Firewall s antivirem a filtrem webu

[PatPatPat]

jeste jsem nasel toto "Ceske reseni", neznate nekdo:
https://www.kernun.cz/home/

[Reklama]

[jj]

jeste jsem nasel toto "Ceske reseni", neznate nekdo:
https://www.kernun.cz/home/

No abych musel schvalovat bezpecnostni vyjimku pro certifikat u webu, ktery nabizi "bezpecnejsi internet" je nejakej protimluv, ne?

[PatPatPat]

jo to zni divne, ja se na jejich stranky i omylem zaslane https z Chrome 41 dostanu rovnou. ale to nebudem resit, jejich boj, je pravda, ze to duveryhodnosti neprida :-)

[Filip Jirsák nepřihlášený]

No abych musel schvalovat bezpecnostni vyjimku pro certifikat u webu, ktery nabizi "bezpecnejsi internet" je nejakej protimluv, ne?

Naopak. Pokud věříte certifikátům, které se vám bůhvíjak dostaly do prohlížeče, příliš bezpečné to není. Ale je pravda, že web by mohli mít přizpůsobený pro ty, kteří zatím moc bezpečnou konfiguraci nemají.

[JardaP .]

-clamav nebrat ani jako zaklad, ve free linuxech se pak dokupuje vetsinou AV kaspersky ci bitdefender u untagle to uz je predpokladam jina liga?

Nez ten clamav uplne zahodite, tak se mrknete na http://sourceforge.net/projects/unofficial-sigs/ a http://manpages.ubuntu.com/manpages/lucid/man8/clamav-unofficial-sigs.8.html (nevim, jestli se jedna o stejny projekt). Ale bylo by potreba pochytat nejake viry, ktere ted radi a zkusit, jak dobre to je. Treba na USENETu by mohl zase radit nejaky ten halleberrynaked.scr virus nebo nejaky novy smejd, ktery kdysi clamav detekoval az za mnoho mesicu (AVG po nekolika mesicich, rychleji nez clamav, Avast celkem rychle). Jinak tusim existuje Avast pro Linux a mozna Eset take neco ma. Nod32 byval dost dobry, jak ted ale nevim.

[Reklama]

[PatPatPat]

eset linux sitovy antivirus jsem zkousel a filtrovalo to jen http zadny jiny provoz, sami eseti souhlasili s tim, ze to neni nic moc, ale ze maj jiny priority tak to resit nebudou. sitovy avg ani avast neznam

[JardaP .]

Avast pro Linux: https://www.avast.com/linux-server-antivirus . Podle vseho neni verze zdarma. Neskanuje sitovy provoz, coz, pokud se pamatuji, clamav take nedela. Ale umi to skanovat soubory, takze se to hodi treba na postovni server a to asi vice, nez clamav, ktery tam ale muze byt take.

Ostatne skanovani sitoveho provozu je presne vec, ktera rychlosti stroje moc nepomuze.

[Mirek Prýmek]

Pate, takovej volně související dotaz: Když už tohle tak detailně řešíš, jakej máš názor na filtrování https? Mně to pořád nějak nesedí, násilně nabourávat komunikaci, o které má komunikující dojem, že je privátní point to point... Je jasné, že bez toho filtrování prakticky v;bec nemá smysl, ale zas na druhou stranu, lézt do spojení, které může být nakrásně třeba mezi zaměstnancem a jeho soukromou bankou? Nevím... Právně je to celkem jasné (zveřejnit v pravidlech provozu sítě a každého zaměstnance s tím seznámit), ale moc se s tím nemůžu srovnat osobně...

P.S. můžeš aspoň rámcově říct, v jaké oblasti to hodláš nasadit a co je vlastně cílem filtrování?

[ping]

Pate, takovej volně související dotaz: Když už tohle tak detailně řešíš, jakej máš názor na filtrování https? Mně to pořád nějak nesedí, násilně nabourávat komunikaci, o které má komunikující dojem, že je privátní point to point... Je jasné, že bez toho filtrování prakticky v;bec nemá smysl, ale zas na druhou stranu, lézt do spojení, které může být nakrásně třeba mezi zaměstnancem a jeho soukromou bankou? Nevím... Právně je to celkem jasné (zveřejnit v pravidlech provozu sítě a každého zaměstnance s tím seznámit), ale moc se s tím nemůžu srovnat osobně...

