rada je lobovat na úřady aby upravily logování tak aby bylo reálný. Ne to vůbec takhle idiocký i v jiných zemích? možná by jsme se měly optat čím to logovat.
Sorry David2006 ale nemůžeš vyčítat z prvků v síti ARP tabulky tedy aspoň ne ze všech. Ono jako je to i tak blbý, vem si že se ti někdo napíchne na domácí apčko, udělá nějakou škodu a tu mac adresu už nikdo nikdy nenajde protože v síti prostě neni. Podle mě je logování mac adresy blbost protože se dá lehce měnit. Mělo by to bejt na userovy aby si zabezpečil domácí apčko a všechno co od něj jde je na něm. Je to drsný ale je to tak. jak už jsem tu poznamenal tak pokud máš wispy na veřejných musíš tedy vyčítat netflow z těch wispů protože musíš mít nenatovanej záznam na lan straně... všechno je to na hlavu postavený. Když už budu mít tu mac tak musim mít i nenatovanou komunikaci atd...
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Provozní a lokalizační údaje se nám vrací... k 1.10.2012
Re: Provozní a lokalizační údaje se nám vrací... k 1.10.2012
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Teoreticky kdyz budu mit vse na verejkach bez NAT, tak nemusim logovat nic, ne? Prijde dopis, kdo pristupoval z tyhle verejny, poslu jmeno a nazdar.
Jinak Sumperk asi pocita s tim, ze FlowPro ma propojeny z ISPadminem ktery cucha na koncova APcka i NAT, takze to z toho vyexportuje komplet. Ale je to jen ma domnenka.
Jinak Sumperk asi pocita s tim, ze FlowPro ma propojeny z ISPadminem ktery cucha na koncova APcka i NAT, takze to z toho vyexportuje komplet. Ale je to jen ma domnenka.
0 x
-
Tomáš Nesrsta
- Moderátor
- Příspěvky: 1333
- Registrován: 15 years ago
- antispam: Ano
- Bydliště: Karlovy Vary
- Kontaktovat uživatele:
loser píše:Teoreticky kdyz budu mit vse na verejkach bez NAT, tak nemusim logovat nic, ne? Prijde dopis, kdo pristupoval z tyhle verejny, poslu jmeno a nazdar.
Jinak Sumperk asi pocita s tim, ze FlowPro ma propojeny z ISPadminem ktery cucha na koncova APcka i NAT, takze to z toho vyexportuje komplet. Ale je to jen ma domnenka.
JJ FlowPro je napojeny na ISPadmina, takže pak rovnou vidíš i jméno klienta a pod. ...
0 x
Bývalý ISP...
Se musím už smát, co to ten stát po nás chce. Nebylo by jednoduší tomu šumperku dát dotaci?
V každém případě stoprocentní logování PATu lze provést jen právě na tom boxu, co to dělá. Nikoliv párováním údajů před a za ním. Budiž nám pravděpodobně útěchou, že jelikož myslí NAT, tak nemyslí PAT
A 1:1 už neNATuje asi nikdo.
Pokud bude překlad u uživatele, nemá moc smyslu logovat MACku. Stejně ukazuje do domácnosti, jako ta IP adresa sama.
A technicky vzato logovat MAC - jak to udělat, aby to bylo stoprocentní? To by musel KAŽDÝ prvek v síti okamžitě hlásit změny někam do databáze. Všechny ostatní řešení jsou na bázi poolingu jednotlivých zařízení. A to prostě nejde udělat moc často. Mám problém se čtvrthodinovým intervalem a přitom dost malou síť. Při nějakých optimalizacích by to šlo stáhnout sice dost dolů, ale chudák switche, chudák síť ...
Dojde to k tomu, že každý user bude muset mít vlastní router s certifikací MVČR Ale alespoň nám dají pokoj.
Nemáte někdo odkazy na skutečné znění jak zákona, tak především té prováděcí vyhlášky?
