Příspěvky

76

Sítě / Re:Nastavení LPTE/IPsec na aktuálním Router OS

« kdy: 23. 11. 2018, 16:12:43 »

Tak jsem si to nastavil, vše funguje k mé zkušenosti.

Akorát v sekci IP - Ipsec - Peer mi svítí hláška "unsafe configuration, suggestion to use certificates"

Můj dotaz: Používám autentizační metodu před sdílený klíč. Je to dnes bezpečnostní problém?

Ahoj,
je to problém ale zatím není dostatečně zneužitelný pro širokou masu lidí, kteří si chtějí jen "hrát" pří posezení v restauraci/kavárně, kde mají free WiFi.
S dostupností "ready to use" nástrojů se to ale rychle změní...

Doporučení je PSK nenasazovat.

Pokud Tě to zajímá podrobněji pak tady je pár linků:

https://web-in-security.blogspot.com/2018/08/practical-dictionary-attack-on-ipsec-ike.html

Am I safe if I use PSKs with IKEv2?
No, interestingly the standard also mentions that IKEv2 does not prevent against off-line dictionary attacks.

https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2018/08/13/sec18-felsch.pdf

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Warning: PSK authentication was known to be vulnerable against Offline attacks in "aggressive" mode, however recent discoveries indicate that offline attack is possible also in case of "main" and "ike2" exchange modes. General recommendation is to avoid using PSK authentication method.

77

Sítě / Re:Více externích IP pro domácí připojení

« kdy: 03. 10. 2018, 00:49:08 »

Diky moc vsem za odpovedi! Kratkodobe se podivam na openwrt, a do budoucna zauvazuju nad mikrotikem.

Ahoj,
doporucil bych poridit rovnou Mikrotik nebo nejaky router od UBNT. OpenWRT muze byt na zacatek dobry ale nevim jaky mas model TP-Linku z cehoz vychazi i vykon. Pripojka asi nebude ve stylu 4Mbit...
Vsechno co jsi pozadoval Mikrotik i UBNT zvladne a mnohem vice. Komunita je u obou vyrobcu velka a na forech naleznes nekolik navrhu reseni temer vseho co Te napadne.

Jen musim upozornit, ze jakmile se v tom zacnes hrabat vice tak to zacne byt velmi navykove... :-)

78

Sítě / Re:Literatura k proniknutí do sítí

« kdy: 17. 09. 2018, 12:35:32 »

Zdravím,
můžete mi někdo doporučit kvalitní literaturu k osvojení si dnešních principů počítačových sítí, protokolů s tím spojených apod.?

...

Ja som sa gro naučil z knihy "Velký průvodce protokoly TCP/IP a systémem DNS". Kniha je dávno vypredaná, ale hádam v nejakej knižnici sa ešte nájde.

Ahoj,
pripojuji se k doporuceni teto knihy. Eshop kde by ji meli v tistene forme skladem jsem nenalezl ale lze ji koupit v elektronicke forme na google knihy.

https://books.google.cz/books?id=8gXqCwAAQBAJ&lpg=PP1&dq=Velk%C3%BD%20pr%C5%AFvodce%20protokoly%20TCP%2FIP%20a%20syst%C3%A9mem%20DNS&hl=cs&pg=PP1#v=onepage&q=Velk%C3%BD%20pr%C5%AFvodce%20protokoly%20TCP/IP%20a%20syst%C3%A9mem%20DNS&f=false

79

Server / Re:nextcloud - HTTP "Strict-Transport-Security"

« kdy: 17. 08. 2018, 01:33:22 »

Ahojte

mám nahodený NextCloud + Ubuntu 18.04 + Apache2 + PHP 7.2

V bezpečnostných upozorneniach NC v setupe je toto:

Hlavička HTTP "Strict-Transport-Security" nie je nakonfigurovaná aspoň na "15552000" sekúnd. Pre zvýšenie bezpečnosti odporúčame povoliť HSTS tak, ako je to popísané v našich bezpečnostných tipoch.

Nič mi to nehovorí a AJ moc neviem takže s ich dokumentácie moc nevičítam.

Môžete mi prosím poradiť ako to "implementovať"

Ďakujem

Ahoj,
HSTS je zkracene receno zvyseni zabezpeceni, ktere pri prvnim pripojeni prohlizeci rekne at pri kazdem dalsim spojeni vzdy pouziva https.
Delsi obecny popis https://cs.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Nastavis to v Apache
"<VirtualHost *:443>
  ServerName cloud.nextcloud.com
    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
    </IfModule>
 </VirtualHost>"

odkaz na dokumentaci: https://docs.nextcloud.com/server/12/admin_manual/configuration_server/harden_server.html#enable-hsts-label  k prelozeni muzes pouzit google translator.

