abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:00 | Nová verze

Krátce po vydání Debianu 9.6 oznámil Tomáš Matějíček vydání verze 9.6 dnes již na Debianu založené živé linuxové distribuce Slax. Vedle vylepšení z Debianu je opraveno několik malých chyb. Opraveno bylo bootování pomocí PXE. Novinkou je skript s názvem pxe pro spuštění vlastního PXE serveru.

Ladislav Hagara | Komentářů: 0
dnes 01:00 | Nová verze

Byla vydána beta verze Red Hat Enterprise Linuxu 8. Přehled novinek v příspěvku na blogu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 13:44 | IT novinky

Nadace Raspberry Pi na svém blogu představila (YouTube) jednodeskový počítač Raspberry Pi 3 Model A+. Toto menší Raspberry Pi 3 lze koupit za 25 dolarů.

Ladislav Hagara | Komentářů: 0
včera 06:00 | Pozvánky

Dnes a zítra probíhá v Praze konference Internet a Technologie 18 pořádaná sdružením CZ.NIC. Sledovat ji lze online.

Ladislav Hagara | Komentářů: 0
včera 01:11 | Komunita

V září proběhl v Madridu Open Source CubeSat Workshop 2018. Videozáznamy přednášek byly zveřejněny na YouTube.

Ladislav Hagara | Komentářů: 1
včera 00:55 | Zajímavý software

Společnost Amazon představila Amazon Corretto. Jedná se o fork a distribuci OpenJDK (Open Java Development Kit) s dlouhodobou podporou od Amazonu. Ke stažení je preview verze 8. V plánu je také verze 11. Zdrojové kódy jsou k dispozici na GitHubu. Jedná se o reakci na oznámení společnosti Oracle, že bezplatné aktualizace její Javy nebude možné po lednu 2019 používat komerčně. Název Coretto vychází z Caffè corretto, tj. espressa s alkoholem.

Ladislav Hagara | Komentářů: 4
14.11. 12:44 | Nová verze

Po roce vývoje od vydání verze 5.2.0 byla vydána verze 5.3.0 svobodného integrovaného vývojového prostředí KDevelop (Wikipedie). Novinkou je analyzátor Clazy. Vylepšena byla podpora programovacích jazyků C++, PHP a Python. Ke stažení a k vyzkoušení je i binární balíček s KDevelopem 5.3.0 ve formátu AppImage.

Ladislav Hagara | Komentářů: 0
14.11. 05:55 | Komunita

Ubuntu 19.04 bude mít kódové jméno Disco Dingo. Dle oznámení v diskusním listu ubuntu-devel-announce je ve vývojové verzi Disco Dinga výchozím Pythonem 3 verze 3.7. Perl byl aktualizován na verzi 5.28. OpenSSL 1.0 bude nahrazeno OpenSSL 1.1.1 LTS. Nové instalace Dinga budou mít sloučený /usr. Stane se tak 7 let po sloučení /usr ve Fedoře nebo Arch Linuxu.

Ladislav Hagara | Komentářů: 9
14.11. 02:22 | IT novinky

V pondělí a úterý proběhl v San Franciscu Chrome Dev Summit 2018. Přehled dění v příspěvcích na Chromium Blogu. Videozáznamy přednášek na YouTube. Představen byl například web pro webové vývojáře web.dev nebo rozšíření webového prohlížeče Chrome s názvem VisBug (YouTube) určené pro webdesignery. Slíbená je podpora Firefoxu.

Ladislav Hagara | Komentářů: 0
13.11. 23:22 | Zajímavý projekt

Byl spuštěn Humble Dystopian Bundle. V balíčku počítačových her jsou také hry běžící na Linuxu: Beholder, Orwell: Keeping an Eye On You, Orwell: Ignorance is Strength a Observer.

Ladislav Hagara | Komentářů: 0
Jak nejčastěji otevíráte dokumenty na počítači?
 (90%)
 (3%)
 (7%)
Celkem 92 hlasů
 Komentářů: 9, poslední včera 22:46
Rozcestník

Dotaz: chrani proxy skutecne napojena PC

27.8.2004 16:06 Jiri Kubina
chrani proxy skutecne napojena PC
Přečteno: 73×
ve firme (ca 20 PC) je nainstalovano sitove prostredi s win2003-ads, a na linuxu dns, dhcp a mail server. To cele je za firewallem. Nyni maji mit PC uzivatele pristup do internetu a je pozadovana instalace proxy (squid). Jedinym zduvodnenim je bezpecnost, protoze administrovat proxy pro autentifikaci a omezeni pristupu k nekterym strankam nikdo nechce a ani neumi. Moje otazka: prinasi v teto situaci proxy skutecne nejakou ochranu navic, nebo je to spis teorie.

Odpovědi

27.8.2004 17:45 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
No, pokud na Firewalu zakážeš port 80 a všechny požadavky přesměruješ na port Proxy ... tak je to to samé, jako spojení po portu 80.

