abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 20:22 | Nová verze

Byla vydána nová stabilní verze 18 open source cloudového systému Nextcloud (Wikipedie). Nová verze tohoto forku ownCloudu přichází s novým názvem Nextcloud Hub a řadou předinstalovaných aplikací (Files, Flow, ONLYOFFICE, Photos, Calendar, Mail, Talk). Podrobnosti i s náhledy a videi v příspěvku na blogu.

Ladislav Hagara | Komentářů: 1
17.1. 19:00 | Komunita

Fedora Magazine informuje, že Fedora CoreOS je již k běžnému používání. Jedná se o nástupce Fedora Atomic Hostu a CoreOS Container Linuxu. Projekt Fedora CoreOS byl představen v červnu 2018. Preview verze byla vydána v červenci 2019.

Ladislav Hagara | Komentářů: 0
17.1. 14:11 | Komunita

Na platformě HackerOne byl spuštěn Kubernetes - Bug Bounty Program aneb program odměn za nalezení bezpečnostních chyb v orchestrátoru kontejnerů Kubernetes. Za nalezení kritické bezpečnostní chyby lze získat odměnu 10 000 dolarů.

Ladislav Hagara | Komentářů: 0
17.1. 13:11 | Pozvánky

Bilanční pražský sraz spolku OpenAlt se koná příští středu 22. 1. 2020 od 18:00 na pražském Andělu v ulici Lidická 337/30Andělském pivovaru. Nezapomeňte s sebou vzít hračky, které vám nadělil Ježíšek, a pochlubit se novinkami, které chystáte v novém roce 2020.

xkucf03 | Komentářů: 1
17.1. 07:00 | IT novinky

Byly zveřejněny informace o kritické bezpečnostní chybě CVE-2020-0601 v ověřování ECC certifikátů v operačních systémech Microsoft Windows. Uživatelé webového prohlížeče Chrome a prohlížečů postavených na Chromiu mohli být například relativně snadno obelstěni, poněvadž tyto prohlížeče spoléhají toto ověřování. Uživatelé Firefoxu byli v bezpečí, protože Firefox si ve výchozím nastavení certifikáty ověřuje sám a při návštěvě podvržené stránky uživatele na problém upozornil. Chyba byla nalezena Národní bezpečnostní agenturou (NSA).

Ladislav Hagara | Komentářů: 4
17.1. 06:00 | IT novinky

Humble Bundle nabízí balík 29 počítačových her za 25 USD. Z toho 16 titulů je k dispozici i pro Linux. Akce trvá do 23. ledna. Výtěžek půjde australským organizacím zabývajícím se ochranou divokých zvířat – poté, co v probíhajících požárech dosud zahynulo na miliardu zvířat a spálena byla plocha přes 18 mil. hektarů.

Fluttershy, yay! | Komentářů: 2
16.1. 14:22 | Nová verze

Bylo vydáno GNU Guile (Wikipedie), tj. svobodná implementace programovacího jazyka Scheme, v nové major verzi 3.0.0. Novinkou je především zrychlení běhu programů díky just-in-time (JIT) překladu. Podrobnosti v oznámení o vydání.

Ladislav Hagara | Komentářů: 0
16.1. 13:00 | Zajímavý software

Po roce vývoje byla vydána nová verze 0.10.0 programu pro počítačovou sazbu SILE. Zdrojové kódy SILE jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 0
16.1. 07:00 | Komunita

TechCrunch informuje, že Mozilla Corporation propouští 70 zaměstnanců. Dle Mitchell Baker se Mozille nedaří generovat příjmy.

Ladislav Hagara | Komentářů: 34
16.1. 06:00 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 172. brněnský sraz, který proběhne v pátek 17. ledna od 18:00 v restauraci SteakHouse K1 na adrese Bubeníčkova 11, Brno - Židenice.

