Přihlášení | Registrace

napište » Zprávičky

dnes 12:22 | IT novinky

Raspberry Pi Touch Display 2 je nově vedle 7palcové k dispozici také v 5palcové variantě. Rozlišení stejné 720 × 1280 pixelů. Cena 40 dolarů.

Ladislav Hagara | Komentářů: 0

PuTTY přechází na novou doménu putty.software

dnes 04:44 | IT novinky

Telnet a ssh klient PuTTY postupně přechází na novou doménu putty.software.

Ladislav Hagara | Komentářů: 1

Debian dnes slaví 32 let

16.8. 01:00 | Komunita

Debian dnes slaví 32 let. Ian Murdock oznámil vydání "Debian Linux Release" 16. srpna 1993.

Ladislav Hagara | Komentářů: 15

Policie zadržela dárce bitcoinů ministerstvu spravedlnosti a zajistila i dar

15.8. 17:44 | IT novinky

Policisté zadrželi odsouzeného drogového dealera Tomáše Jiřikovského, který daroval ministerstvu spravedlnosti za tehdejšího ministra Pavla Blažka (ODS) bitcoiny v miliardové hodnotě, a zajistili i darovanou kryproměnu. Zadržení Jiřikovského může být podle ministerstva důležité k rozuzlení kauzy, která vypukla koncem května a vedla ke konci Blažka. Zajištění daru podle úřadu potvrzuje závěry dříve publikovaných právních

… více »

Ladislav Hagara | Komentářů: 9

Trumpova administrativa jedná o možném převzetí podílu v Intelu

15.8. 13:44 | IT novinky

Administrativa amerického prezidenta Donalda Trumpa jedná o možném převzetí podílu ve výrobci čipů Intel. Agentuře Bloomberg to řekly zdroje obeznámené se situací. Akcie Intelu v reakci na tuto zprávu výrazně posílily. Trump minulý týden označil Tana za konfliktní osobu, a to kvůli jeho vazbám na čínské společnosti, čímž vyvolal nejistotu ohledně dlouholetého úsilí Intelu o obrat v hospodaření. Po pondělní schůzce však prezident o šéfovi Intelu hovořil příznivě.

Ladislav Hagara | Komentářů: 3

Librem PQC Encryptor

15.8. 05:44 | IT novinky

Společnost Purism stojící za linuxovými telefony a počítači Librem má nově v nabídce postkvantový šifrátor Librem PQC Encryptor.

Ladislav Hagara | Komentářů: 10

VirtualBox 7.2

14.8. 18:00 | Nová verze

VirtualBox, tj. multiplatformní virtualizační software, byl vydán v nové verzi 7.2. Přehled novinek v Changelogu. Vypíchnou lze vylepšené GUI.

Ladislav Hagara | Komentářů: 0

Konečný vzhled hodinek Pebble Time 2

14.8. 14:11 | IT novinky

Eric Migicovsky, zakladatel společnosti Pebble, v lednu oznámil, že má v plánu spustit výrobu nových hodinek Pebble s již open source PebbleOS. V březnu spustil předprodej hodinek Pebble Time 2 (tenkrát ještě pod názvem Core Time 2) za 225 dolarů s dodáním v prosinci. Včera představil jejich konečný vzhled (YouTube).

Ladislav Hagara | Komentářů: 31

Nativní podpora ACME v NGINX

14.8. 12:44 | Zajímavý software

Byla oznámena nativní podpora protokolu ACME (Automated Certificate Management Environment) ve webovém serveru a reverzní proxy NGINX. Modul nginx-acme je zatím v preview verzi.

Ladislav Hagara | Komentářů: 2

KDE Gear 25.08

14.8. 12:22 | Nová verze

Vývojáři KDE oznámili vydání balíku aplikací KDE Gear 25.08. Přehled novinek i s náhledy a videi v oficiálním oznámení.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Kolik tabů máte standardně otevřeno ve web prohlížeči?

1-4 (52%)

5-15 (18%)

16-30 (4%)

31-50 (5%)

51-70 (2%)

71-100 (1%)

101-130 (1%)

>131 (17%)

Celkem 411 hlasů

Komentářů: 24, poslední dnes 11:25

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Potrestat nebo nepotrestat ?