Proxy ti pomůže, neboť můžeš nastavit lépe pravidla pro přístup k Inetu, stránky lze Cachovat ... více viz popis SQUIDa.

Osobně se nedomnívám, že by to bylo bezpěčnější, jen to má jiné výhody (třeba tu Cache).

Proxy však vyžaduje poněkud více paměti a lepší procesor, rozhodně nedoporučuji spouštět na nějakém P133/32MB RAM.

Mj. lze přes něj nastavit např. kombinaci Přístup přímo (třeba šéfovi, aby ho neotravovalo heslo), Přístup přes autorizaci (třeba sekretářce, aby častěji volala), nebo přístup úplně zakázat ... možností je hodně.
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
27.8.2004 18:32 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
>Proxy však vyžaduje poněkud více paměti a lepší procesor,
>rozhodně nedoporučuji spouštět na nějakém P133/32MB RAM.

Proč ?

Mě behal RH 7.3 na 486DX-4 120Mhz 32M ram s SQUIDEM pro 2PC, ten 486 dělal router pro dva PC + přes modem 33,6 připojení k internetu.
Louis de Bussy avatar 27.8.2004 20:26 Louis de Bussy | skóre: 28 | Kolín
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC

To asi bude muset posoudit tazatel, podle toho jake se ocekava vytizeni. ~20 pc s Internetu hladovymi uzivateli by takovy stroj mohlo schvatit. Sam jsem pouzival za onech casu HP NetServer LM 5/66 (1x iPP66, 32 MB, SCSI; RH6.x/7.x; fwall, wwwoffle, dns, dhcp,...) + USR Courier V90 a upgrade na 64 MB (pozdeji 80) byl na vykonu poznat. Pouzit se da ledascos, ale 32 mega je prilis malo pro tento ucel. PS Kdyby nekdo mel procesorovou kartu s 66 pro LM, tak bych se ji ujal.

Jedinym zduvodnenim je bezpecnost > Za situace jakou popisujete, podle mne ne. Nikdo nechce a neumi. S takovym pristupem ve vasi firme, troufam si tvrdit, zadna bezpecnost neexistuje.

-- Help! I'm being held prisoner in chinese laundry!
27.8.2004 18:28 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
Proxi žádnou bespečnost nepodporuje pokud je uživatel blbý tak si přes proxi stáhne exe soubor tak jako bez proxi a pokud ho spustí na PC tak je to to stejné.

Jedině že by se přes proxi nedaly ty exe soubory stahovat, active x a další věci, ale to budete asi těžko dělat.

Výhoda proxi je v její cache :-)

Hlavně si nakonfigurujte proxi (zároveň s firewallem) tak ať ji můžou používat pouze vaše PC ať to potom není brána pro útočníky z internetu.
27.8.2004 18:36 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
co zkusit psat proxy, to i me strasne taha za usi :-)
-- Nezdar není hanbou, hanbou je strach z pokusu.
28.8.2004 18:28 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
a jeste taky mozna beZpecnost.... to zase rve oci me.
Taky si udělám nějakou studii.
28.8.2004 13:37 blondak | skóre: 36 | blog: Blondak | Čáslav
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
A co zkusit pouzit antivir pro Squid? Vice na http://www.openantivirus.org/projects.php
Každý problém ma své logické, snadno pochopitelné nesprávné řešení.
27.8.2004 20:34 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
...nikdo nechce a ani neumi. Moje otazka: prinasi v teto situaci proxy skutecne nejakou ochranu navic, nebo je to spis teorie.

To není ani teorie, ale pověra. Proxy, kterou nikdo nechce a neumí pořádně nastavit, k bezpečnosti nijak nepřispívá, spíš naopak, protože

(a) proxy sama o sobě k bezpečnosti nijak nepřispívá

(b) každý další prvek, který je otevřený do 'netu, představuje riziko, zejména když se o něj nikdo pořádně nestará

(c) a to je nejhorší -- může vytvářet falešný pocit bezpečí
27.8.2004 21:42 Jiri Kubina
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
predem dekuji za odpovedi. Tusil jsem, ze to s tou bezpecnosti nebude tak horke, ale jisty jsem si nebyl, zdali neexistuji nejake nove figle. Rad bych k te diskuzi jeste neco dodal.

To ze odpovedny vedouci vyzaduje proxy mu namluvil ten dodavatel win-serveru. Smutne na tom je, ze i ruzne linuxove portaly takto laiky informuji - neco v tom smyslu, ze client hovori s proxy a ta hovori s 'internetem' a kdyz 'internet' podnikne utok, tak ten plati te proxy, ktera se s nim vyporada a client se nemusi 'branit'. Ja vim ze je to usmevne, ale ten pan co nas plati nam to tak podal a my jsme vazne pokyvali hlavou a take minili , ze to asi tedy bude potreba. (viz napr. root-clanek o squid ... proxy server zajistuje relativne bezpecne spojeni dvou siti ...)

Plne souhlasim s Yetim, ze neco, co komunikuje s okolnim svetem je dalsi potencialni nebezpeci. A i kdyz se to jednou poradne nakonfiguruje a uz na to nikdo nebude sahat, tak presto by to mel nekdo kontrolovat a delat bezpecn. updaty.

