Příspěvky

181

Sítě / Re:Extrémny nápad: Existuje Etherenet kábel s vypínačom

« kdy: 13. 05. 2021, 17:39:54 »

Netuším, co to je za přístroj, aby se dala posoudit rizika. Nicméně, pokud jde o vysokou bezpečnost, pak provoz táhnout co nejvíc odizolovanou VLAN a zakončit samostatným switchem. Na něm vypínat port. Riziko, že někdo projde skrz vlany a ještě se dostane do switche je minimální. Pochopitelně, ale pokud je to sestavené z tp-linků nebo podobných laciných technologií, pak stejně o bezpečnosti moc nehovoříme. Support výrobce je nula.

Dalším řešením je osadit před zařízení router s vypnutým managementem. Na router navazovat ipsec tunel. Bez klíče se nikdo nedostane, a riziko proražení routeru bez služeb je minimální. Opět, nebavíme se o mikrotiku za pár tisíc.

Bastlit galvanický odpojovač ethernetu je blbost.

182

Software / Re:Sdileny kalendar a kontakty

« kdy: 06. 05. 2021, 09:01:19 »

Rozumny poplatek by byl klidne i 400€, kdyby to fungovalo  .

M365 a nic neřešit.

183

Server / Re:Router a Server v jednom

« kdy: 05. 05. 2021, 19:08:07 »

Ale zas nepsal jsi?

Takže skrytí portů bezpečnost zvýší, jen ji nezvýší tolik, jako jiné, lepší řešení problému. Otázka tedy je: zvýší to (pro danou aplikaci) dostatečně?

IP adresa je nestálá. Pokud víme, komu patří dnes, nevíme, komu bude patřit zítra. Na to bychom museli stanovit pravidelnou revizi (z praxe vím, že access listy jen rostou, málokdy se revidují). Nemáme jak ověřit, že IP odesilatele nebyla cestou podvržena (může udělat kdokoliv po cestě). Z hlediska bezpečnosti bych to bral spíš jako poor man's hardening. Pro vyhodnocení rizik bych to označil čistou nulou a vyžadoval bych stejně další mechanismus, který bude spolehlivý. Spolehlivý mechanismus může být náchylný k DoS, a tam IP access list může posloužit k odvrácení odepření služby, ale ne k zabezpečení.

184

Server / Re:Router a Server v jednom

« kdy: 05. 05. 2021, 18:30:54 »

Neviditelnost portů vnímám jako eliminaci jednoho z vektorů útoku. Pokud se objevují zranitelnosti komerčních VPNek, pak je pro mě skrytí portů důležitá prevence.

Ne v pravém slova smyslu. Neřeší to problém, jen to uhýbá před jeho projevem. Problém zůstává dál.

Představte si letadlo, kterému nefunguje osvětlení kokpitu. Můžete buďto opravit letadlo, nebo vydat pokyn, že se smí lítat jen ve dne. Pokud se vydáte tou druhou cestou, tak se nic nestane do doby, než se pilotům přihodí (třeba kvůli problému na letišti), že zapadne slunce.

Za bezpečnostní řešení konkrétního problému se dá považovat jen takové, jehož výskyt dokážete eliminovat, ne jen mitigovat.

Proto se to obvykle nepovažuje za zabezpečení, pouze za mitigaci projevů.

185

Server / Re:Router a Server v jednom

« kdy: 05. 05. 2021, 10:21:45 »

Přesně tak, pletou si NAT a firewall.
NAT - samozřejmě, do jisté míry / nějak - zesložiťuje útok, ale NAT není firewall.

