Jak na bezpečnější internet?

[Oliver GGG]

hmmm vysvetli prosim

pre mna je hlavne autorizacia a autentifikacia klienta moznost ako mat nieco pod kontrolou. Viem kto kedy kde a ako na siet vstupil a ked robi neplechu ho odpojim. Ta ksa mi nestane ze mi tu budu behat roboti a skusat hesla, nebude mi niekto posielat SPAM, tojani a spol to s komunikaciou nebudu mat take lahke kedze kontrolne servery odrezem? a s vlastnym DNS (napriklad) by som odstavil aj zle webstranky ....

TO mi skor pride ako ESENCIALNE pre "bezpecnost"

lebo napriklad keby som mal siet nekontrolovany len dobre image , tak pride hocikt oa napichne svoj hardware - so svojim OS, co by sa mi uz tak nepacilo ....

[Reklama]

[Waseihou]

Pro autentizaci a autorizaci klienta můžeš skusit RSA SecurID přívěšek s RNG v kombinaci s heslem a certifikátem kterému důvěřujete.

http://en.wikipedia.org/wiki/Securid

do kompů narvat TPM
http://en.wikipedia.org/wiki/Trusted_Platform_Module
a používat to, ale pozor na cold boot attack

antiviru atd. se také nevyhnete

Thin client a přístup na virtuál stanice je možnost.

Veškeré spojení šifrovat.

Ne všichni klienti toto řešení budou akceptovat, protože tam prostě nějaké aplikace instalovat chtějí.

[Oliver GGG]

Waseihou:

Aplikace: ano to je jasne, ale kedze my na rozpocte setrit nebudeme, a nieco si tie firmy aj zaplatia, tak ja som mal za navrh proste aplikacie balickovat a kazda firma/spolocnost by si nacitavala svoj OS na svojom tenkom klientovi so svojimi balickami ....

Toto by podporili aj producenti SW podla mna ...

A cele by to predislo testovaniu samozrejme.

[Mirek Prýmek]

hmmm vysvetli prosim

No myslim, ze by bylo lepsi, kdybys vysvetlil, co by se podle tebe tim dosahlo a ja na to muzu reagovat, proc si myslim, ze by se toho nedosahlo, respektive cena, za ktere by se toho dosahlo, by byla vyssi nez dosazeny benefit.

Viem kto kedy kde a ako na siet vstupil a ked robi neplechu ho odpojim.

K tomu nepotrebujes VPN. Proste totez udelas primo na serveru: X mi posila moc podezrelych pozadavku? Ok, budu jeho pozadavky ignorovat.

lebo napriklad keby som mal siet nekontrolovany len dobre image , tak pride hocikt oa napichne svoj hardware - so svojim OS, co by sa mi uz tak nepacilo ....

Podle me je tohle mylny pristup. Bezpecnost by imho mela byt v privni rade dosazena tim, ze jsou vstupy radne kontrolovany - tj. zadnym requestem se nemuzu probojovat nekam, kam se probojovat nemam. Samostatna kapitola je samozrejme ddos apod.

Proste zaklad je mit system, ktery utoku nepodlehne. Zabezpecovat, ze utok ani neni mozne provest, to muzu resit az potom jako tresnicku. (protoze to beztak 100%ne udelat nejde - jednoduse vyndam ethernet kabel, nastavim patricnou mac adresu a uz si delam co chci)

[Oliver GGG]

Miro: vec je taka ze ja nechcem zabezpecovat systemy a servery proti vonkajsku viac ako su dnes... ja by som mal rad prostredie ktoreho sa nemusi PC bat. nemusi sa bat ze pride DDOS napriklad. nemusi sa bat ze pride robot alebo spam. tieto elementy chcem odstranit. v tovjom scenariu by stale niekto z ugandy vecel klopat na moj server a mohol by sa dostat po milionty pokus dnu.. alebo by mohol posielat spam, alebo broadcastit alebo co ja viem co ...

v mojom systeme taketo nechcem, chcem ho vediet odpojit, proste povedat - ahoj ty si zly stroj, papa - komu to patri? aha jemu - ok robil to uz niekedy? ano? tak je v tom umysel, odpojid navzdy ... napriklad.

