Musim souhlasit s valnou vetsinou lidi na tom, ze odposlouchavanim paketu se nic neresi.
Pokud mas takovou panickou hruzu z toho, ze nekdo dela neco nelegalne, tak takovy lidi do svyho nodu vubec nepoustej. Udelej si velmi omezujici firewall, zapni vsem sluzbam nejvyssi uroven logovani. Proc ale koukat, co lita vzduchem? Pokud ti jde o zahlcenou linku, tak si tam dej traffic shaping. Pokud ti jde o legalitu operaci, tak povolis pristup a vyuziti nodu pouze lidem, kterym duverujes. Tahkle jenom donutis ostatni, aby si poridili nejake cryptovane kanaly nekam jinam, a budes nahranej stejne.
Ja chapu, ze chces prosazovat legalitu, ale spehovat svoje uzivatele je rozhodne proti dobremu mravu, byt za dobrym ucelem. Cist cizi dopisy se nema, a to plati i pro maily. Jako spravce bys mel nastavit vsechny hesla tak, abys je sam nemohl precist. Tohle je snadne na serveru, ale u klientu posilajicich nezabezpecena data je muze byt problem. Uz to, ze nahodou narazis na cizi heslo, kdyz se prihlasuje na Direct Connect, aby si neco stahnul nelegalne, je spatne. To potom znas duvernou informaci, a muzes ji snadno zneuzit. Casem se treba neudrzis a podivas se, co dela ten clovek na netu...zjistis ze je to nekala existence...ale zacnes provadet nelegalni cinnost takzez.
Takze si udelej zabezpeceni, pristup si omez pouze na duveryhodne osoby, ale doopravdy prosim upust od cteni cizich dat. Jelikoz te stejne nepresvedcim, tak aspon s takovym jednanim musim vyjadrit nesouhlas
Ja uz na tohle nemam silu. Pouzivate stale ty same argumenty, jake uz jsem tady alespon 2x vysvetlil. Vsechno je to typu "a dokaz, ze jsem toho sousedovic psa nesnedl".
Jen bych na zaver upozornil, ze clovek ktery tady argumentuje svobodou, soukromim a mne vycita smirovani narovinu prizna, ze me tady ve foru sleduje
Ostatni kecy proste nechavam bez povsimnuti, protoze stredne inteligentni clovek si o nich udela obrazek sam (...viz treba "neni schopen priznat kazdemu..."). Lidi premyslejte o tom, co pisete. Musel bych byt hluchy a nemy abych neco nebyl schopen priznat. Ja to jsem schopen priznat, ale ne takovym lidem jako jste vy. To proste NECHCI a to je rozdil od NENI SCHOPEN.
Timto si vypinam sledovani tohoto fora a jiz nebudu reagovat na zadne prispevky. Pokud mate neco neodkladneho, prosim PM.
vetsinou to je bohuzel tak, ze lidi kteri jsou rozumni a chapou, nemaji potrebu se takhle nikde vylevat. Naopak lide kteri si nevidi pres spicku nosu jsou ochotni se hadat do roztrhani tela.
A že vás šmírují třeba mobilní operátoři, to vám nevadí?? Že celkem bezdůvodně archivují vaše SMSky ?? Zkuste si stěžovat
Jako správce svýho kousku sítě (skutečně vlastního), si budu dělat co uznám za vhodný a žádnej jůzr mi do toho nebude tlachat. A komu se to nelíbí, a? jde jinam.
__________________
This message was written by using recycled electrons.
Jediny problem, ktery tu vidim je, jestli gogoo provozuje svoji gw pod hlavickou Czfree.net a jestli tak ma tedy nejaky vliv na obraz projektu jako takoveho. To nas ovsem vraci asi k prozatim ne prilis uspokojive vyresene otazce co vlastne takova gateway/AP/janevimco ma splnovat aby mohla byt zarazena pod hlavicku czfree. Takhle by se mohlo stat to co se objevilo v zacatcich projektu a nekde jeste pretrvava - tj. nepravdive informace o fungovani site czfree. V tomto pripade se roznese drb, ze spravci AP kontroluji traffic, muzou cist vase hesla do posty ap - a nic na tom nezmeni fakt ze tohle muze udelat kdokoliv mezi vami a server ke kteremu se pripojujete at uz jste nebo nejste pripojeni pres czfree a vy nepouzivate zadne kryptovani.
