Příspěvky

886

Windows a jiné systémy / Re:Licence pro Windows 10

« kdy: 22. 01. 2020, 18:26:07 »

To není pravda v podstatě mu stačí tvrzení že věc zakoupil na internetu s funkčním klíčem (jako důkaz může sloužit spouta věcí klidně i svědectví) a žalující musí prokázat opak (například pokud by používal crack, či se jednalo o klíč stále patřící někomu jinému).

Crack není sám o sobě překážkou v legálnosti. Můžete tím porušovat nějaké dílčí ujednání smlouvy, ale pokud máte program koupený, samotný crack legálnost nezruší.

Nesmyslná analogie. Autor nemá právo prohledávat lidem PC a vyžadovat potvrzení o licenci, kontrolor taky jen zkontroluje lístek a rozhodně nebude chtít po každém účtenku kde ji koupil.... Práce kontrolora jde naopak srovnat s aktivací klíče we windows.

Klíč není licence. Licence je smlouva. V případě drahých software je smlouva tradiční (potvrzená oběma stranami), v případě většiny sw je to tzv. adhezní smlouva (např. Microsoft End User License Agreement - EULA). Adhezní smlouvu můžete přijmout nebo odmítnout, ale (obvykle) nemáte možnost se k ní vyjádřit a dosáhnout změny. Aby tato smlouva byla platná, je nezbytné prokázat nabytí. Proto je nejběžnějším prostředkem kupní doklad. Ten není samozřejmě jediný, přesně jak píšete, existují další možnosti jak to prokázat, ale jejich průkaznost v případě problému je už nižší. Jedním z podpůrných důkazů při prokazování platnosti smlouvy může být např. COA štítek, instalační klíč - indicie, které přesvědčí soud o tom, že Vaše tvrzení se zakládá na pravdě.

Nezapomeňte na to, že jste to Vy, kdo se dovolává platnosti smlouvy - proto taky prokazujete TOTO tvrzení.

Samozřejmě Vám nemůže nikdo prohledat počítač! Jedině Policie na základě soudního příkazu a soud ho vydá jen po předložení dostatečně silných indicií a jen v trestním řízení. V civilním řízení toto nehrozí vůbec. Autor má však právo ptát se po licenci, pokud jakýmkoliv způsobem ví, že software užíváte - absurdní příklad, ale platný: uvidí Vás v kavárně, že jeho sw máte spuštěný.

Jízdenka je doklad o zaplacení jízdného. Na základě zaplacení jízdného vzniká mezi Vámi a dopravcem přepravní smlouva. Pokud ztratíte jízdenku, ale prokážete její koupi (dodatečně), nemůžete dostat pokutu za jízdu na černo. Můžete dostat pokutu za nepředložení dokladu. Proto obvykle bývá pokuta nižší, když prokážete, že jste jízdenku jen ztratil, zapomněl. Dopravce by nemohl spravedlivě požadovat tzv. zvýšené jízdné, když už jste ho zaplatil, proto je pokuta poplatkem za zvýšenou administrativu. Analogie je prakticky dokonale sedící.

Myslím, že ne úplně rozumíte volnému hodnocení důkazů a ve vzájemných souvislostech. Pokud u Vás najdou (nechme stranou jak) program, o kterém budete tvrdit, že Vám ho někdo hodil do schránky a máte na to svědky, soud to nemusí přijmout. A klidně v jiném případě to přijmout může. Soud je od toho, aby mohl volně hodnotit a jednotlivým důkazům dávat váhu. Kdyby se důkazy daly vyhodnotit TRUE / FALSE, nebyly by soudy potřeba.

Zcela reálný příklad z praxe:
- najdou u Vás kupu SW, ale zjistí se, že není legální, protože jste ho koupil od někoho, kdo Vás podvedl
=> trestní odpovědnost nenesete, jednal jste v dobré víře
=> v civilním řízení Vám ale bude uloženo zaplatit autorovi, protože Vaše dobrá víra nemění nic na tom, že on byl na svých právech ukrácen
=> velmi pravděpodobně ovšem soud nepřisoudí autorovi dvojnásobek běžné ceny, jak je psáno v autorském zákoně, protože by bylo proti dobrým mravům získat zvýšený poplatek od někoho, kdo jednal v dobré víře

Musíte opravdu odlišovat trestní právo (tresty pro zločince) od civilního práva (narovnání vztahů mezi osobami). Obě řízení sledují úplně jiný cíl a jejich výsledek na sobě nezávisí.

