Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - M_D

Stran: [1] 2 3 ... 12
1
Sítě / Re:Napadený Mikrotik (klientská jednotka) ISP
« kdy: 11. 06. 2021, 21:39:04 »
Ale proč se divíš tomu ISP, že to měl na háku? Papírově ten stav byl na 99% tak, že to byla z pohledu světa tvoje chyba, že tam je zavirovaná krabice. Problém neměl ISP, ale ty.
Ptal jsem se tě, kde je předávací rozhranní mezi sítí ISP a tebou. Chápu, že jde o bezdrátvého ISP, který ti zapůjčil bezdrátový router, ten ti dal na barák ty jsi si za něj dal další vlastní. Celá pointa je v tom, zda předávací rozhranní je bezdrátový signál, pak je ten wifi router koncové zařízení veřejné sítě, které je provozováno již na tvoji odpovědnost (i když je fakticky zapůjčeno a na dálku spravováno daným ISP) - ty neseš odpovědnost za to, že je to v pořádku a jen jen na tobě, jak máš nastavenu podrobně smlouvu s ISP (nebo jakýmkoliv jiným subjektem), že se ti o něj má dobře starat. Pokud je to takto a štoural ses do toho, tak ty nápady o nějakém zasahování do veřejné telko sítě jsou liché. Pokud je předávací rozhranní až za tím bezdrátovým routerem - na kabelu mezi ním a tvým routerem, tak ta krabička je ještě součástí veřejné sítě operátora a zasahováí do ní i z dobré vůle je v rozporu se zákonem. A vtipné je, že i v takovém případě je ISPík relativně z obliga, legislativa je nastavena tak, že je dost omezena jeho odpovědnost za to, co dělá jeho síť, pokud to neudělal úmyslně nebo hrubě neporušil svoje povinnosti, což bude třeba nějak dokázat. Takže opět je relativně v klidu, pokud to není jak doložit a mlčíš. Takže takhle je vidět, že ISPíkovi to netrhalo žíly, neměl důvod se vzrušovat, dokud mu síť nějak funguje. :-(
Samozřejmě je v takovém případě nejlepší odchod jinam a doufat, že jinde to bude lepší...

2
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 10. 06. 2021, 22:09:25 »
Pokud byste chtěl IP adresu řešit v pravidlech také, tak se nabízí pevné přiřazení, nebo DHCPv6. Pro filtrování provozu směrem ven to ale není moc účelné. Kdokoliv sedící u interního zařízení může IP adresu podvrhnout (narozdíl od VLAN, kterou 802.1X pohlídá). Takže takové zabezpečení je poměrně k prdu, spíš bych to nenazýval zabezpečením, jako spíš jakousi nevynutitelnou sanitizací provozu.
Tak slušnější switch nemá problém hlídat i tu IP adresu. V podstatě 802.1x ověří klienta, tím se zamče jeho MAC adresa, proběhne DHCP a switch se naučí, jakou adresu klient dostal a hlídá, aby si ji samovolně nezměnil (nebo je statikcá přidělené IP k portu nebo ji switch dostane v Radius datech). Novější kusy to umí v určité míře řešit i pro IPv6. Pak na routeru mohu v klidu filtrovat dle IP adres, pokud je cesta od switche k routeru důvěryhodná (kd eúplně nneí, nastupuje MACsec vázaný na 802.1x).
Ale to jsem už asi dost mimo SOHO segment...

3
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 10. 06. 2021, 22:03:05 »
Mikrotikem

Takže vlastně k ničemu, když potřebuji komunikovat s NAS bez přístupu do internetu připojeným pomocí 2.5 GbE do sítě a počítačem s interní (vlastní) 2.5 GbE a Wi-Fi 6, které opět jede o něco málo rychleji než 2.5 GbE, protože to prostě neuroutuji.

Navíc bych měl velký, složitý a hnusný paskvil.

Jestli není lepší stávající stav, v laciné krabičce na DHCP nastavíš rezervace a ve firewallu nastavíš, jestli daná adresa může nebo nemůže na internetu.
Nu, 2,5 Gbps LAN je stále trochu mimo běžné SOHO. Ale pokud mám na 2,5 Gbps, tak ten switch bude mít aspoň jeden 10 Gbps SFP+ uplink a budu mít i 4 kKč třeba na Mikrotika RB4011 a ten ti s rozumným firewallem to uroutuje s prstem v nose.
A pokud je ten switch slušnější, tak možná vše co potřebuješ se dá udělat v něm a bude ti také filtrovat na wire speed a nemusíš ho ani prznit VLANama na víc podsítí, pokud nechceš...
A pak stále máš tu možnost, že pokud věřím MAC adrese, tak filtrovat dle ni a síť v LAN nechat switchovat divoce a volně.