P.S. můžeš aspoň rámcově říct, v jaké oblasti to hodláš nasadit a co je vlastně cílem filtrování?

Uživatel má přece stále možnost v prohlížeči zjistit, kdo vydal certifikát cílového systému, jestli veřejná CA nebo interní firemní CA a podle toho se zachovat. Kromě toho pro přístupy na bankovní servery se pro tuto kategorii nastavuje vyjímka, aby firewall do takové komunikace nezasahoval.

[Mirek Prýmek]

Uživatel má přece stále možnost v prohlížeči zjistit, kdo vydal certifikát cílového systému, jestli veřejná CA nebo interní firemní CA a podle toho se zachovat.

To má, ale dělat to nebude.

Kromě toho pro přístupy na bankovní servery se pro tuto kategorii nastavuje vyjímka, aby firewall do takové komunikace nezasahoval.

Hm. Ale stejně mi to přijde takový... nevím no. Možná jako kamery na WC, s ujištěním, že pindíka to nezabírá, protože na to je tam výjímka Ty důvody, proč se to dělá, chápu, jenom nějak si na to neumím udělat názor, jestli je to pochopitelná dobrá praxe nebo spíš korporátní fašismus...

[Martin Pecka]

Jeste me napada OpenDNS na to blokovani webu. Kdyz klientum vnutis tyhle DNS servery a zakazes DNS komunikaci kamkoli jinam, tak je to myslim celkem dobre reseni (muzes si naklikat, ktere kategorie webu nechces, muzes pridavat vyjimky, ...).

Samozrejme se to da obejit zadanim IP adresy, ale to je uz docela dost BFU-unfriendly. A tech par Facebooku, co si zamestnanci zjisti, se da zablokovat natvrdo i pomoci IP.

[PatPatPat]

Souhrn odpovedi:
-jeste k pomalu aktualizoavnemu clamavu, byl jsme na marketingove nalejvarne fortinetu a tam tvrdili, ze z celkoveho poctu utoku typu lidska chyba /asi tim rozumi klik na neco co nemas/ bylo pouze cca 11% zneuzitelenych technik z aktualniho roku /2014 / vse ostatni starsi  chyby
-soukromej nazor na filtrovani https tj. vlastne MITM je, ze je  to strasne nebezpecne a nezadouci zneuziti. na druhou stranu chapu, ze nekdo muze mit moranil pravo na kontrolu nad tim co se deje na siti a toto je jedina technika trochu funkcni technika nezbyva nez ji vyuzit (zazil jsem jak placici matku jez zjistila co syn /z meho pohledu velice sofitikovane/ pacha na internetu ci majitele firmy jez plati zdroje a chce maximalne vyuzit)
-dekuji spolu s Vami se snazim se udelat si nazor efektivitu na ruznych kategorii reseni:
--do free kategorie pokud akceptujeme technicke omezeni reseni, urcite patri openDNS diky sve kvalite kategorize urcite patri
--druhy level mi prijde free reseni s placenym antivirem zatim zatim proste asi untangle s bitdefenderem -jina reseni nasazuji kasperkyho ,ale nedokazu posoudit realny rozdil techto AV na teto vrstve dle testu na stanici je aktualne bitdefender lepsi
--komercni jez ma dle vsech komentaru opodstatneni zejmena kvuli HTTPS mi prijde zajimave fortinet ve virtualce


-bylo to jiz  zmineno, ale vnitrne fandim  ceske firme z oboru, ale vubec nevim co realne ocekavat od kernun.cz , hledal jsem ve forech a nikdo to asi moc nepouziva, opravdu to nikdo nezna?

[Lol Phirae]

Ještě jeden univerzální zpomalovač internetu zdarma k vyzkoušení:

https://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx