlo mne tedy, že bych si mohl naskriptovat nějaké udělátko, které by si sebralo email z firewallu, z emailu by si to vytáhlo potřebné věci (mobilní číslo a OTP klíč) a pak by z toho udělalo např. JSON pro REST API. S tímhle bych problém neměl, ale teď je otázka, jak to zakomponovat do těch poštovních toků. Nechci to řešit přes POP3/IMAP, ideální by bylo se nějak "napojit" přímo do MTA a tam číhat na ten správný email. Máme tady nějaké servisní SUSE Linuxy (používáme to na dohled sítě), kde patrně běží Postfix, tak jsem si říkal, že by se to tam dalo snad nějak "naroubovat". Protože ale s Linuxem moc nepracuji, tak jsem se chtěl optat, jestli by taková věc byla schůdná a pokud ano, kde se v tom Postfixu podobné věci konfigurují? Popřípadě, jestli třeba už neexistuje nějaká speciální distribuce Linuxu, která je přímo určená na tento typ úloh (OTP, komunikace s GSM bránou, atd.)?

Stran: [1]