Štítky: bezpečnost, boot, DHCP, FTP, hardware, instalace, Internet, KDE, kernel, klávesnice, Linux, Nmap, RAM, sítě, SSL, textové editory, USB, Vim, Windows

Dotaz: Potrestat nebo nepotrestat ?

26.4.2006 07:40 AloneInTheDark | skóre: 21
Potrestat nebo nepotrestat ?

Přečteno: 309×

Odpovědět | Admin

Ahoj, předem se omlouvám za z větší části OT dotaz, ale abych tak řekl - může se to stát i Vám. Jsme již větší firma (> 300 PC zde v hlavní lokalitě ) a máme tu problém s lidma, kteří si donášejí vlastní PC a zapojují je do sítě. Přestože máme napatchovány jen ty zásuvky po kancelářich kde jsou zapojena pracovní PC, někteří nelení a donesený komp zapojují místo svého pracovního. Nejen, že hrozí že donesou nejaký virus apd. ale ještě "importují" do firmy svoje soukromé kompy s ilegálním sw (a pochopitelně si aktualizují kradená Windows a Office ). Teď se nám tu dokonce objevil člověk který si donesl PC, na kterém mimo kradené Windows je i více linuxových distribucí, v nichž ( v té nejpoužívanější) bylo letmým nahlédnutím spatřeno např. nessus,nmap,dsniff a řada dalších "nástrojů na testování bezpečnosti sítě" .

Také máte podobné problémy ? Jak to řešíte ? Upozorňuju předem, že domluvy zcela evidentně nefungují a ty lidi si prostě z domluvy per huba nic nedělají - jsou abych tak řekl, jako naši politici, splachovací. Doteď jsem byl zastánce svobody a nijak jsem nikoho nechtěl nejak významně omezovat, ale tenhle typ lidí mě krká a asi bude prostě potřeba ukázat temnou stranu síly ( např. onoho nebohého linuxového nadšence exemplárně sejmout ( byl to již 3 prohřešek) ). Je nás tu málo (na správu 18 serverů,sítě,firewallu, vpn sítí do poboček 2 lidi ) a prostě není čas ani chuť abysme se obden zabývali věcma který někdo vyvede jen tak pro zábavu nebo z neznalosti. (nehledě na sniffování hesel kterýžto je nebezpečný už z principu ... ) Ať si ty lidi hrajou jak chtějí, ale doma. :-(

( Řešíte podobné situace ? Nějaké rady, nápady, zkušenosti ?

Any technology distinguishable from magic is insufficiently advanced.

Nástroje: Začni sledovat (2) ?

Odpovědi

26.4.2006 07:57 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Nevím jestli je to pro vás schůdné řešení, ale co zkusit povolit jen určité MAC síťovek v těch pracovních stanicích, co tam patří? Dost ale záleží na topologii vaší sítě. Klidně si pak kompr přinést může, ale na internet se nedostane (a scan vnitřní sítě řeště vyhozením ;-)

. Btw: opravdu scanuje? Prakticky v kterékoliv distribuci je nmap a spousta snifferů.

Heron

26.4.2006 08:11 Martin Šebek | skóre: 18 | blog: Tady je Indiánovo | Mladá Boleslav
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Podle toho, jak to autor otázky popisuje, nejsou zaměstnanci úplní BFU. Takže pro ně nebude problém změnit si hw adresu síťového adaptéru na tu "správnou".

Tohle je imho snadno řešitelné nějakým vnitřním předpisem a určením sankcí za jeho porušení.

26.4.2006 07:59 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

MAC filtr?

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

26.4.2006 08:09 Dunric | skóre: 21
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Pokud to není úplný pako, tak si tu MAC adresu nastaví podle síťovky z toho povolenýho firemního kompu a tazatel bude zase tam kde byl.

In the garden sleeps a messenger ·

26.4.2006 08:07 P
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

No tento způsob prohřešků se nejlépe řeší organizačními opatřeními: vydat vnitřní směrnici, ve které budou pravidla a sankce za porušení, a tato pravidla tvrdě vyžadovat. V případě porušení trestat sankcí. Jen je třeba podpora vedení (neviděl bych s tím problém) a prokazatelně lidi se směrnicí seznámit. Technická řešení jsou pouze Security by obscurity a MAC filter není řešení...