887

Sítě / Re:Rozdělení switche - dodatek ohledně private VLAN...

« kdy: 22. 01. 2020, 17:12:54 »

Zrovna dneska jsem v práci něco rekonfiguroval a narazil jsem na to na C3650 a připomnělo se mi to taky. Nikdy jsem to ale nepoužíval.

Ono se tím zřejmě dá např. stáhnout i L3 provoz v rámci L2 segmentu tak, aby tekl skrz default gateway, kde se dá na L3 ofiltrovat (je potřeba tomu trochu pomoct proxy ARPem).

Nechápu..?

Zatím jsem si na to nesáhl rukama a není mi jasné, co to má za dopad třeba na funkce založené na L2 broadcastu (jiné než kde broadcastuje default GW). Může to být asi dost mazec.

Nemám vyzkoušeno, ale mělo by to fungovat tak, že broadcasty z promiscuous uslyší všichni. Broadcasty z community uslyší všichni v rámci komunity + všichni promiscuous. Broadcasty z private uslyší jen promiscuous porty.

Na některých switchích jsem viděl ještě horší věc: port, který je v access režimu a zároveň ve více VLAN. To teprve musí být bordel a bezpečnost vniveči.

888

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 22. 01. 2020, 10:42:21 »

Tohle pravidlo se nikdy nepoužije hned na začátku komunikace, logické by bylo dávat ho až na konec, ale dává se na první místo, protože mu vyhoví největší počet paketů a už se pak nemusí procházet další pravidla. A teprve za tohle pravidlo dáváte další pravidla, která se aplikují jen na pakety, které navazují spojení. A vycházíte z toho, že když neprojde paket navazující spojení, nemohou přijít ani žádné pakety, které s tím spojením souvisí.

Toto je o návycích a konečně i o typu firewallu.

Např. PF (BSD) na navazující packety netvoří extra pravidlo - pokud chcete statefull vyhodnocení, přidáte do pravidla keep / modulate / synproxy state a zbytek už řeší firewall sám. To je třeba daleko šikovnější, přehlednější na správu. Vím, která spojení chci jen propustit, která modulovat a která synproxovat. V Linuxu to nastavuji daleko složitěji, ale zase můžu detailněji. Je to náchylnější na konfigurační chybu, když specialitky nevyžaduji.

Est, rel je na druhou stranu k ničemu mít nahoře, pokud potřebujete vyhodnocovat limity.

Jsou spojení, která mohu zpracovávat stateless. Typicky je to třeba management v zabezpečené síti. Jedno pravidlo propustí ssh dovnitř, druhé odpovědi ven. DNS taktéž. Výhodou stateless je zvýšení spolehlivosti při (re)konfiguracích, lze pak flushovat conntrack aniž by se rozpadlo ssh. Obecně považuji za lepší snižovat tlak na conntrack, když to jde. (A to, jestli to jde a jde bezpečně, už vyžaduje hlubší znalosti).

889

Software / Re:Generování UID pro adduser

« kdy: 21. 01. 2020, 20:57:45 »

Podle mě spoléhat na stejné uid/gid je chybné. Sám jste popsal situaci, kdy to může selhat. Do budoucna mohou takové situace přibývat a uspravujete se nad něčím, co je postavené na vetchém základě. Když už bych to potřeboval, využíval bych třeba něco z toho, co píšete. Je menší zlo být závislý na této spolehlivosti, než rizika z ručního řešení, jaké popisujete. Ano, musíte počítat s tím, že metoda ověření nemusí být chvíli dostupná - ale s tím dnes spousta systémů počítá.

890

Sítě / Re:Doporučte 4G modem

« kdy: 21. 01. 2020, 18:30:26 »

Říká se tomu IP Passthrough a některé modemy to podporují. Prakticky všechny se spoustou problémů. IMHO je nejlepší to chtít po operátorovi, protože pak můžete chtít řešit problémy. Operátoři (všichni) to umějí dodat, ale ve standardní nabídce to nemají a musí se to z nich tak trochu vymlátit přes obchoďáka (který tři týdny obvykle promrhá tím, že nechápe, co po něm chcete).

891

Windows a jiné systémy / Re:Licence pro Windows 10

« kdy: 21. 01. 2020, 15:58:48 »

Nějak se tu zapomíná na presumpci neviny, ne?

Pokud si někdo myslí, že činním něco nelegálního, musí mi to nejdřív dokázat!
Já tedy rozhodně nemusím dokazovat svou nevinnu.

Presumpce neviny platí v trestním řízení (trestní řízení je to, kde můžete dostat pokutu, vězení). Před tím, než se případ dostane před soud, provádí vyšetřování vyšetřovatel (Policie), který své závěry předává státnímu zástupci a ten rozhoduje, jestli jsou důkazy dostatečné pro to, aby byly předloženy soudu. Vyšetřovatel i soudy vycházejí z míry pravděpodobnosti - musí vyloučit absurdní nebo velmi nepravděpodobné děje. To se dělá hodnocením všech důkazů v jejich souvislostech. Jednou souvislostí může být např. to, že podezřelý software byl nalezený jen jeden a jedná se o důchodce, který chodí jen na internet - tam se pak dá poměrně hodně věřit tomu, že byl v dobré víře. Pokud podezřelý software najde u internetového geeka a najde u něj dvacet dalších podezřelých programů, už bude důkaz hodnocen daleko závažněji.

Ve chvíli, kdy vyšetřovatel shromáždí dostatek důkazů na obžalobu a státní zástupce to potvrdí, octne se podezřelý před soudem. Obranou před soudem může být cokoliv: mlčení, mlžení i lhaní. Účastník nemůže být potrestán za to, že použije na svoji obranu i lež, nicméně soud pak bude celé jeho výpovědi přikládat menší váhu, nebo jí i nevěřit vůbec. Obžalovaný pak v určitý moment může dospět k přesvědčení, že se celé řízení ubírá nepříznivě a pak je dobré mít důkazy na podporu svých tvrzení.

Tolik k trestní odpovědnosti, ve které je obžalovaný před soudem, kde stát zastupuje státní zástupce (dříve prokurátor či státní návladní).

Pak tu máme civilní odpovědnost. Tam jedna osoba (firma) žaluje druhou. Nejde o obžalobu, ale o žalobu. Zde na straně držitele autorských práv (zjednodušeně autora) stojí autorský zákon. Bylo by totiž zhola nemožné dokázat, že někdo neužívá dílo v souladu s licencí. Tomu se říká důkaz negatvního tvrzení. Před soudem lze prokázat, že se něco stalo, ale nejde prokázat, že se něco nestalo. Proto ve speciálních případech zákony požadují prokazování na žalovaném.

Postup je pak takový: autor musí podat žalobu a v ní tvrzení, co se stalo, čím se cítí být poškozen a co po kom požaduje. Svoje tvrzení musí podepřít důkazy, jinak soud žalobu nepřijme jako zjevně nedůvodnou. Pokud však soud žalobu přijme, bude na žalovaném, aby prokazoval, že licenci k užití díla má udělenou.

Příkladem z běžného života je kontrola jízdenek v MHD. Kontrolor má právo požadovat předložení jízdního dokladu (analogicky autor má právo požadovat prokázání licence - práva k užívání díla). Pokud ho tázaný nepředloží, situace se zaprotokoluje (obvykle s podpisem kontrolovaného, nebo před svědky, aby bylo jasné, že k tomu opravdu došlo). To už je dostatečný důkaz pro soudní při. Stejně jako u licencí, tak ani v MHD nemusí dopravní podnik prokazovat že cestující nezakoupil jízdenku, ale cestující musí prokazovat, že ji zakoupil.

Na závěr je ještě nutné zdůraznit, že oba typy řízení se nevylučují. Může být podáno trestní oznámení i civilní žaloba. V prvním případě jde státu o to, aby se nepáchala trestná činnost. V druhém případě jde poškozenému o náhradu toho, co mu bylo upřeno. Nebývá výjimkou, že soud zjistí, že se nejedná o trestný čin, ale zároveň je přiřkne náhradu škody.

892

Windows a jiné systémy / Re:Režim běhu doménových řadičů

« kdy: 21. 01. 2020, 13:46:06 »

Rozdělení na primary domain controller (PDC) a secondary domain controller je už léta opuštěno.
Musíte se ke všem chovat jako k primárním, ale jak píše Elep331, musíte počítat i s tím, že se změny mohou promítnout později. Ale to je v AD běžná vlastnost - založíte uživatele a přihlásit se dokáže až za chvíli apod.

893

Server / Re:Přenos velkého množství dat po síti

« kdy: 21. 01. 2020, 10:53:50 »

SCP nebo Rsync, lépe rsync.

Pokud je to v místní síti, tak rychlosti maličko pomůže nastavit v síti (na switchích a koncích) jumbo frames (MTU 9000 apod.).

Rychlost ovlivní zapnutí / vypnutí komprese. Záleží na rychlosti spojení a komprimovatelnosti dat. V některém případě komprese trvá déle, než samotný přenos. To je nutno vyzkoušet.

Zabezpečení, velikost souborů jsou bez problémů.

894

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 20. 01. 2020, 23:33:51 »

Nedočká se z důvodu rp_filter, která je standardně(nebo to tak někdo předpokládá) zapnutá? I za předpokladu že policy je accept? (to je asi hloupá otázka jelikož pravidlo č.#3#  by odchod paketu tak jako tak povolilo). Samozřejmě za předpokladu, že vnitřní počítač na něj odpoví.

Trochu jinak. Filip psal o podvrhnutí zdrojové IP adresy. Tedy že někdo zvenčí (z internetu) pošle na Váš router packet, který se bude jevit jako (např.) 192.168.0.55 => 192.168.0.68. Ale to jsou interní adresy, správně by takový packet vůbec neměl přijít, ale nešť, stát se to může. Co udělá router? Předá ho z internet0 na net0 a tam dorazí na počítač .68. Ten na packet odpoví, ale komu odpoví? Odpoví počítači .55, který byl podvržený jako zdrojová adresa. Ta odpověď se už zpět na router vůbec nedostane.

Takové packety mohou sloužit např. k DoS útoku. Nebo pošlete naslepo do sítě UDP datagram, který něco vykoná (typicky ovládací povel nějaké automatizace apod.) - tam nepotřebujete žádnou odpověď dostat a přesto to může uškodit.

RP filtr slouží k tomu, že se takový packet vůbec nedostane ze špatného interface dovnitř. Tedy, že 192.168.x.x může přijít jedině z net0. Pro základní použití je RP filtr užitečný, ale jsou situace, kdy je potřeba vypnout - a v tu chvíli už musíte vědět, co děláte a zabezpečit si to na firewallu.

895

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 20. 01. 2020, 21:20:23 »

Ale vysvětlujete to špatně. FORWARD pravidla jsou při vysvětlování NATu vynechána proto, že s NATem nijak nesouvisí. V Linuxu se NAT konfiguruje stejným příkazem, jako firewall, je to stejný kód jádra, ale jsou to dvě různé věci. NAT provádí překlad adres, firewall filtruje (blokuje) síťový provoz. Každé to má jinou funkci a může to stát zcela samostatně – můžete používat jenom NAT nebo jenom firewall.

To si myslím, že je pro začátečníka těžké k pochopení. Dobré je na Google dohledat "packet flow in linux", třeba přes obrázky. Tam jsou pak schémata, jak teče packet přes bridge, nat, mangle, filter... Nebo i na Mikrotik.com je hezky packet flow (Mikrotik = Linux, takže to víceméně odpovídá).

Asi bych to zjednodušil, že bezpečnost se dělá na filtru (INPUT, FORWARD, OUTPUT). Na natu ji lze taky částečně suplovat - nejen v kombinaci s rp_filter, ale třeba při překladu dovnitř, kdy se specifikují jen otevřené porty. Ale i v tom případě je správně mít odpovídající pravidlo na FORWARDU (pochopí každý, kdo směruje víc než dva směry).