ja myslim ze nieco v zmysle VPN je must ... centralna kontrola provozu, centralny switch, centralne odpajanie proste automobilova doprava a ja by som bol policajt - kto porusi predpisy sa musi zodpovedat .... to podla mna bez VPN nepojde

[Reklama]

[Waseihou]

A jak je něco centrální a převezme nad tím někdo kontrolu, tak začne lergrace

[Mirek Prýmek]

Miro: vec je taka ze ja nechcem zabezpecovat systemy a servery proti vonkajsku viac ako su dnes... ja by som mal rad prostredie ktoreho sa nemusi PC bat. nemusi sa bat ze pride DDOS napriklad. nemusi sa bat ze pride robot alebo spam. tieto elementy chcem odstranit.

Nesmysl. To prostě nejde.

Ale nechci ti brát elán - jestli si myslíš, že to jde, pracuj na tom, přesvědčuj, vytvářej takovou síť - uvidíš, jestli o ni bude zájem a jestli dosáhneš kýženého efektu.

[Oliver GGG]

Miro: takze definitnivne myslis ze sit jako takovo ua jeji provoz nelze zabezlecit a jedine ralne opatreni sou neprustrelne stanice a dobra bezpecnost?


Waseihou: tak ono je to planovane jako koncept ktery by fungoval bok po boku s normalnim internetem. bylo by to pribvilegium, pro uzivatele co by se do toho dotali by vedeli ze sou chraneni, a vseco co tam najdou neni podvod .. treba takovej obchod s elektronikou.  ze budou vedet ze je mozne vypatrat dany server a jeho majitele a podobne ... proste domaci uzvatele co nechteji resit viry a ochranu a zaroven chteji mit sva data a sve aktivity zabezpeceny ....

a ta kontrola: jelikoz by tam byla volba bud normalni net a nebo VPN tak nemyslim ze by to mela byt az takova hruza ne ? pokud se mi nelibi tak holt neprestoupim...



a ma nekdo jiny jeste nejake nazory mozna ?

i tak hodne dekuju!

[Waseihou]

Ale tohohle se dá dosáhnout i na normálním netu pomocí certifikátu vydaného důvěryhodnou autoritou, DNSSEC a SSL. Potom vím že jsem opravdu spojen s tím, o kom si myslím že se s ním bavím, ustanovit zebezpečené spojení není problém. Nebezpečí je DNS spoofing a nebo třeba virus co zaneřádí hosts file, viděl jsem na Widlích. Rozumný člověk si u opravdu důležitých věcí ověří i tu IP adresu se kterou komunikuje že je to to co mu vrací DNS, ale tohle má právě řešit DNSSEC, které se již dnes používá, ale ne každý server ho ještě podporuje.

http://en.wikipedia.org/wiki/DNSSec

Co se v tom vašem hypotetickém netu stane, když dokonale ověřený obchod nebude doručovat obědnané zboží a bude se vymlouvat na interní problémy? Bude vyřazen? A na základě čeho tak bude rozhodnuto? Ono nebezpečím může být i poskytovatel služby, v tom vašem netu sice možná zajistíte že bude zaručeno s kým se uživatel baví, ale pořád nezaručí že ten někdo bude poctivý.

Mimochodem, bude ve vašem internetu možno pouštět nějaké skripty nebo budou mít prohlížeče podporu HTML5? A bude moci každý uzel v síti být zároveň i poskytovatelem služby, nebo půjde o model kdy budou pouze povolení producenti obsahu a zbytek budou pouze konzumenti?

[Oliver GGGG]

2Waseihou: dakujem ti za tovje nazory. A na tvoje otazky odpoviem predstavou - sam to nemam jasne a preto som tu a idkutujem, hladam moznosti ale k tvojim otazkam a nazorom ma napada toto:

1.
Ve VPN nevidim problem mat vlastnu DNS, klientom DHCP a zabezpecenym hosts.

2.
DNSSEC - viporna podpora navyse

3.
obchod nebude dorucovat: to je mne uplne jedno, klidne by tam mohl zustat ale pokud by doslo k rizeni nebo by chtela policie info o danem obchode, mel bych ho, at je aj z ciny treba.

