Mikrotik PPTP VPN pēc ROS 6.44

[CosmosDC]

Droši vien, tāpat kā tu - system/certificates, citu variantu jau iekš paša MikroTik nav. Bet ja vēlies, vari to darīt kādā no Linux distribūcijām ar OpenSSL paku.

Tu rakstīji, ka ar vienu iekārtu izdevās pieslēgties tam IKEv2 serverim, bet ar citām nē. Gadījumā tu nemēģināji slēgties klāt tam serverim ar vienu un to pašu klienta sertifikātu no vairākām iekārtām vienlaicīgi? Tas nav iespējams, tāpēc jau katram klientam jātaisa savs sertifikāts, tas ir unikāls identifikators, kuru tu norādi pie IPSec Identity attiecīgi.

Jo tas ir ļoti aizdomīgi, ka ar vienu iekārtu izdevās pieslēgties, sekmīgi izveidot SA, bet ar citām nē... Vienīgi vēl tad varbūt esi uzlicis ļoti prasīgus nosacījumus priekš 1. un 2. fāzes, ar ko viens otrs klients var negribēt strādāt? Vismaz W10 (1909) otro fāzi negribēja man veidot ar SHA-256 hashu, vajadzēja SHA-1, lai gan Android 10 bez problēmām strādāja arī ar SHA-256.

Un papildus pārbaudi informāciju sertifikātos, varbūt ir kāda interpunkcijas kļūda, ko norādi pie Identity.

[uldii12345]

To, ka katram klientam jātaisa savs, saprotu. Man tieši vairāk neskaidrību, ko tieši labāk norādīt vai nenorādīt sertifikātos. Vienā MUM 2019 gada no Krievijas diezgan detalizēti pastāsta kā visu veidot ar alt name dns, to viņs izmanto arī pie CA sertifikāta. Man pēc tāda principa no android meta autentifikācijas kļūdu. No windows ar mazu reģistru izmaiņu, viss ok. Tad pēc wiki pamācības izveidoju sertifikātus ar fiksētu IP un tagad iet gan no android, gan windows (to es izdarīju mājas routerī). Taisot pēc tāda paša principa, tikai ar citu ip un nosaukumiem, citā mikrotik, no android neiet, izmet kļūdu par autentifikāciju. Ipesec iestatījumi identiski. No windows iet, no android nepakam. Taisīju sertifikātus visādos variantos, android neiet. Man gan telefonā android 9, ike2 nav iebūvēta klienta, izmantoju Strongswan apu. 

 

Šovakar mēģināju l2tp uz iphone, neiet, met arā, klūdu par nepareizu paroli, gab iphone, gan mikrotik logos. Dati 100% pareizi, jo android, windows iet. Nomainīju akreditācijas datus mikrotikā, tas pats, mainīju peer profilos un prospalos šifrēšanu, nekas nemainās. Mikrotikam, kuram mēģināja pieskēgties ipons 6.44.5 versija, cerība, ka uzliekot jaunāku ies, šovakar nevarēja bez neta palikt

[CosmosDC]

CA sertifikātam CN (common name) un SAN (subject alternative name) vienalga, jo tas ir domāts tikai citu sertifikātu apstiprināšanai lokāli.

Klienta sertifikātam arī, tikai priekš katra klienta jābūt unikālam tam tekstam, es izmantoju e-mail.

Servera sertifikātam es izmantoju DNS priekš SAN, attiecīgi no IP/Cloud tas nāk. Tas pats arī priekš CN, jo man statiskā publiskā adrese nemaz nebija pieejama.

Iekopē konfigu (hide-sensitive), savādāk te tā var rakstīt līdz nejēga. Sāc ar L2TP/IPSec konfigu serverim, tur ar defaulto template ir ļoti grūti kaut ko nepareizi izdarīt.

 

[uldii12345]

# apr/21/2020 21:52:54 by RouterOS 6.46.5
# software id = 14S1-2W8W
#
# model = RouterBOARD 3011UiAS
# serial number = ***********
/interface bridge
add arp=proxy-arp name="bridge TV"
add arp=proxy-arp name="bridge WI FI"
add arp=proxy-arp name="bridge WI FI berniem"
add arp=proxy-arp name="bridge darba datori"
add arp=proxy-arp name="bridge loopback ike vpn"
add admin-mac=B8:69:F4:69:EF:90 arp=proxy-arp auto-mac=no name=\
    bridge_galvenais vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name="ether1 brivs"
set [ find default-name=ether2 ] name="ether2 brivs"
set [ find default-name=ether3 ] name="ether3 Nvidia"
set [ find default-name=ether4 ] advertise=1000M-half,1000M-full name=\
    "ether4 brivs"
set [ find default-name=ether5 ] advertise=1000M-half,1000M-full name=\
    "ether5 dators"
set [ find default-name=ether6 ] name="ether6 samsung tv"
set [ find default-name=ether7 ] name="ether7 Temperaturas devejs"
set [ find default-name=ether8 ] name="ether8 Yamaha"
set [ find default-name=ether9 ] advertise=1000M-half,1000M-full name=\
    "ether9 Signalizacija + gulamistabas tv+ wifi"
set [ find default-name=ether10 ] name="ether10 benini"
set [ find default-name=sfp1 ] comment=Rezerve disabled=yes
/interface vlan
add interface=bridge_galvenais name="vlan 12 wi fi " vlan-id=12
add interface=bridge_galvenais name="vlan9 signalizacija un video" vlan-id=9
add interface=bridge_galvenais name="vlan20 TV" vlan-id=20
add arp=proxy-arp interface=bridge_galvenais name="vlan27 LAN " vlan-id=27
add interface=bridge_galvenais name=vlan3000_ienakosais_tele2 vlan-id=3000
add interface=bridge_galvenais name=vlan4000_ienakosais_linkit vlan-id=4000
/interface list
add name=lan
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name="group vpn ike2"
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1536,modp1024 enc-algorithm=\
    aes-256,aes-192,aes-128 hash-algorithm=sha256
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 \
    hash-algorithm=sha256 name="profile vpn ikea2"
/ip ipsec peer
add exchange-mode=ike2 name="peer vpn ike2" passive=yes profile=\
    "profile vpn ikea2"
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1 enc-algorithms="ae\
    s-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-\
    128-ctr,aes-128-gcm" pfs-group=none
add auth-algorithms=sha512,sha256,sha1 enc-algorithms="aes-256-cbc,aes-256-ctr\
    ,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm" \
    lifetime=8h name="prospal VPN ike2" pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.89.100-192.168.89.254
add name=dhcp_pool1 ranges=192.168.101.100-192.168.101.254
add name=VPN ranges=192.168.89.40-192.168.89.70
add name=dhcp_pool4 ranges=172.16.1.100-172.16.1.254
add name=dhcp_pool5 ranges=192.168.88.100-192.168.88.254
add name=dhcp_pool6 ranges=192.168.99.100-192.168.99.254
add name=dhcp_pool7 ranges=192.168.89.100-192.168.89.254
add name=dhcp_pool8 ranges=192.168.88.2-192.168.88.254
add name=dhcp_pool9 ranges=192.168.102.2-192.168.102.254
add name="VPN IKEA V2" ranges=10.0.88.2-10.0.88.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface="bridge TV" name=dhcp2
add address-pool=dhcp_pool4 disabled=no interface="bridge WI FI" name=dhcp3
add address-pool=dhcp_pool6 disabled=no interface="bridge WI FI berniem" \
    name=dhcp5
add address-pool=dhcp_pool7 disabled=no interface="vlan27 LAN " name=dhcp1
add address-pool=dhcp_pool8 disabled=no interface=\
    "vlan9 signalizacija un video" name=dhcp4
add address-pool=dhcp_pool9 disabled=no interface="bridge darba datori" name=\
    dhcp6
/ip ipsec mode-config
add address-pool="VPN IKEA V2" address-prefix-length=32 name="VPN ike2" \
    split-include=0.0.0.0/0
/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=192.168.89.1 name=VPN \
    remote-address=VPN use-encryption=required use-upnp=no
/dude
set enabled=yes
/interface bridge port
add bridge=bridge_galvenais interface="ether4 brivs"
add bridge=bridge_galvenais interface="ether3 Nvidia" pvid=20
add bridge=bridge_galvenais interface=\
    "ether9 Signalizacija + gulamistabas tv+ wifi"
add bridge=bridge_galvenais interface="ether5 dators" pvid=27
add bridge=bridge_galvenais interface="ether6 samsung tv" pvid=20
add bridge=bridge_galvenais interface="ether7 Temperaturas devejs" pvid=9
add bridge=bridge_galvenais interface="ether8 Yamaha" pvid=12
add bridge=bridge_galvenais interface="ether1 brivs" pvid=27
add bridge="bridge WI FI" interface="vlan 12 wi fi "
add bridge=bridge_galvenais interface=sfp1
add bridge="bridge TV" interface="vlan20 TV"
add bridge=bridge_galvenais interface="ether2 brivs" pvid=27
add bridge=bridge_galvenais interface="ether10 benini"
/ip neighbor discovery-settings
set discover-interface-list=lan
/interface bridge vlan
add bridge=bridge_galvenais comment=LAN tagged="ether9 Signalizacija + gulamis\
    tabas tv+ wifi,bridge_galvenais,ether10 benini" untagged=\
    "ether5 dators,ether1 brivs" vlan-ids=27
add bridge=bridge_galvenais comment="WI Fi" tagged=\
    "ether9 Signalizacija + gulamistabas tv+ wifi,bridge_galvenais" untagged=\
    "ether8 Yamaha" vlan-ids=12
add bridge=bridge_galvenais comment="Video un signaliz\E2cija" tagged="ether9 \
    Signalizacija + gulamistabas tv+ wifi,bridge_galvenais,ether10 benini" \
    untagged="ether7 Temperaturas devejs" vlan-ids=9
add bridge=bridge_galvenais comment=TV tagged="ether9 Signalizacija + gulamist\
    abas tv+ wifi,bridge_galvenais,ether10 benini" untagged=\
    "ether3 Nvidia,ether6 samsung tv" vlan-ids=20
add bridge=bridge_galvenais comment="Tele2 ienakosais" tagged=\
    "bridge_galvenais,ether10 benini" vlan-ids=3000
add bridge=bridge_galvenais comment="linkit ienakosais" tagged=\
    "bridge_galvenais,ether10 benini" vlan-ids=4000
/interface l2tp-server server
set authentication=mschap2 enabled=yes use-ipsec=yes
/interface list member
add interface="vlan27 LAN " list=lan
add interface=vlan4000_ienakosais_linkit list=WAN
add interface=vlan3000_ienakosais_tele2 list=WAN
add disabled=yes interface=indulis list=WAN
add interface="bridge darba datori" list=lan
/interface pptp-server server
set authentication=mschap2 enabled=yes
/interface sstp-server server
set authentication=mschap2 default-profile=default-encryption enabled=yes \
    port=7443
/ip address
add address=192.168.88.1/24 interface="vlan9 signalizacija un video" network=\
    192.168.88.0
add address=192.168.89.1/24 interface="vlan27 LAN " network=192.168.89.0
add address=192.168.101.1/24 interface="bridge TV" network=192.168.101.0
add address=***************** interface=vlan4000_ienakosais_linkit network=\
    ***********
add address=172.16.1.1/24 interface="bridge WI FI" network=172.16.1.0
add address=192.168.99.1/24 interface="bridge WI FI berniem" network=\
    192.168.99.0
add address=192.168.200.2/24 interface=vlan3000_ienakosais_tele2 network=\
    192.168.200.0
add address=192.168.102.1/24 interface="bridge darba datori" network=\
    192.168.102.0
add address=10.0.88.1/24 interface="bridge loopback ike vpn" network=\
    10.0.88.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=10m
/ip dhcp-server network
add address=172.16.1.0/24 dns-server=172.16.1.1,8.8.4.4 gateway=172.16.1.1
add address=192.168.88.0/24 dns-server=192.168.89.1,8.8.4.4 gateway=\
    192.168.88.1
add address=192.168.89.0/24 dns-server=192.168.89.1,8.8.4.4 gateway=\
    192.168.89.1
add address=192.168.99.0/24 dns-server=192.168.99.1,8.8.4.4 gateway=\
    192.168.99.1
add address=192.168.101.0/24 dns-server=192.168.89.1,8.8.4.4 gateway=\
    192.168.101.1
add address=192.168.102.0/24 dns-server=192.168.89.1,8.8.8.8 gateway=\
    192.168.102.1
/ip dns
set allow-remote-requests=yes servers=\
    193.12.150.98,81.198.190.2,195.122.12.242,212.247.152.98
/ip firewall address-list
add address=216.218.206.0/24 list=pideri
add address=141.98.80.0/24 list=pideri
add address=115.236.33.0/24 list=pideri
add address=192.168.89.0/24 list="my lan"
add address=172.16.1.0/24 list="my lan"
add address=192.168.101.0/24 list="my lan"
add address=192.168.99.0/24 list="my lan"
add address=92.63.194.0/24 list=pideri
add address=216.218.206.0/24 list=Block-List
add address=146.88.240.4 list=Block-List
add address=202.96.99.0/24 list=Block-List
add address=178.165.72.177 list=Block-List
add address=185.220.100.0/24 list=Block-List
add address=185.220.101.0/24 list=Block-List
add address=85.248.227.0/24 list=Block-List
add address=46.165.245.0/24 list=Block-List
add address=185.207.139.0/24 list=Block-List
add address=218.77.12.221 list=Block-List
add address=164.52.24.171 list=Block-List
add address=92.63.194.0/24 list=Block-List
add address=115.236.33.0/24 list=Block-List
add address=141.98.80.0/24 list=Block-List
add address=218.75.38.213 list=Block-List
add address=111.206.250.0/24 list=pideri
add address=111.206.250.0/24 list=Block-List
add address=192.168.102.0/24 list="my lan"
add address=141.98.81.0/24 list=Block-List
add address=141.98.81.0/24 list=pideri
/ip firewall raw
add action=drop chain=prerouting in-interface-list=WAN src-address-list=\
    Block-List
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec identity
add auth-method=digital-signature certificate=Strautini_server1 \
    generate-policy=port-strict match-by=certificate mode-config="VPN ike2" \
    peer="peer vpn ike2" policy-template-group="group vpn ike2" \
    remote-certificate=Uldis-client1
/ip ipsec policy
add dst-address=10.0.88.0/24 group="group vpn ike2" proposal=\
    "prospal VPN ike2" src-address=0.0.0.0/0 template=yes
/ip route
add check-gateway=ping comment=linkit distance=1 gateway=*********** \
    routing-mark="linkit out"
add check-gateway=ping comment=tele2 distance=2 gateway=192.168.200.1 \
    routing-mark="Tele2 out"
add check-gateway=ping comment=linkit distance=1 gateway=************* \
    routing-mark="Uz linkit"
add check-gateway=ping comment=tele2 distance=2 gateway=192.168.200.1 \
    routing-mark="Uz tele2"
add check-gateway=ping comment=linkit distance=1 gateway=*************
add check-gateway=ping comment=tele2 distance=2 gateway=192.168.200.1
/ip route rule
add src-address=**************** table=LINKIT
add src-address=192.168.200.2/32 table=Tele2
add dst-address=192.168.88.0/24 table=main
add dst-address=192.168.89.0/24 table=main
add dst-address=192.168.99.0/24 table=main
add dst-address=192.168.101.0/24 table=main
add dst-address=192.168.102.0/24 table=main
add dst-address=172.16.1.0/24 table=main
add routing-mark="Uz linkit" table=LINKIT
add routing-mark="Uz tele2" table=Tele2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.89.0/24,172.16.1.102/32,172.16.1.109/32
set winbox address=\
    192.168.89.0/24,172.16.1.102/32,172.16.1.109/32,10.0.88.0/24
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=mediaserver profile=VPN service=l2tp
add name=mediaserver1 profile=VPN service=pptp
add name=mediaserver1t profile=VPN remote-address=192.168.89.39 service=pptp
add name=mediaserver1z profile=VPN remote-address=192.168.89.38 service=pptp
add name=mediaserversstp profile=VPN remote-address=192.168.89.10 service=\
    sstp
/system clock
set time-zone-name=Europe/Riga
/system identity
set name=Viesistaba
/system ntp client
set enabled=yes primary-ntp=91.240.246.1 secondary-ntp=162.159.200.1
/system ntp server
set enabled=yes
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=lan
/tool mac-server mac-winbox
set allowed-interface-list=lan
/tool mac-server ping
set enabled=no
 