V každém případě stoprocentní logování PATu lze provést jen právě na tom boxu, co to dělá. Nikoliv párováním údajů před a za ním. Budiž nám pravděpodobně útěchou, že jelikož myslí NAT, tak nemyslí PAT
A 1:1 už neNATuje asi nikdo.Pokud bude překlad u uživatele, nemá moc smyslu logovat MACku. Stejně ukazuje do domácnosti, jako ta IP adresa sama.
A technicky vzato logovat MAC - jak to udělat, aby to bylo stoprocentní? To by musel KAŽDÝ prvek v síti okamžitě hlásit změny někam do databáze. Všechny ostatní řešení jsou na bázi poolingu jednotlivých zařízení. A to prostě nejde udělat moc často. Mám problém se čtvrthodinovým intervalem a přitom dost malou síť. Při nějakých optimalizacích by to šlo stáhnout sice dost dolů, ale chudák switche, chudák síť ...
Dojde to k tomu, že každý user bude muset mít vlastní router s certifikací MVČR
Ale alespoň nám dají pokoj.Nemáte někdo odkazy na skutečné znění jak zákona, tak především té prováděcí vyhlášky?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
Tomáš Břinčil
- Moderátor
- Příspěvky: 648
- Registrován: 12 years ago
- antispam: Ano
- Bydliště: /dev/null
- Kontaktovat uživatele:
ludvik píše:Nemáte někdo odkazy na skutečné znění jak zákona, tak především té prováděcí vyhlášky?
http://aplikace.mvcr.cz/sbirka-zakonu/V ... z&id=23018
http://aplikace.mvcr.cz/sbirka-zakonu/V ... z&id=24609
0 x
Windows what? Linux instead...
Real programmers don't need notice all their known languages.
https://www.facebook.com/conexainternet
Real programmers don't need notice all their known languages.
https://www.facebook.com/conexainternet
Napsal jsem si generátor logů, který na počkání vygeneruje log "na míru" do bitu přesně podle požadavků, jak ukládá zákon. Mise splněna.
Když ouřada vymyslel p*čovinu, nemám to srdce nevyhovět a nedotáhnout mu to do konce
Když ouřada vymyslel p*čovinu, nemám to srdce nevyhovět a nedotáhnout mu to do konce
0 x
T-T
tak už se nám to zase plní - raději už logujeme... mikrotik: IP -> traffic flow + linuxová mašina s netflow...
ale chtělo by to už tu prováděcí vyhlášku,ať to můžem uvést do souladu s novýmy pokyny. už se těším na přefakturovávání času technika a energií. co se týká hw tak na to zatím nebyly žádné nároky navíc. ukládám to na diskový pole v RAID1, ještě musím nastavit promazávání po Xměsících. osobně to k ničemu nepotřebujem, data nijak nehodláme analyzovat, jen když přijde požadavek tak ať můžem dát nějakou odpověď odpovídající skutečnosti
ale chtělo by to už tu prováděcí vyhlášku,ať to můžem uvést do souladu s novýmy pokyny. už se těším na přefakturovávání času technika a energií. co se týká hw tak na to zatím nebyly žádné nároky navíc. ukládám to na diskový pole v RAID1, ještě musím nastavit promazávání po Xměsících. osobně to k ničemu nepotřebujem, data nijak nehodláme analyzovat, jen když přijde požadavek tak ať můžem dát nějakou odpověď odpovídající skutečnosti
0 x
Bc. Martin Doubrava
http://www.doubrava.net - Internet Olomouc, Litovel, Uničov, Šternberk a široká okolí
http://www.doubrava.net - Internet Olomouc, Litovel, Uničov, Šternberk a široká okolí
tom-tom píše:Napsal jsem si generátor logů, který na počkání vygeneruje log "na míru" do bitu přesně podle požadavků, jak ukládá zákon. Mise splněna.
Když ouřada vymyslel p*čovinu, nemám to srdce nevyhovět a nedotáhnout mu to do konce
"Vyjedte mi xx.xx.xx.xx od 1. do 22.9."
