Příspěvky

1

Windows a jiné systémy / Zvuková zařízení při připojení přes vzdálenou plochu

« kdy: 26. 12. 2024, 08:50:42 »

Zdravím,
používám OS WIN 11 Pro. Pokud se k tomuto počítači připojím přes vzdálenou plochu (RDP), tak se v něm ztratí všechna zvuková zařízení (zvukové karty, Virtual audio cable atd..), pouze je viditelné jakési výchozí zařízení "vzdálený zvuk".

V některých speciálních aplikacích jsou v nastavení zvukové karty původní zařízení viditelná jako "WDM-KS devices", ale pracovat se s nimi nedá. Samozřejmě, pokud se v relaci vzdálené plochy nastaví "Přehrát zvuk na vzdáleném PC" tak zvuková zařízení nezmizí, ale pochopitelně zase nefunguje přenos zvuku přes RDP ke klientovi.

Jde nějak nastavit, aby bylo možno s původními zvukovými zařízeními na vzdáleném PC pracovat a přitom přenášet zvuk přes RDP? Řešil to někdo? Zkoušel jsem nějaká nastavení v gpedit.msc, ale bez úspěchu. Ano existují alternativy, jako TeamViewer, nebo "krkolomný" samostatný stream zvuku (třeba přes VLC), ale chtěl bych to vyřešit nějak bez dalších aplikací a co nejjednodušeji.

Děkuji

2

Sítě / Nejjednodušší rychlý firewall na MikroTiku

« kdy: 06. 11. 2024, 10:37:12 »

Prosím všechny znalce Mikrotiku o pomoc s návrhem co nejjednoduššího firewallu na Mikrotiku. Nejsem síťař, není to pro žádnou firmu. Mám dva routery za sebou, bezpečnost mezi internetem a vnitřní sítí je řešena prvním routerem - nyní neřeším.
Na druhém routeru běží WireGuard. Dvě jednoduchá pravidla mezi WireGuard a bridge (LAN), kdy prvním se povolí určité dst porty a druhým zakáže vše ostatní umím, i odchozí src nat z LAN do Wireguard, případně maškarádu něčeho z LAN do WAN na první router. Samozřejmě ještě musí být accept pro port s WireGuard. Co ale ostatní pravidla? co by tam ještě mělo být a co je zbytečné? Chci aby to bylo co nejjednodušší a co nejrychlejší, bezpečnost je řešena již na prvním routeru.

V default firewallu je ještě pro input a forward drop invalid a accept estabilished, related, untracked a drop všeho co nepochází z LAN. Dále je tam fasttrackconnection, významu tohoto pravidla úplně nerozumím. Toto pravidlo vytvoří ještě pravidlo passtrough a to v Rules i v Raw.
Obecně těch pravidel chci co nejméně. Děkuji za pomoc s odladěním.

3

Sítě / Re:Mikrotik - Winbox traffic indicator

« kdy: 30. 03. 2022, 17:06:35 »

Aha , děkuji....

4

Sítě / Mikrotik - Winbox traffic indicator

« kdy: 30. 03. 2022, 05:21:05 »

Mám dotaz, co ve Winboxu indikuje ten malý zelený bargraf (teploměr) vpravo nahoře? Já jsem žil v domnění, že to je zatížení CPU, jenomže tomu tak není. V dokumentaci je pouze: "Winbox traffic indicator"... co to je?
Všiml jsem si, že to lítá od nuly až do plného maxima...přitom zatížení CPU mám cca 1 - 15 %, paměť ze 2/3 prázdnou... a nějaké strašné objemy dat přes Mikrotik netahám...  Přemýšlím, jestli to může souviset s poměrně velkým dynamickým blacklistem, kde je permanentně v address listu ve firewallu asi 1300-1500 adres... ale to by spíš vytěžovalo CPU, kdyby to routeru vadilo, ne?
Děkuji

5

Vývoj / Re:Home Automation / Machine learning

« kdy: 17. 02. 2022, 05:10:16 »

Mě by docela pak zajímal výsledek, budete hotový systém, funkce, spolehlivost atd. potom někde prezentovat?
Nevím, třeba mě přesvědčíte,  ale přesně toto je důvod proč bych to asi nechtěl. Postupně se to čím dál víc komplikuje a potom se dostaneme do stavu, kdy systém dělá nějaké odhady chování a ty se stejně nakonec musí schválit / potvrdit. Potom se spousty času stráví tím programováním, štelováním, laděním a stejně  to 100 procentní nikdy nebude ...a nakonec stejně ten schvalovací pokyn udělat musíte...to už je opravdu jednodušší cvaknout tím (hloupým, silařským) vypínačem ve chvíli kdy chci a ne kdy mi to napoví nějaký systém..... Tedy, pokud do toho neintegrujete tu věšteckou křišťálovou kouli:,-) nebo čip umístěny v mozku a ovládaný vůlí :-D:-D
Ano, něco jiného je mít možnost se na mobilu podívat, jestli jsem nezapomněl zhasnout světla, zapnout si topení, podívat se jaká je doma teplota.....atd .. ale tohle zvládne naprogramovat a rozchodit i středoškolák SPŠ s Raspberry anebo nějakým IO modulem s ethernetovým rozhraním. Trochu vyšší level je pak sbírání těch spotřeb elektřiny, vody.... kreslení grafů spotřeb, atd...dělání statistiky počasí atd .... Potud je to užitečné a ulehčuje to život....... Ale vymýšlení nějaké umělé inteligence?.....proč?