[uldii12345]

Ar šādi izveidotiem sertifikātiem android nevar pieslēgties.

 

CA sertifikātam norādot tikai  name un comon name un pie sign, pie hosta norādot publisko IP.

 

Servera sertifikātam  pie common name un SAN norādot publisko IP, klientam arī tikai name un comon name no android varu pieslēgties.

[CosmosDC]

Tev tie sertifikāti nav uzticami. Ja esi viņus ar CA parakstījis, ieķeksē trusted, rezultātā gan klientam, gan serverim jābūt ar KIT flagiem.

Ja joprojām nekas prātīgs nenotiek, es tavā vietā darītu tā - sākumā izveido IKEv2 serveri ar PSK, nevis sertifikātiem, jo ja tu diezgan labi nepārzini PKI (public key infrastructure), un izskatās, ka tā ir, tad tev tā sertifikātu darīšana tikai jauc galvu. Un to (IKEv2 ar PSK) var izdarīt MikroTik iekārtās, vienkārši tas nav ieteicamais veids priekš autentifikācijas (pēc viņu wiki lapas).

Es tajā konfigā IPsec daļā redzu tikai IKEv2 nepieciešamos datus, bet neredzu defaulto IPsec template, kas ir sagatavota priekš L2TP, pārbaudīšu vai viņa vienkārši ar export neizkopējas vai kas par lietu. Ārā tu taču viņu neesi dzēsis?

Ieraudzīju defulto IPsec konfigu. Priekš 1. fāzes liec SHA-1, nevis SHA-256, jo W10 tur noteikti nepieslēgsies. Interesanti, ka SHA-1 ir defaultais lielums, tā kā esi tur ko mainījis, labāk paņem kādu citu MikroTiku, nomet uz default-config un uzliec no jauna to L2TP/IPsec serveri, paskaties, kas tur notiek. Pie IPsec tur vispār nekas nav jāmaina.

Labots Aprīlis 22, 2020 - CosmosDC

[Anonīms Alkoholiķis]

Pirms gada vai diviem jau noskaidrojām, ka reizēm kāds provaideris var sasipties meistarībā un tad vajag backup variantu un momentā. Vismaz nebija ltc, bet gan NacTelefons. Tāpēc beidz t1rst, ja neredzi tālāk par savu galu.

Labots Aprīlis 22, 2020 - Anonīms Alkoholiķis

[CosmosDC]

1 stundu atpakaļ, MacGangreen teica:

Ja pazudīs LTC optika, visdrīzāk pazudīs arī Tele2.

Tele2 maģistrālajam transmisijas tīklam nav nekāda saistība ar LTC.

Tas, ka kāds tornis/atzars var būt caur LTC, ļoti iespējams, Latvija jau ir maza, bet globāli saistība nav nekāda.

[CosmosDC]

Mhm, tūlīt ielikšu forumā.

Bet ja nopietni, tad https://www.delfi.lv/bizness/tehnologijas/tele2-optiskajam-tiklam-pieslegs-regionalas-4g-bazes-stacijas.d?id=51840473

[hero]

Un? kāds sakars tam, ka cilvēks backupam izmantot Tele2 pieslēgumus un tam, ka T2 un TET sadarbojas? 

Pat, ja pieņem, ka T2 ņem fizisko transportu līdz tornim no TETa (un hz vai tā ir), tad tā varbūt pilnīgi autonoma infrastruktūra no tās, kas tiek piedāvāta biznesa vai mājas gala lietotājam.