4
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 10. 06. 2021, 21:53:07 »
Pozerám na HP LaserJet M130nw (zadanie: čo najlacnejší ČB laser+scanner s ethernetom, driverless pod Linuxom) a 802.1x vie; preto si viem predstaviť, že v HP s LAN je to základná funkčnosť. Pri wifi tlačiarňach sa spraví extra SSID, ktorý hodí pripojených klientov do správnej VLAN (mnoho z nich má minimálny stack a nevie ani WPA Enterprise, ani 5 GHz).
Ano, HP je asi čestná vyjímka, co má podporu pro 802.1x v celém portfoliu.

5
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 10. 06. 2021, 08:03:17 »
Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi.

Ale to je jen jinak popsané řešení VLAN (byť třeba VLAN nahradí jiná fyzická síť).
Bez routeru to nepůjde.
Ano, pokud používáš jeden prefix v jedné VLAN. U IPv6 můžeš udělat snadno i to, že jeden prefix /64 sdílí víc VLAN. Pak je výhoda vynucovat pravidla na základě VLANy. Klienty nastrkáš nějak do VLAN (dle MAC, pevně dle portů, dle 802.1x, ...), tyto VLANy spojíš do jednoho fyzického bridge, který má na L3 jeden síťový prefix /64 a na L2 jsou od sebe klienti izolovaní. Router bude ohlašovat, že veškerá komunikace má procházet přes router (není možná bod-bod komunikace mezi koncovými klienty - on link) a IPv6 stack v klientech ti vše doručí už na bránu, kde to profiltruješ a případně přepošleš dál.
Toto je konfigurace, jak si doma udělat víc oddělených síti a vystačit od providera jen s jedním prefixem /64. Nevýhoda je, že to ten router musí ustát, kdy každá bod-bod komunikace v LAN jde skrz router. V SOHO segmentu tohle třeba jde s Mikrotikem.

6
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 10. 06. 2021, 07:51:15 »
pouzit ULA v siti
ULA je pro vnitřní komunikaci snad ne? Neroutovatelné do internetu = potřeboval bych NAT  ::) nebo Proxy a podvrhovat certifikát = fuj.
Zařízení, co nemá  být dostupné z netu a ani do něj lézt, tak můžu mít v segmentu, kde jsou jen ULA adresy. Ostantí zařízení, která lezou ven/jsou dostupná, tak vedle ULA mají i globální adresu (případně víc, pokud mám víc linek a prefixů). Vnitřní komunikace se odehrává na ULA adresách, co jde ven po těch globálních. IPv6 stack tohle umí rozumně rozhodnout, kdy má jakou použít. Taktéž v interním DNS mám jména vázané na ULA adresy a jsme tak imunní proti případnému změnu IPv6 globálnímu prefixu, nemá to na vnitřní provoz vliv.

s takovým režimem počítá
Super, stojí to za zkoušku.

Mimochodem, z IPv6 jsem poměrně zklamaný.
Je to složitější, zato výrazně horší.
A aby toho nebylo málo, šmejdští výrobci, kteří kašlou na bezpečností updaty, tomu rozhodně nepomáhají.
Jak jsme psal, specifikace je udělaná dobře, implementace váznou. :-( Ale u DHCPv6 jsme neověřoval. Respektive jim přiděluji ULA adresy a nemusím tak řešit renumbering u DHCPv6.
Naopak je to uděláno tak, aby typické end user nemusel do ničeho sahat a nastavovat ve svém koncovém routeru pokud nezačne mít přání ohledně filtrování provozu ven.
Zkrátka je to uděláno dost jinak, než u IPv4.


7
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 10. 06. 2021, 07:42:10 »
Normální člověk nepotřebuje tiskárně omezovat provoz ven, a když už, tak si na to koupí za pár stovek switch a šoupne to do jiné VLAN.

