Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - bmann

Stran: [1] 2
1
Odkladiště / Re:Unášení DNS provozu a hazard
« kdy: 01. 10. 2021, 18:04:55 »
@Filip
Ohledně SPOF u DNS a řešení u ISP.
Jasně, že je to doměnka, co jiného by to asi mělo být? Každý ISP to může mít jinak a já ze zkušenosti předpokládám tu horší variantu.

Některá zařízení používají port 53 na přímou komunikaci na vlastní servery a není to čistý DNS. Pak to unášení provozu toto rozbije.

Zákon říká blokovat a tento zákon musí ISP dodržovat. Metodika je od toho dát na srozuměnou co se očekává a je dostačující.

Můj názor:
Unášení provozu je prasárna pokud to není požadováno. Akorát to může zbytečně rozbít věci co fungují.

Ale asi nemá smysl to dál řešit, tady se neshodneme.

2
Odkladiště / Re:Unášení DNS provozu a hazard
« kdy: 30. 09. 2021, 11:47:42 »
@Jenda
Jste si odpověděl sám. Ano, musíme se řídit zákony a zákon nespecifikuje jak tu blokaci dělat.
Od té specifikace jak to dělat je metodika.

Oprava:
Znovu jsem to otestoval a jeden ISP DNS unáší a druhý to nedělá.

3
Odkladiště / Re:Unášení DNS provozu a hazard
« kdy: 29. 09. 2021, 11:51:45 »
@Filip
1. třeba proč vytváří SPOF pro DNS?
Když si nastavím více DNS severů od různých poskytovatelů, tak je velká šance, že nějaký vždy pojede.
Unášením DNS na nějaký transparentní DNS u jednoho poskytovatele může znamenat nefunkčnost když to umře.
Navic transparentní DNS může zanášet chyby, který tam vůbec nemusí být.
Když budu chtít vlastní rekurzivní DNS server, tak opět zde mohou vznikat chyby.

2. proč dělají něco navíc než se po nich chce dle mtodiky
Chápu argument, že vyhovují i takto zákonu. Ale tento po nich navyžaduje.
Metodika říká, filtrovat na svých DNS rekurzorech či svého nadřízeného poskytovatele.
A není třeba řešit obchazení uživatelem, např. přes VPN apod. To samé chápu pro jiné DNS servery.

@mikesznovu
No, nepoužívám. Nějak jsem žil v představě, že ISP nebudou dělat něco, co po nich metodika nechce. I vzhledem
k tomu, že ten požadavek je technicky blbost a dá se lehce obejít. Chyba.

Myslím, že můj router umí DoH či DoT, tak přejdu na to a udělám zněj lokalní resolver.

@czAtlantis
Zjednodušeně. Pokud mám DNS jako 8.8.8.8 a vidím něco jiného, tak je pravděpodobné, že do DNS něco šahá.
Ale není to tak jednoduchý jak rozepsal "mikesznovu". Asi by to nebylo poznat, pokud by ISP měl něco co šáhne do DNS požadavku,
ale přepošle to na původní server.

4
Odkladiště / Unášení DNS provozu a hazard
« kdy: 28. 09. 2021, 18:08:27 »
Narazil jsem na stránku https://dnsleaktest.com/ a otestoval 2 ISP kterým mám přístup.
Zjiszil jsem, že oba unášení DNS dotazy a pomocí toho filtrují hazardní stránky.
Což mě štve, protože když se jim ta transparentní DNS rozbije, tak nic nepojede.

Dle zákona o hazardu a metodického pokynu mi přijde, že to dělat nemusí. Měli by to nasadit na svoje DNS servery,
ale nemusí blokovat možnosti jak to obejít či unášet DNS dotazy.
https://www.mfcr.cz/cs/soukromy-sektor/hazardni-hry/seznam-nepovolenych-internetovych-her

Co si o tom myslíte? Řešili jste toto téma někdo se svým ISP?

5
Odkladiště / Re:3-D Secure pro online platby
« kdy: 27. 04. 2021, 21:54:14 »
Tak asi nezbyde, než najít banku, která to nedělá či má volitelné. Dělá to ČSOB, KB, FIO a předpokládám i další. A kvůli konkurenci to bude více bank. Myslím, že více lidí toto neobtěžovaní ocení!

