Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - PatPatPat

Stran: [1] 2 3
1
Sítě / Re:Výběr SIEM - jak sledujete, co se děje v síti?
« kdy: 30. 10. 2021, 07:54:46 »
Aktualizace na zaklade aktualnich informaci -treba to nekomu pomuze.
Vybrali jsme Graylog - relativne jednoduche nasazeni i sprava, umi vse co potrebujem v enterprise i reporty, v marketplace plno hotovych reseni napr pro FGT, zkusime nasadit i s IPFIX

2
Dobry den, dovoluji si pozadat o vas nazor pripadne i placeny support mikrotiku.

Mame Mikrotik Ikev2 VPN koncentrator s Free Radius autorizaci.
Kde resim probem pri nacitani webovych stranek napr, seznam.cz - pri skrolovani strankou se velice pomalu ci spise vubec nenacita obsah webu.

Zkousel jsem bandwitch test z klientskeho mikrotika na VPN koncentrator. Test po nejake dobe bezi plne rychlosti linky krom UDP receive, kdy je prenos temer nulovy. Tzn. stazeni UDP ve smeru ke klientovi temer neprobiha.

CFG VPN Koncentratoru:

Kód: [Vybrat]
/ip ipsec mode-config
add address-pool=VPN_pool address-prefix-length=32 name=mode-config_VPN \
    split-include=0.0.0.0/0 static-dns=8.8.8.8 system-dns=no
/ip ipsec policy group
add name=group_VPN
/ip ipsec profile
add dh-group=ecp256 dpd-interval=disable-dpd enc-algorithm=aes-256 name=\
    profile_VPN
/ip ipsec peer
add comment=IKEv2 exchange-mode=ike2 name=VPN passive=yes profile=\
    profile_VPN send-initial-contact=no
add disabled=yes exchange-mode=ike2 name=peer1-ikev2 passive=yes profile=\
    profile_1
add disabled=yes name=peer8 passive=yes profile=profile_1
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc
add enc-algorithms=aes-256-cbc,aes-128-gcm lifetime=1d name=proposal_VPN \
    pfs-group=none
/ip ipsec identity
add auth-method=eap-radius certificate=IKEv2.vpn.server.p12_0 comment=\
    "IkEv2  Z:port_Strict" \
    generate-policy=port-override mode-config=mode-config_VPN peer=VPN \
    policy-template-group=group_VPN
/ip ipsec policy
add dst-address=0.0.0.0/0 group=group_VPN proposal=proposal_VPN src-address=\
    0.0.0.0/0 template=yes
/ip ipsec settings
set xauth-use-radius=yes

Dik Pat

3
Dekuji velice za navrhy (pokud nejaky dojde do produkce, s rad prispeji na vanocni darky :-). Kolize IP je az na urovni klientskych zarizeni, tzn IP VPN tunelu nekoliduji. K jednotlivym navrhum:
1.) pouzit IPv6 : Pokud se nemylim, tak nerealne. (rad bych se mylil:-) Protoze aby FW 0-tzn Fortigate videl pouze IPv6 adresy klientu, musely by klientske zarizeni pouzivat pouze IPv6 coz je zatim neni mozne
2.) preadresovat LAN klientu na nekolizni rozsahy -:  Nedokazu ovlivnit , takze nerealne
3.) na Firewall 2 (3) provadet 1:1 NAT IP adres z LAN klientu na nekolizni adresy, ty routovat mezi Firewall 2 (3) a Firewall 1 : tohle je v krajnim pripadne reseni . Je treba mit prevodni tabulku IP LAN a FGT coz neni moc prakticke , a konfigurovat NAT pro kazdou IP adresu klienta
4.)vlastni VLAN mezi Fortigate a Fw1:  To je zajimava varianta co by asi stala za pokus. Pokud rozumim spravne,  kazda VPN by mela vlastni VLAN a vni v zasade libovolny IP rozsah.  Jiz ted pouzivame na FGT VLANy pro pristup z VPN a jak jsem se ted dival FGT neumi VLAN nad VLAN interfacem. Takze by bylo nutne zmenit sitove schema ale to by se dalo. mel by "AgentK" chut si to zkusit nastavit v nasem test prostredi? -navrhni prosim budget
5.)Pokud tam mas/te mikrotiky, tak bych to zkusil routing-markama nebo VRFkama: Ano, routing marky to na MK predpokladam daj , ale jak pak dal na FGT? S VRF nemam zkusenost. Jaky je prinos oproti routing markam?