Ladislav Hagara | Komentářů: 0
Zdají se vám sny s IT tématikou?
 (10%)
 (1%)
 (13%)
 (17%)
 (53%)
 (7%)
Celkem 225 hlasů
 Komentářů: 10, poslední včera 16:18
Rozcestník

www.AutoDoc.Cz

Dotaz: Sitova sonda

15.3.2019 14:36 Libor
Sitova sonda
Přečteno: 979×
Zdravim panove a damy, muzete mi doporucit nejakou hw/sw sondu? Potrebuju monitorovat sitovy provoz ve firme. Pozadavkem je napojeni na AD (Windows 2012). Idealni by bylo, aby se jednalo o hw firewall, na kterem by slo provest okamzitou blokaci per uzivatel/sluzba. Cely tyden jsem resil nasledky po napadeni "virem". Nebranim se ani reseni postavenem na linuxu. Aktualne mame na rozhrani site mikrotik, ktery sice umi poskytnout data pro netflow ale blokace per uzivatel z domeny atp ne.

Řešení dotazu:


Odpovědi

15.3.2019 15:03 NN
Rozbalit Rozbalit vše Re: Sitova sonda
Nebylo by vhodnejsi si zaplatit kvalitnejsi AV reseni? Zadna sonda nevyresi problem, kdy "pani" odpali prilohu z emailu. Mohl by jsi konkretneji popsat o co slo?
15.3.2019 17:49 Libor
Rozbalit Rozbalit vše Re: Sitova sonda
AV reseni mam: Eset. Jinak teda popis o co slo: pred cca 14 dny jsme meli napadeny kamerovy system a ISP nas vyval k urychlenemu reseni, protoze skrz kam. system sel ven od nas utok. Vsechno jsem snad odstranil/vyresil a vymenil stary router za mikrotik, presunul vpnky z vnitrni site na mk (aktualne l2tp over ipsec), prekopal vlany na MK, nastavil firewall. Tento tyden opet od nas obrovsky flood smerem ven a opet ISP vyzadoval reseni. Mimochodem po tom prvnim incidentu jsem na hlavnim switchi (planet) udelal port mirroring pripojil do kompu, spustil tcpdump s ukladanim do souboru s rotaci. Nasledne jsem prochazel soubory vygenerovany tcpdumpem a hledal neco. Nic jsem nenasel. Najednou tady mame dalsi tyden a opet od nas leze masivni utok. Nez ho najdu je to pryc. Vedeni je ochotne investovat "rozumne" penize takze toho chci vyuzit.
Řešení 1× (citanus)
16.3.2019 12:34 BigBRAMBOR
Rozbalit Rozbalit vše Re: Sitova sonda
Co mikrotik vymenit za nejakereseni ktere umozni inspekci provozu, fortinet, sophos, etc,
17.3.2019 08:54 Libor
Rozbalit Rozbalit vše Re: Sitova sonda
Dekuji aspon nekdo poradil.
18.3.2019 11:00 NN
Rozbalit Rozbalit vše Re: Sitova sonda
Dve veci. ISP muze mozna poskynout detailnejsi info o to DDoS a ten Mikrotik umi NetFlow.
15.3.2019 15:39 Vantomas | skóre: 29 | Praha
Rozbalit Rozbalit vše Re: Sitova sonda
Taková věc není jen tak. Mimochodem to znamená v síti zprovoznit 802.1x, aby ten firewall věděl jaká je vazba mezi IP adresou/uživatelem v doméně. Opravdu to má smysl?
15.3.2019 17:55 Libor
Rozbalit Rozbalit vše Re: Sitova sonda
Vzheldem k tomu ze mam celou sit na planetech/edgecorech (snad se mi podari do konce roku vyhodit vsechny planety), ktere umi 802.1x a mam domain controler na W2012, kde muzu rozjet radius tak v tom problem nevidim. Ano za mne ma smysl kout zelezo (rozumnej vedeni) dokud je zhave, jinak bych se tu neptal a neplytval ani vasim ani svym casem. Neco mi tu lita a ja nevim co. Eset mlci jak hrob takze asi tak.
21.3.2019 09:23 j
Rozbalit Rozbalit vše Re: Sitova sonda
Raidus a switche budou ten mensi z problemu kterej budes resit, pak budes resit klienty, a ve finale skoncis na tom, ze prijde navsteva a nepripoji se do site. Tak jako tak ti to stejne vyresi (kdyz to zprovoznis) asi tak tisicinu problemu. Zaklad totiz je, ze si uzivatel v zadnym pripade nesmi spustit nic, co mu ty jako spravce nenainstalujes. A vsude odkud muze neco spustit nemi mit pravo zapisu. Tim eliminujes o nekolik radu vic hrozeb.
21.3.2019 09:26 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Sitova sonda
Proc by se navsteva v siti s 802.1x nepripojila do Guest VLAN?
Max avatar 16.3.2019 13:41 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Sitova sonda
Nic takového se u nás nemůže stát, protože :
  • kamery a další věci jsou v oddělené vlaně, ze které není přístup na internet
  • mgmt zařízení je na oddělené vlaně dostupné pro IT
  • PC nemají přímý přístup na internet, všichni jedou přes proxy server a nastavení pro klienty probíhá pomocí dns/dhcp a wpad.dat souboru. Na proxy serveru se pak filtruje provoz, aby uživatelé nemohli stahovat spustitelné soubory apod.
