Příspěvky

166

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 23. 09. 2017, 10:50:51 »

A teď si představ, že si na venkově někdo otevře picérku s objednávkama na netu. Rozvoz do 10km, je tam pět vesnic. V každé 3x DSLAM, každý funguje jako CGNAT s jednou IP adresou. Jede na to polovina domácností. Takže polovina zákazníků firmy je jenom za 15 IP adresama. Pak přijde pitomec u hostingu, nastaví blbě pravidla pro blokaci a osm z nich zažízne... A podnikatel se ani se o tom, že si 1/4 zákazníků nemůže ani stáhnout ceník a vyhledat telefonní číslo, nedozví. No a když ta "krátkodobá blokace" nastane mezi jedenáctou a půl druhou, tak nejenom nemá ten den kšefty, ale může vyhodit nakoupený suroviny na standardní provoz... Prostě takový normální DoS ze strany hostingu ve jménu bezpečnosti. A to se vyplatí, že...

To takhle někdo dělá? Pěkné zvěrstvo, podobné blokování nesmí ovlivnit běžný provoz, thresholdy by se měly nastavovat o dva, tři a ideálně více řádů nad běžným provozem, pokud tak někdo řeší špatný návrh aplikace, ať je mu země lehká...

Jistou vinu nesou samozřejmě i zákazníci, kdyby takhle masivně neobjednávali pizzu k obědu, žádné blokování by nenastalo

167

Windows a jiné systémy / Re:proč OSX neukazuje sekundy v Informacích/inspektoru

« kdy: 23. 09. 2017, 00:12:28 »

A to jako macík neumí si ani projít nastavení?! System preference > Language & Regions a v Advanced máš možnosti si uzpůsobit časy.

Nebo si pořiď Windows, tohle je nad tvoje schopnosti a možnosti.

168

Server / Re:Hardware pro malý domácí server

« kdy: 22. 09. 2017, 23:53:04 »

4 microservery se 4 disky mají spotřebu do 150W, jsem extrém, mám v těhle microserverech 200TB dat a tvoří mi malý cluster na testování, oproti DL380 je spotřeba lahoda, ty teď nezapínám skoro vůbec.

Nechtěl jsem propagovat microservery od HP, mám doma obě verze, psal jsem jen zkušenosti. Tvoje postavené řešení je 2x dražší na ks než tohle, ale zase můžeš mít lepší CPU. Mně se třeba líbí, že ty HP krásně pasují na sebe a zapadnou do 4U skříně.

Ať si každý koupí co se mu líbí, značka neznačka.

169

Server / Re:Hardware pro malý domácí server

« kdy: 22. 09. 2017, 23:04:48 »

G10 je už na trhu od jara, cena naopak za obdobnou konfiguraci je občas nižší http://www.vipmix.cz/cz-detail-901929816-hp-proliant-microserver-g10-x3216-8gb-u-4lff-nhp-sata-200w-ps-entry-server.html (tady mají např. skladem ještě pár desítek ks).

spotřebu energie má asi o 10Wh nižší, ale 4 ks se 4 osazenými disky se vejdou do cca 150Wh u obou verzí. Beru v potaz jen tu základní konfiguraci.

edit: kojot4: G10 má 2x displayport

170

Server / Re:Hardware pro malý domácí server

« kdy: 22. 09. 2017, 21:34:21 »

G10 vypadá proti G8 mnohem lépe, výkon je cca dvojnásobný (na file server a databáze), pcie 3.0 8x a 1x je plus, konečně mohu tam mít silnější síťovku a k tomu nějaký koprocesor na hraní,  32 GM RAM se hodí, vypadá lépe a LFF disky je možné naházet bez rámečků jen přistavěnými šrouby. OpenBSD i freeBSD na tom už šlape.

Proti plnohodnotným serverům mě to nestojí majlant na elektřině a proti nasům to má nesrovnatelný výkon a rozšířitelnost.

171

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 21. 09. 2017, 23:50:26 »

Hm, uz se vidim, jak si predstrkavam Cloudflare pred domaci Rasberry se ssh.