Me osobne by monitorovani trafficu az zas tak nevadilo (asi hlavne proto ze to mam na starost v praci ), pokud to uzivatele vedi a je jim jasne co to vsechno obnasi. Mozna prave to, ze pak kvuli tomu zacnou pouzivat bezpecnejsi metody jak pristupovat na servry ci si chranit hesla bude pro ne jenom prinosem. Nekdo tu rikal neco o duvere v siti, coz plati podle me na obe strany. Pokud duverujes tomu kdo te pripojuje, veris ze nic z toho co by mohl ziskat z tvych dat nezneuzije. Pokud mu neveris, tak se k nemu proste nepripojis.
Takze pokud chce nekdo sledovat tok dat pres svoji gateway/bridge/AP/janevimco tak necht to dela, pokud o tom jasne srozumi vsechny, jejichz traffic pres jeho masinu jde. To jestli budou/jsou takove veci v ramci czfree vhodne by se ovsem melo v ramci sirsi diskuze radne probrat (myslim ze neni problem aby se spravci vsech funkcnich nodu konecne pokusili vytvorit nejaky kodex, ktery by se ovsem neporusoval stylem "co neni zakazano to je povoleno").
nebudu nic komentovat, jen to ze sem se tady docela pobavil.
Sice mne trvalo nez sem tech 54 stranek v buse detailne precetl, ale byla to psina.
Kte vecem nejaky poznamky:
Odchytavat pakety za ucelem analyzovani a archivace popr. poskytnuti treti strane je trestne a porusuje to kodex ktery musi administrator dodrzovat. Pravnicky paragrafy z hlavy nevim, ale uz to tu nekdo psal.
Loguje se bezne:
servrovy provoz a prenosovy provoz (ale ten se nemusi)´
admin kterej neloguje smtp,pop3,web pristup na svuj server, accounting, ssh, telnet, ftp a vsecko co tam bezi je u mne idiot.
logovat prenos z eth na eth muzes pokud ti ktomu da narizeni nadrizeny (majitel) firmy, stat policiie soud. Kazdopadne zase jenom hlavicky, pokud se nerekne jinak.
dalsi moznost je ze mas tak pomalou linku a ze potrebujes vedet co se tam deje. Ale zase jen HLAVICKY.
Kazdy normalni admin i user si pocita preneseny byty na eth, to je taky logovani, ale na to nebude nadavat nikdo, protoze kazdy chce vedet kolik to tece a slouzi to hlavne k pozdejsi diagnostice.
Momentalne generujeme grafy trafficu o: vsech eth, procaku, ramce, diskach, web serveru, ftp serveru, pop3 a smtp, taky teplotu chipsetu a procaku. Sou to moc pekny obrazky .)).
Nekdo, jako napr. ja ve firme, musi mit prehled o tom kolik se toho naserfuje a kdo kolik prenese. I toto z na detaily je taky dulezite pro lidi za routerem. Bezne se pocita preneseny pocet dat na eth po jednotlivych ip. Aby karel mohl zjebat Frantu ze moc sosa, nebo pak ztechto vysledku mohl admin udelat shapping. Ja v praci loguji i to kam ktera ip vleze, kolik toho stahle. Klasicky Squid (transparentni proxy). V praci je to normalni, ale na czfree nikdo nebude skoumat co ja delam.
Zaver. Pokud nekdo na node v czfree loguje prochazejici traffic z eth na eth tim zpusobem ze jenom nepocita data prenesena, popr na ip adresu, a loguje je tedy vsechny a dela o tom statistyky , nedejboze jeste analyzuje obsah dat v paketu, tak tedy
potes prdel...
Doporucuji se tomu nodu vyhnout, pokud to o nem verejne zpravce tvrdi. A doporucil bych aby kdyz se nekam pripojujete na nejaky nod si nechaly pisemne potvrdit bezpecnost node, tj od spravce prislusneho routeru jestli to dela a v jake mire.
Ja sam bych nepripojil do eth cloveka co loguje data co dou pres router. Do toho mu je uplny hofno.
My na kladne mame sit na HW switch a Edimax 7205AP viz veb a dokumentace. Vime toto, ze obyc user ktery je do site pichnuty na eth nedostane poaket ktery neni pro nej.
Kdyz je primo na HwAP jako klient , tak taky nedostane, pac ten AP se chova jako switch. Proste se neda poslouchat.
Ten kdo je na vlastni sitovce, tak pokud ma kartu v takz. promiskuitnim modu, tak ho proste upozornime a pak vyloucime z komunity. Lidi co scannujou sit, popr. Porty okamzite likvidujeme.
Mimochodem ,cela pater a vetsina klientu je pres hw AP a mame jenom jeden router. Takze vim ze se proste poslouchat neda.
Node kontrolujeme vizualne, jestli tam nepribil kabel, pokud je pruchozi node vsecko je narvany v krabici pod antenama a zavareny ). Jenom do toho vede napajeni.
Takze to shrnu:
Admin je jako knez. Musi dodrzova urcity kodex o zachovani soukromy a duvery vnej vlozene.
