Příspěvky

4876

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 12. 02. 2015, 10:36:39 »

No nic, už dávno je jasné, že ten proxy server k ničemu nepotřebujete, že si jenom chcete hrát, tak si klidně hrajte.

Idealni cesta, jak se neco naucit.

To bezpochyby. Jenže i při té hře je dobré vnímat rady zkušenějších. Protože některé věci budete hrou zjišťovat velmi dlouho, případně je správně nezjistíte nikdy. Navíc při hře jsou trochu jiná kritéria na to, co dává jaký smysl. Takže sice nedává žádný smysl v domácí síti mít transparentní HTTP proxy nebo řešit konfiguraci instalačního balíčku Firefoxu, při hře to dává smysl obojí. A zatímco význam znalosti transparentního HTTP proxy serveru postupně klesá (mají čím dál menší účinnost při šetření přenosového pásma, takže postupně může převažovat jejich režie, tedy zpomalování provozu a generování dalšího provozu), navíc šifrovanou HTTP/2.0 komunikaci ten transparentní proxy server prostě zruší (takže po pár stížnostech bude muset provozovat zrušit tu proxy), automatickou konfiguraci Firefoxu při instalaci využije nejeden správce sítě.

4877

Sítě / Re:Server, veřejná IP, dvě firmy - jak nastavit?

« kdy: 12. 02. 2015, 07:35:01 »

Aby to bylo bezpečné pro tu firmu, měla by také mít před svou sítí firewall. Pokud sítě oddělíte VLANy, nebudou ty sítě mezi sebou propojené přímo (že by se zařízení z vaší sítě mohlo přímo stát členem jejich sítě), ale pořád ještě mezi těmi sítěmi může fungovat normální routování. Takže pak stále ještě záleží na tom, jak bude nakonfigurovaný firewall na tom modemu (respektive na tom zařízení, kde se ty VLANy setkávají), jaký provoz dovolí mezi těmi sítěmi routovat. Pokud bude ten styčný bod spravovat správce té druhé firmy, může si nastavit firewall mezi jeho a vaší sítí už tam a nepotřebuje pak další firewall před svou sítí (a samozřejmě opačně, pokud byste ten styčný bod spravoval vy).

Jinak se tu bavíme o bezpečnosti sítí v tom smyslu, aby se někdo nedostal dovnitř. Ten, kdo spravuje modem a případné další společné prvky, samozřejmě může odposlouchávat veškerý nešifrovaný provoz a může libovolný provoz přesměrovat k sobě.

Je lepší kvůli rychlosti přístupu k datům na serveru dát lokály do toho našeho routeru, nebo je cpát až za server, který je sám o sobě vytížen až až (což bude ale asi bezpečnější)?

Ptáte se na topologii vnitřní sítě, kam připojit místní počítače? Určitě bych nevytvářel ze serveru další router a nepřipojoval stanice až k němu - to by tam pak ten vlastní router na hranici sítě byl prakticky zbytečný. Máte dvě možnosti. Buď vše připojíte dohromady k routeru (přes jeden switch), takže stanice v síti uvidí na server přímo. Pokud máte v serveru 1 Gbits kartu a 1 Gbits switch, budou moci stanice se serverem komunikovat touto rychlostí. Ale je to méně bezpečné, pokud by se vám někdo dostal na server, má stanice jak na dlani, pokud se dostane na nějakou stanici, má otevřenou cestu na server. Druhou možností je umístit server do klasické demilitarizované zóny (DMZ), tj. server bude v samostatné síti a provoz mezi ním a stanicemi bude routovat (a "fiewallovat") ten hraniční router. Je to bezpečnější, na druhou stranu, levné routery neuroutují 1 Gbits.

4878

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 12. 02. 2015, 07:17:24 »

Já samozřejmě vím co obsluhuje proxy, ale již v prvním postu jsem uváděl nezabezpečenou komunikaci na portu 80, přesně z důvodů jaké se zde objevovaly dále. Po prvním postu kde bylo uvedeno přesměrování portu 80 na squid, jsi hned vymýšlel https, na což upozorňoval i JardaP, vy vole..... Pokud někdo mluví o portu 80 a ty o https, okamžitě ses vyřadil ze hry. Hotovo.

