Man Yue Mo z GitHub Security Lab se podrobně rozepsal o již opravené zranitelnosti CVE-2023-6241 v Arm Mali GPU umožňující získání roota na telefonu Pixel 8 s povoleným MTE (Memory Tagging Extension).
V San José probíhá vývojářská konference NVIDIA GTC 2024. CEO společnosti NVIDIA Jensen Huang měl dvouhodinovou keynote, ve které představil celou řadu novinek: NVIDIA Blackwell platform, NVIDIA NIM microservices, NVIDIA Omniverse Cloud APIs, Project GR00T, …
Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.
Od 21. do 23. března proběhnou Arduino Days 2024. Sledovat bude možné oficiální streamy. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.
Letošní ročník konference LinuxDays se uskuteční o víkendu 12. a 13. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během letošního ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru, Facebooku nebo na Mastodonu, přidat se můžete také do telegramové diskusní skupiny.
Byla vydána nová major verze 2.0.0 a krátce na to opravné verze 2.0.1 open source online editoru Etherpad (Wikipedie) umožňujícího společné úpravy v reálném čase.
Matematický software GNU Octave byl vydán ve verzi 9.1.0. Podrobnosti v poznámkách k vydání. Nově je preferovaný grafický backend Qt a preferovaná verze Qt 6. V tomto vydání byly přepracovány funkce pro převod čísel z desítkové soustavy. Jako obvykle jsou zahrnuta také výkonnostní vylepšení a zlepšení kompatibility s Matlabem.
Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu březnový souhrn novinek. Vypíchnout lze, že pracují na virtuálním asistentu PineVox a zatím bezejmenných sluchátkách na lícní kosti (bone conduction).
Hyprland, kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, je již dva roky starý. Při té příležitosti byla vydána verze 0.37.0 (a záhy opravná 0.37.1 řešící chybu ve vykreslování oken). Nově závisí na knihovně hyprcursor, která poskytuje škálovatelné kurzory myši.
V dnešním díle se podíváme na několik klasických zapojení demilitarizovaných zón. Tato zapojení se vyskytují dosti často a vlastně představují jakási "vzorová" schémata. V praxi se pro takovéto vzory vžilo označení "modelové topologie".
Ptáte se proč model? Na jednu stranu to vypadá, jako bychom měli nesmyslnou snahu vměstnat veškerá možná zapojení do několika vzorů! Ale v tom je právě jádro pudla. Ano, nalézt ty základní způsoby zapojení, popsat je a vytvořit z nich jakési vzory. Uznejte, že stavět (zapojovat, chcete-li) podle vzoru je mnohem snažší a jednodušší než vymýšlet celé zapojení znovu. Univerzální zapojení je mnohem praktičtější než desítky zapojení šitých "na míru", nehledě na to, že při každém takovém novém, nepřenosném zapojení, můžeme snáze udělat chybu. Ať již z neznalosti, nezkušenosti apod.
Další výhodou je možnost hned několikastupňové kontroly. Již samotný fakt, že naše zapojení neodpovídá žádné modelové topologii může sice znamenat, že potřebujeme něco mimořádného, ale na druhé straně může také znamenat, že jsme někde udělali chybu nebo něco přehlédli. Prostě vzor je Vzor. Nejedná se zdaleka jen o zapojení samotné, jde o nastavení systému, zkušenosti (teď mám na mysli zkušenosti těch ostatních), možnost porovnat svá zjištění s archivem někoho jiného apod.
Pojďme se tedy podívat na pár modelových topologií pro stavbu DMZ.
Tuto sestavu asi zná většina z nás. Modem je připojen skrze standardní rozhraní (obvykle to bývá sériový port) k počítači na straně jedné a k telefonní lince na straně druhé. Vlastně se jedná o "vytáčený spoj", kde protějším koncem je tzv. Modem pool na straně našeho zprostředkovatele připojení k Internetu (ISP - Internet Service Provider). Toto modelové zapojení uvádím pro úplnost. Demilitarizovanou zónu bychom zde hledali těžko, nicméně paketový filtr na zmíněném domácím počítači rozhodně neuškodí. Popis jedné starší verzi takového paketového filtru nad IPCHAINS můžete nalézt zde (linuxworld.cz). Na novější verzi se stále pracuje .
Připojení jednoho PC pomocí kabelové televize nebo rádiového spoje je topologicky podobné. Místo modemu však použijeme samostatnou síťovou kartu a převodník pro kabelovou televizi nebo pro anténu.
Zde vidíme základní a nejjednodušší (samozřejmě, nejjednodušší z topologického hlediska) zapojení DMZ. Můžeme mu říkat třeba "Výchozí schéma". Hezký popis paketového filtru pro tuto topologii je zde (root.cz) mějte však na paměti, že autor provozuje vlastně celou DMZ "na firewallu", takže se skutečně jedná jen o zjednodušující příklad.
