Příspěvky

1

Sítě / Re:Důvěryhodný certifikát v rámci LAN

« kdy: 28. 11. 2023, 23:52:25 »

Pokud je to izolovana sit, nedava mi osobne smysl chtit verejny certifikat.

Jediny _rozumny_ reseni, ktery ale nesplnuje puvodni zadani, je mit vlastni CA, kterou naimportujes do prohlizece, nebo do systemu. Je to par kliknuti, ktery nikoho nezabije.

no dyť to píšu :-)

2

Sítě / Re:Důvěryhodný certifikát v rámci LAN

« kdy: 28. 11. 2023, 11:15:57 »

Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?

Asi jedině, aby neotravovaly prohlížeče ?
pak lokální CA a importovat ji na všechny pc
Jinak mi dotaz nedává smysl

3

Sítě / Re:Nastavení modemu

« kdy: 16. 11. 2023, 09:02:29 »

Zkoušel jsem factory reset a nic. Píše to stále totéž, pingnout nejde nic ani z automatické ani ručně zadané IP. Jako by tam ten modem vůbec nebyl. Přitom kontrolky jak na modemu tak na síťové kartě svítí tak jak by měly. I systém detekuje, že je připojen k nějaké síti.

Zkusil bych browser ,ev na https  , ssh nebo nejlíp nmap.
Jak vypadá ipconfig pri zapnutem dhcp ? Myslim adresy, maska, brána ?

4

Sítě / Re:Nastavení modemu

« kdy: 15. 11. 2023, 17:33:16 »

Default gateway se mi právě vůbec nezobrazí. Ani v jednom případě. Factory reset je sice řešením, ale já potřebuju vidět stávající nastavení, abych ho mohl teď na měsíc přenastavit a potom nastavit zpět do stejné konfigurace. To mi factory reset znemožní. Reklamuji router od O2 a pro ten je to nastavený. Chci tam zatím připojit jiný ze šuplíku, ale nekamarádí se mi to.

No a zkoušels to dhcp ? To musíš
Ipconfig /all a route print ?
 Nmap ?

Jestli vidí aspoň ven, bys měl poznat  kontrolek. Co to je za modem a operatora ? Neda se mu zavolat ?

5

Sítě / Re:Nastavení modemu

« kdy: 14. 11. 2023, 19:00:46 »

zkus to vyresetovat do factory defaults. vygoogli návod

6

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 11. 11. 2023, 09:34:38 »

OK, co je tedy seriozni pristup, kdyz se rozhoduji, zda pouzit treba nejake reseni, treba TeamViewer (ze zoufalstvi a skutecne jen jako nouzovy failover)?
Hledat existujici CVE na nejakem webu?

nikto nemoze vediet vsetko, ale to, ze RDP nepatri na internet je dla mojich znalosti "vseobecne znama dlhorocna vedomost" (nezivi ma to, takze som si zo zaujmom precital vyssie uvedene dovody).
t.j. ked to bolo teraz pre Vas prekvapenie, tak najrozumnejsie asi bude hodit na obede rec s nejakym bezpecakom z korporatneho sveta.

Predpokladam, ze rozumna odpoved je nejaka VPN, ktora dostava aktualizacie a do tej zabalit cokolvek co clovek tuzi pouzit.

Osobne si myslim, ze TV spusteny na limitovanu dobu s dohladom zodpovedneho cloveka, je vramci moznosti bezpecny postup.

Souhlasím, taky to líp proleze. Nebo nějaký podobný SW.

7

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 10. 11. 2023, 22:48:09 »

BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10

já psal neopravitelné zranitelnosti a ne nezáplatované CVE . Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.

Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.

Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.

RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.

co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím

Navíc pojednává o útoku na “MS RDP gateway”, ne o RDP na win10. Určitě by se našel lepší příklad…
Tím nechci říct, že jsem pro to, publikovat RDP.
 Ne že by těch zranitelností bylo málo: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rdp+windows

8

Sítě / Re:Protokol blokován jen na specifické BTS?

« kdy: 10. 11. 2023, 22:30:47 »

BTW, OK, jake je teda nezaplatovane CVE pro RDP na Windows 10

já psal neopravitelné zranitelnosti a ne nezáplatované CVE . Trochu rozdíl. Každopádně MS nezáplatoval třeba CVE-2020-0612 a bluekeep je jen částečně.

Hlavní problém RDP je, že ho lze velice snadno bruteforcovat (UDP bez sezení a rychlým ověřením jména hesla), nemá implementovaný žádný pokročilejší mechamismus ověření, takže ti nezbývá nic jiného než ho za něco zabalit, ověřit uživatele a až pak ho pustit na RDP. Oficiální doporučení typu, že se má lockovat uživatel po X špatných pokusech nebo blokovat remote IP je dost neúčinné, stejně tak jako změna výchozího portu nezabírá.

Pak jsou tady útoky bočník kanálem, např. CVE-2022-22015, který MS záplatoval opět jen na půl a prostě maskuje údaje, které považuje za nebezpečené, pořád ale ten útok poskytuje důležité informace o systému.

RDP jako protokol je nevhodně navržený a bez změny protokolu se dá těžko opravit, jsou to jen dočasné záplaty, aby se neřeklo.

co vypnout nebo filtrovat RDP/udp ? pomůže trochu ?
ad CVE-2020-0612 … to je DoS útok, umožňuje to průnik ? Nemyslím

9

Odkladiště / Re:Co se stalo s Lamer.cz ?

« kdy: 06. 11. 2023, 08:23:34 »

Díky za připomenutí, docela jsem se pobavil a zavzpomínal.