Těch paranoiků asi moc nebude a člověk se musí nad některé věci povznést. Mě osobně toto vyhovuje a banka za takové transakce přebíra zodpovědnost. A to si myslím, že je prudím dost ohledně zabezpečení  :)

6
Odkladiště / Re:3-D Secure pro online platby
« kdy: 27. 04. 2021, 20:00:35 »
Nejsem si jist, že nějaký SMS kód nebo potvrzení v aplikaci zavísí úplně na platební bráně. Mě to příjde, že rozhoduje banka.
Musí mít PSD2 (apliakce, SMS+ePin, či jiná varianta) a případně jiná ověření.

Např. ČSOB to nechce při každé platbě, nožná se KB či jiné banky chovají podobně:
Od února také zavádíme inteligentní ověřování online plateb kartou (tzv. RBA, Risk-Based Authentication), takže nebudete muset u vybraných nákupů na internetu potvrzovat Smart klíčem ani SMS kódem. Jestli potvrzení je či není potřeba, bleskurychle vyhodnotí naše systémy pomocí chytrých algoritmů – posouzením důvěryhodnosti obchodníka, výše nákupu a dalších parametrů platby.

Díky inteligentnímu ověřování budete platit na internetu rychleji a pohodlněji. Systém spouštíme zdarma plošně bez možnosti vlastních nastavení pro všechny naše platební karty, debetní, kreditní i předplacené. Nemusíte se ale ničeho bát, případná rizika bereme na sebe.

viz. https://www.csob.cz/portal/-/n201208b

7
Sítě / Re:EET a množství přenesených dat
« kdy: 27. 07. 2020, 15:56:06 »
O Kaktusu uvažuji. Údajně vlastní přenost dat pro EET by měl být minimální.
Akorát mám obavy, když použiji nějakou aplikaci na Androidím telefonu, aby pak ty data nežral vlastní systém a to se pak prodraží.

Tipoval bych, že pokud koupím hotovou pokladnu, tak by nemusela nikam nic posílat kromě EET.

8
Sítě / EET a množství přenesených dat
« kdy: 27. 07. 2020, 09:43:09 »
Ahoj,

máte někdo statistiku kolik je potřeba na EET hlášení pro jednu účtenku? Jednoduchá varianta, jedna či dvě položky.
Jde mi o to jaký tarif s daty pořídit.

Případně jaký mobilní tarif používáte vy?

Nějaké srovnání spotřeby dat u přímo koupených pokladen a pokud nahraji aplikaci na mobil. U mobilu by hrozilo, že se sám bude někam připojovat.

Díky.

9
Software / Re:Údajné zneužití licence SW
« kdy: 12. 05. 2020, 20:52:36 »
Mě by teda zajímalo, jestli vůbec takový sběr dat je legální.
Osobně bych takový mail považoval za scam či spam a zahodil. Takový email může poslat kdokoliv.
Asi bych prošetřil interně o co jde a pokud nějaký jouda něco takového udělal, tak klidně ten počítač odepsal.
Nějaký logy podle mě nejsou relevantní důkaz a PC s takovou ve firmě není.

10
/dev/null / Re:Podrobnosti o útocích na české nemocnice
« kdy: 18. 04. 2020, 12:26:41 »
Když už se tu pěkně spekuluje ... tak třeba další varianty:
1. celý je to jen mediální hra, aby prošel ten zákon pro Vojenské zpravodajství a mohli si chlapci instalovat ty svoje šmírovací krabičky a nikdo moc neremcal

2. o chabé úrovni zabezpečení ve zdravotnictví u nás se ví dlouhodobě. Takže další průser je jen otázkou času a toto je takové alibi, že se aspoň něco děla než to přijde

Podobné útoky se děly i minulý rok a dříve a phising/spear-phising tu byl i předtím.
Mě to vlastní vyjádření ministra zdravotnictví přijde divný. Jako vytrubovat někdo útočí na nemocnice, ale chlapci to odrazili?
To jako že FW yahodil paket z venku? Nebo někdo neotevřel přílohu s malwarem?

Čekal bych, že pokud se něco děje, tak to řeším interně a nevytrubuju takový věci do médií.