+ vēl bonus-pārsteigums - tas, ka, piemēram, ja TETam ir līgums ar T2 par torņa apgādi ar optiku, nav fakts, ka to pašu optiku TETs ir 'nopircis kā servisu' vēl no kāda cita - dzelzceļa, latvenergo vai vēl hz kā....

+ Vēl vairāk pateikšu - paši telekomieši savos pieslēgumos ar rezervēšanu, kā backupu izvēlas uzstādīt pieslēgumus ar tā paša T2 simkām; kur SLA līgumos pieprasīts ir, lai backup ir caur neatkarīgu infrastruktūru... 

 

 

.. pardon autoram - notriggeroju uz macgangrēna atejas argumentiem... un kā woota 'spalvainā administratora roka nevar tikt ar šo mēslu galā' ?

 

Labots Aprīlis 22, 2020 - hero

[DjUbuntu]

Varu tikai apstiprināt, ka Tet izmanto failover Tele2 SIM, lai nodrošinātu failover uz savu MPLS. Regulāri ir gadījumi, kad optiskais links nomirst un savukārt LTE strādā. 

Lielākā problēma ir tā, ka biežāki ir gadījumi, ka provaiderim nevis tur ir nokritis last mile gw, bet linka kvalitāte sačko vai rūteris ir aizgājis pakaļā, kur palīdzēt var tikai SD-WAN. 

[uldii12345]

No kurienes parādījās publiskās ip, it kā jau likās, ka visur nodzēsu. Vispār jau var redzēt, ka primārais ir linkit (radiolinks) nevis optika, otrkārt tele2 ir par saldu ciparu 10 eur.

[uldii12345]

pirms 12 stundām , CosmosDC teica:

Ieraudzīju defulto IPsec konfigu. Priekš 1. fāzes liec SHA-1, nevis SHA-256, jo W10 tur noteikti nepieslēgsies. Interesanti, ka SHA-1 ir defaultais lielums, tā kā esi tur ko mainījis, labāk paņem kādu citu MikroTiku, nomet uz default-config un uzliec no jauna to L2TP/IPsec serveri, paskaties, kas tur notiek. Pie IPsec tur vispār nekas nav jāmaina.

 To tik nesen pamainīju pēc video ar ike2 konfigurāciju. Android vismaz pieslēdzas bez problēmām. Parasti gan tur neko nemainu un atstāju uz defaulto. Vienā no video tika teikts, ka sha1 ir novecojis un nav vairs tik drošs, tapēc labāk to nomainīt

[DjUbuntu]

 Protams, ka MPLS nav failover. Vienkārši arī failover rūterim ir nepieciešams  nokļūt tajā pašā DMVPN mākonī, kur parastajam linkam. Nu tad griež MPLS caur LTE.

Un SD-WAN  principā ir mārketinga termins nākošās paaudzes iekārtām, kas uzņēmumam ļauj caur parastiem linkiem uzbūvēt normālu provaidera neatkarīgu tīklu.

 

[hero]

Patiesībā sd-wan koncepts jau laiku kā veiksmīgi tiek darbināts, papildus linkus izmantojot ne tikai backupam, bet arī ikdienas trafika balansēšanai.

 

 

1 stundu atpakaļ, MacGangreen teica:

KAS?

Īsais skaidrojums - Tas ir balto cilvēku pasaules risinājums, kur nav jālauž galva un jāmanipulē ar policy based routingiem, lai nodrošinātu triviālus 'per source/destination/port/application' load balancingu uz visiem iespējamajiem uplinkiem.

Tepat aizpagājušonedēļ bija topiks, kur bija problēmas ar asinhrono routingu pie backupa un sd-wan šīs problēmas varētu atrisināt. Tikai LV līmenis zināmās aprindās stagnē un etalons melnu muti skriptot pa MT 

Labots Aprīlis 23, 2020 - hero

[CosmosDC]

1 stundu atpakaļ, hero teica:

Tikai LV līmenis zināmās aprindās stagnē un etalons melnu muti skriptot pa MT

Droši var ieteikt SD-WAN risinājumu cenā ap 50 € (nevis mēnesī, bet vienreizēja cena).

Protams, lieliem enterprise uzņēmumiem tā ir ikdiena, bet nu nevajag jau pārspīlēt, ka visur pasaulē (kaut vai tevis pieminētajās "baltajās valstīs") SMB izmanto tikai un vienīgi SD-WAN.

Un tā melnu muti skriptošana - kādam tā ir melna mute, kādam aptuveni 3 minūšu jautājums, tāpēc, kā jau vienmēr, tas ir atkarīgs no daudziem faktoriem.

@uldii12345 tev tur kaut kas sanāca beigās?

[DjUbuntu]

 SD-WAN vispār parasti ir interesants tikai tiem, kam interesē augsta pieslēguma pieejamība / slodzes dalīšana. Lielākā daļa SMB dzīvo ar vienu ISP, kurš viņam iedod IP un viņam tur ir lokāls rūteris. Un tāds entry level dzelzis nemaz nav tik dārgs - Fortigate 30e nemaksā kosmosu. Arī lieliem enterprise uzņēmumiem ir čupa ar maziem branch, kur trafiks reāli ir nekāds un neviens neliks super dzelzi. 

 

Es mikrotik vispār uztveru kā ISP līmeņa dzelzi aiz tā vienkāršā iemesla, ka viņam nav normāls firewalls, kas ļautu paskatīties, kuros sliktos URL lietotāji iet un kā dati notiek. Kā rūteris ok, bet tāpat lielākajai daļai SMB vajag firewall un trafiks nav tāds, lai vajadzētu atsevišķu rūteri un firewalls arī visu var mierīgi izrūtēt. Mikrotik skriptiem ar trīs minūtēm ir lielākā problēma, ka tad, ka iepriekšējais kadrs ir kaut kur aiztinies ir jāmeklē jauns, kas to 3 skriptu maģiju saprot. 

 

hero, sliktās aprindās apgrozies. Nav gluži tā, ka ikdiena, bet POC ir daudziem, konsultanti-balēliņi arī kaut ko saprot tā kā nav problēma ?

 

 

 

 

 

 

 

 

 

[hero]

Tikai un vienīgi sd-wan - noteikti ne. Ja ir specifiski uzdevumi - tad sd-wan var palīdzēt.

Tepat LV, piemēram klients, kur organizācija ar 5 tikai filiālēm darbina sdwanu.

 

 

 

Pirms 24 minūtēm , DjUbuntu teica:

hero, sliktās aprindās apgrozies

Jā, dzīvoju ghetto, uz wrt54g braucu a80 ar gāzi ēdu roltonus 

 

 

 

Pirms 24 minūtēm , DjUbuntu teica:

Un tāds entry level dzelzis nemaz nav tik dārgs - Fortigate 30e nemaksā kosmosu

~ja jauns, gala klientam tāpat 150-200e gabalā tāpat maksās, bet tehnoloģiski vismaz viņam viss sd-wan funkcionalitāte ir iekšā. 