Bez znalosti AJ nenastudujes dokumentaci,diskusni fora apod.  Videotutorialy mohou trochu pomoci.
Pokud mas v planu to otevrit pro pristup z venku a je to jen na hrani takove test prostredi pro seznameni se pak OK.

Jestlize mas ale v planu to otevrit a ukladat tam hned data na kterych Ti zalezi pak si to jeste poradne promysli...

80

Server / Re:Konfigurace OpenVPN v MikroTiku

« kdy: 16. 08. 2018, 12:28:22 »

Poridil jsem si na pokusy maleho mikrotika a chci se zeptat, zda jde nakonfigurovat:
virtualni wifi sit - to uz se mi povedlo
open vpn klient - ted nastavuju a bojuju s tim. Zrejme budu muset na serveru vypnout lzo kompresi, tohle umim.

Trochu starsi ale snad porad funkcni:

http://david.kow.is/blog/2016/12/26/mikrotik-openvpn-client-to-linux-server/

81

Sítě / Re:Zabezpečení domácí sítě

« kdy: 16. 08. 2018, 11:23:27 »

Díky všem za rady! 

Nakonec jsem se rozhodl, že Netis nahradím tímto: https://mikrotik.com/product/hap_ac2 , který vypadá skvěle při rozumných nákladech.

Myslim, ze budes spokojen. Je to designove povedena krabicka,pomerne malinka a celkem vykonna.
Jen ten Netis jeste nevyhazuj, pravdepodobne ho budes potrebovat k dokryti wifi nebot hAP bude mit mensi dosah.

82

Sítě / Re:Zabezpečení domácí sítě

« kdy: 16. 08. 2018, 08:32:01 »

Koukal jsem například na toto řešení:
https://www.mironet.cz/ubiquiti-unifi-security-gateway-bezpecnosti-brana-3x-glan-3-gbps-propustnost+dp232689/#219351268?utm_source=adwords-pla&utm_medium=cpc

Případně:
https://www.czc.cz/mikrotik-rb2011uias-2hnd-in/141392/produkt?gclid=EAIaIQobChMI-cf3-Pbw3AIVCM53Ch1EeQY8EAQYAiABEgJCrvD_BwE&dclid=CP_5lPr28NwCFVeYdwod7-EO0A - Nemá bohužel 5Ghz WiFi

1) UBNT klidne muze byt ale take nema WiFi a to ani 2.4GHz natoz 5GHz, cenove je mozna take trochu overkill pro Tve potreby.

2) Tohle za ty prachy urcite ne, vybehovy model. Kdyz uz chces MK tak vem https://mikrotik.com/product/hap_ac2

Odkazy na eshopy zamerne nedavam, nechci delat reklamu.

83

Sítě / Re:Zabezpečení domácí sítě

« kdy: 16. 08. 2018, 05:16:26 »

.......
Normalne bych doporucil neco od Mikrotiku,UBNT apod. ale ve Tvem pripade mi pripada nejvhodnejsi se podivat na https://omnia.turris.cz/cs/ a zvazit jeho koupi.

Tady jsem trochu prestrelil a nepodival se na cenu toho Netis routeru vs Turris.
Mezi ISP a Netis muzes dat https://mikrotik.com/product/hex_s nebo https://mikrotik.com/product/RB750Gr3
Hex_S stoji o 10$ vice ale ma navic POE a SFP.

84

Sítě / Re:Zabezpečení domácí sítě

« kdy: 16. 08. 2018, 04:48:01 »

Ahoj,

sítě nejsou mou silnou stránkou a rád bych požádal o pomoc zkušenější.. 
.......Netis wf2780 neobsahuje konfigurovatelný firewall a nevím, co ke mě teče od providera (menší lokální společnost).
......
P.S. Jedná se o domácí použití, které bych rád používal bez nocí strávených řešením potíží. Tj. zapnout, nakonfigurovat, zapomenout.. 

Ahoj,
matouci zadani. Nerozumis moc sitim ale chces vedet co tece od ISP coz vyzaduje tem sitim trochu vice rozumet a tyto znalosti pote vyuzit pri konfiguraci. Pruvodce uvodni konfiguraci, ktery vygeneruje zakladni nastaveni vcetne FW pravidel ma snad kazdy vyrobce, ktery sve zarizeni prezentuje jako router.

Normalne bych doporucil neco od Mikrotiku,UBNT apod. ale ve Tvem pripade mi pripada nejvhodnejsi se podivat na https://omnia.turris.cz/cs/ a zvazit jeho koupi.