11
Sítě / Re:Jaký hardware pro správu sítě u rodičů
« kdy: 05. 11. 2019, 15:07:56 »
Přemýšlím o podobném řešení a UBNT je jedna z variant. Akorát jsem z popisu na jejich stránkách nepochopil jak se to má v principu navrhovat.
Řekněme že budu mít 3 AP a potřebuji aby všude byla stejná SSID a klient roamingoval mezi nima.

Potřebuji k tomu nějaký centrální kontrolér? Nebo kontrolér a router v jednom?
Nebo se to celé nějak spravuje z cloudu a stačí mi 3 APčka?

Co je přesně ten Cloud Key? Nějaký box s licencí?

Díky za osvětlení principu.

12
Distribuce / Re:Vymazání HDD před prodejem NB
« kdy: 03. 11. 2019, 09:17:22 »
Pro klasické HDD bych použil DBAN. Nabootovat DBAN,zvolit typ mazání a nechat běžet. DoD 7 průběhů je akorát :-)

Pro SSD bych disk několikrát přepsal nulama a pak přes hdparm pustil příkaz secure erase.

13
Server / Re:Dostupnost dat z ukradených HDD ze Synology v RAID5
« kdy: 19. 10. 2019, 14:31:33 »
Pokud si pamatuji dobře, tak u Synology se šifrují vybranné složky a ne celý disk. Takže to normálně nabootuje a složka se pak klidně  nechá vzdáleně namontovat přes GUI. Pokud máte UPS, tak to není zas takový problém.

14
Distribuce / Re:Distribuce vhodná na firewall a router
« kdy: 19. 10. 2019, 14:27:56 »
A nebo možná Sophos XG Home, což je domácí verze komerčního produktu. Je to UTM e vším všudy, ale zkušenost nemám.

15
Ano, jak bylo napsano, dkim, spf jsou technologie pro overeni puvodu emailu, ne antispam techniky. Bohuzel ale mnoho mailserveru je jako antispam techniky vyuzivaji, coz sice verejne neni potvrzeno, ale praxi ano. Proto treba ruzne weby/sluzby, pomoci kterych si muzete nechat proverit vami posilane emaily ci nastaveni kolem domeny, oznacuji absenci dkim ci spf jako trestuhodnou vec. Proste nemas dkim, tak jsi hned podezrely a mas trestne body.  A to je proste hrozne spatne.
Ano, posuzovat to jako spam je špatně. Asi to vzniklo tak, že ze začátku se SPF/DKIM jako antispam choval, než to spammeři začali také používat. Na druhou stranu si myslím, že většina posktovatelů emailů toto má nastaveno a problém nevzniká. Jen musíte používat jejich servery.

Citace
Beznemu uzivateli emailu to proste jen komplikuje zivot. Vubec neni pravda, ze se odkudkoliv pripojite na smtp server pro vasi domenu. Z mnoha ceskych mensich firem to nejde o velkych nadnarodnich firmach nemluve.
Osobně nevím, proč by mi to mělo komplikovat život. Připojím se na svůj server a pošlu email. Pokud to znějakého důvodu nejde, zkusím to přes VPN. A tady mluvím o veřejných sítích jako hotely, free wifi apod. U mobilních dat v zahraničí také není problém.

Vy píšete o firmách, ale to je úplně něco jiného. Každá firma má jiná pravidla a ty se mohou lišit. A mohou se i lišit vůči vlastním zaměstnancům a vůči návštěvníkům.
A hlavně v tom vůbec není rozdíl. Nebo chcete říct, že když firma zakáže připojování na cizí email servery, že povolí posílání emailů přes vlastní? Možná.

Nebo použití má být, že doma mám nastaven server ISP, v práci si přenastavím server firmy, ve firmě A jejich server apod. To jako budete pořád přenastavovat smtp server?

Citace
Bezpecnost za cenu komplikaci. Myslenka byla dobra, vysledky jsou rozpacite, diky nepochopeni komplikace znacne. K cemu tohle je?
Osobně žádné komplikace nepociťuji. Mám SPF/DKIM a SMTP submission. Případně webmail. Stalo se mi asi jednou někde v hotelu, že jsem se nemohl připojit. To vyřešila VPNka či přepnutí na mobilní data.

Stran: [1] 2