  • používáme mail gateway, kde je jednak klasický antispam (spamassasin, kontrola spf, dkim, greylisting apod.), ale zakazujeme také spustitelné soubory, i když jsou v archivu a taktéž zakazujeme vnořené archivy (např. zip v zipu a v něm exe)
  • ESET máme také, ale ten sám o sobě nestačí, ještě se musí vhodně nastavit, hlavně se musí vhodně nastavit HIPS filtr, my třeba používáme nastavení, kdy Office procesy nemohou spouštět žádné další. Když tedy projde přes antispam/antivir zavirovaný dokument a uživatel udělá chybu, že ho otevře a ještě prokliká, tak se nic nestane, protože když proces např. wordu nedokáže spustit cmd, vbscript, rundl32 atd., tak se nespustí ani červ a nic se neděje. A toto vše jde právě nastavit v HIPS filtru, je to hodně dobrá prevence.
  • Výstup na internet je přes jinou IP, než výstup pro maily. Když by někdo nějak dokázal spamovat přes proxynu, nebo má třeba výjimku, že proxynu nepoužívá z nějakého důvodu, tak následný dočasný útok nijak neovlivní mailový systém (mail server se nedostane na blacklisty atd.)
Toto nastavení považuji za základ a 802.1x za další krok. Stejně tak analýzu provozu.
Pokud máš Mikrotika jako hraniční router, tak můžeš někde rozjet Snort/Suricatu apod. a posílat z Mikrotiku na Snort kolektor údaje o provozu a dělat tak analýzu online (Mikrotik má ještě vlastní řešení, jmenuje se to Calea, ale s tím zkušenosti nemám). Jinak i trochu lepší switche umí posílat data k analýze. Třeba Cisco SG350/550 mají podporu pro sFlow. A jsou to L3 switche, takže ideální pro routing a ACL mezi vlanami a poté samozřejmě i jako dobrý zdroj pro analýzu provozu s tím, že výkonově to zvládá všechno levou zadní a Mikrotik pak může být čistě jen router do internetu (nemusí být zbytečně zatěžován routováním lokálních segmentů - když je to slabší kousek, nebude těžké ho ubít/neuroutovat Gbit apod.).
Zdar Max
Měl jsem sen ... :(
Max avatar 16.3.2019 13:49 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Sitova sonda
Resp. co tím chci říci. Prostě aby jsi řešil příčinu a né až důsledek. Tzn., snažit se, aby k takové věci vůbec nedošlo a když už došlo, aby se nic nestalo, nebo minimalizovaly vzniklé problémy. Ušetří to pak spoustu času, protože můžeš zabít hafec času nasazováním různých detekcí útoků a následnou blokaci, ale to ti nezabrání k infikování těch PC v síti, které by jsi tak jako tak musel řešit a to je opět další ztráta času.
Zdar Max
Měl jsem sen ... :(
17.3.2019 08:52 Libor
Rozbalit Rozbalit vše Re: Sitova sonda
Spousta cest vede k cili. Ja si ji zvolil a jdu. Vysledek bude snad totozny s tvym popsanym. Ted jsem potreboval poradit se sondou a evidentne jsem zvolil spatne forum. Takze diky ....
Max avatar 18.3.2019 08:29 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Sitova sonda
Proč se urážíš? Popsal jsem ti koncept jednotlivých úrovní zabezpečení a popsal jsem ti, jaké možnosti máš ohledně inspekce sítě se současným hw, nebo i jiným hw + dal tip, jak nastavit ESETa, pokud už ho tak nastavený nemáš.
Nebo ti vadí, že jsem ti k tomu i sdělil můj názor na věc?
Zdar Max
Měl jsem sen ... :(
vencour avatar 18.3.2019 15:27 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Sitova sonda
Když se mám o něco starat, mám mít nějakou koncepci, takovou, abych do řešení viděl. Takže třeba radši žádnej black box.
Měl bych znát charakteristiku toho, co poskytuju, jaký provoz to je, odkud kam běhá, co potřebuje. A povolit jen to nejnutnější, pokud chci u toho být aktivní a ne jen přihlížet a modlit se.
Pokud jde o klientský přístup, měl bych nějak řešit, jak se mi kdo dostane do sítě, co o něm vím a co s ním chci a můžu dělat. Pokud je to nutné a musím, tak povolím komunikaci přímo, pokud ne a mohu si vybrat, tak preferuji proxy řešení.
Stejně tak když narazím někdy na potíže, přichází čas na zvážení, zda mám dobře architekturu/koncepci. Čím dřív to změním, tím je to snadnější/levnější změnit.
Aneb souhlasím s příspěvkem Maxe a píšu pro jeho podporu.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
19.3.2019 10:45 Libor
Rozbalit Rozbalit vše Re: Sitova sonda