Jeste jendou diky za vsechny navrhy.

4
Ahoj.
Napada prosim nekoho jak zajistit aby Firewall 0 v datacentru viz:
http://jankubela.cz/Schema%20klientske%20firewally%20kolize%20LAN%20rozsahu.jpg
dokazal identifikoavat LAN IP adresu klientskeho zarizeni "Client device 1 az 6" ve VPN. Kdyz ruzne VPN a maji stejne LAN IP rozsahy? 
Tedy na Firewall 1 a 2 nemuze byt NAT ,ale routovani s nejaku identifikaci klienta na VPN koncentratoru Firewall 1. Nenapada vas prosim neco? Konzultace vedouci k cily muze byt honorovana :-)


Upresnujici info:
-VPN s koliznimi rozsahy je vice
-Firewall 0 je Fortigate, ostatni FW mikrotik
-VPN je ted L2TP/IPSEC, ale je mozne zmenit na nejakou ktere staci verne IP na strane VPN koncentratoru

5
Vim, ze to neni zcela vypovidajici, ale pocet volnych pozic v CR pro oba obory zhruba stejny .
Filtr na jobs.cz:
1.) "SIEM" - aktualne 23 poptavanych zamestnancu
2.) "penetracni" OR "vulnerability" aktualne 22 poptavanych zamestnancu

6
Ahoj mam pouzitelnou znalost zabezpeceni siti (NGFW). Nyni bych se rad posunul dale. Pro komplexni zabezpeceni je krom  NGFW  treba:
1.) SIEM -  shromazdeni/vyhodnoceni pripadnych bezpecnostnich incidentu - zda nam nekdo v siti neloupe pernicek 
2.) Penetracni testovani - kontrola zda je ochrana dostatecna

Nevim zda si dale rozsirit znalost SIEM nebo penetracnich testu?
Jake jsou prosim vase zkusnosti z oboru SIEM ci  penetracnich testu s hledem na pracovni prilezitosti, prijmy, atraktivitu (nuda/zabava)?


Dale uvedu sve subjektivni dojmy z oboru a budu rad pokud se k nim vyjadrite. U NGFW je fajn styk s lidmy ,ale obcas neco pokazi a je treba to resit ihned jinak klientovy vznikaji skody (firma bez internetu/funkcni VPN apod.  ted uplne nepracuje) coz se dost projevi na nalade klienta :-).
-U SIEMu necekam tak vystresovane klienty, takze predpokladam vetsi pohodu az nudu (coz muze byt vnimano pozitivne i negativne)
-Penetracni testovani je pry nejkomplexnejsi odvetvi II secuirty  kdy musis znat veskere souvislosti. Coz mne jako vyzva pritahuje. Na druhou stranu nevim zda je tato komplexni znalost nalezite ocenena (at jiz v zamestnani ci freelancer) oproti napr SIEMu. Ikdyz by se asi dalo vybrat uzsi zamereni napr. testovani webovych aplikaci mi prijde zajimave i s ohledem na v paxi malo nasazovane zabezpeceni webovych serveru (v porovani s ostanimi komponentami)

Budu rad za veskere vase postrehy a nazory. Pripadne i info zda jste v oboru jako zamestnanec ci ICO  a s jakou zkusenosti.  Diky.

7
Studium a uplatnění / Re:Práce na IČO
« kdy: 20. 02. 2019, 17:35:55 »
Prosim o kontrolu/komenatr me uvahy jez se snazi shrnout vyse uvedene. V pripade ze da zamestanavatel pri praci na ICO stejne nefinancni vyhody jako zamestanci tzn. dovolena, pracovni vybaveni (ikdyz oficialne nesmi). A pokud by dal zamestnavatel pri praci na ICO jen to same co vypada jako zamestnance tzn. cca 1,35 nasobek me hrube mzdy. Nese pro mne  prace na ICO nasledujici nevyhody:
-nejsem chranene zakonim prace
--neco zpusobim a "zamestnavatel" mi to nauctuje, rocni pojistne se pohybuje cca od 5 - 30 tis rocne + spoluucast cca 10%. Vyse zejmena s ohledme na to zda kryje i rizeni pripadne odczizeni z vozidla
--kdykoliv mohu skoncit tzn, bez predchozi konuzltace a odstupneho
-naklady na vedeni ucetnictvi -> sankce FU kdyz spatne
-potencialni potize pri kontrole napr. na miste zda neni nejsem svarc

Fakturovana castka by mela k zakladnimu 1,35 nasobku hrube mzdy zahrnovat i kryti vyse zminenych nakladu a  rizik prace na ICO.

8
na zaklade doporuceni z fora jsme zkusili mattermost jako firemni chat a prijde nam dobry, ale nefunguji nam notofokace na androidi aplikaci (zpravy jinak normalne dochazi). Nemate nejaky figl? prislusne nastaveni mame:

web interface/settings/notifications/mobile push:

  • enable push notifications:Use TPNS connection to send to IOS and Android
  • push notification server:http://push-test.mattermost.com
  • Push Notification Contens:Send generic description with sender and channels names

Muzem se domluvit na honorovane konzultaci na karel.zem@email.cz

Dekuji

9
Nabízím zakázku / Hledám linux administrátora
« kdy: 13. 06. 2016, 14:11:07 »
Pro atraktivní projekt UTM firewallu hledám - linux administrátora.

Naše řesní je funkčné srovnatelné např. firewallem Fortinet avšak s řádově nižší pořizovací investicí.

Více informaci: fireboxxx.cz

Nabízím
- volnou pracovní dobu - jednou týdně se večer potkáme na skype a vyhodnotíme/rozdělíme si úkoly na další týden
- dlouhodobou spolupráci na nevšedním projektu

Více informací na odkazu: https://goo.gl/Hdzzwb ci na emailu pavel.pavlovic@fireboxxx.cz ci telefonu 314 501 301.


10
Server / Re:Kterou virtualizační technologii použít?
« kdy: 20. 01. 2016, 13:56:37 »
Kluci provozujete proxmox. Bez HA na dvou serverech? Pro HA ted  doporucuji 3. Pouzivate starsi verze nebo jste nejak premluvily?
https://pve.proxmox.com/wiki/High_Availability_Cluster

Dekuji

11
Server / Re:Kterou virtualizační technologii použít?
« kdy: 19. 01. 2016, 20:56:39 »
dekuji za konstruktivni odpovedi , nepodlozene hodnoceni ostanich budu v zajmu vsech ignorovat , zkousim proxmox a zatim to jak pisete super, jednoducha ihned funkcni instalace, kompletni intutivni administrace pres web. jen lze proxmox  aktualizovat pokud nemam zaplacene subscripce? https://www.proxmox.com/images/download/pve/agreements/Proxmox_VE-Subscription-Agreement_V2.9.pdf

12
Server / Re:Kterou virtualizační technologii použít?
« kdy: 19. 01. 2016, 12:06:50 »
Dostal jsem ted zajimavou odpoved od kamarada, ktera tematu dava jeste jiny rozmer:
já bych se zeptal obráceně: co od toho potřebuješ a očekáváš.

Ona totiž tzv. vysoká dostupnost není vše.

Osobně bych se také soustředil na to, jak to bude vypadat, když všechno selže...

Když to porovnám, tak na stabilním hardwaru nebudeš mít s xenem nižádné problémy, ale běda, pokud něco nebude fungovat tak úplně dobře.

Navíc zapomeň na úpravu strojů za chodu ve smyslu např. zvětšování disků - a to, dle mé zkušenosti, je potřeba častěji než přehazování serverů za živa z jednoho hostitele na druhý.

Pokud na vmwaru budeš potřebovat přehodit stroje z hostitele A na hostitele B, tak to sice znamená stroj vypnout, přesunout (přeregistrovat) a zapnout, ale jde o výpadek na cca minutu až pět? Kolik lidí zaznamená takový výpadek?