"Momentik .... aa tady to mate."
"Vlastne od 1. do 25.9."
"Momentik .... aa tady to mate, sice jsou tam uplne jine data, ale to neva ne?"
0 x
kvalita tohoto fóra klesla pod hranici, která je snesitelná
douby píše:tak už se nám to zase plní - raději už logujeme... mikrotik: IP -> traffic flow + linuxová mašina s netflow...
Linuxová mašina s netflow pro sběr údajů je jasná. Jaký HW ti ale generuje data pro ten netflow?
Btw. když mi hlavní GW dělá linuxová mašina, přes kterou tedy vše prochází, není možné data sbírat přímo na ní bez nějakého další HW?
0 x
softflowd
netflow neni dostatečné, nepodporuje netflow v9 potažmo IPv6
netflow neni dostatečné, nepodporuje netflow v9 potažmo IPv6
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
hapi píše:softflowd
netflow neni dostatečné, nepodporuje netflow v9 potažmo IPv6
Když v síti nemáš IPv6 nasazené tak přece nemusíš hledat něco s podporou IPv6.
0 x
Ve vyhlášce 357/2012 Sb. o uchovávání, předávání a likvidaci provozních a lokalizačních údajů se v bodu 10 píše:
(10) Nelze-li dodržet formát, strukturu a název souboru stanovené v odstavcích 6 až 9 a v příloze k této vyhlášce, předá provozovatel po dohodě s oprávněným orgánem požadované údaje v jiném formátu a struktuře.
Takže ono s tím přesným dodržením formátu nebude tak horké jak Šumperk na všechny adresy spamuje
Jo a všiml si někdo této opravdu pikantní zvláštnosti? Odposlouchávaný čili "hacker" musí dát souhlas policii že bude odposloucháván a teprve na základě tohto souhlasu můžeme vydat logy ?
Píše se to v zákonu č. 127/2005 Sb. o elektornických komunikacích konkrétně §97 odstavec 2.
V případě odposlechu a záznamu zpráv
Policií České republiky podle zvláštních právních předpisů se v písemné žádosti uvádí číslo jednací, pod kterým je souhlas uživatele odposlouchávané stanice u Policie České republiky veden.
(10) Nelze-li dodržet formát, strukturu a název souboru stanovené v odstavcích 6 až 9 a v příloze k této vyhlášce, předá provozovatel po dohodě s oprávněným orgánem požadované údaje v jiném formátu a struktuře.
Takže ono s tím přesným dodržením formátu nebude tak horké jak Šumperk na všechny adresy spamuje
Jo a všiml si někdo této opravdu pikantní zvláštnosti? Odposlouchávaný čili "hacker" musí dát souhlas policii že bude odposloucháván a teprve na základě tohto souhlasu můžeme vydat logy ?
Píše se to v zákonu č. 127/2005 Sb. o elektornických komunikacích konkrétně §97 odstavec 2.
V případě odposlechu a záznamu zpráv
Policií České republiky podle zvláštních právních předpisů se v písemné žádosti uvádí číslo jednací, pod kterým je souhlas uživatele odposlouchávané stanice u Policie České republiky veden.
Naposledy upravil(a) soucez dne 29 Nov 2012 23:12, celkem upraveno 1 x.
0 x
Může mě někdo vysvětlit, jakej to logování má pak smysl, když hacker/sdíleč musí dát souhlas k tomu aby ho švestky šmírovaly?? Jako pochopil bych, že ke šmírování musí být souhlas soudu ale souhlas šmírovaného... To asi moc nevyšmírujou..
0 x
soucez píše:hapi píše:softflowd
netflow neni dostatečné, nepodporuje netflow v9 potažmo IPv6
Když v síti nemáš IPv6 nasazené tak přece nemusíš hledat něco s podporou IPv6.
Co má softflowd navíc oproti netflow? stačí pro naši současnou vyhlášku netflow nebo ne? co kdo pouíváte pro účely logování?
0 x
..:: DobraSit.cz ::..