Na svy masine si loguj co chces, tedy mysli se tim sluzby.
Na routeru loguj NIC !!!. Muzes si akorat pocitat kilobitiky co ti kazda ip natoci. Do toho co tam tece je ti hovno.
Pokud mas inet router, tj Maskaradujes(pouzivas jednu ip za kterou je skovany obrovsky subnet). Loguj pouze hlavicky kdo kam kolik a skym si zasoulozil a jak to bylo krasny. Jesli u toho chces bejt a jeste ochutnavat tak ses uchyl !.
Ty hlavicky se delaji z bezpecnosti, normalka. Jak tu bylo psano. Nekdo tu posle email ze nekoho chce zabit a polici pujde na ip Natu. No a na natu reknes tahla ip se preze mne propojila a podala ten inzerat, ukazes v logu.
Jeste doporucuji archivovat takovyhle obsahly logy cca 6mesicu dozadu, nebo mesic. Nevim jak dlouho by se mnelo, ale myslim ze je to nekde v nejakym paragrafu napsany.
pokud nekdo analizuje tak na nej plati asi ta definice co byla nize popsana nekym jinym, musim se na ni rychle kouknout, jak sem to cetl na papire tak sem si tam nemohl kliknout )).
pokud servujete a neni to nebezpecny nema cenu nic zabezpecovat.
Tj: nikomu asi nebude vadit ze uchyl analizujici vase data zjisti ze vas zajima co davaji vecer v telce, popr ze stahujete nejaky driver.
Postu ctete zasadne pres https ! Nebo kdo pouziva pop tak jedine pops proste cryptovanou komunikaci. Kazda nova session ma jiny klic a analizovani klice je casove narocne, takze rozkodovani komunikace je takrka nemozne.
Obecne kazdy protokol ma nejakou jeji zabezpecenou variantu.
Pozn. SMTP komunikace mezi serverama je nechranena, tj. vas ISP vi presne jaky mejly vam chodeji . Ale to se prave vztahuje na onen kodex. Contactel taky urcite nearchivuje postu, tedy obsah, nebo jiny ISP.
Pokud pouzivate telnet, spatne, Pouzijte SSH.
Mnente pravidelne a casto hesla.
Zruste si na svejch wydlych NT ucet administrator, hlavne ty co maji XP home, nebo tak jinak. Je mraky masin co maji tento ucet bez hesla a pouzivaji novy acc, ktery maj paradoxne s heslem ).
Zabezpecte si masinu nejakym FW. Treba kerio personal fw, pro home ucely je zdarma. Je to dost dobry, poznate ze vas nekdo scannuje, popr. vypnete odpoved na ping, a hacker je vhaji, pac ani nepozna ze vam ten poc bezi.
FTP pokud to neni neco velmy privatniho taky lze kryptovat. Ale to uz musi spolupracovat admin ftp serveru aby treba podporoval sifrovani SSL/AUTH SSL. Viz treba Raiden FTPD.
O linuxu zamerne menluvim, protoze tam se tyto podpory daji nakompilovat do jadra atd...
Pokud sdilis data pres netbios, ses taky idiot, pac to fakt nedela rozumny clovek. ( ps: admin nodu , resp, casti subnetu, by mnel svym userum rict ze maji nasdileny cely disk bez hesla, a ze to lze precist. ) ono totiz pri rychlosti 400kb/s ti to nekdo precte za chvilku. A pak poupravi boot.ini a obyc user musi zase reinstalovat svoje widle.
Do prace a do siti s vysokou bezpecnosti se pripojuj jenom pres ipsec, VPNka , cryptovany tunely. popr. Terminal konekci. Vsechno je sifrovane a kdyz to nekdo posloucha, tak ztoho prd zjisti.
Obecne plati nasledujci pravidlo. Nic neni bezpecny. Muzes cekat boudu vsude. Nejbezpecnejsi je vytahnout kabel z pc. Zformatovat disk. Sesrotovat, a hodit do pece v poldovce treba. A pc vyhodit.
A to nemluvi o tom, ze kazdy el. zarizeni vyzaruje el. mag. vlneni, a ze treba uchylnej soused vedle v byte ma technologii na to aby to mohl analyzovat a prevadet na data.
Videl sem soft a technologii, ktera umy ze signalu co ti vede od mon do pc sestavit zpetne oraz co tam tekl. Tj. Uchylak sedi par metru od tebe, popr. ma u tebe stenici a vesele si nahrava vsecko co ti pres obrazovku lita. reseni: dokonale odstinena mistnost.
Uplne bezpecnost je nemit pc vubec. Telefon proste nic. A jeste lepe se prestehovat nekam do dzungle.