85

Sítě / Re:Mikrotik - filtrování DNS a IP [RouterOS v6.42.3]

« kdy: 05. 08. 2018, 10:58:08 »

Dle popisu odhaduji, ze MK1 je mAP, ktery ma default config AP router.
ETH2+WIFI jsou v bridge a ETH1 je WAN, dle toho jsou nastaveny vychozi pravidla ve FW.
Nechce se mi to moc rozepisovat ale vypada to, ze mas stejny rozsah jak na MK1 tak MK2 coz je "trusted" LAN.
Predtim to jelo nebot se FW nepouzival a MK2 tak vse obstaral. Vlastne se nedelal zadny routing protoze v bridge se ten prvoz jen preleval do MK2.
Pokud ETH2 nepouzivas k napajeni MK2 pak vyhod ETH1 na MK1 z bridge. Vypni Use IP firewall. Mozna uplne idealni bude zase spustit na rychlo wizard at mas jistotu, ze se vse vyresetovalo. Na MK1 si nastav v DHCP jiny rozsah nez je na MK2.
Prehod kabel a MK2 zapoj do MK1 ETH1. Na MK2 pravdepodobne bezi take DHCP server takze pri konfiguraci wizardem na MK1 zkus zadat obtain IP / DHCP client pro ETH1.  Tohle vytvori zakladni sadu pravidel vcetne default route 0.0.0.0, pokud by na MK2 nejel DHCP musis IP nastavit manualne vcetne default route. Nediv se pokud se z MK2 nedostanes na MK1 nebot z pohledu MK1 je vse co prichazi na ETH1 externi sit.

Tohle reseni neni ani zdaleka nejlepsi ale patri mezi nejrychlejsi a umozni Ti si hrat s MK1, ktery zacne konecne delat routing.
Kazdopadne mAP neni moc vykona krabicka.

Z me strany je to momentalne vse, musis vice nastudovat zakladni dokumentaci a potom se posunes dale.
Pokud budes zadavat dalsi dotaz pak postni cely konfig jak MK1 tak MK2 protoze na detailech zalezi a urychluje to hledani priciny.

86

Sítě / Re:Mikrotik - filtrování DNS a IP [RouterOS v6.42.3]

« kdy: 04. 08. 2018, 22:18:30 »

.......
Tovární nastavení má nastavenou jedinou (dynamickou) route, kde dest. address je rozsah mojí lokální sítě, gateway = bridge a preffered address je IP adresa konfigurovaného Mikrotiku.

Prosím o radu, co je špatně, popř. na co se zaměřit. Pravděpodobně bude třeba překonfigurovat ještě nějakou další prkotinu, která je každému zkušenému síťaři úplně jasná, ale bez níž výše uvedená nastavení nefungují.

Ahoj,
nejsem z popisu moc moudry mozna to bude tim horkem.
Kratke shrnuti co jsem pochopil, oprav me pokud je to spatne.
Mas Mikrotik1 a Mikrotik2.
Mikrotik 2 slouzi jako gateway do internetu, konfiguroval jsi jej pravedpodobne wizardem.
Mikrotik 1 funguje v rezimu AP a je take konfigurovan wizardem s mensi upravou.

Filtrovani chces provest jen na MK1.

Bez dalsich podrobnosti me v rychlosti napada jen jedna vec.
Podivej se na Mikrotik1 zda jsou veskere porty pripojene do bridge. Pokud je odpoved ano pak se mrkni na bridge settings zda mas zapnutou volbu Use IP Firewall.

Idealne sem postnout celou konfiguraci MK1 vcetne modelu.

87

Sítě / Re:Vytvoření dvou nezávislých sítí s přístupem na internet

« kdy: 03. 08. 2018, 11:03:34 »

Po delsi dobe opet HOLA :-)
EdgeMAX je doma a uz si s nim hraji. Resp. plavu a to jak vedrem, tak znalostmi. Takze bych rad poprosil opet o radu.

Router umoznuje nastavit WAN+2LAN nebo WAN+2LAN2 Popravce moc rozdilu jsem v konfiguraci nenasel, tak pouzivam 2LAN2.

ETH0: WAN (DHCP internet z routeru) a tu delim na dve site
ETH1: 192.168.1.X (Local1) - Toto chci pro domaci sit (pujde dale do switche a pripojim tam wifi)
ETH2-ETH4: 192.168.2.X (Local2) - To bude pro IP kameru a zvonek. Napajeno pres PoE

Potreboval bych poradit, jak tyto dve site od sebe oddelit. Predpokladam, ze to bude nejake nastaveni na Firewallu. Nicmene cert aby se v nem vyznal
Kdyz se pripojim na Local2, tak mohu ovladat pres IP Local1 konfiguraci routeru. Z toho soudim, ze Local2 se dostane na Local1.