Bet bootā te tādus risinājumus ir dzīvībai bīstami apspriest, nomētās ar veciem mikrotikšķiem

 

 

Pirms 24 minūtēm , DjUbuntu teica:

konsultanti-balēliņi arī kaut ko saprot tā kā nav problēma

... tas, ka nav problēma neskaitāmas reizes esmu pārliecinājies, kaut vai tepat nesen vienā topikā, kā 4 SR level network cilvēki nevar tagotu vlanu izbridžot cauri :.. viens no čaļiem ikdienā provaidera MPLS koori konfigurē. Bet visādā citādā ziņā - jā 3 minūšu darbs

 

pasauc šņukuru un betonu - visas tīkla problēmas pazudīs.... (tiesa gan tīkls arī)

Labots Aprīlis 23, 2020 - hero

[uldise]

Pirms 7 minūtēm , hero teica:

Bet bootā te tādus risinājumus ir dzīvībai bīstami apspriest, nomētās ar veciem mikrotikšķiem

davai neturam sveci zem pūra, citādi tok nomētās  

[DjUbuntu]

Pirms 11 minūtēm , hero teica:

.. tas, ka nav problēma neskaitāmas reizes esmu pārliecinājies, kaut vai tepat nesen vienā topikā, kā 4 SR level network cilvēki nevar tagotu vlanu izbridžot cauri :.. viens no čaļiem ikdienā provaidera MPLS koori konfigurē. Bet visādā citādā ziņā - jā 3 minūšu darbs

 

pasauc šņukuru un betonu - visas tīkla problēmas pazudīs.... (tiesa gan tīkls arī)

 

Oh, arī IRL top provaidera teams nevar mēnesi saprast, ka interfeisam MTU nepareizs, tas normāli ?
 

 

[CosmosDC]

1 stundu atpakaļ, hero teica:

Bet bootā te tādus risinājumus ir dzīvībai bīstami apspriest, nomētās ar veciem mikrotikšķiem

Es vienmēr esmu apbrīnojis šo attieksmi pret pašmāju ražotāju (un nē, man nav nekāda saistība ar MikroTik). Manuprāt, MikroTik ir ļoti interesanti produkti, ar kuriem ir forši paspēlēties hobija ietvaros (kā manā gadījumā), to cenu kategorijā, kuru tie pārstāv, viņiem konkurentu nav daudz, tāpēc Riekstiņa kungs ir tur, kur šobrīd ir - ar tālu atrāvienu priekšā visiem citiem jebkāda veida biznesa veidotājiem Latvijā. Manuprāt, priekš SMB lielisks produkts (ja nevajag IDS/IPS/NSM kā jau DjUbuntu minēja), to parāda arī uzņēmuma finansiālie rādījumi. Lielākie aprunātāji/visziņi parasti ir lielo kompāniju tīkla administratori, kas savā mūžā par savu naudu nevienu Cisco klases iekārtu un licences tai nopirkuši, tāpēc var gudri runāt, jo citu naudu (nereti valsts) tērēt ir viegli un pēc tam gudri runāt (lai gan tie produkti savā starpā nav konkurenti, to šāda tipa cilvēkiem ir īpaši grūti saprast). Atvainojos, ja es kādu aizskāru, nekas personīgs ne pret vienu man nav, un vienmēr esmu gatavs arī diskutēt kaut vai šeit par šo tēmu, ja iztiekam bez personīgiem uzbraucieniem/aizskaršanas. 

pirms 1 stundas , DjUbuntu teica:

Lielākā daļa SMB dzīvo ar vienu ISP, kurš viņam iedod IP un viņam tur ir lokāls rūteris.

Tieši tā, kāds tur SD-WAN.

1 stundu atpakaļ, hero teica:

viens no čaļiem ikdienā provaidera MPLS koori konfigurē. Bet visādā citādā ziņā - jā 3 minūšu darbs

Es ceru, ka tu nedomā mani (ar atsauci par tām 3 minūtēm), jo mans ikdienas darbs ir diezgan attāli saistīts ar kaut kādu tīkla iekārtu konfigurēšanu.

pirms 2 stundām , DjUbuntu teica:

Mikrotik skriptiem ar trīs minūtēm ir lielākā problēma, ka tad, ka iepriekšējais kadrs ir kaut kur aiztinies ir jāmeklē jauns, kas to 3 skriptu maģiju saprot. 

Priekš Dual-WAN failover skriptus MikroTikam nevajag, tā bija kā liriska atkāpe, jo, redz, viss ir jādara kā 3. pasaules valstīs. Nē, nav, ja nedaudz iedziļinās. Un par tiem kadriem - tā ir, jā, bet tas jau tā ir daudzās nozarēs, piemēram, ja programmētājs dokumentāciju neuztur pie kāda projekta, kuru izstrādā individuāli, tad situācija ir identiska.

pirms 1 stundas , hero teica:

Tepat LV, piemēram klients, kur organizācija ar 5 tikai filiālēm darbina sdwanu.

Filiāles un to servisu vajadzības var būt dažādas, manuprāt, skaits šeit ir nenozīmīgs.

[DjUbuntu]

Nevajag salīdzināt svara kategorijas.  Un ofisam, manuprāt, Mikrotik neder, jo DPI saxo, kas neļauj normāli filtrēt gala lietotāju trafiku un saprast, kurš Jānītis vai Ainiņa velk iekšā malware vai caur savu Google Drive lādē datus. Drīzāk Unifi SMB ir piemērotāks, jo arī konfigurējas bez problēmām un integrējas ar WiFi / video un ko tur vēl. 

  Mikrotiks ir kā radīts tiem, kam vajag vienkārši nodrošināt interneta pieslēgumu, tur mini ofiss, tie paši ISP, mājās ja gribās kaut ko vairāk par provaidera defaulto shitty CPE, mazais hostinga provaideris utt.

 

 

 

 

 

[Ronalds]

pirms 1 stundas , DjUbuntu teica:

un saprast, kurš Jānītis vai Ainiņa velk iekšā malware

Jautājums kā tu mūsdienās, kur lauvas tiesa trafika ir šifrēta, kā iekš rūtera sapratīsi ko kurš dara? 