Nemůžu si pomoci, ale vždycky mne pobaví, když si někdo tak jako vy zakládá na svých neznalostech. Přitom už jsem vám to vysvětloval. No nic, už dávno je jasné, že ten proxy server k ničemu nepotřebujete, že si jenom chcete hrát, tak si klidně hrajte. Pozitiva ani negativa toho proxy serveru návštěvy nepoznají, protože jsou to příliš malé rozdíly. A vás důsledky nezajímají a budete spokojen, když si pohrajete.

Ono je už od vašeho druhého komentáře dost pravděpodobné, že vy žádné rady nepotřebujete, ale přeci jen by to tu mohl později číst také někdo jiný, kdo by ten proxy server myslel třeba vážně.

4879

Sítě / Re:Server, veřejná IP, dvě firmy - jak nastavit?

« kdy: 11. 02. 2015, 21:56:32 »

Ty porty na modemu jsou s největší pravděpodobností interně propojené do switche. Tam by to šlo oddělit jedině tehdy, pokud by ten mdoem podporoval VLANy a vy byste věřil, že jsou nakonfigurované správně. Pokud vy chcete mít jistotu, že vaše síť je bezpečná, připojte jí do svého routeru, kde si nakonfigurujete firewall, a teprve z toho routeru se připojte do modemu. Modem i síť druhé firmy pak pro vás budou "internet" a bezpečnost vaší sítě bude záviset jen na konfiguraci toho vašeho hraničního routeru.

4880

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 11. 02. 2015, 21:50:37 »

Já jsem vám také neradil konfiguraci instalačních balíčků, ale abyste zvážil, zda opravdu proxy server nutně potřebujete, a pokud ano, abyste použil netransparentní režim. Přičemž to byly také rady slušné a k věci. Neslušný jsem začal být až po té, co jste se projevil, že netušíte, že web proxy server obvykle obsluhuje protokoly HTTP i HTTPS, ale oč méně znalostí máte, o to arogantněji jste to musel napsat. Instalační balíky byla jen poznámka na okraj, abych se vzápětí nedočkal odpovědi, že přece nebudete ručně konfigurovat Firefox na 25 počítačích. Pokud totiž jde o jeden prohlížeč návštěvy, je skutečně daleko nejjednodušší nastavit tam automaticky konfiguraci, protože si za prvé nemusíte pamatovat konfigurační údaje, a za druhé mu ta konfigurace bude fungovat všude, kde proxy server buď není a nebo je zprovozněná automatická konfigurace.

Konfigurace instalačních balíků je těžce mimo mísu, pokud se bavíme o domácnosti...

Pokud se bavíme o domácnosti, je to úplně stejně těžce mimo mísu, jako transparentní HTTP proxy server. Pokud vy si vymýšlíte takovéhle šílenosti, nedivte se, že i navržená řešení budou stejně šílená.

4881

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 11. 02. 2015, 18:12:33 »

Je pro vás problém přijmout vstupní argumenty jaké dostanete a na základě nich vyhodnotit výstup

Přesně to jsem udělal a poradil jsem vám v komentáři číslo 2. Protože jsem si ale nebyl jist, zda opravdu nějaký důvod pro zprovoznění transparentního proxy nemáte, raději jsem se zeptal. A po upřesnění z vaší strany jsem odpověděl podle mne nejlepší možné řešení v komentáři č. 18.

Mimochodem, na váš původní dotaz vám přímo neodpověděl nikdo, akorát v komentáři č. 3 je názor, že to váš router asi umět nebude. Takže s tím, že vás zajímají pouze odpovědi přesně na váš dotaz, byste měl být trochu opatrnější. Taky byste asi neměl děkovat za to, že vám někdo odpověděl na něco jiného, než na co jste se ptal.

Díky! Taková blbost, ale jak na to čučím v téhle síti už tak dlouho, ani mě nenapadlo že by to mohlo být jinak. 

4882

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 11. 02. 2015, 17:36:04 »

Já psal že je to doma, tak budu asi příchozí návštěvě která si přinese nb s neznámým systémem dávat nějaký instalační balíček FF, ne?