Pac ty se pohnes s mobilem a operator vi kde presne si. atd...
Tedy zaverem:
Kryptovat, mnenit hesla, nemluvit o tom s kamosema, pouzivat hesla ne ze slovniku tedy kombinace cisel pismen a ruznych velikosti. Popr sifrovaci klice.
Pak je to relativne bezpecne.
Ale software napsaly lidi. A nikdo nerika ze se najde nekdo chytrejsi kdo to dokaze rozlustit. TJ: viz DECSS a DVD ).
Ale muzu rict ze nektere takovete vychytavky se mne velmi libi .
MP3 , DivX atd...
Skusim zodpovedet i pripadne dalsi dotazy k bezpecnosti.
a ten kdo dela statistYky je zase idiot.
jsem rad jendo, ze jsi se v buse dobre bavil, i my jsme se dobre pobavili z tveho prispevku.
Mimochodem, mam taky iGW a neloguju. Budes se divit, ale jako idiot si nepripadam.
2Stay: taky jsi se nejak rozlitil. musim te upozornit, ze "tvuj nazor" opravdu znel, jako by jsi mluvil za vsechny. Ale za vsechny rozhodne nemluvis, protoze i ja se hlasim na stranu Gogooa. Viz muj prispevek na toto tema. Vim, ze je to svizelne tema, ale kazdopadne je to na nas vsech, ne jen na protipolech Gogoo a Stay_d. Na konci jeste neco podotknu.
Crab: dekuji za lichotku ohledne auticek... bohuzel bych rad pripomel, ze za svym nazorem si stojim. K tvemu prirovnani povolene vrazdy bych podotknul, ze je zakonem zakazana kvuli tomu, ze by te nekdo mohl donutit vydat souhlas a pak by byl beztrestny... dovedes si predstavit kolik by bylo unosu a kolik lidi by ho prezilo? Muj nazor na svobodnou smrt je ovsem jednoznacne ANO. Je mi lito, ze euthanasie je u nas nelegalni. To je povolena vrazda. Oboje je tak dvojsecne... proto je jednodussi to zakazat uplne. Proto taky vetsina odpurcu logovani radeji moralne odsoudi jakekoliv logovani.
Lidska prava: chtel bych upozornit, ze v teto listine se vyslovne pise, ze posta a telefonni spojeni jsou nasim pravem a nesmeji byt jakkoliv odposlouchavana. Kazdy telefonni operator nahrava vase telefony minimalne pro vyukove ucely, 112ka se nahrava, navic vas policie muze kdykoliv napichnout. Internet je medium jineho charakteru nez jakekoliv jine. Vsechny ostatni media siri informace k vam, zatimco na internetu si je musite VY aktivne najit. Kontrola, byt i detske pornografie je proti teto listine lidskych prav. V tomto smyslu nema cenu diskutovat o logovat ci nelogovat. Je to otazka lidskych hodnot. Kazdy je ma nastaveny jinak a diky bohu za to. Nekomu neni blby prefiknout kamosovi holku, nekomu je blby se na ni treba jen usmat. Gogoo je nekde uprostred. Kamosovu holku by asi neprefikl, ale urcite by si prohlidnul jeji nahaty fotky. To je samozrejme prirovnani.
Slibeny konec: Je mi lito Stay_d, ze jsi tak slepe zaniceny do principu CZFree - a nejen ty. Jsem Amigista, telem i dusi. Nase komunita byla presne takova, jakou si predstavujes CZFree. Aminet se uz pred deseti lety stal nejvetsi siti volneho softwaru na svete, ale nas nekomercni a slepe zaniceny pristup zpusobil pad tak fantastickeho stroje a operacniho systemu, ktery -svete div se- byl schopen v grafickem rezimu s okny a ikonami v roce 1985 pouzivani se CTVRT megem pameti navic sdilenym s grafikou a zvukovkou. Bezelo to s PREEMPTIVNIM multitaskingem na 7MHz a bylo to celkem svizny. A kde je Amiga ted? Kdysi velka hvezda na ktery se vyrabel napriklad StarTrek? Tvuj pristup CZFree moc nepomaha, protoze dnes musi byt vsechno legalni a pokud mozno komercni, jinak to velke firmy s dost penezma smazou ze zemskeho povrchu, tak jako nemotorne a hloupe PC zahladilo stopy po nejgenialnejsim stroji, co jsem kdy videl...
Je mi to moc lito, ale zivot me naucil prave tohle. Jedinej komunismus kterej opravdu funguje je tady v Cine. Tady jim to fakt slape jako hodinky, ale nikdo tu rozhodne neni free.
13.03.2003 v 23:57
Spřízněná duše