To byl jen jeden příklad, jak někdy mylná úvaha vede k řetězci špatných úvah na poli bezpečnosti. Diskutovaná byla otázka, jak může VPS na stroji vystrčením na internetu, ohrozit perimetr vnitřní sítě a ostatní VPS. Meritem je, že v takové konfiguraci je oslabené oddělení, oproti fyzickému oddělení. Při fyzickém oddělení musí být další chyby v komunikačních protokolech, v jejich nastavení. Při souběhu na jednom hypervizoru se přičítají ještě rizika plynoucí z hypervizoru - tj. chybná konfigurace, chyby hardware (spectre), backdoory (amt), a z hlediska provozu ještě rizika výpadku (případný DoS útok je vedený na mašinu, která slouží i dovnitř).

Zhodnocení těch rizik je otázka jiná. Někdy to vadí hodně (závisí na tom provoz zaměstnanců), jindy to vadí méně (hobby projekt). Bez toho, aniž by někdo vyjmenoval potenciální vektory útoků, nelze zhodnotit dopady. Bez zhodnocení dopadů nelze odpovědět na otázku, zdali je to v mém případě možno považovat za dostatečně bezpečné.

Takže pokud někdo položí otázku "je to bezpečné?", je taková otázka nezodpověditelná bez doplnění očekávání. Absolutní bezpečnost neexistuje, a je-li něco relativní, tak se na to dá odpovědět jen "vůči čemu, vůči jakým požadavkům, vůči jakému očekávání?"

186

Server / Re:Router a Server v jednom

« kdy: 05. 05. 2021, 09:10:15 »

Pokud porty vystrčí jen pro určité rozsahy IP adres nebo pro IP rozsahy celé ČR, pořád bude neviditelný před skenery typu shodan a tím pádem i před drtivou většinou útočníků. Osobně si takhle omezuju i dostupnost OpenVPN.

To je klasický omyl. Skrytí před útočníkem nezvyšuje bezpečnost. Příkladem jsou útoky do vnitřní sítě iniciované z prohlížeče, kdy dvířka otevírají NAT helpery. Před léty si taky nikdo neuměl představit, že by se dalo dovnitř dostat přes NAT a dodnes NAT někteří považují za bezpečný by default.

187

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 21:44:26 »

Nikoli! Pravděpodobnost že padne červená v jednotlivém kole sice zůstává stále stejná, ale celková pravděpodobnost, že alespoň v jednom kole padne červená, roste s rostoucím počtem pokusů (= sčítání pravděpodobností).

Aplikováno na téma dotazu: Každého nakonec hacknou.

No jistě. Chtěl jsem tím upozornit, že uplynulých 13 let nijak nezmenšuje riziko, že zrovna zítra pana kolegu někdo úspěšně napadne.

188

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 18:17:47 »

(predpokladam pravidelne aktualizace a ze ve virtualizaci neni ve vychozim stavu nejaka bezpecnostni dira)

Právě jste ten problém popsal, ačkoliv jste se ho rozhodl v úvaze zanedbávat.
Chyba může být ve virtualizaci.
Děravé jsou CPU (spectre).
Na síťovce může bdít (a nemáte to jak ověřit) management, který i přes vypnutí má backdoor (amt).

Pokud tam něco takového je, a promění se to v 0-day útok, pak máte v ohrožení spoustu důležitých věcí hned za prvními dveřmi. A to nemluvím o tom, že konfigurační chyba může ty dveře přímo otevřít a chybí další (blbuvzdorná) bariéra.

189

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 18:14:28 »

Řekněme, že to jsou klikaři 

Nejhorší je, že pár opravdových klikařů znám.
Ale znám i takové, kteří přišli o hodně dat těmi nejnepravděpodobnějšími způsoby.

190

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 18:07:54 »

Tak až se to po 13 letech v nebližší době stane, tak se tady vrátím, rozpláču a nasypu si popel na hlavu.

Nežádám si.

Ale je to myšlení hazardního hráče, který je přesvědčený, že když na ruletě padla 10x za sebou červená, tak příště už musí přijít černá - a nechce uvěřit, že šance je stále 18:37, stejně jako při prvním roztočení. Šalba vlastní zkušeností je nebezpečná.

191

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 17:57:39 »

Určitě jsme na tom lépe, jak 98% zbytku za těma krabičkama.