 

[CosmosDC]

Unifi ir labi, jā, piekrītu (īpaši UniFi AP par to cenu), bet router/firewall problēma viņiem ir tieši veiktspējā. UDM-PRO (kas šobrīd skaitās labākais no prosumer klases), maksā ~400 €, ar ieslēgtu IDS/IPS var norūtēt max 450 Mbps. Nu un, protams, ja vēlas no tās iekārtas ko vairāk par mājas lietotāju, tad bez .config failu rediģēšanas terminālī neiztikt, ko, savukārt, oficiāli Ubiquiti nesupportē. Bet nu tam UDM-PRO ir vēl visādas citas interesantas lietas (lielākā daļa gan bezjēdzīgu, kā NVR opcija ar vienu HDD, SDN kontrolieris (kā viņi to sauc, no SDN tur gan vēl patālu), kuru var izmantot tikai tām iekārtām, kas pa tiešo pieslēgtas iebūvētajam komutatoram utt.).

Parasti jau uzņēmumos ir dažādas IT politikas, ja nav un ļauj no darba datora (vai nest savu privāto datoru) darīt visu visiem, tad var likt kādu IDS/IPS vēlas, tāpat agrāk vai vēlāk būs auzas. ?  

 

[DjUbuntu]

Pirms 34 minūtēm , Ronalds teica:

Jautājums kā tu mūsdienās, kur lauvas tiesa trafika ir šifrēta, kā iekš rūtera sapratīsi ko kurš dara? 

 

easy, TLS protokolam var nosniffot hostname bez prbl. Otrs ir iespēja dekriptēt ar privāto CA, ko uzliek uz datoriem. 

 

Pirms 35 minūtēm , CosmosDC teica:

Unifi ir labi, jā, piekrītu (īpaši UniFi AP par to cenu), bet router/firewall problēma viņiem ir tieši veiktspējā. UDM-PRO (kas šobrīd skaitās labākais no prosumer klases), maksā ~400 €, ar ieslēgtu IDS/IPS var norūtēt max 450 Mbps. Nu un, protams, ja vēlas no tās iekārtas ko vairāk par mājas lietotāju, tad bez .config failu rediģēšanas terminālī neiztikt, ko, savukārt, oficiāli Ubiquiti nesupportē. Bet nu tam UDM-PRO ir vēl visādas citas interesantas lietas (lielākā daļa gan bezjēdzīgu, kā NVR opcija ar vienu HDD, SDN kontrolieris (kā viņi to sauc, no SDN tur gan vēl patālu), kuru var izmantot tikai tām iekārtām, kas pa tiešo pieslēgtas iebūvētajam komutatoram utt.).

Parasti jau uzņēmumos ir dažādas IT politikas, ja nav un ļauj no darba datora (vai nest savu privāto datoru) darīt visu visiem, tad var likt kādu IDS/IPS vēlas, tāpat agrāk vai vēlāk būs auzas. ?  

 

 

Tu par SMB neizlasīji? Es kā SMB uztveru kaut kādu mazu, pārdesmit darbinieku firmu bez IT servisiem. Nu tā, biki pa daudz, lai ar vienu parasto home rūteri dzīvotu.. Reāli mazs birojs īpaši tīkla topoloģijā neatšķirās no mājām, tik daudz, ka ir kaut kāds NAS / Serverītis failiem un viss. Wifi klienti vairāk, telpas un tā. Nu tur imho pilnīgi ar 100 mbps pietiek ar atliektiem galiem. A vairākus subnetus / dmz un tā neviens tur netaisa jo nafig vajag. Setups next next done, pa lielam var mierīgi uzlikt advancētāks power useris. Tas, ka iespēju maz, imho, šajā gadījumā ir pluss jo mazāk iespēju kaut ko salauzt. Šāda veida vidēs lielākā problēma ir vietējā tehniķa sabūvēta maģija pēc viņa izpratnes, kas parasti ir pilnīgs kosmoss pat ja strādā. Rīks, kas neļauj izpausties ir ok :)

 

Par politikām - politika ir labi, bet viņu vajag tehniski enforcot. Normāli enterprise  risinājumi arī ļauj bez pārāk lielām sāpēm enforcot politiku. Labāk tomēr uzzināt, ka kāds kretīns darbā mēģina kriptovīrusu palaist un lien pornhub :>
 

p.s.  Aruba 303/305 wifi nav īpaši dārgāk un labāk performē. Vienīgā problēma, ka advanced features vajag piepirkt Airwave 

 

[Racer]

Pirms 48 minūtēm , snukurins teica:

mani.Pagājušajā naktī pa diviem atkal kabeļus vilkām.

Uz metāla uzpirkšanas punktu? 

[Anonīms Alkoholiķis]

Pa nakti metāla nodevēju punkti nestrādā. Primāri guvums ir jāaizvāc no nozieguma vietas.

Labots Aprīlis 23, 2020 - Anonīms Alkoholiķis

[CosmosDC]

pirms 14 stundām , DjUbuntu teica:

Normāli enterprise  risinājumi arī ļauj bez pārāk lielām sāpēm enforcot politiku.

Tehniski var visu, tikai atšķirība ir tā, ka darba ņēmējs ir parakstījies zem šīm politikām, t.i., viņš uzņemas personīgu atbildību par to pārkāpšanu, līdzīgi kā ētikas kodekss un citas līdzīgas lietas līgumā/koplīgumā. Un parasti ja cilvēkam pasaka, ka viņš atbild ar personisku atbildību par savām darbībām, tad attieksme ātri mainās, personiskie datori vairs neņemas tik naski uz darbu līdz, personisko datu uzglabāšanas ierīču lietošana darba vajadzībām arī tiek pārdomāta utt.

pirms 14 stundām , DjUbuntu teica:

Es kā SMB uztveru kaut kādu mazu, pārdesmit darbinieku firmu bez IT servisiem.

Es arī, tāpēc jau jautāju par to trafika monitoringa obligāto prasību, kurš tad viņu skatīsies, ja neviens nemenedžē (in daily basis) tās iekārtas?

[Ronalds]

pirms 15 stundām , DjUbuntu teica:

Labāk tomēr uzzināt, ka kāds kretīns darbā mēģina kriptovīrusu palaist un lien pornhub ?

Par šo lūdzu sīkāk! Kā tu pateiksi, kad kāds mēģina kriptovīrusu palaist?

Otrkārt - tu laikam esi palaidis garām, ka mūsdienās katram kabatā ir mini datoriņš ar autonomu interneta pieslēgumu! Līdz ar to kaut kādus hostu filtrus taisīt ir absolūti bezjēdzīgi! 

[DjUbuntu]

 

Pirms 54 minūtēm , CosmosDC teica:

Tehniski var visu, tikai atšķirība ir tā, ka darba ņēmējs ir parakstījies zem šīm politikām, t.i., viņš uzņemas personīgu atbildību par to pārkāpšanu, līdzīgi kā ētikas kodekss un citas līdzīgas lietas līgumā/koplīgumā. Un parasti ja cilvēkam pasaka, ka viņš atbild ar personisku atbildību par savām darbībām, tad attieksme ātri mainās, personiskie datori vairs neņemas tik naski uz darbu līdz, personisko datu uzglabāšanas ierīču lietošana darba vajadzībām arī tiek pārdomāta utt.