Ja se neurazil - jen jsem cekal vice reakci s konkretnim resenim. Tim ze jsi vypsal tvuj/vas stav site si me inspiroval, ale bohuzel nepomohl s mim problemem/dotazem.

Moc dobre jsem si vedom nutnosti eliminace uzivatele jako nejrizikovejsiho faktoru kazde site. Vsechno se musi delat postupne. Aktualne, za mne, je potreba mit prehled nad lokalnim provozem. Dalsim krokem bude nasazeni proxy (diky za inspiraci). Mam akorat osobni problem s podvrhovanim certifikatu u bank atp. Ale to asi pujde resit pres vyjimky. Uz jsem nainstaloval Squida a hraju si.

Oslovil jsem Fortinet (resp. mistniho dodavatele) viz. prispevek vyse. Koukal jsem na Cisco, ale ceny jsou mimo financni moznosti firmy.

Max avatar 20.3.2019 09:15 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Sitova sonda
Nedělal bych transparentní proxy a nepodvrhoval certifikáty. Prostě jen proxy, o které prohlížeč ví a zprostředkovává spojení. Do https samozřejmě vidět nebude, ale budeš moci zakazovat přístupy na konkrétní weby (na proxy bude vidět dns název webu, na který přistupuje uživatel). tj. filtrace exe apod. bude fungovat jen na nehttps spojeních, ale můžeš zakázat konkrétní weby, nebo můžeš někde sosat aktuální seznamy nebezpečných webů a automaticky na ně blokovat přístup. Nebo můžeš nasadit opačnou strategii a vše zakázat a povolit jen konkrétní weby. Takže i když do https nevidíš, je to stále dobrá prevence proti tahání nedobrých dat do vnitřní sítě + tím vyřešíš útoky na servery v internetu (když zakážeš vše a povolíš ven jen přístup přes proxy).
Zdar Max
Měl jsem sen ... :(
16.3.2019 13:47 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Sitova sonda
Jmenuje se to IPS.
vencour avatar 19.3.2019 12:44 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Sitova sonda
Ještě jedna poznámka k věci: tohle by mělo zajímat i HR/právní: zaměstnanec by neměl dělat paseku v IT, měl by nést nějakou odpovědnost za své jednání. A na IT je, aby mu k tomu udělalo podmínky a dalo to ve známost.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
19.3.2019 15:01 frr | skóre: 33
Rozbalit Rozbalit vše Re: Sitova sonda
...a ve chvíli, kdy ta škodlivá aktivita někde uvnitř Vaší sítě probíhala, podařilo se zjistit *aspoň něco* ? Které zařízení hrnulo ten škodlivý provoz ven do internetu? "kamerový systém" = IP kamera, nějaký dedicated server, nějaká pracovní stanice? Nebo jste tuhle informaci nedokázali zjistit? Prostě to skončilo samo dřív, než jste se stihli podívat?