Pokud na domácím rpi pod ssh provozuješ webovou službu, myslím, že cloudflare je ta poslední divnost, která tě trápí. Právě proto jsem ten odstavec začínal podmínkou...

Na vlastním zařízení pro vlastní potřebu si můžeš blokovat cokoliv lde libosti, o tom tady myslím v celém dlouhém vlákně nikdo se ani nezmínil.

172

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 21. 09. 2017, 20:28:13 »

aspoň mám méně dat k analýze

Ano, to je vůbec nejpádnější důvod pro nasazení fail2ban – aby se vám neplnily logy… Nenapadlo vás někdy, že když nějaká data nechcete analyzovat, nemusíte je před sebou schovávat, ale můžete je při analýze prostě ignorovat? Ještě že neděláte třeba analýzu návštěvnosti webu, to byste zakázal zaměstnancům chodit na web vlastní firmy, aby vám nekazili statistiky.

Tady někdo nepochopil ironii. Mám rád data k analýze a proto nerad používám fail2ban, zbytečně mě jich zbavuje, služba se musí ochránit i bez něho a pokud mám legitimní důvod k blokování (bezpečnost, přetížení linky atd.), potřebuji robustnější řešení.

Pokud se bavíme o webových službách, blokování příchozích jen proto, že mě štvou, je opavdu hodně špatné, chudák nevinný návštěvník často netuší co se děje a pro něj "mu nefunguje internet". Řešením na zatížení je posílit aplikaci nebo předsadit bránu typu tu od cloudfare.

Google search a jeho captcha, kterou umí sám rozlousknout přes rozpoznávání textu? Jo tenhle vtip google dělá už hezkou řádku let.

173

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 21:56:34 »

vzhledem k tomu jak tady Filip Jirsák celý den prokrastinuje (pokud je to placený diskutující, omlouvám se mu), moc praxe nestíhá nabrat, tak mluví jen o teorii.

Blokování zdroje, který dělá problémy je běžná praxe, ani ne tak, že se pak cítím bezpečnějí, ale aspoň mám méně dat k analýze, ale přicházím o dlouhodobou statistiku, což je škoda, já jsem ten od dat. Pokud někdo přetěžuje zdroje, zaslouží si utnout tipec, ono stačí na pár minut.

174

Software / Re:doplněk monitorující změny v href a možnost vrátit link

« kdy: 20. 09. 2017, 17:40:44 »

a k čemu ti to bude?

Řekl bych, že takový doplněk bude problém najít, odkaz nemusíš změnit, ale můžeš přepsat celý element, no a rich aplikace běžně přepisují více než element a jak pak doplněk má poznat jestli se na daném místě objevil nový odkaz nebo starý?

175

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 20. 09. 2017, 12:30:38 »

Už vidím kde je problém, Filip Jirsák mluví z pohledu domácího uživatele, někteří ostatní (vč. mě) zase z pohledu velké nadnárodní sítě, to se pak nemůžeme divit, že si nerozumíme.

Jakmile mám desítky až stovky tisíc stanic k ochraně (ať už serverů nebo osobních počítačů či uzlů), bez blokování provoz pro ochranu to nelze (takovou síť jsem ještě neviděl).

Doporučení držet vše aktualizované je hodně mimo realitu, plán aktualizace serverů pro i malou farmu o cca 2000 kusech je na několik týdnů a během té doby samozřejmě jsou servery zranitelné na opravovanou zranitenost, nasadit blokování, IPS, IDS je mnohem efektivnější a rychlejší a v praxi běžně používané i na ipv6, o čemž je tohle vlákno.

Doporučení nepoužívat nešifrované ftp je opět mimo, občas to ani kvůli stáří SW a nákladům na jeho investici nejde, to se pak tuneluje a vlanuje. To si může dovolit udělat domácí uživatel, pokud na daném protokolu je nějaká infrastruktura ve firmě závislá, jeho změna trvá nějakou dobu (obyč ftp jsem ale už také chvilku neviděl).