26.4.2006 08:22 martin
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

castecnym resenim by urcite bylo 802.1X a MAC filtering. myslim, ze 90% lidi, zejmena windowsaru si MAC adresu neprenastavi, pokud uz vi, co to vubec je. Pote lze uvazovat o dalsich opatrenich jako jsou VLANy, interni firewall atd. Dalsi vec je sitova infrastruktura. Rovnez doporuciji sledovat deni na siti (arpwatch atd.) a v pripade jakychkoliv "podezrelych" aktivit danou MAC okamzite zakazat a cekat na telefon :-)

26.4.2006 08:31 Jan Martinek | skóre: 43 | blog: johny | Brno
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Jestliže zaměstancům lépe vyhovuje vlastní počítač než ten firemní, tak bych jim to nezakazoval. Co má kdo na svém počítači nainstalované, je jeho soukromá věc (pokud je to legální soft).

Ale jestliže někdo škodí ostatním, je to něco úplně jiného!

V každém případě by bylo dobré nepoužívat plain-text hesla.

26.4.2006 15:07 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Na vlastním počítači mají vlastního roota (administratora), takže je celkem pochopitelné, že mají zakázané připojit takový počitač do sítě...

26.4.2006 08:35 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Diky všem za reakce. MAC filter to skutečně neřeší. Aplikujem směrnici ředitele, která toto řeší. Doteď bohužel nebyla vůle jí prosazovat, což se teď doufám změní.

Any technology distinguishable from magic is insufficiently advanced.

26.4.2006 18:49 Jan Zahornadsky | skóre: 22 | blog: hans_blog
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Co ten MAC kombinovat s 802.1x? Nastavit to mají problémy i kdejací informatici tu na matfyzu, navíc pokud bude nějak šikovně schované heslo, resp. klíč, tak by to už nějaké problémy udělat mohlo, ne?

Actually, I was half an hour into the pointer scripting documentation when she got dressed and left.

27.4.2006 02:17 8an | skóre: 30
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Ovšem ten certifikát nebo heslo do 802.11x musí být uloženo tak, aby ho uživatel nemohl přečíst. Pak opravdu jiný počítač nepřipojí.

If you build an operating system that even an idiot can use, only idiots will use it.

27.4.2006 05:42 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

S 802.1x nemám ( nevím jak kolega - zeptám se ) zkušenosti a dávám si za úkol nastudovat - Díky.

Any technology distinguishable from magic is insufficiently advanced.

26.4.2006 08:41 OndraZX | skóre: 27 | blog: OndraZX | Frydek-Mistek
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Podle mne si administrator musi "hrát na boha" - tzn. ze jeho slovo je svate. Ja napriklad mam ve firme na starost pres 50 Win klientu + dalsi Linux klienty a 5 serveru. Pro uzivatele je tabu nainstalovat libovolny program. Je tabu strcit do PC libovolne CD. Vybrani jedinci si nesmi ani zmenit obrazek na plose, nebo sporic obrazovky. Internet maji nasi uzivatele docela volny - samozdrejme ne aby cumeli na nej v pracovni dobe. S Windowsy nemam sebemensi problem - vse funguje tak jak ma. Celkem pocitacum a sprave venuji max. 2 hodiny tydne - a funguje to.

Me zasady - noveho pracovnika proskolit - dojebat ho co to da a vse mu zakazat - az se urazi - za nejaky cas, az vam odpusti vase jebani, tak ho dojebat znova - preventivne. Musi mit pocit ze vite o kazdem jeho klepnuti do klavesnice.

Je to blbe, ale je to tak - bud ma firma bude zamestnavat administratora na plny uvazek, nebo si hraju "na boha" a venuji pocitacum ty 2 hodiny tydne - staci si vybrat co je pro firmu prednejsi.

26.4.2006 09:14 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

tenhle nazor se mi libi. asi mam tu vyhodu, ze zamestnanci u nas, si me spojili s bohem temer okamzite a sami. Ma to i druhou stranu mince. S kazdou aktualizaci cehokoliv, napriklad komercni banky, muzu cekat telefon, at to prijd nainstalovat. Ale neni toho moc. Lepsi, kdyz to udelam po svem a vim, ze je to OK, nez abych pak resil podrbane windowsy.

Taky si udělám nějakou studii.