Víte, když nenapíšete skoro nic o vašem problému, nezbývá těm, co jsou ochotni pomoci, než se dohadovat, a pro různé možné varianty navrhovat různá řešení. Z toho, že jste napsal, že je to doma, a že je tam 25 zařízení, se opravdu nedá uhodnout, jestli jsou to notebooky návštěv, nebo jestli tam máte hodně desktopů. Navíc když neustále vymýšlíte, jak by se to celé dalo co nejvíc zkomplikovat, vnucování vlastního instalačního balíčku prohlížeče návštěvám by byla docela pěkná komplikace, nemyslíte?

Ono totiž pro domácí připojení, s routerem, který nic neumí, a pro návštěvy s notebooky, má váš problém jediné rozumné řešení: vykašlete se na nějaké proxy servery a buďte rád, že vám to funguje.

4883

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 11. 02. 2015, 15:12:11 »

Například Firefox který automaticky nastavím na přístup přes proxy je předtím třeba nastavit, aby použil automatickou konfiguraci proxy. Pokud už ho budu nastavovat, mohl bych rovnou nastavit proxy, nemyslíte? Takže automatika jako prase. 

Proč by bylo potřeba to nastavovat? Použití konfigurace ze systému vám nestačí? A pokud chcete Firefox instalovat na větším množství počítačů, můžete si výchozí volbu při vytvoření nového profilu nastavit v instalačním balíku.

Ale když si chcete život komplikovat transparentním proxy serverem, který vám bude fungovat jenom pro protokol HTTP na portu 80, je to vaše volba. Můžete pomalu začít přemýšlet, co budete dělat s protokolem HTTP/2.0, kde bude podpora šifrování povinná.

4884

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 11. 02. 2015, 10:40:17 »

Co mi brani nastavit v prehliadacoch (a inych aplikaciach, ktore do nastaveni prehliadacov nepozeraju by default) ten squid ako proxy ? Tym padom 80+443 ide na squid, zvysok na zyxel ...
Mozno mi nieco uniklo, ale takto mi to prislo jaksi najviac easy ...

Přesně na to jsem se ptal, a dozvěděl jsem se, že tomu vůbec nerozumím… Jinak v prohlížečích se to nemusí explicitně nastavovat, všechny rozumné prohlížeče (a další aplikace) podporují autokonfiguraci přes WPAD.

4885

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 11. 02. 2015, 07:28:17 »

FJ: ne, na portu 80 se nejedná o https 

Aha, takže vám nejde o webový proxy server, vy prostě jenom chcete transparentní proxy server na portu 80, protože proto. Tak s tím vám bohužel neporadím.

Pro vaši informaci, pokud se používá proxy server pro port 80, zpravidla to bývá webový proxy server. A na webu se používají protokoly HTTP a HTTPS, takže  většina správců, kteří řeší webový proxy server, řeší oba dva protokoly.

4886

Sítě / Re:Zyxel a přesměrování portu z LAN jinam do LAN

« kdy: 11. 02. 2015, 00:36:01 »

Máte nějaký dobrý důvod, proč chcete proxy server měnit na transparentní? Transparentní proxy server je MITM útok na komunikaci, nebude vám např. fungovat s HTTPS a případně mohou vzniknout další problémy z toho, že prohlížeč komunikuje s něčím jiným, než předpokládá.

4887

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 10. 02. 2015, 10:14:13 »

Jako, že adresní řádek zezelené, že je použit EV certifikát?

Ne jen EV certifikát, stačí i DV certifikát – sice je to méně zelené, ale pořád zelené :-)

A ohledně toho, že s epřihlásím na HTTPS a následně mám bránit útěku na HTTP, to se dá dneska zařídit pomocí Strict-Transport-Security: (vyjma IE to snad už umí všechny prohlížeče). Takž pokud proběne úspěšné spávné prvotní přihlášení na HTTPS, která si musí uživatel ověřit, tak pomocí toho HSTS už může web server prohlížeč donutit, aby pro daný server na HTTP nešlo přejít.