To bych neřekl. Ve Vašem případě je po prvním úspěšném útoku útočník rovnou u dat. Stačí jeden šikovný 0-day bot.

192

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 17:50:58 »

Jasně, všichni co jsou za nějakou úžasnou krabičkou s anténkama, které jsou děravé jak ementál, mají doboru radu pro ty, co mají bez problému záplatovaný systém.

Tak já třeba děravou krabičku s anténkama nemám, ale taky si ani nefandím, že by některý ze systémů byl tak dokonale a tak rychle záplatovaný, aby neexistovalo riziko. Krom toho, nežiju pro to, abych čekal, kdy budu mít příležitost něco záplatovat. Kromě výjimek, má to nějaký svůj cyklus.

193

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 17:31:06 »

Nepleť se. To, že hraješ Ruskou ruletu už dvanáct let a nic se nestalo neznamená, že jsi chytrý, nebo že to je dobrý nápad.

Krom zvyšování rizik, zvyšuje se dopad. Jednou ranou může jít dolů všechno, třeba i data.

194

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 14:04:58 »

Pokud máš vše správně nastavené, nic moc ti nehrozí.

Toto je jediná důležitá věta.

Neznám opravdového profesionála, který by o své práci řekl, že je vše dobře. Výsledek práce (konfigurace) je daný požadavkům (i sám sobě si člověk definuje cíl), a požadavky jsou zase poplatné zkušenostem. S čím nemáte zkušenost, to se nepromítne do požadavků a potažmo ani do výsledku.

Při úvahách o bezpečnosti se postupuje opačně. Vychází se z toho, že rizika se skrývají nejen v chybách, ale i ve všem, co jsem neměl možnost zkontrolovat nebo nemůžu kontrolovat nepřetržitě, a hlavně ve všem, co jsem nedomyslel já, ani ostatní.

Takže to, že si dnes myslíte, že je to nastavené správně, vůbec neznamená, že si to budete myslet i se zítřejšími zkušenostmi.

Proto existují základní kameny bezpečnosti, které je dobré respektovat. Jednou z mnoha zásad je separovat technologie a segregovat oprávnění. Zjednodušeně řečeno, není dobré mít VPN endpoint na serveru, na který jinak uživatelé nemají mít přístup. Kdyby VPN ochrana selhala, od uživatele tam útok nebude mít otevřenou cestičku. VPN pak podle situace může být na hraničním routeru, ale taky ne vždy. Není to dobré ve chvíli, kdy se na routeru sbíhají segmenty, do kterých uživatel nemá mít přístup. I když se nesbíhají, a v síti je použita IP adresa jako bezpečnostní bariéra (různé IP access listy apod.), pak by neměl mít hypotetický přístup k routeru ani tak. Podobné je to se síťovým provozem. Seběhnout si ošetřený (DMZ) a neošetřený tok a data ve stejném bodě, zvyšuje to rizika.

Pokud se z některých základních pravidel dělají kompromisy (někdy je to nevyhnutelné), pak je potřeba mít jistotu, že ostatní stavební kameny bezpečnosti stojí naprosto pevně, a je potřeba (si) odůvodnit, proč lze ke kompromisu přistoupit.

Vycházet z teze: žádné riziko mě nenapadá, tudíž neexistuje, je špatně.

195

Server / Re:NFS na routeru

« kdy: 04. 05. 2021, 10:17:52 »

na tom routeru nebude od zacatku povolenej pristup z venku (jo, routery mivaji firewall), a tazatel to jiste povolovat nebude kdyz jasne pise ze z venku maximalne pres VPN ;-) proste to neni zadnej rozdil, pokud se uvazuje moznost hacknuti routeru + public sdileni v localni siti z routeru nebo z pc...

Útoky využívají kombinaci chyb. Čím víc služeb na jednom stroji vystrčeném do internetu, tím vyšší riziko.
Je to jeden z pilířů bezpečnosti: segregovat.