Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 











Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum

Jazyk
Výber jazykovej mutácie:



The time now is 19.03.2024 - 03:13


Nové VPR 1/2008 platné od 15.12.2008

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 2 of 3 < 123 >
Author Message
kiwi
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 31.12.2008 - 22:40 #72107
Guru


Joined: Jan 30, 2003
Posts: 1572

ano, riesenie funguje, uz ho ma aj krtko nasadene, ale este sme sa nedostali k nejakemu step-by-step, ale funguje to dobre, mame tam aj nejake skriptiky na vyhodnocovanie virusov, aj ked nie je to celkom vymakane, lebo prechadzame komplet na ostre IP, takze virusy ma prestanu vcelku zaujimat a pod

smc tigerswitch stoji v ageme 4750 korun, takze nevahajte


neviem ako to spravit, lebo pisat step-by-step sa nam nechce, takze pokial len par instalacii, tak vam to mozeme spravit na dialku, pokial dokazete spustit netinstall s remote ssh, tak za drobnu uplatu Smile

P.S. alebo si to mozete naklonovat od krtka Smile
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
gyro
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 12:45 #72115
Majster


Joined: Okt 22, 2003
Posts: 3321
Location: Banská Bystrica - Rudlová
eXplorer wrote: ›...Inac na cele toto riesenie netreba ziadny manazovatelny switch, da sa postavit (za par korun) tzv "passive ethernet tap" a sniffovat na nom, viac tu:
http://www.snort.org/docs/tap/ Pozor toto je 100Mbit verzia, pre 1Gbit verziu treba pripojit aj hnedy a modry par na prislusne piny. Funguje to rovnako ako mirror port a nestoji to skoro nic...


Fakt to funguje ? Shocked
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
bakula
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 13:41 #72122
Ucen


Joined: Okt 21, 2004
Posts: 792

No podla toho co som nasiel tak 100Mbit verzia funguje ale Gbit nie:

You cannot build a passive tap for Gigabit Ethernet. If you read the standard, you will see that all four pairs are used to transmit AND receive simultaneously. A DSP is used to subtract out the data you are sending (as well as cancel any crosstalk between pairs) to give you the received data for each pair. That's why gigabit Ethernet devices use so much power and cost more. There's a lot more happening inside the chip. If you don't know what is being sent from one side, you can't subtract the signals from one another. An unintentional built in security mechanism.

You can get a copy of the standard for free from the IEEE website. http://standards.ieee.org/getieee802/portfolio.html You want the base 802.3 standard, though it's not easy reading as it contains every version of Ethernet ever thought of from the original through gigabit.

Unpowered passive taps are asking for trouble and shouldn't be used on anything but very short links where you are OK with messing up the network. Having a "T" in the wiring causes significant loss to your network signal. Even if there is nothing on the "monitor port" of such a tap, Ethernet signals have high enough frequency components that the signal bounces back from the open at the end of the cable and then distorts the network signal by mixing with it. Look up the word "rf stub" for a more detailed explanation of this phenomenon.

Commercial taps use an analog or digital amplifier and circuitry designed to not load or disturb the impedance of the cable as it passes through the tap (at least the good ones do!). Gigabit taps need to interpose themselves between the two devices you are trying to tap. The tap links it's own Ethernet controller to each of the two network devices, decodes and duplicates the data and then re-encodes it back to an Ethernet signal.
 
 View user's profile Send private message  
Reply with quote Back to top
pixall
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 15:53 #72132
Majster


Joined: Okt 21, 2003
Posts: 4247

chlapci technicky je pekne co pisete, ale nezabudnite ze okrem potreby zabezpecit odpocuvanie (kde sa hovori o pouziti uradom schvaleneho zariadenia co mam dojem ze vsetci prehliadate) je tym istym povolenim tiez dana povinnost ochany osobnych udajov a sukromia, co je presne druha strana tej istej veci. tym ze sa budete snazit na zaklade vlastneho vykladu dodrzat povolenie vo veci logovania, mozete nielenze nevyhoviet poziadavke na odpocuvanie (pretoze nemate uradom schvalene zariadenie), ale naopak velmi lahko mozete porusit to iste povolenie vo veci ochrany sukromia..

osobne sa tiez nazdavam ze kedze drviva vacsina z nas vyuziva k pripojeniu sluzby inych vacsich providerov, ktori rovnako maju tuto povinnost, tak by malo byt mozne vyriesit tuto vec tym ze moju prevadzku pre ucely statnej kontrolu nahrava moj dodavatel (napriklad na zaklade mandatnej zmluvy) - pretoze on to aj tak bude musiet robit kedze som jeho zakaznik - a tak bude aj vlk nazraty aj koza cela..

a prosim prosim, kedze tu vidim nazory skor technikov nez pravnikov, uvedomte si ze odpocuvanie moze byt nielen vyuzite ale aj zneuzite, a cim vyssia korupcia v spolocnosti tym je zneuzitie pravdepodobnejsie... vdaka americkym antiteroristickym zakonom staci kohokolvek neprijemneho oznacit za teroristu a strati zakladne ludske prava a moze byt nielen neobmedzene odpocuvany ale tiez zadrzany a vazneny bez naroku na obhajcu a statny sud.. neprijemna sprava je ze europske smernice su ideovo kopiou tych americkych a aj toto vseobecne povolenie je sposob akym sa tieto veci dostavaju do nasej legislativy.. som nepriatelom nasilia a potlacania prav a slobod a preto hovorim ze netreba stracat hlavu a v takychto pripadoch najprv premyslat a potom konat, pretoze hranica medzi inicitivnym lokalnym providerom a nevedomym agentom udavacom v sluzbach kohokolvek moze byt velmi krehka..


Last edited by pixall on 01.01.2009 - 16:01; edited 1 time in total
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
eXplorer
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 16:01 #72133
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
bakula: Gigabit verziu som neskusal, 100Mbit funguje a uznavam ze je to tak trochu prasacina, no napad je to pekny Razz Treba si tiez uvedomit ze to sposobuje utlm a rusenie cim sa skrati max dlzka eth segemntu zo 100m na nizsiu hodnotu.

pixall: suhlasim s tebou, preto "odpocuvaniu mimozemskych civilizacii zdar !" a komunisti sa rovno mozu pripojit do projektu SETI vramci analyzy zozbieranych dat Laughing Budu proste odpocuvat hlusinu, vsak pravne vsetko dodrzim a som velmi zvedavy ako taky orgaaaaan bude kontrolovat co a ako mam zapojene Very Happy
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 16:05 #72134
Majster


Joined: Okt 21, 2003
Posts: 4247

eXplorer wrote: ›som velmi zvedavy ako taky orgaaaaan bude kontrolovat co a ako mam zapojene Very Happy


citujem vseobecne povolenie a zvyraznim v nom odpoved na tvoju otazku

Podnik je povinný zabezpečiť zariadenia na odpočúvanie a zaznamenávanie prevádzky v sieťach pre orgán štátu alebo orgán činný v trestnom konaní a jeho pripojenie do siete na náklady podniku; technickú špecifikáciu zariadenia na odpočúvanie schvaľuje úrad.

inymi slovami, kym urad neschvali technicku specifikaciu tvojho zariadenia, toto zariadenie je len nieco co mas zapojenie v sieti, nie je to zariadenie ktorym by si ako provider splnil poziadavku vseobecneho povolenia na odpocuvanie.


Last edited by pixall on 01.01.2009 - 16:08; edited 1 time in total
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
eXplorer
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 16:07 #72135
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
Technicku specifikaciu zariadenia urcuje urad, to je OK, ale technicku specifikaciu BODU PRIPOJENIA urad sice urcite moze, ale skontrolovat to je NEREALNE Very Happy nestaci totiz precitat nalepku na skatuli ako pri kontrole typu zariadenia ...
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 16:11 #72136
Majster


Joined: Okt 21, 2003
Posts: 4247

ja by som s tebou rad suhlasil, ale myslim ze bude lepsie oficialnou cestou si ziadat pravne zavazne stanovisko uradu ku konkretnym otazkam a neriesit to stylom kto si ci mysli. ked domigrujeme na euro (cca 5 dni) tak sa na to pozriem.

ak mate konkretne otazky k novemu VP ktore by mala zodpovedat opravnena osoba, dajte to sem alebo do PM.


Last edited by pixall on 01.01.2009 - 16:12; edited 1 time in total
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
cobain
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 16:12 #72137
Majster


Joined: Aug 31, 2005
Posts: 2295
Location: Hájske
tak by bolo dobre aby to kiwimu schvalili a on to nasledne predaval ako riesenie ?
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
pixall
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 16:21 #72139
Majster


Joined: Okt 21, 2003
Posts: 4247

cobain wrote: ›tak by bolo dobre aby to kiwimu schvalili a on to nasledne predaval ako riesenie ?