Čímž jsme se dostali k řešení srovnatelnému s ověřením na úrovni MAC.
Jelikož jste sám správně popsal, že to je na prd, tak v přidělením správné VLAN pomůže 802.1X, což je ta odpověď.
No, opět, jsme v SOHO - switche s podporou 802.1x jsou relativně dostupné (vlastně i Miktrotik krabičky umí už nějakou dobu fungovat s 802.1x i na metalickém ethernetu). S trochu štěstí mají i možnost lokálního Radius serveru, že do něj namlátím uživatele/hesla, pokud nemám externí Radius třeba v AD.
Ale tiskárna s 802.1x? Zase jich moc nevidím, co by to uměla, to je spíše doména až větších oblud, často třeba umí i IPsec, takže mezi tiskovým serverem a tiskárnou do provozu nikdo nevidí a neumí zasáhnout. Ale opět u tiskáren pro SOHO nějak nevidím. :-( A vedle tiskárny můžu doma řešit VoIP telefon, STB pro IPTV, autodráhu, .... Takže tam bude u řady zařízení fallback na max ověření MAC adresy a dle ní do určené VLAN.

8
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 09. 06. 2021, 10:06:16 »
Mimo to, čas od času se mění celá adresa sítě, nejsem si jistý, jestli by to nenarušilo fungování DHCPv6.
DHCPv6 protokol s takovým režimem počítá. Takže pokud přijde změna adres, tak DHCPv6 server obešle klienty, že současná adresa již neplatí a mají požádat o novou. Bylo to tak navrženo zejména s ohledem na  SOHO segment.
Jiná věc je, jak moc to mají zvládnuty jednotlivé implemetace (netestoval jsem).

9
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 09. 06. 2021, 09:00:37 »
Je třeba si realisticky uvědomit, že pro běžný SOHO segment je už hodně nadstandartní to, že chci vůbec filtrovat nějaký odchozí provoz (a je jedno, zda IPv4 nebo IPv6). :-)
V podstatě platí, že v takévém prostředí se řeže příchozí provoz (a občas jen povolí příchozí port/přesměrování, v domácím prostředí to často si udělá konfové zařízení samo pomocí UPnP, NAT-PMT, ...) a odchozí ven je volně puštěn.

V klidu bych použil ty filtry dle MAC adres. Pokud mám prostředí s rozumnou podporou VLAN, tak rozhážu ty kategorie do VLAN a filtruji primárně dle toho z jaké VLAN to přichází, kam odchází.

10
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 09. 06. 2021, 08:43:54 »
Ono to chce specifikovat pro jaké prostředí to řešíš a co v něm je za techniku na straně klientů i síťové infrastruktury. Pokud píšeš v prvním o centrálním linux firewallu, tak to také není výbava každé domácnosti, takže člověk čekal nějakou malou firmu. :-(
Pokud řešíš jen domácí síťku, tak asi půjdu to řešit jinak, než firemní prostředí.

Tiskárnu mám v samostatné VLAN (Brother umí IPv6) a filtruji na základě příchozího provozu z VLAN kam co ne/může, takže nemusím ani hledat, jak se v ní vypíná PE (a stejně má jen ULA adresu, takže ven nemůže, i kdyby chtěla). Podobně by šlo řešit další - tkrátka záleží, co máš za krabici u nich a co ne/umí. A doma pro prvotní filtr dle MAC v klidu použiju.
Ohledně změny IPv6 adresy - mám filtraci a spol udělánu na Mikrotik routerech s použitím address listů. Přímo používám dynamický renumbering (víc IPv6 uplinků a přepínám). Klienti mají jednak "fixní" ULA IPv6 adresu pro vnitřní provoz (a tyot adresy mám ve vnitřním DNS) a pak dynamickou globální dle právě aktivního IPv6 uplinku, což se něky změni i 3x za den. V Mikrotiku skript dle toho se přehodí obsahy address listů a jede se dál.

Jinak babču, dědu a spol řeším tak, že z jejich routerů mají VPNky ke mě domů, zde mám Radius, doménový řadič, ..., co řídí/aktualizuje/dohleduje jejich síťky a počítače na dálku. :-)

11
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 09. 06. 2021, 07:04:59 »
Toho samého můžete docílit vypnutím SLAAC a přidělováním adres přes DHCPv6.
Trochu (větší) problém je, že někteří výrobci se rozhodli DHCPv6 ignorovat - např. celý Android.
Nemusí SLAAC vypínat, pokud v sítí má věci, co DHCPv6 neumí. I u SLAAC je přidělená  IPv6 adresa pevně jasná (a u klasická implementace má v sobě MAC adresu stroje ve formě EUI-64). Stačí vypnout privacy extension pro randomizaci adres pro odchozí spojení.
Ono ani samotné 802.1x nic neřeší. Z něho se nedozvím jakou kdo má IPv4/6 adresu. Jenže ono to pak potřebuje spolupráci víc zařízení na víc vrstvách, aby se to správně celé poskládalo.