4.
myslim ze skripty HTML5 a v podstate uplne vsetko - by sa malo dat, nema to byt krok spat ale krok dalej, otazka je ako? a ci to bude tazke resp v com su dane technologie problematicke / nebezpecne?

5.
producent/konzument: kazdy moze byt hocico, ale musi danu skutocnost oznamit a bude mu to umoznene: niekto cce zdielat -nahlasi co chce zdielat na akych portoch a co to je a moze hned zacat. tiez - to nesmie byt krok spat - vsetky "kvalitne" stranky dnesneho internetu by mali byt obsiahnute - myslis ze by to mohol byt problem?

6. zdielanie zo siete smerom von k uzivatelom na "Starom" internete - by sa riadilo asi inymi pravidlami - nemam este predstavu akymi ale az taketo detaily mozeme spravit neskor

[Mirek Prýmek]

Miro: takze definitnivne myslis ze sit jako takovo ua jeji provoz nelze zabezlecit a jedine ralne opatreni sou neprustrelne stanice a dobra bezpecnost?

Ale samozrejme ze jde - ale "zabezpecit" znamena vymyslet nejakou bezpecnostni politiku a pote ji vynucovat. Cili pokud by se vsichni lidi v te tve oddelene siti domluvili na nejake JEDNE politice, tak by to samozrejme slo. Ale to je nerealne, pokud by ta sit mela byt vetsi nez podnikova.

[Oliver GGGG]

ano toto boli aj moje myslienky ... tak ma napadal zonacia ... kazdy si je zodpovedny za kontrolu toho co sa deje pod nim.

FIRMA je zpodpovedna za zamestnancov
OKRES je zodpovedny za userov v okrese
KRAJ za KRAJ
STAT za STAT

vsetci by vedeli o pravidla, prava by boli delegovane a kontrolvoane....

bolo by to menej narocne na cetralu a prehladnejsie, otazka je ci sa to da nastavit nepriestrelne keby v nejakej firme bol nechschopny ITik ....

otazka: UPLNA CENTRALIZACIA A KONTROLA Z JEDNEHO BODU VS ZONACIA a delegacia pravomoc...

[VfB]

A popravovalo by se už za co?  Vytvoření viru, pokud vám nějaký vir pronikne do počítače, za kritiku ministra informatiky na fóru zive.cz? A za návštěvu pornowebu by se uživatel dostal podmínku nebo trest natvrdo?

[Oliver GGGG]

wfB: Ale ja nechcem "zakazovat", "prikazovat" alebo "nutit" niekoho kto o to nema zaujem. Ak tahas torrenty, chodis na chil.d por.n, si hacker alebo jednoducho mas v zadeki v akej si sieti tak kludne bude na starom decentralizovanom internete. Ja by som v najvacsej pravdepodobnosti mal doma oba a switchoval podla potreby....

Ja chcem firmam a ludom ktori o to zaujem ponuknut (teoreticky zatial uplne) alternativu .. Nieco coho sa nemusia bat, nemusia mat starosti a nemusia byt paranoidny...

Ale ano, keby si uz bol v sieti a napisal by s vir, tak by to urcite nepovsimnute neostalo, a s najvacsou pravdepodobnostou by si bol len vyradeny to je vsetko.... mne nejde o exektutivu... (no v pripade ze by si sposobil milionove skody nikomu tak by so mtvoje data samozrejme posunul vysetrovatelovi dalej... o tom zadana...) ale ako pisem ak nechces nemusis

nikto kto nechce, nemusi, ja tu riesim teoreticky pripad ze by ludia chceli, alebo firmy museli...

[kei.101]

Myslím, že nemá cenu se snažit přímo na internetu zavést nějaká globélní pravidla. To je úplně proti jeho podstatě. Já vidím řešení ve vzdělávání lidí a umožnění přístupu k internetu podle schopností uživatele. Jsi schopný se na síti chovat hezky a bezpečně? Jestli ano, tak si surfuj, jak chceš. Jsi li blb, co klikne na všechno, co vidí, tak tady máš uzavřené PCčko s možností brouzdání po wikipedii a podobně a na nějaký DC, torrent a bezohledné streamování HD videa zapomeň... Prostě bych zavedl "řidičák" na internet...