Ma pls nekdo zkusenost s touto konfiguraci? Dik

Ahoj,
UBNT a jejich OS nemam takze presny postup step by step bohuzel neposkytnu.
Pokud chces tyto site uplne oddelit pak by mely stacit 2 zakladni pravidla: To co prichazi z local1 a jde na local2 dropnout a naopak.

Na strankach vyrobce najdes spoustu navodu na podobne tema + youtube + google.

Priklady, ktere Te nasmeruji:
https://help.ubnt.com/hc/en-us/articles/218889067-EdgeRouter-How-to-Protect-a-Guest-Network
https://www.youtube.com/watch?v=baj3747yfos

Manual pro seznameni se zakladnimi funkcemi:
https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf

Zdroju je hodne,zbytek je samostudium.

88

Odkladiště / Re:Ako prevadzate eura na koruny?

« kdy: 01. 08. 2018, 23:03:15 »

Ahojte,
je moderna doba, a urcite existuju rozne moznosti ako previest peniaze z jednej meny do druhej co najvyhodnejsie, bez toho aby som hladal v meste zmenaren s najvyhodnejsim kurzom. Som zivnostnik zijuci v CR, cize koruna je moja primarna mena. Casto vsak fakturujem v inych menach, ak pracujem pre klientov zo zahranicia, a to hlavne v eurach a dolaroch. Mam otvorene ucty v tychto menach, cize pri zaplateni faktury firmou stratovy niesom. Problem je, ako tie peniaze dostat najvyhodnejsie z tychto uctov na korunovy. Rozmyslam nad Revolutom, co vy na to?

Ahoj,
fakturuji ze zemi EU a penize mi chodi v EUR pres SEPA na podnikatelsky ucet u KB. V ramci balicku jsem dostal pristup do KB eTradingu.  Smena je rychla a kurz je pro me osobne prijatelny. V dobe psani tohoto prispevku je pri vyporadani D+2 kurz Prodej: 25,464 Kc/EUR, Nakup: 25,718 Kc/EUR ale to se kazdou chvil meni...  Cim vetsi obchod tim lepsi individualni kurz. Umi toho vice ale pouzivam to jen jako prostredek smeny. Nevim jaky mas obrat a zda by to pro Tebe bylo vyhodne/vhodne. Me vyhovuje mit vse na jednom miste a navic me transakce nepatri mezi velkoobjemove. Neber to jako reklamu jen davam tip.

89

Sítě / Re:Poraďte mobilní internet

« kdy: 01. 08. 2018, 22:22:53 »

Ahoj všem,
po delší odmlce (osobní komplikace..) píši Update:

Dnes jsem si byl udělat kolečko - O2, Vodafone, T-Mobile
.....

Ahoj,
pokud mas moznost to po znamosti vyresit pak gratulace :-)
Potvrdil jsi mi informaci, kterou jsem mel jen z doslechu ale zatim neoverenou.

Zamestnanci operatoru mivaji benefit ve forme docela velkych slev na sluzby takze toho vyuzivaji a karty se rozhodi po rodine/kamaradech...

Take jsem hledal LTE na cesty + backup kdyz vypadne hlavni linka.
Vsichni operatori maji neoficialni nabidky presneji receno individualni nabidky.
Dle mych nedavnych zkusenosti se clovek dostane k lepsim cenam bez znamosti a dlouheho vyjednavani jen tim, ze chce sluzbu/y vest na ICO. Nicmene mozna jsem mel jen v ten den stesti na prodejce...

Mate nekdo podobne zkusenosti v nabidkach pro FO nepodnikajici vs FO podnikajici (bez zamestnancu) ?

90

Sítě / Re:Ubiquiti er-x vs Mikrotik RB750Gr

« kdy: 02. 06. 2018, 00:23:09 »

.... A pokud ano jestli to je správný typ RB750Gr3 (mají deklarováno oficiální distribuce).

Nic jako oficialni ceska distribuce pro CR trh u Mikrotiku neexistuje. Existuje jen oficialni seznam partneru a distributoru
https://mikrotik.com/buy , kteri jsou schopni krome samotneho produktu dodat i ceskou podporu a pripadny prelozeny manual.   
Na krabici je vylepen stitek EU/US... dle trhu kam ma dany vyrobek prijit. Je to dano rozdilnymi pozadavky na regulaci a to predevsim volneho pasma v jinych regionech. V EU verzi pri nastavovani WiFi staci vybrat regulatory domain: Czech Republic.
V US verzi jsou prisnejsi pozadavky a blokace musi byt udelana na HW urovni pokud se nepletu.