BTW linuxové packet flow i firewall jsou neuvěřitelně univerzální, ale je to dvousečná zbraň. Bez poměrně dobrého pochopení nelze firewall vystavět. Já třeba nedělám se sítí žádné moc velké opičárny a daleko víc mi vyhovuje PF v BSD. Taky je pravdou, že neuznávám kombinování serverů na routeru (DNS, DHCP atd.), které dost značně komplikují pravidla (potřeba je zdvojit, ztrojit atd.). Naopak za velmi šikovné považuji VRF (Virtual Routing and Forwarding), ale to se zrovna v internetových kuchařkách moc nenosí.

896

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 20. 01. 2020, 20:02:11 »

Ale může a jde. Když na rozhraní internet0 přijde paket s cílovou IP adresou z vnitřní sítě, tak ho router prostě přepošle do vnitřní sítě. Ten router neví nic o tom, že vy něčemu říkáte vnější a vnitřní síť, on jenom přeposílá pakety tam, kam podle cílové IP adresy patří.

Tomu brání spoof protection (rp_filter) na Linuxu, ale ano, ta může být vypnuta.
Na takto malformovaný packet se útočník nedočká odpovědi, takže míra rizika dramaticky klesá.

On jako firewall svým způsobem slouží i ten MASQUERADE

Takže neslouží.

Pokud vezmete výchozí nastavení v Linuxu, tak ano. Vysvětluju tím tazateli to, proč v příkladech jsou mnohdy forward pravidla vynechána.

Ve skutečnosti síť nejlépe funguje bez firewallu – firewall nemůže fungování sítě zlepšit, protože jenom nějaký provoz blokuje.

Ano, přesně tak. Více pravidel jen doplní víc chování čisté sítě, oproti tomuto nastavení.

Nedá se říci, jestli dobře nastavený firewall má hodně pravidle nebo málo, to záleží na konkrétní situaci. Ona je totiž především nesmyslná představa, že existuje něco jako univerzální nastavení firewallu.

Vskutku, univerzální nastavení neexistuje. Já bych třeba doplnil hned na začátek nastavení na rychlé zahození packetů s malformovanými hlavičkami (neplatné kombinace flagů), v rámci vnitřní sítě bych na TCP nenastavoval DROP, ale REJECT, na UDP a ICMP příslušné ICMP odpovědi - eliminují se tím timeouty zevnitř ven. Někdy je účelné REJECT povolit i zvenčí, ale tam už je to daleko víc diskutabilní, stejně jako na druhé straně tcp tarpitting. Někdy se povoluje REJECT ale s limitací odpovědí (pro "legitimní" omyly to pak funguje čistě, proti útokům to chrání). Dobrým síťařským zvykem je taky mít "nahoře" povolené echo reuqest a reply, aby se dalo v síti něco zjistit (a nemuselo se spoléhat na pozdější pravidla).

Pokud někdo nerozumí sítím, je víceméně zbytečné, aby nastavoval firewall. Prostě je jeho síť součástí internetu, je veřejná, a pokusy s firewallem na tom obvykle nic moc nezmění.

Souhlasím. Příklady na internetu jsou víc toxické, než prospěšné.

897

Sítě / Re:Rozdělení switche

« kdy: 20. 01. 2020, 19:37:30 »

Spolehlivost se opravdu netvoří tím, že si nasázíte mnoho switchů a mnoho routerů. Naopak "profesionální" klasikou je pořídit jeden router a jeden switch, které za něco stojí. Stejně tak bezpečnost, řeší se jednoduchými, ale funkčními nastaveními.

Pokud jde o spolehlivost prvků proti havárii, řeší se to zapojením do zdvojení. Přívod do dvou switchů, ty propojeny do kříže, z každého switche do kříže do dvou routerů. To už je komplikovanější nastavení. Díky tomu dvěma switchi a dvěma routery eliminujete SPOF pro větší počet přípojek (firem), než dvě.