Nejsem zastánce automatického blokování celých sítí, ale určitá QoS musí být v provozu a musí umět zamezit problémům, které se dějí. Dnešní útoky a problémy jsou mnohem větší než zvládne NIC u koncové stanice, fail2ban byl asi spíš nástřel pro algoritmus než doporučení jeho bezhlavého používání, sám ho nemám rád, dá se s ním také pěkně vytížit server a efekt je opačný, na koncové stanici podobný SW nemá u mě co dělat.

176

Sítě / Re:Blacklisty pro velké sítě na IPv6

« kdy: 19. 09. 2017, 21:53:24 »

koukám, že Jirsák neviděl nikdy větší síť, možná neviděl ve skutečnosti žádnou síť. Běžně mám předřazené sondy, které zaznamenávají útoky a poté takové formy komunikace rovnou blokuji na chráněné síti aniž by tam ještě první útok proběhl.

Kromě blokování z venku, je vhodné i blokování zevnitř, pokud znám průběh útoku, mohu s tím zabránit izolovat napadené zařízení ze sítě a zabránit rozšíření nákazy.

Obrana proti 0day to není, ale drtivá většina útoků jsou již známé neplechy. Stejně jak drahé služby chráním proti nadměrnému vytěžování, ať už nějakým QoS nebo prostým blacklistem, žádným systém není schopný ustát libovolný provoz.

Stejně tak blokováním mohu zabránit zneužití ještě neopravené slabiny, nemusím jen blokovat podle zdrojové adresy/sítě, ale i celé protokoly, porty či podle obsahu nebo metadat. Uvnitř sítě běžně filtruji a blokuji ohlašovací zprávy, které tam nemají co dělat atd.

Fail2ban je takové pižlátko, ale může být třeba centralizovanou databázi a pravidla rozšiřovat po celé síti, avšak jsou vhodnější nástroje a FW na samotném serveru je jen nouzovka.

177

Software / Re:Software na projektovani pocitacovych siti

« kdy: 13. 09. 2017, 08:23:31 »

Power Designer, je v něm rozklesena třeba síť jednoho z našich operátorů

178

Windows a jiné systémy / Re:"OS X" fejkuje název ve výsledcích vyhledávání

« kdy: 11. 09. 2017, 00:34:04 »

co odstranit ten mp3 tag? Pak to nebude finder indexovat.

Tohle je problém u každého SW, který sám indexuje soubory a jejich metadata, pokud se ti to nelíbí, vynech tyhle soubory z indexování a používej specializovaný SW jen na tyhle typy souborů.

PS: ty bys také mohl jít o dům dál, tvoje dotazy jsou hloupé a spíše to vypadá, že si stěžuješ než hledáš radu

179

Hardware / Re:Má smysl používat zálohovací pásky?

« kdy: 09. 09. 2017, 11:02:13 »

diskuzi čtu se zájmem, ale už to vypadá jen na honění trika.

Záloha na pásky je v současnosti jediný plošně nasaditelný způsob jak uchovat dlouhodobě data pro archivaci/disaster recovery. Pokud firma chce mít data i za deset a více let, musí to dávat na pásky.

V ČR pásky používají všechny velké banky (netuším jak to má třeba řešení sberbank a další exoti), operátoři, velké průmyslové podniky (Škoda, ČEZ atd. atd.).

Není důležité jaké množství dat potřebuji zálohovat, jen chce počítat s tím, že cena za uložený TB na pásce exponenciálně klesá s množstvím dat. Znám ale podniky, kde zálohují stovky GB na pásky, jo jde to, stojí je to víc, ale přednostnosti jsou shodné.

180

Hardware / Re:Aky filesystem pre 6TB externy HDD?

« kdy: 08. 09. 2017, 14:30:07 »

lze také použít exfat, na linuxu funguje obstojně zápis/čtení přes fuse-driver, jen bacha na speciální znaky v názvech. Používám to tak občas.

Teoreticky by mohl jít pužít btrfs, winbtrfs driver se dostal do stabilní verze, i na rootu se o tom před pár dny psala a třeba by to fungovalo, ale nemám zkušenosti.