26.4.2006 09:16 mseed
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Hehe dojebat a pak zase a to jen preventivne. Zkus to a dostanes do nosu. To ze si do prace prinese vlastni masinu a zaktualizuje si ji bych jako problem nevydel. Samozrejme je-li to Linux (windows jsou sporné - viry, spyware, ..). O to více si bude admina vážit a chválit ho. Samozřejmě kontrola musí být. Sledovat logy a v případě, že se chová nebezpečne to zakázat (směrnice, postihy, ...).

26.4.2006 09:27 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Nerouzmím tomu, proč by si měl zaměstnanec tahat soukromý stroj do práce a něco si tam aktualizovat (nebo sosat cokolv z netu). Pokud se nedohodne s vedením, tak prostě nemá nárok.

-- Nezdar není hanbou, hanbou je strach z pokusu.

26.4.2006 09:40 mseed
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Samozrejme se musí domluvit a já to jako admin povolím.

26.4.2006 09:48 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Ano, presne tak.Predstava, ze by si nekdo donesl na obecni urad svujj stroj, by dle me melo za nasledek padaka. Verim tomu, dotahnout svuj stroj do prace by nikoho ani nenapadalo.My jsme obecni urad. (asi 22 PC + 2 servery). Vsichni jsou si vedomi problematiky ztraty soukromych dat a postihu za to. Predstavte si, ze vsichni delame veskera mozna opatreni, aby nam nekdo nenapadl server a sit z Internetu a pak vam nekdo takhle vrazi nuz do zad. Na tohle prece musi vedeni firmy slyset. Jsou to jejich firemni data...

Tahani svych stroju na firmu bych principielne rovnou nepovolil. Nikde se tomu tak nedeje a tyto praktiky nehodlam vubec zavadet.A zamestnance, ktery by za mnou prisel s tim ,ze se tomu tak delo vzdy a nikdy s tim problem nebyl, bych se optal: "kdo ma odpovednost za ztratu, poskozeni dat a bezpecnost site?, koho se bude vedeni ptat, jak je mozne, ze jsou v siti viry a spyware, kdyz jste tvrdil, ze ten linux je tak dumyslny a ma antivirove a antispamove filtry? A kde se projevuje ta uspora, kdyz jste tvrdil, ze az tu bude linux, budem mit polovicni naklady na udrzbu site z hlediska viry a spyware?????."

Panove, opravdu toto nee.

Taky si udělám nějakou studii.

27.4.2006 15:59 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Ma odpoved zni, ze na ztratu dat nepotrebuju svuj pocitac. Staci FTP, USB stick, nebo disketa, nebo cokoli jineho.

27.4.2006 20:47 Jiří Daněk | skóre: 12 | blog: muj_blogisek
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Na hodně dat potřebujete comp. Na ještě víc dat bych přidal náklaďak (s penězma)

Byl jeden pán a ten měl psa. HAFUŠA se jmenoval.

27.4.2006 15:25 ondracch | skóre: 19 | blog: Mozková kreč
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Ještě, že v tom nevydíš problém.

Proč myslíš, že nemůžeš žít jinak? Pořád Tvořím...

27.4.2006 15:37 Peter Lehotsky | skóre: 26 | Prague
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Tohle bych mazal jako OT. Ze vas to buzerovani vubec bavi.

27.4.2006 16:05 anon123 | skóre: 35 | blog: ganomi
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Souhlas. Ja bych se snazil vyhovet. Sice je to blby, ze si updatuje win nebo si taha mp3, ale prave to se da lehceji zadratovat, nez cokoli jineho protoze je to obecne pravidlo pro vsechny. Staci treba dansgardian.

To ze se nekomu pracuje lepe z jeho notebooku bych pochopil.

Trapi vas vyneseni dat? Tak tomu nezabranite nicim, maximalne certifikatama a to bude dost pracne a drane.

26.4.2006 09:43 Dunric | skóre: 21
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Organizační opatření jsou IMHO až druhý krok. Prvním je technické zabezpečení prostředků informačních systémů a pokud tohle admin nezvládne, samotné "jebání" směrnicema nemá udržitelný efekt. Například zamezení instalace programu uživatelem je celkem triviální záležitost. Pokud potřebuje ke své práci přístup na Internet, situace se komplikuje, ale i tak se dá.