Jenže to platí jen pro jednu doménu. A když GoPay na subdoméně www HTTPS ani nemá zprovozněné, nemůže tam použít HSTS. Takže uživatel se může přihlásit přes HTTPS na subdoméně account, ale pak si nemusí ani všimnout, vypadne zpět na www a bude bez šifrování.

Jinak GoPay na subdoméně account samozřejmě HSTS nepoužívá a cookie nenastavuje secure atribut. Takže ta subdoména www, bez HTTPS opravdu není nevýznamné opomenutí nebo dokonce optimalizace rychlosti, ale pouze jeden z mnoha příznaků toho, že na IT bezpečnost z vysoka kašlou.

4888

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 10. 02. 2015, 08:23:30 »

A jak by měl být poučen líp?

Tak, že pokud pracuje na webu s citlivými informacemi (osobní údaje jiných osob, informace o penězích nebo dokonce příkazy k úhradě, e-maily), má si na začátku zkontrolovat, zda je na zabezpečeném webu, a může by si průběžně kontrolovat, že na něm stále zůstává (ale to už je starost autora aplikace, aby uživatele udržel na HTTPS).

Ne každou, ale jenom tu, kam zadává heslo.

Takže když z té stránky, kam zadává heslo, se formulář odešle přes HTTP, je to v pořádku? Když se přihlásí přes HTTPS, ale dál pracuje přes HTTP a session ID se přenáší nešifrovaně, je to v pořádku? Pokud se nejprve v HTTP vytvoří session ID a následně se k této session uživatel přihlásí přes HTTPS, je to v pořádku? Podle mne jsou to všechno vážné bezpečnostní problémy. A uživatel nemá šanci kontrolovat, zda se vše potřebné správně posílá přes HTTPS a přes HTTP se posílají jen nezajímavé věci – uživatel má jedinou možnost, a to sledovat, že je od začátku až do konce na HTTPS. Ve skutečnosti si to zkontroluje jen na začátku a pak už jen spoléhá na to, že je ta aplikace udělaná správně a že ho to z HTTPS někde nevyhodí.

To je samozřejmě nesmysl, protože autor webu nemůže např. nijak kontrolovat MITM útoky. Proto si uživatel sám musí nějak ověřit, že k MITM útoku nedošlo.

Kontrola certifikátu je to jediné, co doopravdy může (a musí) udělat uživatel. Vše ostatní je už na autorovi.

Maximum, čeho je BFU schopný, je podívat se, že je web zelený.

To tvrdím celou dobu. Jenže když se na ten web podíváte, tak „zelený“ není. A to, že někdy v budoucnosti možná „zezelená“, to je nepodstatné. Uživatel neumí rozpoznat, zda web ve správnou chvíli „zezelená“, uživatel rozpozná –jak sám píšete – jenom to, zda web je „zelený“.

4889

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 10. 02. 2015, 06:54:03 »

Opakuju: rozumně poučený uživatel VÍ, že "pokud to není zelené, nemám tam zadávat heslo".

To není rozumně poučený uživatel, ale uživatel poučený velmi hloupě. Navíc je nesmyslné chtít po uživateli, aby kontroloval každou stránku zvlášť. Pokud už si uživatel něco bude kontrolovat, přirozeně to udělá na začátku, když na web vstoupí. Pak už se zabývá tím, proč na web přišel, a nebude myslet ještě na to, že si má později ještě něco kontrolovat. To, aby se uživatel pohyboval po webu celou dobu bezpečně, je starost autora webu - a pouhý přihlašovací formulář přes HTTPS to nezachrání.

4890

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 21:22:37 »

Zapomínáš, že jsme se bavili o tom, jak to udělat bezpečně a bezpečně znamená mj. "tak, aby tomu uživatel rozuměl". HTTPS normální uživatel rozumí na úrovni "je to zelené = je to OK".

Jenže tady to zelené není. A "normální uživatel" nebude zkoumat, kde to vadí hodně a kde jenom trochu. Nanejvýš si všimne, že to na úvodní stránce zelené není, tak usoudí, že to na tomhle webu asi není potřeba - protože bezpečnost je pro ně přeci na první, druhém i  třetím místě, oni tomu určitě rozumí, takže kdyby bylo potřeba, aby to bylo zelené, tak by to zelené měli.