Es arī, tāpēc jau jautāju par to trafika monitoringa obligāto prasību, kurš tad viņu skatīsies, ja neviens nemenedžē (in daily basis) tās iekārtas?

 

  Jo vairāk darbinieku, jo lielāka iespēja, ka kādam uz to personīgo atbildību ir pofig. Vajag rīkus, kas to novērš un atrod. Pie tam, ko tev dos viena darbinieka atlaišana, ja kāds būs nošifrējis visu ofisu vai ievilcis nāsīs visus CRM datus?

Trafiku vajag ne jau monitorēšanai, vienkārši elementārai normālai bloķēšanai, jo mūsdienās by default viss trafiks iet uz 443 portu un bez normālas vendor nodrošinātas blacklist nav ko darīt. Cert.lv gan ir palaidis savu DNS firewall, iespējams, ka SMB ar to pilnīgi pietiek. 

 

Pirms 35 minūtēm , Ronalds teica:

Par šo lūdzu sīkāk! Kā tu pateiksi, kad kāds mēģina kriptovīrusu palaist?

Otrkārt - tu laikam esi palaidis garām, ka mūsdienās katram kabatā ir mini datoriņš ar autonomu interneta pieslēgumu! Līdz ar to kaut kādus hostu filtrus taisīt ir absolūti bezjēdzīgi! 

 

1. Kamēr kāds neiedomājas iestūķēt savu telefonu darba wifi visiem ir dziļi vienalga, kas viņiem tur ir.

2. Katram normālam vendoram ir risinājumi, principā noķer konkrētās malwares aktivizēšanās centienus (callback uz C&C, payload novilkšanu). TOP industrijas -  https://www.paloaltonetworks.com/products/secure-the-network/wildfire , https://www.checkpoint.com/solutions/zero-day-protection/ . SMB būtu noderīgāks kaut kas no lētā gala, kaut vai https://www.sophos.com/en-us/products/next-gen-firewall.aspx .

 

[CosmosDC]

Kā trafika bloķēšana firewall līmenī var nodrošināt pret to, ka kāds pofigists paņem personīgu USB atmiņu un palaiž ransomware savā datorā un lokālā tīklā? Man liekas, ka mēs runājam par divām dažādām lietām. Lielākais risks datu tīklam nekad nenāk no ārpuses, jo tas ir kontrolējams, bet cilvēku tu neizkontrolēsi arī ar firewall pa 100k €.

Un personīgā atbildība nav = atlaišana. Tā ir kriminālatbildība.

[DjUbuntu]

Kriminālatbildība - par ko tu darbiniekam, kurš kaut ko sliktu izdarījis tieši rakstīsi iesniegumu policijā? Pēteris nospieda podziņu un visa mana datu bāze šifrēta, āaaa!!! Nevajag sapņot.

 

Datu tīklam sen ārpuse un iekšpuse ir stipri nosacīti jēdzieni, jo reāli tāpat lielākā daļa pakalpojumu ir ārpusē, t.i. mākonī. Un kā novērst - izlasi otro punktu vēlreiz. Tas ir viens no risinājumiem kā palīdzēt neļaut malware izplatīties, jo 99% pēc pirmā payload, kas ievelk privilēģijas velk nākošo lādiņu no tīkla.

 

 

[CosmosDC]

Mēs joprojām apspriežam SMB, kurā, kā pats teici, lielākoties ir elementāra tīkla infrastruktūra un labākajā gadījumā failu serveris. Kāds vēl mākonis? Un pat ja tas mākonis arī tiek izmantots, kā tieši tas NGFW tev palīdzēs, ja darbinieks lokālajā tīklā visu nošifrēs no savas darbstacijas vai aizstieps mājās uzņēmumam sensitīvu informāciju, trafikam līdz tam firewall'am nemaz netiekot?

Ironizēt jau var par to policiju, bet neko labu tas par tevi neparāda, ja runā par lietām, par kurām tev nav nekāda saprašana, kaut vai anonīmi internetā.

 

 

[e = d]

Tam pašam Sophosam ir endpoint protections, kas integrējas ar Fw caur vienu management konsoli. Tam var pateikt, ka userim no iebāzta USB nebūs executabļus laist. Un nav šitā menedžmentam vajadzīga AD un visiem Pro vinduļi. 

[DjUbuntu]

1 stundu atpakaļ, CosmosDC teica:

Mēs joprojām apspriežam SMB, kurā, kā pats teici, lielākoties ir elementāra tīkla infrastruktūra un labākajā gadījumā failu serveris. Kāds vēl mākonis? Un pat ja tas mākonis arī tiek izmantots, kā tieši tas NGFW tev palīdzēs, ja darbinieks lokālajā tīklā visu nošifrēs no savas darbstacijas vai aizstieps mājās uzņēmumam sensitīvu informāciju, trafikam līdz tam firewall'am nemaz netiekot?

Ironizēt jau var par to policiju, bet neko labu tas par tevi neparāda, ja runā par lietām, par kurām tev nav nekāda saprašana, kaut vai anonīmi internetā.

 

 

1) Es no SMB esmu ļoti tālu jau gadus padsmit, bet cik nu draugi/paziņas/radinieki patrobelē ar savu IT sāpi, tad lielākā daļa tāpat vai nu tur GApps vai Office365 izmanto. Un to vietējo failserveri aizstāj Dropbox/OneDrive/Google drive. Nezinu, vai visur, bet lielākoties parasti izvēlās to pašu cloud, jo nav jāpērk iekārtas un viss vienkāršāk ?

2) Ļaunprātīgs un prasmīgs darbinieks ir diezgan reti sastopama un ļoti problemātiska lieta. Palīdz tikai SIEM un normāls SoC un arī tikai enterprise, pārējiem problēma risinās darbiniekus pie uzvedības problēmām vienkārši atlaižot.

3)Ironizēt par policiju. Pats uzprasījies. Jebkurš tāda veida iesniegums beigsies ar ENAP atteikumu "Noziedzīga nodarījuma sastāvs netika konstatēts" (un viņa tur arī pēc tiesību teorijas nav). Pierādīt to, ka tu dzīvo diezgan sapņu pasaulē, bet savukārt man gan ir saprašana varu diezgan vienkārši.
 Jau kādu laiku mūsu valstī visi tiesas spriedumi tiek publicēti  https://manas.tiesas.lv/eTiesasMvc/nolemumi  (atskaitot sevišķā kārtībā, bet nu tur pa lielam ir laulības šķiršana, bērni, dzimumnoziegumi un valsts noslēpums, kas uz tēmu neattiecas). Es meklēju tiesas spriedumu, kur par tevis minētiem apstākļiem kāds ir ticis saukts pie kriminālatbildības. Nevarēju atrast, varbūt vari palīdzēt? 