Souhlasím, že až na ojedinělé případy není žádný důvod proč by směl zaměstnanec připojovat nějaký jiný počítač do firemní sítě. U firem kde dělám je to povětšinou klasifikováno jako neoprávněná manipulace s pracovním prostředkem a hrubé porušení pracovní kázně.

In the garden sleeps a messenger ·

26.4.2006 09:15 Die.soptik
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Navrhzju HW řešení - všechno dát pod zámek!

26.4.2006 10:43 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Hoj, me napadla jedna finta, ale nevim jestli je to prakticky proveditelne, tak me nekamenujete v pripade ze je to hovadina.... Co takhle MAC filter + ping? Kazdej pocitac v siti by moh pravidelne pingovat nejaky pro to urceny stroj, ktery by vedel ze v cas ten a ten ma dostat nejakej ping od od ostatnich pocitacu. O kazdem konto pingu by si udelal treba zaznam do logu. Pokud by nejaky ping neprisel, opingoval (nebo by se dala pouzit nejaka sofistikovanejsi metoda, jako port scanner, kterej dokaze aspon castecne obejit firewall - jediny co potrebujem vedet je, jestli je pocitac aktivni, nebo ne) by ten pocitac, ktery se vcas neohlasil. V pripade, ze by pocitac neodpovedel, vypovidalo by to o jeho necinosti, coz je spise v poradku. Ale v pripade, ze je pocitac aktivni ale nehlasi se sam od sebe, je jasne, ze se jedna se o onejake neaautorizovane pripojeni do site. V pripade ze zamestnanec si nezmeni svou mac, tak se do site nedostane a v pripade ze ji zmeni bude snadno odhalen. No snad je to aspon trochu pochopitelne a snad to i muze nejak fungovst (to fakt netusim ale nevidim nic co by tomu mohlo branit... ale ze nevidim muze taky znamenat, ze dostatek znalosti :-(

).
Cheers...
ps: jinak urcite takove samovolne jednani trestat, ale za urcitych podminek treba i povolit (po domluve s vedenim a adminem)
pss: zajimalo by me jak ses dozvedel ze ma onen zamestnanec na svem kompu nainstalovane ony sitove utility??

Talking about music is like dancing to architecture.

26.4.2006 17:09 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Dozvěděl jsem se to snadno. Mimo jiné se mi objevila v logu hláška o tom, že se někdo s MAC která nebyla registrovaná pokouši získat pomocí dhcp adresu ( toho jsem si všiml jako prvniho ) a následně se postupně na několika serverech objvilo info o scanu portu. (asi poprvé nabootoval a měl aktivní dhcp - taky nám chvilku trvalo, než jsme ho vyhmátli - píšu to jako kratoučký souhrn, bylo toho víc ) Tož koukam odkud (ip) a pak odkud je připojen (přes který prvek). No prostě byl odhalen a na místě usvědčen přimo při používaní etherealu. Mašina mu byla pro kontrolu zabavena a společně s kolegou jsme vyzjistili, že předtím i scanoval všechny naše podsítě a zkoušel chytat hesla dsniffem.

Podobný problém tu už byl v minulosti, kdy si jeden kluk donesl komp na kterém měl nainstalován win 2000 server a "dělal pokusy" a spustil si na něm dhcp server a začal na sebe strhávat dotazy jiných pc ... Poté prováděníme detekci rogue serverů :-)

To ale aby člověk nedělal nic jinýho než četl logy a bránil se i proti "vlastním" :-(

Občas taky potřebuju pracovat ( nebo si číst Abc Linuxu :-)

)

PS: Díky za podnětné rady a příspěvky (všem) a teď už musím padit ...

Any technology distinguishable from magic is insufficiently advanced.

26.4.2006 17:27 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Jsem sám a jediný, kdo by trestal? Toho je dost vyjmenovaného, aby to bylo tvrdě čili exemplárně. A už je na vaší blaho- a libovůli další jednání.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

26.4.2006 17:49 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Rekl bych, ze za tohle by si zaslouzil minimalne vyhazov.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

27.4.2006 05:50 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Je to takovej mladej kluk, vyřešili jsme to tak že mu bylo domluveno jeho a mým vedoucím, vysvětlena nebezpečnost jeho chování vzhledem k firmě a jejím datům a udělena pokuta 1000,- Kč. Je to něco jako poslední výstraha před popravou - pokud by se to opakovalo,dotal by padáka za hrubé porušení pracovní kázně (nebo jak přesně se to jmenuje ).

