zakazník už 3. den nonstop stahuje z Google, co?

[reset]

nikdy nerikej nikdy ,
inet lze taky vypnout , a neni to takovy problem , a mas po datech taky , takze klidek
venoval bych se ale necemu podstatnejsimu nezli je spickovani mezi sebou

[aliney]

...nikdy nerikej nikdy , inet lze taky vypnout , a neni to takovy problem...

[joker]

Resete, ale vzdyt tu zalohu cloudu (dropbox, boxnet, ...) mas na lokalnich kompech, ktere treba ja mam na ruznych lokacich a ona se sama synchronizuje s cloudem, takze to by mi museli ukrast vsechny pocitace z ruznych lokalit a pak vypnout Internet

Jak mate zalohovany ten NAS? Modem od avm umoznuje ted nevim zda primo sync anebo virtual disk skrze box.net/webdav

[Majklik]

Ehm, zrovna dropboxem bych se neoháněl, že mám 40 kopií po světě řízených dropoboxem, takže vždy něco budu mít... Už pár lidí zaplakalo, když byla proti ním použita funkce remote wipe všech kopií. Normálně je asi funkce dostupná v té business službě. Podobně, jak zmiňuješ "vypájčení" dat z Fritz krabiček, díky centrálnímu dohledu výrobce, v sousedním vlákně.

NASy dneska snad všechny podporují vzdálené ukládání do nějakého cloudu, takže i když mám jeden malý NAS, tak se pár kliky dá aktivovat, že chci vybraná data někam přenášet. Samozřejmě, pokud nemám rád cizí/výrobcův dohled, tak umí NASy svoji vzajemnou replikaci (řada těch slušnějším i real time).
Takže všechno jde, když se chce, jde jen o počet měnových jendotek.
Ale vždy jde o aplikace, které úspěšně otestují, co snese uplink. I když většinou ještě rozumně.
Jsou podstatně horší případy. Dělal jsem několik instalací, kde bezpečnostní analýza požadovala, že pro daný subjekt je už nežádoucí to, aby bylo vidět, zda probíhá mezi pobočkami komunikace přes VPNky nebo ne, takže se to řeší tak, že tunely jedou trvale na 100%. Když je co, tak přenáší se, když ne, tak se posílají nesmysly. Při pohledu zvenčí tunely trvale jedou na strop, přestože efektivně užitečných dat se přenáší kolikrát v řádu ppm. Taková pobočka teprve prověří, co snesou nervy a ne, že pár dní zálohuje domácí porno na Google disk, kde mu to po následné analýze smáznou.

[reset]

http://www.lupa.cz/clanky/servery-synology-obsahuji-bezpecnostni-chybu-jak-se-ji-lze-zbavit/

neni proste nad to postavit si vlastni uloziste na debianu

[Standa99]

Přesně tak, povolit pouze chtěné IP, podle GeoIP odpálit rusáky, číňany a jiné, Fail2banem hlídat počet špatných přihlášení na všechny služby atd.

[Majklik]

Neříkejte mi, že to Debian doma udělané řešení je bez chyby a vydrží celou životnost bez aktualizací. Uvedený článek je spíše plusem, protože Synology vydalo opravu cca 3 týdny před tím, než ten článeček vyšel (a registrovaným uživatelům došlo mailem upozornění/odkaz k ktualizaci "dávno").

[joker]

Majklik: muzes to upresnit? Kdyz zadny business nemam, tak ani wipe nemohu pouzit a dropbox tu je uz spoustu let...

Me po dotazu google nasel "how do i recover deleted files" v dropboxu

[Majklik]

Jak jsem psal, souástí dropboxu je funkce pro vzdálené mazání. Lidem je přístupná jen když mají Enterprise verzi služby. Pak, když dáš odebrat zařízení, tak je tam volba vymazat. Pokud mám udělán tým, tak ten, dko je onznačen jako admin týmu, ten může vymazat jedním příkazem věehna zařízení naráz.

[sub_zero]

mě spíše zajímá to umělé vytížení tunelů, když se nepoužívají Jak na to?
Mikrotik-Mikrotik, ASA-Mikrotik, ASA-Fortigate

Díky.

[joker]

Cisco? openvpn? A k cemu je to vlastne dobre? To byla NSA nebo kdo? Kdo ma pristup ke statistikam trafiku provozu tunelu vasich zakazniku?

[Majklik]

BSD. Krabice s BSD a lehce modifikovaným driverem pro gre žeroucí data přes tun, který dělá packing paketů tak, aby to vyrábělo na výstupu pakety konstantní délky konstantní rychlosti, kde když bylo co přenášet, tak se to tam cpalo a když ne, tak se cpe bordel z disku (sektorově čtený z náhodnýcvh míst vybíraných pomocí hardwarového náhodného generátoru). A to celé se obaluje pomocí IPsecu.

K čemu jsem psal, aby vnějším pohledme na VPN nešlo poznat, zda probíhá mezi konci komunikace nebo ne, běží pořád. Což u některých bylo podstatné. K VPN tunelu, když jde veřejným Internetem, se dostane každý, kdo je po cestě.
A šlo o propojení několika normálních komerčních organizací, žádné NSA. Jen zkrátka nechtějí, aby se dala dělat jendoduše analýza, že nějaká veřejně nastalá událost, vyvolá mezi nima komunikaci a kdy.

Na Mikrotiku jde asi něco podobného celkem udělat také. V podstatě udělám tunel, třeba EoIP/IPsec, pak nad něj potavím QT, kde oříznu rychlost odesílaných dat do tunelu, udělám dvě fronty s prioritami, vyšší dám užitečnému traficu a nižší tomu, co do toho budu generovat pomocí traffic generátoru jako hlušinu. Přičemž nejlépo do toho injektovat nějaký bordel s pakety náhodných délek, takže přes PCAP soubor. Proženu to skrz IP packing, aby z toho padaly pakety stejné délky (proto ten EoIP, protože packing funguje asi jen nad ethernet like zařízením). Jenom nevím, jak si sedne QT s packingem. Jiná možnost je použít TCP like tunel (openvpn nebo sstp) a tlačit to do něj dostatečně rychle i bez toho packingu v kombinaci s rozumně rozprostřeným bordelem paketů (možná nezabráním úplně některým typům analýz, ale znahodnění toku ucpaným Internetem to celkem znesnadní)?

[joker]

Jenze ja nevim jaka komunikace by to musela byt (video telco) aby vubec slo odlisit nejaky prenos od rezie, kdyz si poslu pres IM zpravu, tak to tezko generuje nejaky traffic... A kdo z komercnich organizaci ma pristup k routerum po ceste aby ty data mohl analyzovat?

Cteni nahodnych dat z disku, takze pokud nestaci /dev/random jako nahodna data tak to musi byt dost ostry treba armadni kartel na mezinarodni urovni nebo neco takoveho ?

Ot: a ty sifrovaci gsm telefony sagem a siemens take pouzivali ?

[Majklik]

Na tom disku, samozřejmě, nejsou náhodná data. Je tam uložena pochytaná reálná neškodná komunikace, která se přimíchává do té užitečné. Jen se používá náhodný generátor pro to, která část se zrovna přimíchává.
Asi něko předpokládá, že reálné šifrovací algoritmy aí jejich implementace nejsou dokonalé a dá se nad zašifrovanými daty dělat celá řada úvah, co je uvnitř, zda třeba zrovna nešifruji zcela náhodá dat anebo užitečnou komunikaci... Realita implementací reálných šifrovacích algoritnů je často jiná, než představy, jak by ideálně měly fungovat...