nie nebolo. podla mna by bolo dobre nech to schvalia energotelu, orangeu, zelezniciam, invitelu, GTSke, atd, a nas nech z toho vynechaju. ked som robil vo firme ktora robila s utajovanymi skutocnostami tak sme pre jeden projekt museli vyclenit cast budovy na ukladanie utajovanych informacii, malo to samostatny poplachovy system, niekolko bezpecnosntych dveri, kamery, blabla, len miestnost samotna vysla na nejaky milion. neboli tam ziadne tony utajovanych informacii, ale pre ucast na tom projekte sme museli mat taketo vybavenie. myslis si ze nahravky odpocuvanych hovorov mozu lezat volne v tvojej serverovni vedla masiny s freehostingom? ja nie. policajti ked maju utajovane slutocnosti, tak ich nemaju na beznom harddisku, ale na vyberatelnom disku, ktory ked sa pripoji, tak sa pocitac musi automaticky odpojit od pocitacovej siete. ale nerad by som o tom spekuloval lebo kolko ludi tolko nazorov, podstatne bude stanovisko uradu.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
bakula
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 16:54 #72140
Ucen


Joined: Okt 21, 2004
Posts: 792

pixall wrote: ›
nie nebolo. podla mna by bolo dobre nech to schvalia energotelu, orangeu, zelezniciam, invitelu, GTSke, atd, a nas nech z toho vynechaju.


No ale oni tieto udaje vedia policii poskytnut. Osvetlim ti ako to funguje v praxi (vlastna skusenost Smile ). Tvoj zakaznik spacha nejaku blbost (vyhrazny mail,detska poronografia, atd..) Policia dostane podnet na presetrenie tak kontaktuje spravcu webu alebo mailu. Ten poskytne policii presne datumy a casi kedy sa ten niekto pripajal a z akych IP adries (samozrejme verejnych). Policia zisti ze poskytovatel je energotel,orange atd... Poslu list na trebars energotel ze komu patria tie ip adresi. Pravnik energotelu napise list v zneni: Tieto ip adresi sme poskytli prevadzkovatelovi XY a ma ich v prenajme od ddmmyy. Ip adresi su pridelene staticky. No a teraz to zastane na tebe a ty musis povedat ze kto to bol a to ako vies logovat nedokaze asi nikto iny len ty...
 
 View user's profile Send private message  
Reply with quote Back to top
Express
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 17:08 #72142
Basic


Joined: Júl 04, 2007
Posts: 476

hej mate pravdu aj pixall aj bakula, tiez je pravda ze ked uz to mat byt tak aby to bolo bezpecne tak to nemozes mat niekde na povali, bolo by dobre to dat preverit pravnikom a ziskat stanovisko TU k celej veci. Mozem to dat pozriet pravnikovi a uvidime co na to povie, ale myslim ze tam bude tolko nedostatkov, ze nikto nebude vediet ako to vlastne ma byt a bude vela roznych vykladom celeho zakona.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 17:27 #72145
Majster


Joined: Okt 21, 2003
Posts: 4247

Express wrote: ›ze nikto nebude vediet ako to vlastne ma byt a bude vela roznych vykladom celeho zakona.


to je tak pri kazdom zakone. ked som sa oficialnou cestou dotazoval na vyklad generalneho zakona uvadzanie eura tak ministerstvo financii a ministerstvo hospodarstva ktorych sa to tyka, poskytli na niekolko otazok absolutne protichodne stanoviska. preto treba adresovat jasnu otazku spravnemu adresatovi, takou cestou aby bola odpoved pravne zavazna, tu odpoved si potom dobre odlozit a vediet sa nou ohanat ked niekto iny bude tvrdit nieco ine. aha tu to mam na papieri, splnil som to podla neho, dajte mi pokoj.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
pixall
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 17:52 #72146
Majster


Joined: Okt 21, 2003
Posts: 4247

bakula wrote: ›
No ale oni tieto udaje vedia policii poskytnut. Osvetlim ti ako to funguje v praxi (vlastna skusenost Smile ). Tvoj zakaznik spacha nejaku blbost (vyhrazny mail,detska poronografia, atd..) Policia dostane podnet na presetrenie tak kontaktuje spravcu webu alebo mailu. Ten poskytne policii presne datumy a casi kedy sa ten niekto pripajal a z akych IP adries (samozrejme verejnych). Policia zisti ze poskytovatel je energotel,orange atd... Poslu list na trebars energotel ze komu patria tie ip adresi. Pravnik energotelu napise list v zneni: Tieto ip adresi sme poskytli prevadzkovatelovi XY a ma ich v prenajme od ddmmyy. Ip adresi su pridelene staticky. No a teraz to zastane na tebe a ty musis povedat ze kto to bol a to ako vies logovat nedokaze asi nikto iny len ty...


ahoj, toto co riesis je trochu iny pripad (je to ukladanie prevadzkovych udajov na zaklade zakona 610/2003, nie odpocuvanie na zaklade VP 1/2008), uz sa to tu rozoberalo v inom threade. a tiez s tym mam prakticku skusenost. podla zakona mam evidovat (a niekde v inom threade som to presne citoval) datum, cas, IPadresu, a identifikaciu kleinta pripajajuceho sa k internetu, teda napriklad:
- od 1.1.2008 do neurcita, 10.10.10.23, jozko mrkvicka
- od 1.3.2005 do neurcita, 80.82.33.45, router nat (vlastna infrastruktura)
ulozil som vsetky udaje ktore zakon dava za povinnost ulozit. tieto udaje su v pripade ktory uvadzas, pre zistenie povodcu komunikacie, nepouzitelne. on ten zakon vobec nepocita s nejakym NATom na strane providera. moja povinnost vsak nie je riesit s cim zakon pocita a nepocita, ale mam ulozit tie veci ktore mi zakon ulozit uklada, a to som urobil.

kebyze nad ramec svojich povinnosti ulozim aj conntrack, jednak sa vystavujem riziku ze porusujem sukromie a dovernost prenasanych dat, a jednak tym nicomu nepomohol, lebo mailservre a webservre (pri ktorych zacala tvoja story) vacsinou remote port neukladaju, a ani to robit nemusia, kedze zakon jednoznacne hovori, ze treba ukladat datum cas a IPcku. takze ani z milionov ulozenych riadkov conntracku nemusi byt mozne dohladat, kto bol povodnom komunikacie. pomerne burlivu debatu som mal na tuto temu pred casom s kiwim, ktory logoval connteack, a teraz sa tu zmienil ze vsetci jeho klienti dostanu verejnu IPcku, zaujimalo by ma kde a preco nastal ten nazorovy posun Smile

ale aby sme to tu nemotali, mohli by sme ostat pri teme a tou je VP 1/2008 a v nom zakotvene odpocuvanie a ochrana sukromia (nie ukladanie prevadzkovych udajov ktore je dane 610/2003)
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
kiwi
Post subject: RE: Nové VPR 1/2008 platné od 15.12.2008  PostPosted: 01.01.2009 - 18:34 #72149
Guru


Joined: Jan 30, 2003
Posts: 1572

to pixal: verejne ip (staticke)

dovody:
1. kvalitativna zmena (50% vaha)

a) ak mi user vyhuli 300 portov na natovanej IP za sekundu, za x sekund prestane ist ostatnym userom ktori su natovani na tuto IP net (ani o tom nevies, hladas ufo v sieti, atd atd, neda sa to prakticky riesit)

b) ak niekto nejako okasle firewall a IP sa dostne do blacklistu kvoli spamu, trpia vsetci pod tou IP -> nebudem sa starat ze ktore servery a open-relays blokovat, resp. povolovat

c) rapid share a ine kraviny (user mi nebude volat, ze "niekto sa mi napichol na pocitac, lebo moja IP uz z RS stahovala")

d) bany na CS a inych serveroch

e) v pripade ddos utoku, linux klakne pri pokuse prekladat tych 100k pckts cez NAT

2. moznost zahodit nejaky hw (linux) = zvysenie spolahlivosti, menej elektriny a pod (25% vaha)

a) na sieti mi teoreticky postaci jeden L3 switch, cisco za 100k mi odroutuje vsetko in aj out, x milion pps (teoria)

b) kedze ten linux este budem potrebovat chvilku, tak ho tam budem mat, ale backupna trasa bude mimo tento linux, takze a)

3) marketing a "konkurencnost"(10%)

ten linux tam bude zatial nato, aby blockoval defaultne vsetky new connections zvonku, teda

a) user si moze dat ostru IP za par korun, nemam este presnu sumu, bude to par desiatok korun mesacne, a blokovanie incoming konekcii bude pre platiaceho odblokovane

b) neponuka to zatial nikto z mojich konkurentov za sumu do 100SK, a mat na svojom kompe webserver, moct si pozriet kameru zvonku, a ine veci spojene s ostrou IP, verim ze to moji useri ocenia

4. odstranenie potreby logovania konekcii a pod (10%)

naozaj ma nestoji to logovanie takmer nic, ale pride mi lahsie dat policii adresu ked sa ma opytaju ze kto ma tuto IP, ako vysvetlovat ze to je NAT a co to znamena, a ze to mozem v miliarde zaznamov kuknut atd atd

5. zarobim na tom nieco na kavu, pretoze prvotna investicia je asi tak 100k, dalsie roky rocne potom 1500 eur priblizne, takze 50SK (napr) x 200 users x 12mes = 120k

existuje teda nejaky dovod (okrem tych prvotnych 100k a 3 dni planovania migracie a zmien v dhcp) aby som to nespravil?

P.S. pri mensich sietach je ten poplatok rovnaky a menej ludi si to da, takze to asi bude robit trochu stratu
 
 View user's profile Send private message Send e-mail Visit poster's website ICQ Number 
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 2 of 3 < 123 >
Jump to:  

Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)