PS: Možná to bude vypadat, že jsem měkkej, ale já před lety v jiné firmě také dělal lumpárny tohoto typu a tamní správce ( cca 40 letý bodrý chlápek ) mě také nenechal vyhodit (řešili jsme to podobně) , za což mu dodnes děkuju :)

Any technology distinguishable from magic is insufficiently advanced.

27.4.2006 16:03 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

nekoho vyhodit a ostatni by toho pak mozna nechali

27.4.2006 10:22 Peter Lehotsky | skóre: 26 | Prague
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Vetsi cast utoku pochazi z vnitrni site, to jen pro zajimavost :-)

26.4.2006 14:10 Peter Lehotsky | skóre: 26 | Prague
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Jedna se o Windows nebo linux klienty (nikde to nevidim), je to domena nebo workgrupa?

26.4.2006 14:59 martin
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

myslim, ze toto je irelevantni. nastroje na bezpecne prihlaseni do site obsahuji oba OS. nikdo se k tomu zatim nevyjadril, ale 802.1X je podle me resenim, ktere hledate. misto hesla pouzijte certifikat a uzivatel se muze stavet na hlavu, ale bez nej se do site nedostane, i kdyby si nakrasne menil MAC adresu.

26.4.2006 16:20 Peter Lehotsky | skóre: 26 | Prague
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

irelevantni to rozhodne neni, a nikdo se k tomu nevyjadril prave proto ze to NEVIME. Prijde mi to jako jedna velka grupa s widlo klienty, kde ma kazdy admina.

Myslim ze tomu co potebuje se ve windowsi reci rika domena a pokud ji maji tak veeeelmi spatne nastavenou, jinak by jim klienti nedelali takovy bor.el.

26.4.2006 16:45 AloneInTheDark | skóre: 21
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Problém není v tom že by se ten člověk hlásil do domény. To nedělal. Ale jak by se Vám líbilo kdyby si nějaký uživatel dovlekl komp, nastavil si stejnou mac + ip jakou má na pracovní stanici a jal se Vám např. scannovat celou síť nesussem a nmapem , pokuušel se chytat hesla dsniffem a když na něj přijdete do kanclu , tak má zrovna puštenej ethereal a dělá capture do souboru. Tenhle a jemu podobní jsou postě problém. Jasně že okýnkáři s notebookem se nepřihlásej k doméně, ale bordel můžou dělat i tak.

Samozřemě že PRACOVNÍ PC jsou zabezpečené a uživatel si nic nenainstaluje, to je snad jasné. Tohle vůbec neřešíme. Zde jde o to, že si člověk přinese svoje PC a dělá problémy.

Any technology distinguishable from magic is insufficiently advanced.

26.4.2006 20:04 jyrki | skóre: 22 | blog: JKR
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Prominte, ale stiha ten clovek svou praci??? Pokud ne, tak neni co resit, vyhodit pro hrube poruseni pracovni kazne. Pokud ji stiha, ma ji malo, je potreba prerozdelit praci ve firme, tak aby tihle hracickove pracovali. A samozrejme je potreba, aby jeho manazer (nebo proste vedouci, neznam strukturu Vasi firmy) na nej aplikoval "kratke voditko". Caste kontroly apod. Ten clovek by za to klidne mohl byt "diskriminovan" napriklad dvojnasobnym objemem prace proti ostatnim. Mel by napr. sedet v mistnosti hned vedle nadrizeneho, tak, aby bylo mozne sledovat na jeho monitoru co dela....

We don't need no education...Asi potřebuješ, použil si dvakrát zápor * Registrovaný uživatel Linux #245559.

26.4.2006 20:58 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

To že nestíhá práci, není důvod pro okamžitý vyhazov (bohužel). Administrativně je to složitější, je nutné takovému zaměstnanci nejdřív udělit důdku a potom je teprve možné vyhazovat.

Na druhou stranu, bez ohledu na plnění pracovních povinností, scanování portů, pokus odchytit hesla a podobné je dostatečný důvod na vyhazov.