Pokud navíc k vmwaru koupíš asi za 10k základní licenci (pro tři stroje naráz) a stáhneš si vmware vcenter appliance, tak sice nemáš vmotion, ale můžeš stroje za chodu klonovat, což sice není plná záloha, ale dost se jí to blíží. Nemluvě o tom, že pak uděláš snadno řádkový příkaz typu: get-vm -host hostitelA | stop-vm | move-vm -target hostitelB.

Navíc máš lepší podporu pro hardware...

A pokud uvažuješ např. o tom, že bys k některým strojům pustil jen některé lidi, ve vmwaru není problém vyrobit uživatele a dát mu právo právě jen k jednomu stroji, se zbytkem ani nehne.

Budeš-li provozovat jen tři servery, pak 10k není v ceně serverů moc za placenou verzi vmwaru, a i bez vmotion dostaneš funkcionalitu, která ti (dle mého soudu) bohatě vystačí na běžný provoz. Nepotřebuješ vytvářet tepmlaty abys vyrobil virtuál, konzole virtuálů nezávislá na rdp, atd...

Nemluvě o tom, že upgradovat vmware je elementární (odpojím z vcentra, vyhodím virutály, přeinstaluji), zatímco u xenu nevím.

Nebo to, že vmware pro uložení virtuálních serverů používá soubory. Máš-li soubory, máš vše. U xenu musíš exportovat/importovat, a nevím, jak by to dopadlo, kdybys přišel o servery a měl jenom úložiště - jestli bys z toho dokázal něco vytáhnout. U vmwaru stačí jen připojit úložiště, kliknout na vmx soubor a zařadit do inventáře. Maximálně odmažeš lock soubory, pokud ti předtím šlo všechno na držku dolů.

Jediné, co ti může opravdu poškodit soubory virtuálu je chyba pole.

Je tu ještě jedna drobnost - vmwarové tooly lze instalovat extrémně snadno, u nových linuxů (tedy, má to centos/redehat) jsou dokonce už i v repozitářích, zatímco instalovat xenové tooly je děs.

A nebo můžeš prozkoumat https://www.openstack.org/ či http://www.linux-kvm.org/page/Main_Page

O promoxu jsem neslyšel, takže netuším, ale jestli je to nějaká nadstavba nad KVM, mohlo by to asi nějak fungovat.

Ostatně - já xen server až tak moc nemusím a až tak dobře se mi s ním nepracuje, takže ho až tak moc chválit nemůžu.... :)

 

13
Ted virtualizuji na esxi a jsem spokojeny. Bohuzel na tomto zdarma reseni nepostavim vysokou dostupnost.
Porovnaval jsem:
http://virtualization.softwareinsider.com/compare/7-34-35-37/Citrix-XenServer-Free-Edition-vs-KVM-vs-Xen-Hypervisor-vs-Proxmox-VE
Po predchozicj diskuzich i zde na foru mi pijdou zajimave varinaty Xen Hypervizor a a Proxmox.
Xen hyeprvizor -dlouhodobe chvaleny , ale zaslechl jsme, ze u zdo toho tak neslapou jako drviv
Proxmox - nema takovou historii jako xen hypervizor, ale ted dost chvaleny a agilni.
Jaky je prosim vas nazor?

14
Server / Re:Klikací rozhraní pro virtualizaci
« kdy: 06. 01. 2016, 23:09:00 »
Mate nekdo v produkci nasazenou Vysokou dostupnost na KVM,  Citrix Xen ci Xen Hypervizoru ? Pokud ano jak jste spokojeni?

xen sme pouzivali niekolko rokov bez roblemov (debian lenny a prezilo to aj upgrade na squeezy). virtualov cca 10, ale dost male vytazenie (az na jeden virtual). stabilita bola by som povedal 100%-tna (ak neratam probemy s hw).

Dekuji za info. Meli jste/chvalis Xen Citrix ci Xen Hypervizor ?  Minimalne ted to rozlisuji.  Mel jsi i HA?

15
Server / Re:Klikací rozhraní pro virtualizaci
« kdy: 06. 01. 2016, 11:59:17 »
Mate nekdo v produkci nasazenou Vysokou dostupnost na KVM,  Citrix Xen ci Xen Hypervizoru ? Pokud ano jak jste spokojeni?

Stran: [1] 2 3