[CosmosDC]

Pirms 40 minūtēm , DjUbuntu teica:

Pats uzprasījies.

Un ļoti labi, ka uzprasījos, tagad vismaz tu normāli atbildi, pietam tā, ka ir interesanti to atbildi lasīt, paldies par to.

Pirms 42 minūtēm , DjUbuntu teica:

Nevarēju atrast, varbūt vari palīdzēt?

Nevarēšu gan, jo tik smalki nepārzinu ne KL, ne to, ko tajā meklētājā var atrast - ja kāda uzņēmuma dati/sensitīva informācija tiktu nesankcionēti izkrāpti/nozagti, par to paziņotu publiskā vietā? Piemēram, 144./200./245. KL pantā ietvaros noticis noziegums. Varbūt vari nokomentēt? Varbūt tam meklētājam ir kādi specifiski knifi un pēc panta viņš vienkārši nemeklē?

pirms 2 stundām , e = d teica:

Tam pašam Sophosam ir endpoint protections, kas integrējas ar Fw caur vienu management konsoli. Tam var pateikt, ka userim no iebāzta USB nebūs executabļus laist. Un nav šitā menedžmentam vajadzīga AD un visiem Pro vinduļi.

Ja raksti, tad raksti līdz galam. Kā Sophos noderēs, lai neaizpludinātu datus no lokālas darbstacijas? Un papildus - ja lietotājam vajag .exe palaist darba vajadzībām, bet admina uz vietas nav, kā tas ir 99% SMB gadījumā, zvanīt supportam (kas noteikti prasa x€/h), lai to atļauj?

Var jau, protams, diskutēt un tā tālāk, bet ja mana atmiņa neviļ, jebkurā Security rokasgrāmatā/kursos/cilvēku pieredzē, kas strādā atsevišķā security nodaļā, tā ir kā aksioma, ka gala lietotājs ir lielākā bīstamība, kāda vien ir. Ja nav žēl, tad padalieties ar savu pieredzi, labprāt to gribētu dzirdēt.

[DjUbuntu]

Pirms 17 minūtēm , CosmosDC teica:

Nevarēšu gan, jo tik smalki nepārzinu ne KL, ne to, ko tajā meklētājā var atrast - ja kāda uzņēmuma dati/sensitīva informācija tiktu nesankcionēti izkrāpti/nozagti, par to paziņotu publiskā vietā? Piemēram, 144./200./245. KL pantā ietvaros noticis noziegums. Varbūt vari nokomentēt? Varbūt tam meklētājam ir kādi specifiski knifi un pēc panta viņš vienkārši nemeklē?

 Krimināltiesībās:
(a) Ir nevainīguma prezumcija - nu tb, ka valstij ir jāpierāda, ka tiešām esi vainīgs.
(b) Jebkuras šaubas ir jātulko par labu apsūdzētājam.
Atbilstoši, nav reāli savākt atbilstošu pierādījumu bāzi, ka tas tiešām ir bijis kadrs x, kas to visu ir izdarījis un tā un tiešām. vienmēr ir neskaidri apstākļi, kuru tulkojas par labu personai, pret kuru uzsākts kriminālprocess. Ar mūsu tiesībsargājošo orgānu kapacitāti dabūsi tikai pāris lapas, ka noziedzīgs nodarījums nav atrasts, nekā nav. Un meklētājs strādā - vienkārši nav spriedumu pēc šiem pantiem. Panti deklaratīvi, principā pierādīt vainu nevar. Ar tiem krimināllikuma pantiem max var iebiedēt kādu pumpainu pusaudzi, rezultāts ir tikai max patērēt pārsimts eur advokātam un miers. Tiesību teorijas mācīšanai īsti forumā vietas nepietiek, iesaku paņemt pāris kursus Juridiskajā fakultātē. Nu tur bonusā jaunas, naivas meitenes.

 

Par endpointiem ir divi risinājumi:
(1) Parastais, kur nodetektē uzvedību un ko.nekcias.  Tas ir tas, ko dabū SMB. Uz tipisku malwari pasargās, uz 0day vai targeted - viss žopā.

(2) Sandboxing, kur risinājums skatās, ko exe dara, kas notiek.Atstrādātākais produkts Sandblast no Checkpoint, paskaties video sapratīsi kā strādā. Pasargā pa lielam no visa

(3) Ideja lietototājam palaist random exe nestrādā.  Var ar Intune uztaisīt BYOD variantu, bet normāli tas vienkārši nestrādā.

[CosmosDC]

Pirms 15 minūtēm , DjUbuntu teica:

Juridiskajā fakultātē.

Tas par to, ka panti ir deklaratīvi, ir legit informācija, vai tomēr nāk no tās pašas Juridiskās fakultātes kāda pasniedzēja (reāli ir bijušas tiesas, kur tas ir izskatīts)?

Pirms 24 minūtēm , DjUbuntu teica:

Ar mūsu tiesībsargājošo orgānu kapacitāti dabūsi tikai pāris lapas, ka noziedzīgs nodarījums nav atrasts, nekā nav.

Muļķīgi arī būtu gaidīt, ka policija atradīs pierādījumus tur, kur viņi tos pat teorētiski nevar atrast, tas jādara uzņēmumam pašam, tā ir vispārpieņemta prakse šādos gadījumos (arī uzņēmumā, kurā es strādāju, ir šāds IT politikas punkts drošībniekiem), kad kāds darbinieks ir "pastrādājis". Attiecīgi tālāk jau notiek sadarbošanās ar valsts policiju. Bet, protams, ja aiznes iesniegumu un cer uz brīnumu, tad varētu būt paredzams iznākums. Esmu pārliecināts, ka arī pilnīgi visos valsts uzņēmumos tā ir, izmeklēšana notiek kopā ar CERT un valsts policiju.

[DjUbuntu]

Panti ir deklaratīvi, jo nav tiesas spriedumi kaut vai attaisnojoši. Neviens nekad nav bijis spējīgs lietu uz tiesu aizsūtīt, prokurors jau pateica, ka apsūdzības nav un nevar būt.

Tiesību teoriju mācīt tomēr negribētos forumā, tekstu limits postiem un tā.

Uzņēmuma drošībnieki var normāļi nopresēt darbnieku uz atlūgumu nu tur vēl dzīvi pabojāt policijā, ja darbiniekam nervu sistēma pavāja. 

[uldii12345]

pirms 21 stundām , CosmosDC teica:

@uldii12345 tev tur kaut kas sanāca beigās?

Labi, ka kāds arī mani atceras:) Baigi pagaidām nekā, ieliekot trusted sertifikatos, nekas nemainās. Būs laiks, pamēģināsu uz linux izveidot sertifikātus.