6

Sítě / Re:MikroTik: nastavení limitu pro ICMP

« kdy: 05. 02. 2022, 23:57:21 »

Děkuji moc za nápad, já jsem měl na mysli přímo v pravidlech (stromečku) ve firewallu - tedy v pravidlu, které akceptuje ping (ICMP pakety). V záložce extra tam potom je Limit . Zde se dá nastavit limit paketů nebo bitů za sekundu, minutu, hodinu a burst - to je kolik paketů to nezapočítá.

Chybu už jsem objevil - když jsem zkoušel pingovat a trápil se s tím, proč to pingy neodmítá, tak jsem si neuvědomil, že ty další pingy už to bere jako estabilished a odbaví se to rovnou prvním pravidlem ve FW nahoře. Proto ty limity u ping pravidla níže nefungovaly. K prvnímu pravidlu esabilished, related, untracked jsem tedy přidal protokol !ICMP (odbaví to všechno kromě ICMP). ICMP potom vždy musí až tím svým pravidlem, které ho povoluje. Už se zdá, že to nějak funguje. Pokud se např. nastaví 1 paket / minutu a burst 4 pakety, tak to na první ping odpoví klasicky 4 odpovědi (pakety) na druhý ping jenom jeden (3 další ztraceny) a na další pingy už ztraceno všechno. Potom je potřeba počkat minimálně tu minutu a potom na první ping přijdou opět všechny 4 odpovědi. Stejně by se to asi chovalo ne s pakety ale bity.... ještě to chce odladit, vymyslet hodnoty těch limitů, ale aspoň nějak to funguje.....
Tak třeba to také někomu pomůže a díky.

7

Sítě / MikroTik: nastavení limitu pro ICMP

« kdy: 05. 02. 2022, 18:22:40 »

Zdravím, prosím poradí mi někdo, jak efektivně (nejlépe v jednom pravidle) nastavit maximální limit pro PINGy (ICMP pakety) na vstupu?

Nejlépe akceptovat pingnutí třeba jenom jednou za minutu a další pakety / bity neakceptovat. Prostě ochrana před zahlcením PINGy na veřejné adrese...

Já už fakt nevím... zkoušel jsem půl dne všechno možné v limit, connection limit, dst limit... asi dostatečně nechápu logiku tvůrce té limit logiky Mikrotiku:-) Ať tam nastavím cokoliv, tak buď to funguje nějak úplně blbě, nebo to nefunguje vůbec.

Díky moc.

8

Sítě / Re:Mikrotik - jaké porty povolit ve firewallu

« kdy: 26. 01. 2022, 20:37:27 »

Ahoj, díky za reakci. Já nepotřebuji přistupovat zvenku do Mikrotiku (8291), jde mi o dstnat do LAN.

Ten firewall (pravidla) jak jsem psal už celkem po odladění běhá... v blaclistu je permanentně asi 350 adres a router to ani nijak nevytěžuje. Ještě zvažuji místo "prvního" dropování při zápisu na blacklist nastavit trápit:-) (tarpit), prý to útočníka navíc trochu zpomalí, protože router chvilku paket drží, než ho zahodí. To by mohlo být dobré při útoku - zahlcení spoustou požadavků najednou. Druhé dropování při dalších pokusech v Raw už by bylo normálně drop.
Co si o tom myslíte?

A dále, na router mi stále chodí ty UDP pakety z vysílače poskytovatele - je to na portech 5678 - to je to hledání sousedů Mikrotiku a na 67 > 68. To je DHCP? Můj router je u poskytovatele jako DHCP klient, ale on mu přiděluje stále stejnou adresu a směruje na ní tu veřejnou IP. Všechny tyto pakety zatím končí drop (defaultní pravidlo MIkrotiku), ale nevím, jestli bych to neměl povolit, aby to prošlo? Je zvláštní, že i přesto to DHCP funguje a i poskytovatel mi říkal, že tam můj router vidí... tak nevím...

9

Sítě / Re:Mikrotik - jaké porty povolit ve firewallu

« kdy: 23. 01. 2022, 12:45:39 »

Ahoj, děkuji za názor. Analyzovat nepotřebuji nic, útočí kdekdo a na jakýkoliv router na internetu téměř neustále:-)
Zabezpečení, tak jak to mám vymyšlené mi příjde dostatečné. Skenovač by opravdu musel začít a trefit se napoprvé zrovna do toho definovaného portu. Jakmile zkusí jakýkoliv jiný, zahodí ho to a dá na blacklist. A díky Raw ho to zahodí i kdyby se hned na druhý pokus trefil do čísla toho NATovaného portu. To je několikanásobně vyšší zabezpečení než třeba PIN k bankovní kartě:-)
VPN - zkoušel jsem Open VPN, asi dělám něco špatně ale i se všemi certifikáty apod. se mi to nepovedlo rozchodit tak, aby to bylo naprosto a trvale bez chyb (chybové hlášky, vypadávání spojení atd...). Navíc, stejně by byl otevřený ten port VPN a jsme zase u toho původního.... opět stejný firewall, jako mám teď... navíc, svoje zařízení a i jejich další zabezpečení (hesla apod.), která jsou na těch portech už znám. Vím co od nich mohu čekat, kde je nějaká slabost. O VPN a jeho dírách nevím naprosto nic....a určitě také nějaké budou, díry má všechno... Za druhé, nepřipadá mi moc bezpečné se zvenku do vnitřní sítě připojovat třeba NTB, kterým se leze všude možně po netu...i když občas to na tom místě také dělám, ale moc košér to není. Takhle se připojím jen k jednomu danému portu / službě.  Opět, aby ta VPN byla bezpečná musely by se nadefinovat další pravidla kam všude VPN host může atd...  tím je firewall jenom složitější a složitější... Už teď tam na routeru mám dvě oddělené LAN, teď by musela být ještě třetí.
Dobrý je prý WireGuard VPN...ale ten je u Mikrotiku jenom ve vývojové verzi SW.. nechce se mi moc ze stable (kterou pravidelně aktualizuji) přecházet na vývojovou. 

10

Sítě / Re:Mikrotik - jaké porty povolit ve firewallu

« kdy: 23. 01. 2022, 09:37:48 »

Tak jsem nakonec udělal Blaclisty dva (A a B). Do A se dávají IP s TCP porty 0-19000, 29000-65535 a úplně všechny UDP (já UDP jenom odesílám, nikoliv přijímám) a v blaclistu je to jen pár minut - hodin (odladí se). Do blaclistu B se dávají všechny porty mezi tím kromě definovaných. To je ohroženější, tak v něm adresy budou 3 dny.
Mám ale ještě jeden dotaz, všiml jsem si, že na můj Mikrotik pravidelně chodí UDP na 5678 z nadřazeného routeru (vnitřní adresy) na vysílači poskytovatele a pak ještě jeden z defaultní adresy 192.168.88... to je odněkud ze sousedství.
Dočetl jsem se, že to je nějaké hledání sousedů Mikrotiku. Chci se zeptat, můžu to s klidným svědomím zařezávat? Souseda klidně, ale jde mi hlavně o tu adresu vysílače poskytovatele. Aby nebyl problém s tím, že celá adresa nadřazeného routeru poskytovatele se dropne hned v Raw:-))

11

Sítě / Re:Mikrotik - jaké porty povolit ve firewallu

« kdy: 22. 01. 2022, 17:46:45 »

Ahoj, díky moc.
Zkusil jsem to dát pod defaultní pravidla Mikrotiku accept - estabilished, related, untracked a drop - invalid. Zdá se, že to funguje. Až na to, že blacklist se docela rychle plní. Ještě zvažuji, že bych to rozdělil na porty 1 - 10000 a tam dal jen drop. A pod to ten zbytek - ten by se dával do blacklistu, aby pokud by se někdo začal vrtat v těch vyšších portech postupně nedošel k těm NATovaným. Odmítne ho to pak hned v Raw po prvním pokusu.
Dal bych tam 1 - 10000 TCP i UDP. To co by náhodou prošlo, se pak chytne na drop negace LAN od Mikrotiku.