12
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 09. 06. 2021, 00:05:34 »
Vidíš, jsou LAN, kde se uplatňuje plně i MACsec, takže komunikace mezi klienty se šifruje na L2. Pak kdo je kdo se poznává krásně. :-)

Pokud ti stačí ke štěstí systém jak v IPv4, že jsi dal klientovi v DHCPv4 pevnou IP dle MAC a na tu IP dával pravidla ve firewallu, tak pokud máš v síti jen klienty, kteří podporují stavové DHCPv6, tak jim úplně stejně nastav IPv6 adresu přes DHCPv6 plus přes ohlášení routeru vypni, aby klienti si přiřadili adresu dle SLAAC a máš to stejné. Pokud klienti umí jen SLAAC, tak jim nech SLAAC a vypni privacy extension a také budeš mít jasné, kdo je kdo na podobné úrovni, jak s tím DHCPv4 a firewallem na IPv4 (jen u toho SLAAC bez PE to bude kapánek i jasné dalším mimo tvou síť). :-(

13
Sítě / Re:Napadený Mikrotik (klientská jednotka) ISP
« kdy: 07. 06. 2021, 22:26:05 »
Tak v tom napadeném routeru může být klidně rozjetá proxy, socks server a další, což ROS umí. A pak přes to může lézt do Internetu zprostředkovaně kde-kdo a kde-co z nejpodivnějších míst, takže ubere na konektivitě, když mu ji to kapánek vytíží. A to vše bude vystupovat pod jeho IP, takže za chvíli bude na hormadě blacklistů a nepošle z té IP mail a ani se nedostane na řadu jiných míst a snadno se mu může stát, že se ta IP dostane preventivně i na odchozí blokace, takže se na ni nespojí z některých sítí, co blokují přístupy k provařeným IP ze svých sítí jako preventivní ochranu.
A pokud mu router těží nějakou měnu, tak mu to ubere i dost a výkonu, protože vše v tom honí přes CPU a výkonu to často nemá nazbyt...
Takže samé pozitiva, co nedávají dobré vyhlídky do budoucnosti, i v případě, že to aktuálně "moc nevadí".

14
Sítě / Re:Napadený Mikrotik (klientská jednotka) ISP
« kdy: 07. 06. 2021, 17:13:05 »
... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP  :(
Jistě, zákon o elektronických komunikacích §98 Bezpečnost a integrita veřejných komunikačních sítí a služeb elektronických komunikací.
Jenomže ono je to kapánek složitější. Podstatné je, co je definováno jako koncový předávací bod mezi zákazníkem a sítí.
Také je prvně nutný předpoklad, zda daný ISP funguje jako veřejná telekomunikační síť, pokud ne, tak se ho tento zákon netýká.
Pokud daný ISP působí jako veřejná telko síť a předávací bod k zákazníkovi je definován až za tento wifi router (metalický Ethernet port) na spoji mezi tímto routerem a routerem zákazníka, tak může jít prudit skrz ČTU - ale pak bude samozřejmě hledat nového ISPíka stejně. :-(
Jestli-že je předávací bod definován před routerem=wifi signál (jestli-že tazatel hovoří o koncové wifi jednotce pro připojení), tak přestože je koncové zařízení majetkem ISP a správu provádí ISP, tak už je to na odpovědnosti zákazníka, co si s daným subjektem nasmlouval a jak si ho ukočíruje. ČTU náleží maximálně kontrola, zda bezdrátová část odpovídá legislativním požadavkům.

15
Server / CouchDB - mapování mezi partition a datovým shardem
« kdy: 04. 06. 2021, 17:16:08 »
Tak si hraji s CouchDB a myšlenkou na použití víc partition v rámci jedné DB a zkoumám, zda se dá předepsat nějak funkce, která by řekla do jakého datového shardu se má jaká partition mapovat? Nebo tohle nemám šanci ovlivnit? Předpokládám, že to dělá nějaký hash ze jména partition a tím to namapuje na shard, ale ani nikde jsem nenašel, jak to doopravdy dělá (a to ani pro případ, že se nepoužívá partitioning, tak jak volí algoritmus mapování klíče na shard).
Listování v dokuemtnaci a Googlu zatím nikam nevedlo. Na zkoumání Erlangu asi nervy a hlavu nemám. :-(

Stran: [1] 2 3 ... 12