Problem je v tom, ze tato sluzba je relativne draha a malokdo to chce platit. Z odpovedi kolegy Kosira citim , ze ma pochyby o kvalite zabezpeceni IT v te firme. To je sice pravda, ale mala firmicka si nemuze dovolit administratora. Ten by na sebe nejdrive musel vydelat a i kdyz by to bylo prima, ze my z IT bychom meli zamestnani, ekonomicky si nemusime nic namlouvat - obavam se , ze tudy cesta nevede.
27.8.2004 22:09 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
Ad útok. Předpokládám, že na PC se předně zvnějšku nepůjde připojit, což zařídí triviální firewall, jak píše už Martin v první odpovědi. Takže žádný útok se nekoná (tohoto typu).

Pokud jde o exploity na browser, tak nejlepší investice je do přechodu na Mozillu ;-) Proxy snad může chránit před některými obskurními typy exploitu, které by spočívaly v nekorektní odpovědi ze strany HTTP serveru, a tu by mohla zahodit -- ale instalovat ji jen kvůli tomu nemá smysl. Pokud nefiltruje, tak v typickém scénáři přes ni škodlivý obsah prostě projde, a spokojeně dorazí k uživateli.
28.8.2004 01:58 Beda
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
to co popisujete je praxe 10 let stara (nebo oduvodnene paranoidni), kdy neexistoval linux a pozdeji v linuxu firewall jako iptables a ipchains byly mozna nekde na papire a firewall = drahe zbozi a v jinem pripade, kdy bezpecnostni politika je opravdu prioritou.

v takovem nastaveni firemni sit je proste "uzavrenou" nadobou, ktera nevidi okolni svet jinak nez skrze hrdla/brany/proxy ktere jedine mohly skrze programy prekrocit hranice siti - proste okolni svet a firemni sit nejsou proroutovane skrz naskrz.

s tim squidem to ma jisty maly prinos. u jedne podmnoziny spyware a viru, ktere po instalaci "volaji" domu nebo do wormnetu aby si stahly informace pro dalsi praci nebo poslaly ziskane informace zpet. za predpokladu, ze nepouzivaji pro komunikaci http a neumi si zjistit nebo tipnout proxy, kterou maji pouzit, tak se nedostanou ven z firmy a jejich schopnosti mohou byt hodne omezeny.

jak s oblibou rikam je to jen podmnozina toho spatneho a nejvetsi bezpecnostni dirou je porad element mezi klavesnici a zidli.

jina moznost je proxy s antivirem, ale to pak potrebujete hodne silny stroj, hodne propustnou linku a hlavne pokud prochazite servery s pomalejsimi odezvami, tak hodne pevne nervy a spoustu casu. pocitejte s tim, ze se data nejdriv musi cela stahnout, aby se mohly zkontrolovat a teprve po zkontrolovani se da rozhodnout, zda je mozne je poslat klientovi pripojenemu k proxy. neprijemne to subjektivne zpomaluje praci s internetem protoze v dnesni dobe i kdyz se vetsi stranka nacita 15 vterin, tak je vetsinou navrzena pro rozumne pouziti i pri prubeznem vykreslovani kdezto tato kontrola eliminuje prubezne vykreslovani na prubezne cekani na data a pak skokove temer okamzite zobrazeni a to je velmi zdrzujici.
28.8.2004 10:59 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: chrani proxy skutecne napojena PC
Jak už bylo řečeno, proxy server "jen tak" s bezpečností příliš nesouvisí. Tím "jen tak" je myšleno, například, že jednotlivé stanice de-facto mají internetovou konektivitu (byť přes firewall třeba s NATem a různými omezeními) a pouze pro přístupy k webu se začne vynucovat použití proxy serveru. V takovém uspořádání je bezpečnostní přínos přinejmenším sporný.

Na druhé straně, proxy _může_ být jeden z významných bezpečnostních prvků (říkám _jeden z_). Typicky to pak vypadá tak, že stanice _nemají_ internetovou konektivitu (firewall jim kompletně zakazuje jakoukoliv komunikaci s vnějším světem). Jediné, s čím mohou komunikovat, je interní proxy server (který jim zajišťuje přístup k webu), interní mailserver (který jim zajišťuje přístup k mailům) a případné další interní proxy servery (protože "proxy" je širší pojem, to neznamená jenom "web proxy"). Takovýmto uspořádám se samozřejmě míra bezpečnosti zvyšuje (a navíc se přesně vymezuje, co mohou uživatelé "na internetu" dělat).

A než mně někdo začne nadávat, že takovéto "zkriplované" připojení k internetu je k ničemu, podotýkám, že mluvím o firemní bezpečnostní politice a o tom, že firma obvykle nemívá zájem, aby uživatelé mohli používat co já vím ICQ, DC++, bla bla bla, že má zájem jim pouze taxativně povolit toto, toto a toto, a že nic jiného jim povolovat nehodlá.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.