12

Sítě / Mikrotik - jaké porty povolit ve firewallu

« kdy: 22. 01. 2022, 14:08:44 »

Dobrý den,
Mám veřejnou IP, která je poskytovatelem nasměrovaná na můj Mikrotik. Používám to pro přístup zvenku k určitým zařízením a službám, které běží na různých portech v rámci vnitřní LAN. Na routeru pak je přesměrování a NAT.
Přemýšlím o tom, jak zatočit (opravdu účinně) se všemi skenovači, zkoušeči hesel a dalšími šmejdy, co mi tam neustále dorážejí. Takové ty návody na různé chytré blacklisty, co jsou na internetu na port scan, syn flood atd. úplně dokonale nefungují, vždycky je potřeba tam nastavit nějaký limit počtu připojení, času atd. a i přes to vždycky něco projde. Povolení přístupu z jedné WAN, to také moc neřeší, zvlášť když chci přistupovat z více míst, nebo např. i přes data od mobilního operátora, který IP pořád mění.
Proto přemýšlím, jak všechny ty polofunkční pravidla nahradit jedním a opravdu rázným. Porty na které se potřebuji připojovat jsou až někde v rozsahu 26xxx tedy hodně vysoké. Říkám si, že bych udělal pravidlo s negací (!) těchto portů a všechno ostatní by se hodilo do blacklistu, pod to hned pravidlo drop z toho blacklistu a stejný drop i do RAW tabulky.  Uvažuji tak, že nějaký šmejd zkusí jeden (jakýkoliv) port mimo ty definované, hned ho to zapíše na blacklist, pravidlo pod tím to hned z toho blaclistu dropne a pokud by si nedal pokoj a zkusil jiný port, tak ho to z blaclistu, kde už je zapsán zabije hned v té RAW a ani se nedostane do stromečku s pravidly.
Na blacklistu by byl třeba tři dny.... více asi nemá cenu i s ohledem na přeplnění toho blacklistu.
Mělo by to zlikvidovat všechno a všechny útoky, jakmile to jednou zkusí, tak konec.... jedině, že by se trefil zrovna hned napoprvé do toho definovaného NATovaného portu. To je ale velká nepravděpodobnost. Musel by hned napoprvé zkusit třeba 26438, ale jakmile by zkusil třeba druhý o jednotku vedle, stejně by ho to zabilo.
Jediné riziko pro mě, že se uklepnu a sám se zkusím připojit na špatný port, potom by to hodilo na blacklist i mě...ale toto riziko jsem ochotný podstoupit:-)
Já sám si myslím, že toto by mohlo být opravdu účinné a nahradilo by to všechna ostatní pravidla a všechny ty návody s limity vč. např. defaultního pravidla Mikrotiku, kde s příznakem input dropoval pod estabilished všechno co není LAN.
Otázka je, jestli mohu zakázat opravdu všechny porty? Nejspíše by se to pravidlo pak muselo dát až pod estabilished, related... a pokud by se dalo nahoru, jaké porty bych tam měl ještě povolit? 123 UDP na čas? a co nějaké aktualizace Mikrotiku? Abych mu je tím také nezaříznul? Zvenku na administraci Mikrotiku chodit nemusím. To dělám třeba přes vzdálenou plochu z místní LAN.
Děkuji moc

13

Sítě / Re:Mikrotik a SYN flood útoky

« kdy: 08. 07. 2021, 18:27:20 »

Díky za vyčerpávající odpovědi. Chápu....  P.S. s tím paketem jsem se neobratně vyjádřil...ale chápu to, že input, forward atd. je záležitostí až firewallu v routeru a pakety žádný takový příznak hned od začátku nemají. Díky moc za všechny rady.

14

Sítě / Re:Mikrotik a SYN flood útoky

« kdy: 07. 07. 2021, 21:56:22 »

Hezký večer,
uvažuji správně, že bych tedy mohl vytvořit vlastní pravidlo, forward (input), new connection state, TCP flags syn, limit Rate (!) 400 (nebo nějaký jiný limit), Burst 5, add src to address list. A do raw tabulky bych dal prerouting a drop z toho daného address listu? Tím by se to docela zjednodušilo.
Fungovalo by to tak správně?
Další pravidlo by bylo s tím connection limit, to by se opět dropovalo v raw tabulce. V raw  se mohou dopovat i adresy z port-scan address listu anebo i z blacklistu (na něm mám pár adres hlavně z Ruska, co mi na router pořád dorážely).
Bylo by to tak OK?

A druhá otázka - spíše teoretická, co by se reálně stalo pokud by byly původní tři pravidla, kde by nebyl forward ale input a pod tím to původní pravidlo accept. Teď by do routeru přišel syn paket od nějakého útočníka jako input. Pravidlo accept by paket přijalo a co by se nyní stalo dál? Já předpokládám, že nějaká další komunikace by stejně asi skončila na nějakém dalším drop pravidlu ve firewallu. A kdyby ne, co v routeru útočník může udělat? Když se stejně nikam dál nedostane, do routeru se nepřihlásí atd.. je to jenom o tom, že mu užírá výkon zbytečnou komunikací?

15

Sítě / Re:Mikrotik a SYN flood útoky

« kdy: 07. 07. 2021, 01:13:13 »

Tedy bych měl dát drop pravidla na adresy z blacklistů i do RAW?