Výchozí schéma jsme rozšířili o tzv. Modem pool, což je zařízení umožňující připojení volajícího skrze telefonní linku. Na našem obrázku je Modem pool znázorněn samostatným počítačem a modemem, což je vlastně nejjednodušší případ. Takto nakreslený Modem pool obslouží právě jednoho volajícího (máme jen jeden modem). Pokud potřebujete obsloužit zároveň více volajících, bude vhodnější využít samostatný směrovač s moduly pro modem pool. Modem pool je opět připojen, skrze samostatné síťové rozhraní, do firewallu.
Naše Výchozí schéma jsme rozšířili o samostatné síťové rozhraní (na straně firewallu) pro WAN (Wide Area Network). Pod pojmem WAN si můžeme představit tzv. Meziměstské sítě, Městské sítě apod. Skrze WAN budou obvykle připojeny další kaceláře, pobočky apod.
Předchozí schémata jsem "sloučil" v jedno a přidal router mezi firewall a Internet. K tomuto kroku mě vedlo několik důvodů.
Tolik k stručnému popisu této modelové topologie. Vidíme, že se vlastně jedná o jakousi stavebnici (což je dobře, tak to má vypadat). Základem je firewall, DMZ, Vnitřní síť a připojení k Internetu. Ostatní díly jako WAN nebo Modem pool můžeme přidávat postupně.
Ve schématu zatím nejsou popsány způsoby pro vyhodnocování a předávání varovných zpráv pro správce. Sami tušíte, že se jedná o námět na samostatný seriál (kdo se hlásí? , takže zde se o těchto systémech zmíníme jen stručně.
Výraz IDS znamená Intrusion Detection System a do češtiny se obvykle nepřekládá. V podstatě jde o to, že na sledovaném systému (nebo systémech) máme v provozu modul, který umí vyhodnocovat provoz (např. odposlech síťového provozu, vyhodnocení provozu na určitém síťovém rozhraní, sledování provozu určitých démonů apod.) Lidově mu přezdíváme "práskač" aneb "já nežaluju, ale hlásit se to musí". Vynikajícím Open Source IDS je např. Snort. Řadu článků s jeho popisem můžete nalézt zde (underground.cz) nebo zde (root.cz). Vřele doporučuji si stáhnout manuál ke snortu a celý jej přečíst, rozhodně neprohloupíte.
Možná jsem byl až příliš stručný, takže jen na vysvětlenou: IDS systémy (jak ostatně vyplývá z jejich anglického označení) byly původně určeny ke zjišťování "podezřelých" činností v informačních systémech a tedy v podstatě k detekci průniků do těchto systémů. V dnešní době vývoj opět poněkud pokročil, takže je můžeme využít i na výše uvedené vyhodnocování vlastního provozu. Vtip je v tom, že "nestandardní" provoz nemusí nutně způsobovat jen čísi nenechavé ruce, ale také chybná nastavení systému, poruchy aktivních prvků (směrovače, přepínače) apod. Výraz IDS zůstal, ale využití je dnes mnohem širší. Zkrátka, IDS systémy dnes používáme na vyhodnocování provozu informačních systémů.
Určitě jste už zjistili, že samotný IDS je sice hezká věc, ale další (a neméně důležitou věcí) je předávání kritických (či varovných, záleží na rozhodnutí správce) zpráv člověku, tedy správci. Vzhlem k tomu, že celému tématu IDS a souvisejícím modulům pro předávání zpráv se budeme věnovat později, zmíním se zde krátce o modulu logcheck, anglický popis najdete například zde (freeos.com). Pomocí modulu logcheck zajistíme "prohledání" logů IDS (v našem případě snort) a odeslání kritických zpráv na elektronický účet správce. Sám snort totiž odesílání zpráv nezajišťuje. Svá hlášení ukládá do provozního deníku (log), kde je musí logcheck "najít" a pak odeslat.
A konečně se dostávám k tomu, proč jsem vlastně poněkud "předběhl" osnovu a rozepsal se o IDS a vyhodnocovacích modulech přesto, že tyto patří do XX bodu naší osnovy.
První soutěžní otázka zní - do kterého bodu osnovy patří systémy IDS a moduly pro zasílání zpráv?
Jde o to, že odesílání varovných zpráv bude mít vliv i na topologii našeho zapojení. Záleží na tom, jakým způsobem budeme zasílat zprávy správci. V zásadě tak můžeme učinit prostřednictvím elektronické pošty nebo přenosného telefonu.
Tak napřed elektronickou poštu:
Pro varovné zprávy stačí jedna cílová adresa elektronické pošty, pro kritické volíme alespoň dvě cílové adresy. Zprávy lze pochopitelně odesílat i na přenosné telefony, jen si budete muset zvolit operátora, který takovéto "internetové SMS" umožní .
A nyní přenosný telefon nebo-li SMS gateway:
Je vcelku jasné, že zmíněnou SMS bránu budete muset někam připojit a já se ptám:
Druhá soutěžní otázka zní - kam připojíte SMS gateway? Nezapomeňte na havarijní scénář.
Pro dnešek je to ode mne vše, uvidíme se v některém z pokračování seriálu.
Nástroje: Tisk bez diskuse
Tiskni Sdílej: