by nejc | Maj 21, 2015 | Jernej Suhadolc, Tehnologija, Varnost
V Virtui IT, kjer delam, tudi sami razvijamo t. i. IoT (internet of things) rešitve, zato si domišljam, da vem približno kako se tega lotevajo tudi drugje.
Najprej par trditev:
– V razvoju naprav v raznih startup podjetjih, varnost ni prva misel ali prvi cilj razvojnega cikla produkta,
– VeÄina gadgetov uporablja zunanje cloud storitve za razliÄne namene, od pridobivanja podatkov, do obdelovanja vaÅ¡ih podatkov,
– VeÄina teh podjetij mora priti na trg izredno hitro, zato je ves fokus na samem delovanju naprav, skoraj niÄ Äasa ne more ostati za varnostne teste in podobno.
– Tudi Äe bi naprave varnostno intenzivno testirali, bi Å¡e vedno zelo verjetno pustili mnoge varnostne lukjne odprte. Celo podjetja, ki se ukvarjajo izkljuÄno z varnostnimi grožnjami, vÄasih ne morejo prepreÄit varnostnih lukenj v njihovih izdelkih.
Kaj želim povedati? Nikakor ne dajte naprav, kot so tado, Nest, in podobne v vaÅ¡e lokalno omrežje doma, Å¡e manj pa v službeno. Naredite poseben krak na vaÅ¡em usmerjevalniku in spustite ven promet le na internet. ÄŒe vaÅ¡ usmerjevanik takih konfiguracij ne podpira, kupite novega, stroÅ¡ek je zanemarljiv. ZaÄne se pri 40€. Posebej pazite, Äe imate IPv6.
Za manjÅ¡a podjetja in za doma priporoÄam Mikrotike, dobite jih tule: https://shop.virtua-it.si/mikrotik.html
by nejc | Apr 2, 2015 | Jernej Suhadolc, Tehnologija
Takle mail sem prejel danes:
Oj Nejc!
PiÅ¡em ti, ker me nekaj zanima. Takrat ko sem kupila moj raÄunalnik/monitor so priÅ¡li zraven tudi windowsi8. Z njimi sem shajala do vÄeraj – v upanju da saj se bom navadila – ampak se ne bom in noÄem ker to je pa izven vseh kategorij potrpežljivosti, ki jih jaz premorem do softvera.
Skratka, ali imam kakšne možnosti od dobavitelja dobiti downgrade na verzijo windows 7?
Draga UrÅ¡a, delim tvoje mnenje, tudi jaz o tem dnevno razmiÅ¡ljam, ampak se mi enostavno ne da preformatirat (znova) raÄunalnika in zato vztrajam. Sem pa vmes doma zaÄel uporabljat Macintosha in mi je bistveno bolj vÅ¡eÄ, tako da mislim, da bo naslednji raÄunalnik tudi za službo kar Mac.
Nejc
by nejc | Avg 18, 2012 | Jernej Suhadolc
Pendolino (Photo credit: Mike Knell)
V ponedeljek sem Å¡el iz Kopra v Ljubljano in potem nazaj z vlakom. V službo za pokuÅ¡ino, ker smo bili Äez vikend z družino v Kopru in so moji ostali. Ob 5:30.
Vlak je bil sodoben ICS, mislim da Pendolino (mimogrede, po wikipediji gre Pendolino 250km/h http://sl.wikipedia.org/wiki/Pendolino). Tisti nagibni. A kaj pomaga, ko pa vozi ves Äas med 40 in 50 km/h. Na sreÄo je internet preko Si.mobila kar nekako delal, zato sem Å¡el na spletno stran Slovenskih železnic in tam naÅ¡el naslov nekaga piarovca. Brez jutranje kave sem mu napisal epoÅ¡to:
From: Jernej Suhadolc [mailto:[email protected]]
Sent: Monday, August 13, 2012 6:05 AM
To: Tancar Marko
Subject: Dve vprašanji
Pozdravljeni,
Ravno se peljem na vaÅ¡em vlaku iz Kopra v Ljubljano. Verjetno veste, da že dalj Äasa na vlaku ni bara, Äeprav zraven peljemo »gostinski vagon«. Moje vpraÅ¡anje je: Zakaj vsaj nekega avtomata s kavo in sendviÄi tja ne postavite?
Drugo vprašanje pa je: Kdaj mislite na vlake uvesti internet?
Hvala za odgovore,
Jernej Suhadolc
Čez pet dni je prišel odgovor:
On 17. avg. 2012, at 10:06, “Pritožbe in pohvale” <[email protected]> wrote:
Spoštovani gospod Jernej Suhadolc!
Zahvaljujemo se vam za sporoÄilo. Glede na Äas, ko ste nam pisali predvidevamo, da ste potovali z vlakom z oznako IC 32, ki je vozil v sestavi elektromotorne garniture, ki ima tudi bife (ne gostinskega vagona), a trenutno ne obratuje. Že pred Äasom smo se bili primorani sooÄiti s težavami izvajalca gostinske ponudbe, kar poslediÄno pomeni, da na vlaku trenutno ni gostinske ponudbe, ker pogodbeni partner ni mogel veÄ zagotavljati gostinskih storitev v takem obsegu kot smo priÄakovali. SŽ- PotniÅ¡ki promet d.o.o. si prizadeva, da bi v okviru možnosti v Äim krajÅ¡em Äasu poskrbeli za obnovitev gostinske ponudbe na vlakih, o Äemer boste potniki obveÅ¡Äeni.
V sodelovanju s podjetjem Mobitel so bile opravljene meritve signala na celotnem železniÅ¡kem obmoÄju Slovenskih železnic. Pokritost s signalom, ki omogoÄa dostop do interneta je predvsem v urbanih podroÄjih in ne na celotnem železniÅ¡kem obmoÄju kar poslediÄno pomeni, da potnikom ne bi omogoÄili kakovostne storitve na celotnem potovanju in bi bili izpadi signala preveÄ moteÄi. Sledimo razvojnim tehnologijam in se trudimo naÅ¡im uporabnikom nuditi Äim bolj kakovostno storitev, vendar žal to vedno ni mogoÄe.
V upanju, da boste še naprej potovali z našimi in vašimi vlaki vas lepo pozdravljamo,
__________________________________
Branka Bjeljac
Samostojni strokovni sodelavec
SŽ – PotniÅ¡ki promet, d.o.o.
Kolodvorska ulica 11, 1000 Ljubljana
Tel.: +386Â 1 29Â 12Â 540 ; 080 19 10
Fax: +386Â 1Â 29Â 12Â 751
www.slo-zeleznice.si
KakÅ¡ni carji so na teh železnicah – ti jim daÅ¡ smer in Äas, oni pa sami ugotovijo, na katerem vlaku si se peljal. Kako le to zmorejo? Pa fina je tista s težavami izvjalca gostinske ponudbe, s katerimi so se morali reveži sooÄiti. V tem hudem pomankanju kadrov na SŽ je res nujno najemati “samostojne strokovne sodelavce” (to valjda pomeni, da je pogodbeno, ker majo tako zelo veliko dela, da vseh 10 zaposlenih piarovcev ne zmore), in se ne najde ene same duÅ¡e, ki bi Å¡la tiste kave na vlak kuhat. Kdaj se bodo pa sooÄili s težavami vseh “strokovnih sodelavcev”, ki jih imajo tam na renti?
Zelo fajn tudi, da bomo potniki obveÅ¡Äeni. Kako pa? Bodo na vrata postaje v Ljubljani nalepili listiÄ?
Kakorkoli, poslal sem jim Å¡e tole razoÄarano pismo:
Pozdravljeni,
Hvala za odgovore, Å¡koda da image tako nizke ambicije.
Ste govorili tudi s Si.mobilom? PrepriÄan sem, da bi v zamenjavi za nekaj vaÅ¡ih lokacij za bazne postaje in uporabo nekaj optiÄnih vlaken, ki jih imate ob progah, z veseljem zagotovili tudi dovolj pokritosti za soliden umts signal.
Zgodbe z bifejem pa v luÄi Å¡tevila zaposlenih na železnici raje ne komentiram.
VaÅ¡emu vodstvu pa priporoÄam branje twitte @richardbranson, ustanovitelja podjetja Virgin, ki trenutno Å¡e upravlja s progo London – Manchester, je pa ravnokar zgubil razpis za naslednjih 15 let. Za pomoÄ se url do njegovega bloga http://www.virgin.com/richard-branson/
Niti smeÅ¡no ni veÄ primerjati njegove in vaÅ¡e ambicije.
Å koda.
Jernej Suhadolc
by nejc | Jun 8, 2011 | Jernej Suhadolc
Danes sem pobrisal vse neaktivne uporabnike na tem blogu, tehniÄne Älanke pa smo preselili na http://blog.virtua.si. Tam s sodelavci piÅ¡emo o tehnologiji, varnosti, IT reÅ¡itvah in podobnem, tako da ti Älanki bolj tja sodijo. Tule bom obÄasno Å¡e kaj objavil, bo pa gotovo bolj osebno. ZadnjiÄ sem zaÄel recimo pisati Älanek o tem, kakÅ¡na Å¡tala je ekonomija kot veda, pa ga potem raje nisem objavil, da ne bi bilo preveÄ ljudi užaljenih.
Toliko za zdaj, pridite Å¡e kaj.
by nejc | Okt 23, 2010 | Jernej Suhadolc, Tehnologija
naj najprej povem, da sem nad telefonom neznansko razoÄaran. Tule je utemeljitev:
- Osnovni firmware, ki ga dobite ob nakupu, je Äisti junk. Ne vem, ali je junk že android 2.1, sumim pa, da je težava v implementaciji nekih Äudnih Samsung dodatkov.
- LCD je sicer super v pokritih prostorih, se pa skoraj niÄ ne vidi na soncu.
- Telefon je smrtno nevaren, Äe kliÄete med tem ko vozite. To na sploh velja za vse telefone brez fiziÄne tipkovnice, za SGS pa Å¡e toliko bolj, ker na samo tipkovnico, po tem ko kliknete tipko za telefon, Äakate ene 10 sekund. Med tem seveda stalno pogledujete proti telefonu, kar ni prav niÄ varno, posebej, Äe ste na avtocesti. Potem pa seveda sledi Å¡e samo klicanje ali izbiranje iz imenika, kar je tudi izredno nevarno.
- Življenska doba baterije je Äista katastrofa. Ko sem ga dobil, sem ga najprej napolnil, nato vkljuÄil sinhronizacijo z exchange (kar je posebno sranje vredno svojega prispevka), prižgal WiFi in Bluetooth – to se je zgodilo ob cca 8:30 zjutraj, nato pa se delal, da imam službeni telefon. Ob 13h je že crknil. Po vseh mahinacijah z beta firmware-i sem priÅ¡el do tega, da je delal nekako do 15:30.
No, Äe se kdo po vsem tem Å¡e želi ukvarjati s SGS, je tule par linkov za (beta) firmware. Samsunk sicer pravi, ga je zadnji, ki je oznaÄen z JPM na koncu, že pravi, ampak jim ne verjamem.
by nejc | Jun 18, 2010 | Jernej Suhadolc, Mikrotik, Tehnologija
Danes smo skoraj zakljuÄili Äetrto izdajo Mikrotik treninga za MTCNA certifikat in je verjetno že Äas, da del teh predavanj povzamem na tem mestu.
Ker je tega kar nekaj, bom to naredil v nekaj postih, obljubim, da bodo vsaj za ta namen precej bol jpogosti. ZaÄeli bomo z osnovno higieno – konfiguracijo Mikrotika. Tu bomo nastavili naslednje kljuÄne komponente:
- Požarni zid,
- uro in Äasovno cono,
- beleženje kljuÄnih sistemskih dogodkov na “disk”,
- dostop iz znanih “administrativnih” omrežij,
- dostop s trkanjem na porte (znan tudi kot Knock zaÅ¡Äita)
V naslednjih postih bomo pogledali Å¡e:
- enostavnejÅ¡o impelmentacijo dodeljevanja pasovne Å¡irine uporabnikom s “Simple Queues”,
- kompleksnejÅ¡o klasifikacijo prometa z “Mangle” mehanizmom,
- Nastavitev “Queue Tree”, tako da imajo razliÄni protokoli razliÄne prioritete
Jutri bom na zakljuÄku teÄaja pokazal tudi eno od implementacij IPv6 požarnega zidu, ki sem jo podal v prejÅ¡njem postu. Glede na to, da je Å¡la zadeva nekoliko naprej, bomo morda ponovili vajo iz IPv6 in bom to tudi objavil.
Lotimo se torej osnovne konfiguracije Mikrotik usmerjevalnika:
Opravilo je zelo enostavno, spodnjo kodo le skopirajte v terminalno okno.
Pomembno: Skripta nastavi osnovno higieno usmerjevalnika, ne nastavi pa naslednjih parametrov:
- ne nastavi lokalnega naslova,
- ne nastavi zunanjega IP naslova ali dhcp/pppoe ali kakšenga drugega klienta
- ne nastavi NAT prevajanja
Razlog je preprost, obstaja preprosto preveÄ kombinacij.
Uspešno konfiguriranje!
# najprej uredimo beleženje sistemskih dogodkov
/system logging
# pobrišemo osnovno konfiguracijo
remove 0
remove 1
remove 2
remove 3
# popravimo velikost datotek, kamor beležimo dogodke in dodamo novo – persistentno –
# za firewall dogodke
action set 0 disk-lines=200
action set 1 disk-lines=200
action add target=disk disk-lines=200 name=FirewallHits
# dodamo zanimive dogodke, ki jih želimo beležit
add topics=critical action=disk
add topics=critical action=echo
add topics=error action=disk
add topics=warning action=disk
add topics=info,!firewall action=memory
add topics=firewall action=FirewallHits
# Äe imamo kakÅ¡en linux s syslog procesom, odkomentiramo tudi spodnje, pa seveda nastavimo pravi IP
# action set 3 remote=10.10.1.1:514 disabled=yes
# nastavimo Äas s Äasovnim strežnikom in Äasovno cono
/system ntp client
set enabled=yes mode=unicast primary-ntp=193.2.1.117 secondary-ntp=193.2.1.92
/system clock set time-zone-name=”Europe/Ljubljana”
# dodamo svojo interno mrežo na spisek dovoljenih naslovov
/ip firewall address-list
add address=192.168.0.0/24 comment=”interno” disabled=no list=safe
#dodamo pravila v pošarni zid
/ ip firewall filter
add chain=input protocol=tcp dst-port=2030 action=add-src-to-address-list address-list=knock \
address-list-timeout=15s comment=”” disabled=no
add chain=input protocol=tcp dst-port=4060 src-address-list=knock action= add-src-to-address-list \
address-list=safe address-list-timeout=15m comment=”” disabled=no
add chain=input connection-state=established action=accept comment=”Accept established connection packets” disabled=no
add chain=input connection-state=related action=accept comment=”Accept related connection packets” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop invalid packets” disabled=no
add chain=input src-address-list=safe action=accept comment=”Allow access to router from known network” disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”detect and drop port scan connections” disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit \
comment=”suppress DoS attack” disabled=no
add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list \
address-list=black_list address-list-timeout=1d comment=”detect DoS attack” disabled=no
add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump to chain ICMP” disabled=no
add chain=input action=jump jump-target=services comment=”jump to chain services” disabled=no
add chain=input dst-address-type=broadcast action=accept comment=”Allow Broadcast Traffic” disabled=no
add chain=input action=log log-prefix=”Filter>” comment=”” disabled=no
add chain=input action=drop comment=”drop everything else” disabled=no
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment=”0:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment=”3:3 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=”3:4 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=”8:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=”11:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp action=drop comment=”Drop everything else” disabled=no
add chain=services src-address-list=127.0.0.1 dst-address=127.0.0.1 action=accept comment=”accept localhost” disabled=no
add chain=services protocol=udp dst-port=20561 action=accept comment=”allow MACwinbox ” disabled=no
add chain=services protocol=tcp dst-port=2000 action=accept comment=”Bandwidth server” disabled=no
add chain=services protocol=udp dst-port=5678 action=accept comment=” MT Discovery Protocol” disabled=no
add chain=services protocol=tcp dst-port=161 action=accept comment=”allow SNMP” disabled=yes
add chain=services protocol=tcp dst-port=179 action=accept comment=”Allow BGP” disabled=yes
add chain=services protocol=udp dst-port=5000-5100 action=accept comment=”allow BGP” disabled=yes
add chain=services protocol=udp dst-port=123 action=accept comment=”Allow NTP” disabled=yes
add chain=services protocol=tcp dst-port=1723 action=accept comment=”Allow PPTP” disabled=yes
add chain=services protocol=gre action=accept comment=”allow PPTP and EoIP” disabled=yes
add chain=services protocol=tcp dst-port=53 action=accept comment=”allow DNS request” disabled=no
add chain=services protocol=udp dst-port=53 action=accept comment=”Allow DNS request” disabled=no
add chain=services protocol=udp dst-port=1900 action=accept comment=”UPnP” disabled=yes
add chain=services protocol=tcp dst-port=2828 action=accept comment=”UPnP” disabled=yes
add chain=services protocol=udp dst-port=67-68 action=accept comment=”allow DHCP” disabled=no
add chain=services protocol=tcp dst-port=8080 action=accept comment=”allow Web Proxy” disabled=yes
add chain=services protocol=ipencap action=accept comment=”allow IPIP” disabled=yes
add chain=services protocol=tcp dst-port=443 action=accept comment=”allow https for Hotspot” disabled=yes
add chain=services protocol=tcp dst-port=1080 action=accept comment=”allow Socks for Hotspot” disabled=yes
add chain=services protocol=udp dst-port=500 action=accept comment=”allow IPSec connections” disabled=yes
add chain=services protocol=ipsec-esp action=accept comment=”allow IPSec” disabled=yes
add chain=services protocol=ipsec-ah action=accept comment=”allow IPSec” disabled=yes
add chain=services protocol=udp dst-port=520-521 action=accept comment=”allow RIP” disabled=yes
add chain=services protocol=ospf action=accept comment=”allow OSPF” disabled=no
add chain=services action=return comment=”” disabled=no
blockquote>