Pokud jeden switch a jeden router pro pět firem nahradíte pěti routery a pěti switchi, spolehlivost nezvýšíte. Dopad bude menší (chcípne jen jedna firma), ale četnost incidentů úměrně násobná. Výslednice = 0.

Bezpečnost se řeší primitivně. Nemít na routeru otevřené nic, co není potřeba (na router nepatří DNS a podobné chujoviny), management přes SSH a ověření klíčem. Jste-li víc paranoidní, dají se routery i switche konfigurovat přes RS232 a síťový management mít zakázaný. Nic nového pod sluncem.

898

Sítě / Re:stačí toto 1 pravidlo na NAT+ICS?

« kdy: 20. 01. 2020, 19:33:31 »

První pravidlo říká, že vše, co jde do internetu (tj. -o internet0) se má skrýt za IP adresou co je na interface internet0. Bez toho pravidla by tam šel packet s interní IP adresou a na internetu by nikdo nevěděl, kam má poslat odpověď.

Druhá dvě pravidla jsou firewallovací. To druhé říká, že z net0 do internet0 se má povolit provoz.
To první říká, že odkudkoliv kamkoliv (tedy i z internet0 - z internetu do net0 - LAN) se má povolit provoz, který je odpovědí na nějaký jiný packet. (Bez tohoto pravidla byste poslal sice požadavek do internetu, ale nikdy byste nedostal žádná data nazpět).

Ta druhá dvě pravidla mají smysl pouze v kombinaci s tím, že buďto má FORWARD nastavenou POLICY DROP, nebo by za nimi muselo následovat iptables -A FORWARD -j DROP. Pokud je POLICY ACCEPT a žádný DROP nenásleduje, pak jsou tyto dva řádky zbytečné.

On jako firewall svým způsobem slouží i ten MASQUERADE, protože zvenčí nikdo nemůže poslat do vnitřní sítě požadavek (zvenčí nejde adresovat nic vevnitř). Ale kdybyste neměl MASQUERADE, ale měl přidělenou spoustu veřejných IP adres, je FORWARD jediné místo, kde můžete provoz sanitizovat (týká se např. IPv6, kde se privátní IP adresy nepoužívají).

Ve skutečnosti dobře nastavený firewall má mít o mnoho více pravidel, aby síť fungovala opravdu dobře - ale toto je takový základ, který funguje.

899

Windows a jiné systémy / Re:Licence pro Windows 10

« kdy: 19. 01. 2020, 20:34:53 »

...

Plácáte blbosti. Podle Vás by byl autorský zákon totálně k ničemu.
(Tip: nastudujte si pojem "obrácení" nebo "přenesení" důkazního břemene)

PS: účetní doklad je jen jedním z dokladů, kterým lze prokazovat licenci, rozhodně ne jediným nebo nadřazeným

900

Sítě / Re:Rozdělení switche

« kdy: 17. 01. 2020, 21:23:15 »

Přesně na toto se používají vlan. Koupíte jen lepší switch namísto dvou horších. V rozvaděči pak máte patch panel, organizér a switch. Změny přiřazení děláte konfigurací, ne překolíkováváním drátů.

Dokonce se často dělá i toto:

port 1 - inernetová přípojka (VLAN 10)
port 2-10 - LAN (VLAN 20)
port 11-15 - interní zařízení (VLAN 30)
port 16 router a v něm 802.1q trunk (povolené VLAN 10, 20 a 30)

Do routeru Vám pak vede jen jeden kabel a po něm běží provoz do všech tří VLAN a do nich to rozhodí switch.
Proto profesionální routery mívají 2-3 porty a ne víc, protože zbytek se rozhodí na switchi. Nebývá vůbec výjimkou mít router připojený jen jedním kabelem.

Když potřebujete dostat "ostrý" internet do nějakého zařízení (třeba jen dočasně), překonfigurujete mu port do VLAN 10 a ejhle, už to běží. Potřebujete dostat internet do interních zařízení? Stejný postup.

Na zapojení bez VLAN a třeba přes dva switche taky není nic špatného, ale je to méně pohodlné.

Z hlediska bezpečnosti je to naprosto totožné, vlan jsou mechanismus na L2, zatímco směrování internetu je L3.