10

Server / Re:Ověření zranitelnosti webového serveru

« kdy: 03. 11. 2023, 23:24:17 »

Existuje primocary zpusob jak prokazat neexistenci zranitelnosti https://nvd.nist.gov/vuln/detail/CVE-2019-9513 na webovem serveru z venku? Dostal jsem email od zakaznika, ze na webovem serveru jsou zranitelnosti, neni to pravda, nevim jak to snadno predvest.

Idealne hledam nejaky webovy scanner, na ktery by stacilo poslat odkaz.

a jseš  si jistej, že server poskytuje http/2 i přes to API ?

11

Sítě / Re:Vodafone (exUPC) přípojka se chová šíleně

« kdy: 17. 10. 2023, 18:39:44 »

Taky jsem z toho nešťastnej. Speedtest sice ukazuje správně 500/30, ale trápí mě packetloss - mwan každou chvíli loguje ztracený monitorovací ICMP packet a taky je to znát na DNS - překlady jsou občas pomalejší. Je to sice pod 1%, ale je to opruz. Úroveň signálu/SNR mám dobrou, tak buď je to tím Compalem (v bridge módu) nebo jejich sítí.

DNS překlady vnímám taky tak, nastavil jsem si proto na zařízeních dns manuálně. Škoda, že to nejde dát jako DHCP option na Compalu

12

Server / Re:Správa infrastruktury pro webové aplikace

« kdy: 14. 10. 2023, 18:01:20 »

dik moc
 

Ku tomu Cloudflare:

Pozri ich web - https://www.cloudflare.com  Pricing najdes na linku https://www.cloudflare.com/plans/ Zakladny balik je zdarma.

Ochrana voci DDOS spociva v tom, ze musis zmenit DNS NS (nameserveri) na danej domene na Cloudflare. Tym padom vlastne vsetok traffic na domene bude routovany cez Cloudflare. Vdaka tomu ak zistia mozny DDOS utok na danej domene, vedia prepnut nastavenie uctu do Under Attack modu a zobrazit navstevnikom webu nejaky jednoduchy javascript challenge. Nieco ako recaptcha. To by malo odfiltrovat botov a utocnikov a umoznit beznym navstevnikom webu zobrazit web a tym znizit load servera. Je tam moznost si vyklikat aj nejake pravidla, pripadne si to zapnut rucne, ak zistis sam, ze na teba niekto utoci.

Okrem tejto DDOS ochrany tam maju kopec analytickych reportov ale i moznost vyuzivat ich ssl certifikat, teda nemusis si riesit auto obnovovanie letsencrypt certifikatu na serveri.

Je tam aj moznost status page. Tj ak mam server down (ale ze uplne down) tak to zobrazi ich status page, ze navstevnikova internetova konektivita je v poriadku a ze problem je len s nedostupnostou webu. V platenej verzii sa da ta status page kustomizovat.

Zaroven sa da Cloudflare vyuzit aj ako CDN.

Maju tam vela moznych nastaveni, len neviem uplne co vsetko je for free. Tym free balickom sa ta snazia nalakat aby si casom presiel na paid verziu.

Nie kazdy vsak je ochotny menit DNS NS zaznamy. Ale ak uz budes, pomoze ti tento tool na verifikaciu stavu DNSSEC https://dnsviz.net/

13

Server / Re:Správa infrastruktury pro webové aplikace

« kdy: 14. 10. 2023, 13:57:02 »

Ahoj

Ja bezim uz takmer 3 roky na dvoch kusoch Raspberry PI 4 s 8GB ram. Primarne mi tam bezia nejake  drobne weby napisane v Ruby on Rails. 

Moj tech stack je nasledovny:
- Docker - kazda RoR app ma svoj docker container
- Docker Swarm - bezim v Docker swareme, mam master a worker node (lepsie by bolo mat aj treti cisto pre load balancer)
- GlusterFS - distribuovany file system (ak mi umrie jedno Raspberry PI, tak to druhe ma realtime zalohu uplodnutych dokumentov)
- Traefik - proxy, ktora je na vstupnom bode a rozhadzuje prichadzajuce requesty na konkretne docker kontajnery (zjednodusene). Vie sama riesit aj Letsencrypt automaticke obnovovanie certifikatov
- PostgreSQL - databaza, ktora vdaka Patroni vie bezat v High Availability rezime (realne sa mi synchronizuju navzajom, takze ked mi zobrie jedno RPI, mam realtime zalohu na druhom RPI)
- Portainer - GUI manazment pre Docker kontajnery a Docker Swarm
- Zabbix - monitoring infra
- UptimeRobot - externy monitoring dostupnosti webov
- Cloudflare - DDOS ochrana webov

Clanok najdes na https://github.com/Matho/dockerize-pi-2 Len upozornujem ze nie je to tutorial ktory by bol vyladeny pre publikum, skor su to take moje poznamky pre seba, aby som vedel co som si ako nasetupoval ked som to robil.

Verim, ze by ti to mohlo pomoct.

Poznamka: Niesom sysadmin, ale ako odrazovy mostik to stacit bude.

Můžes prosím rozvést ten cloudflare ? Co jak za kolik ?

14

Hardware / Re:Náhradní klávesa do notebooku Lenovo Thinkpad

« kdy: 11. 10. 2023, 01:04:19 »

tak dá se tam i gumovým lepidlem nalepit korkový špunt, ale není to ono 

ale zase je to green :-)

15

Hardware / Re:Náhradní klávesa do notebooku Lenovo Thinkpad

« kdy: 10. 10. 2023, 22:17:28 »

Nevím , která klávesa vypadla, ale kdysi jsme to s klukem podobně pracně řešili a nakonec stačilo si pamatovat co na ní bylo :-)