Quando omni flunkus moritati

26.4.2006 21:47 jyrki | skóre: 22 | blog: JKR
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Mozna jsem byl spatne pochopen, pokud svou praci stiha, je zrejme ze ma pak cas vymyslet hlouposti a pak bych mu te prace pridal (chyba zamestnavatele, ze nedokaze vyuzit kapacitu toho cloveka). Pokud vsak svou praci neodvadi, pak bych jej vyhodil ne proto ze praci nestiha, ale pro hrube poruseni pracovni kazne.

We don't need no education...Asi potřebuješ, použil si dvakrát zápor * Registrovaný uživatel Linux #245559.

26.4.2006 22:32 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Už chápu.

Nicméně (pokud by to bylo v mých možnostech) bych osobně takového člověka vyhodil bez ohledu na to, jestli práci stíhá, nebo ne. Co já můžu vědět, jestli jenom tak blbnul, nebo jestli mu zaplatila konkurence, aby způsobil škody.

Quando omni flunkus moritati

27.4.2006 10:18 Peter Lehotsky | skóre: 26 | Prague
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Pokud nemuzete verit svym zamestnancum (jako ze nemuzete) tak v mistnim zamecnictvi si nechte vyrobit takovou plechovou krabicku, ktera se nejakym zpusobem nasadi na sitovou zasuvku a zamkne visacim zamkem (nasune do kolejnice, kterou nepujde odstranit bez odemceni) podobne udelatko pouzijte na PC a case rovnez zamknete. Navrhnete ji tak aby bez jejiho odstraneni neslo vytahnout konektor ze zasuvky/sitove karty.

HP, DELL, IBM a par "neznackovych" vyrobcu (chieftec, aopen) ma na skrinich primo zamek, pripadne petlici na visaci zamek :-)

. Zakazte boot z jineho media nez je primarni pevny disk, pripadne vypnete USB v biosu a odstrante floppy a CDROM. BIOS ochrante heslem a v ramci domenove politiky povolte spousteni pouze vybranych programu. Klicova slova pro google "Hardening Windows NT/2000/XP".

Jakekoliv SW zabezpeceni v tomto pripade postrada smysl, pokud si nekdo dokaze prenastavit MAC adresu, urcite jednou odstrani i jine SW omezeni. Sitovym monitoringem tento problem pouze odhalite, ale predejit tomu lze jen hardwarove.

26.4.2006 15:55 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

MAC adresa se nezda resenim, ale kdyz by se na firemnich pocitacich zakazala instalace jakykoliv programu, odstranily mechaniky(kdyby nejaky stoura chtel nasledujici zarizeni odstranit) a prihlasovani do site by se autorizovalo pomoci hardware (treba md5sum serioveho cisla disku a neceho jineho) tak by to mohlo jit.

Proste hned po bootu by si server pozadal o autorizaci, firemmni pocitac by spocital md5sum treba z disku a sitovky(aby nebylo tak snadne zjistit z ceho se pocita) a odeslal ho na server. Pokud by odeslal spatny, nebo by neodeslal zadny, tak by bloknul sit. Nebo mozna lip neblokl, ale odeslal sefovi mail, ze ten a ten dela neco, co nema a at ho de zjebat.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

26.4.2006 17:13 gat.centrum | skóre: 8
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Ahoj, podle mne je lepsi vse zakazat a povolit pouze autorizovanemu user. A scan site lze velice snadno odhalit, a podniknout patricne kroky. Sniffing taky nema sanci pokud pouzivate administrovane switche. V zasade to je problem z podstatne casti hardware a k tomu nasazeni autorizacnich mechanizmu.

26.4.2006 18:02 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

OT: máme taky nějaká pravidla v práci, dovolil jsem si občas přinést noťas, připojit ho na adslko a surfovat. Nic víc, nic míň. Nějaký P-III se 128MB RAM jsou pro úřednickou práci ve woknech docela únavný. Tj. snažim se chovat tak, aby toto mé chování mohlo mít dlouhé trvání. Cizí konta mne nezajímaj a tolik času na to taky nemam, ale je to pohodlné.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

26.4.2006 19:13 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Nesnažil bych se to řešit na nejnižší úrovni (MAC), ale právě naopak. Možná je to nesmysl, ale představte si toto:

- na každém klientu poběží nějaký démon/služba, která pomocí nějakého challenge-response mechanismu (něco jednoduchého) se bude schopna na dotaz (DHCP serveru) autorizovat. dejme tomu, že vrátí nějaké svoje ID, které bude spočítáné třeba z ID systému nebo tak něco. server bude mít seznam IP adres a seznam ID autorzivaných počítačů samozřejmě. to tam nabuší admin

- DHCP server bude rozdávat IP adresy a na serveru (Linux) poběží skript (třeba v Perlu), který bude postupně každou hodinu (nebo častěji) klienty autorizovat. který počítač nevrátí korektní odezvu, ten bude na firewallu odblokován na www stránku s kontaktem na admina. tímto by se mohlo zabránit ukradnutí leasnuté IP adresy (se domnívám :-)

- 99 % vykuků bude bezradných, případný schopnější vykuk bude muset daemona cracknout, tj. zjistit, z čeho generuje ID. když se použije víc faktorů (MAC adresa, nějaké soubory v systému, registr woken, aktuální datum), tak to bude docela oříšek. možná se rozmyslí, jestli není lepší zajít do i-kavárny. no a odposlouchat komunikaci snadno taky nepůjde, sic bude použit ten CR mechanismus...

Třeba je to úplná blbost, a možná už něco podobného funguje. Názory?

Later --- Lukáš Zapletal

26.4.2006 19:49 Sinuhet | skóre: 31
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Napadlo me to same, jen bych misto tajne pocitaneho ID pouzil ssl certifikaty.

26.4.2006 20:06 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Taky si myslim neco podobneho, akorat misto demona bych asi pouzil md5

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

26.4.2006 21:31 Igor
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Jak tohle zabrani liznuti ip adresy a snifovani ?

27.4.2006 18:15 Lukáš Zapletal | skóre: 42 | blog: lzapův svět | Olomouc
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

No to ne, resi to jen pristup na internet... :-(

Later --- Lukáš Zapletal

27.4.2006 10:29 Peter Lehotsky | skóre: 26 | Prague
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Slo by to ze seriovych cisel HW, ale prijde mi to jako zbytecne plytvani casem admina (security by obscurity). Jedine na HW urovni, a pochybuji ze si ten vykuk nosi do prace krimpovacky a konektory RJ45 a ze by mel odvahu odcvaknout sitovy kabel :-)

27.4.2006 16:12 tuxmartin | skóre: 39 | blog: tuxmartin | Jicin
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Co kdyz ten vykuk bude ovladat sociotechniku ?

26.4.2006 21:13 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Koukám, že jdu s křížkem po funuse, ale stejně si rýpnu...

Myslím, že pokud je personální obsazení správné, neměl bys vůbec potřebovat vnitřní zabezpečení. Pokud jsou ve firmě lidé, kterým nemůžeš věřit, je třeba to řešit s nimi, ne přes elektroniku. Čím víc technických omezení budeš dělat, tím víc to bude štvát ty slušné, kromě toho si budou připadat jako trestanci.

Ad neposlušný zaměstnanec - umístit ho vedle šéfa je podle mého názoru zbytečné prodlužování agónie. Nadřízený bude mít vztek, že funguje jako bachař, zaměstnanec bude naštvaný, že se s ním jedná jako se zločincem (ano, můžeš argumentovat, že si to zavinil sám, ale každý člověk má svou hrdost a ta to nesnese). To už ho radši vyhoď rovnou, je to férovější než ho takhle trápit.

To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...

27.4.2006 08:13 gat.centrum | skóre: 8
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?

Ahoj, hodlam ti drobet oponovat. Personální obsazení bude nejlepsí v menším kolektivu nežli ve firmě s 300 PC to ti již zajistí slušnou anonimitu. A pokud si myslíš, že nepotřebuješ vnitřní zabezpečení máš zaděláno na BIG PROBLEM. Konec konců je právě na tobě, aby si ty slušné neštval, a zároveň udržel na patřičné úrovni prosazovaní securiti policis. Ad neposlušný zaměstnanec, Musí být seznámen při nástupu s tím co smí a co nesmí. Případně co jej čeká za postih. U nás právě ti slušní přijdou sami za adminem s tím že něco soukromě potřebují, a když je vůle lze jim bez problémů vyhovět.

27.4.2006 09:56 jm
Rozbalit Rozbalit vše Re: Potrestat nebo nepotrestat ?