Různé kamery a levné malé routery jsou poslední dobou napadány přes factory-default adminské heslo, které se vlastník/provozovatel nenamáhal změnit po uvedení krabičky do provozu. Napadená hloupá krabička je poté změněna na "zombie" - a často ani nedojde k napadení firmwaru ve Flash, k odstranění nákazy na samotné krabičce stačí restart (takže se znehodnotí obsah RAM). Pokud není napadená krabička vidět přímo z divokého internetu, mohl útok proběhnout nepřímo - nějaký malware potichu napadne počítač v LAN, potichu si stáhne "úkoly" a jedním z nich může být, oskenovat LAN na známé hloupé krabičky s defaultními hesly, a pokud nějaké najde, tak do nich "at runtime" propašovat zombie servisku. Která si pak zavolá domů o další úkoly.

Souhlasím, že detekovat podezřelou aktivitu v rámci LAN (skenování sítě a pokusy o zneužití default hesel) znamená, analyzovat provoz v LAN - na to by mohl stačit mirror port na strategicky umístěném switchi a nějaký box s IDS analyzátorem, nebo v nouzi wireshark (a samozřejmě znalosti).

Max už tady načrtl, jak postavit systém pro kompletní záznam metadat a ex post následnou analýzu. Pro okamžitý přehled "zrovna když to probíhá" stačí méně - osobně používám iptraf na Linuxu který mi slouží jako router. IPtraf ukáže hrubší obrysy, podrobnosti se dají zkoumat na tomtéž stroji tcpdumpem. Velmi se mi to osvědčilo už v řadě situací, kdy se nejednalo o nějaký zákeřný útok, ale něco někde se zbláznilo a začalo zuřivě sosat, nebo mi někdo omylem propašoval do LAN další DHCP server apod. Prostě důležité je "vidět", a lepší než nic je vidět co se děje "právě teď". Mikrotik RouterOS moc neznám - matně si vybavuji, že tomuhle účelu by mohl sloužit nástroj zvaný Torch. Na první pohled mi přijde docela mocný.

A souhlasím, že "least privilege" a oříznout přístup na web proxinou je to správné kladivo na všelijaké svinstvo, které závisí na přímém přístupu. Ve větší LAN síti s netriviálním počtem naivních uživatelů asi není jiné cesty. Svoboda do jisté míry funguje v malých firmách se znalými uživateli - ovšem včetně svobody pro lidskou chybu, které se občas dopustí každý, i admin. Tzn. šikanózní "least privilege" je dobré i jako ochrana proti vlastním přehmatům.

Všelijaké antiviry... většinou šikanují uživatele více či méně zjevnými omezeními, občas kvůli antiviru hapruje něco užitečného (třeba transport e-mailu mezi klientem a místním serverem), a reálně stejně chytají většinou jenom dávno známé primitivní hrozby. Tradičně antiviry lovily především viry podle známých signatur, ale nechávaly převážně plavat všelijaký adware, phishingové útoky a podobné "neškodné" svinstvo. Přitom už mnoho let frčí útočný malware, obvykle bez virových autoreprodukčních charakteristik, zato se schopností maskování proti "kontrole signatur". Primitivní phishingový útok "bububu, kliknete nám semhle kamsi do tramtárie a řekněte svoje heslo" většinou proleze všemi filtry, pokud je dostatečně často obměňován a používá dostatečně obecnou=nefiltrovatelnou slovní zásobu. Nebo: už Vám někdy antivir vynadal, že jste spustil Telnet nebo SSH na nějakou krabičku v LAN?

Za co bych osobně dával kázeňské tresty je čtení a forwardování soukromých žertovných mailů s přílohou. A sledování filmečků s velkým podílem pleťových odstínů bych povolil jenom ze správně nastavených ne-windowsových systémů, pokud existují uživatelé, kterým to nelze kategoricky zakázat :-) (V momentálním zaměstnání naštěstí tenhle problém nepotkávám.)

Off topic:

Popravdě mi delší dobu vrtá hlavou, jestli na ovládání internet bankingu nevyhradit finančnímu odd. dedicated PC s Linuxem, na které by se nedalo dostat na dálku přes remote desktop (případně to povolit jenom opačně, z tohoto stroje přes RDP třeba na terminal server s účetnictvím a spol). Na tom linuxu nakonfigurovat jenom přes imap nebo interní webmail a sambu přístup k dokumentům, ze kterých se přes clipboard extrahují platební kontakty.
[:wq]
Řešení 1× (citanus)
23.3.2019 15:35 citanus | skóre: 12 | Cork (Ireland)
Rozbalit Rozbalit vše Re: Sitova sonda

Alienvault, ossim, suricata

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.