by nejc | Maj 21, 2015 | Jernej Suhadolc, Tehnologija, Varnost
V Virtui IT, kjer delam, tudi sami razvijamo t. i. IoT (internet of things) rešitve, zato si domišljam, da vem približno kako se tega lotevajo tudi drugje.
Najprej par trditev:
– V razvoju naprav v raznih startup podjetjih, varnost ni prva misel ali prvi cilj razvojnega cikla produkta,
– VeÄina gadgetov uporablja zunanje cloud storitve za razliÄne namene, od pridobivanja podatkov, do obdelovanja vaÅ¡ih podatkov,
– VeÄina teh podjetij mora priti na trg izredno hitro, zato je ves fokus na samem delovanju naprav, skoraj niÄ Äasa ne more ostati za varnostne teste in podobno.
– Tudi Äe bi naprave varnostno intenzivno testirali, bi Å¡e vedno zelo verjetno pustili mnoge varnostne lukjne odprte. Celo podjetja, ki se ukvarjajo izkljuÄno z varnostnimi grožnjami, vÄasih ne morejo prepreÄit varnostnih lukenj v njihovih izdelkih.
Kaj želim povedati? Nikakor ne dajte naprav, kot so tado, Nest, in podobne v vaÅ¡e lokalno omrežje doma, Å¡e manj pa v službeno. Naredite poseben krak na vaÅ¡em usmerjevalniku in spustite ven promet le na internet. ÄŒe vaÅ¡ usmerjevanik takih konfiguracij ne podpira, kupite novega, stroÅ¡ek je zanemarljiv. ZaÄne se pri 40€. Posebej pazite, Äe imate IPv6.
Za manjÅ¡a podjetja in za doma priporoÄam Mikrotike, dobite jih tule: https://shop.virtua-it.si/mikrotik.html
by nejc | Nov 7, 2010 | Mikrotik, Tehnologija
Naslov se sliÅ¡i uÄeno, gre pa za to, da bi radi v LAN omrežju naÅ¡ega doma/službe, gledali vse programe T-2 IP televizije, ne da bi pri tem preveÄ ogrožali varnost naÅ¡ega omrežja.
Kot verjetno veste, T-2, pa tudi nekateri drugi ponudniki, v optiki ali VDSL kablu, ki ga dobite do doma, prenaÅ¡ajo najmanj tri omrežja: internet, televizijo in telefonijo. Zanimivo je, da niti niso posebej loÄena, razen da uporabljajo razliÄna IP obmoÄja (subnets), televizija pa se prenaÅ¡a v multicast naÄinu.
ObiÄajna postavitev Mikrotika v vaÅ¡em omrežju je verjetno taka, da lokalnim raÄunalnikom dodeljuje privatne IP naslove (temu prikljuÄku bomo rekli LAN), zunal pa z DHCP protokolom ali statiÄno pridobite en javni naslov (WAN). Kaj je treba torej narediti, da bi lahko denimo s programom kot je VNC predvajalnik, lahko gledali program na naslovu udp://@239.1.1.11:5000 (SLO 3 v tem primeru)?
Najprej nadgradite Mikrotik in preverite, da je tudi multicast paket v nadgradnji.
nato dodajte te ukaze:
/routing igmp-proxy interface add interface=WAN upstream=yes
/routing igmp-proxy interface add interface=LAN
ÄŒe imate pravilno skonfiguriran požarni zid – in ne dvomim, da ga imate, boste morali tja dodati naslednji ukaz:
/ip firewall filter add action=accept chain=input comment="Dovoli IGMP" disabled=no protocol=igmp
To je pa tudi vse. V VNC si naložite “play listo” s programi, pa uspeÅ¡no gledanje.
Morda Å¡e dve opozorili: Vsak TV kanal zavzame Å¡irino cca 4-5 Mbps. Ko prekljapljate med kanali, se zaradi narave Multicast protokola prejÅ¡nje povezave ne zapirajo prav takoj, zato kmalu konÄate pri recimo 10. vzporednih TV kanalih, ki letijo Äez vaÅ¡ bogi Mikotik. To ga bo skoraj gotovo uniÄilo (resetiralo).
Za lajÅ¡anje te težave sem poskusil “fast leave” nastavitev, ki naj bi takoj zapirala nerabljene kanale, vendar ni bilo nobene razlike. Opazil sem sicer precej zavrnjenih paketov v požarnem zidu, ki imajo morda kakÅ¡no vezo s tem, vendar naprej od tega nisem priÅ¡el. Äe ima kdo kaj veÄ podatkov, bom zelo vesel.
Â
by nejc | Jun 18, 2010 | Jernej Suhadolc, Mikrotik, Tehnologija
Danes smo skoraj zakljuÄili Äetrto izdajo Mikrotik treninga za MTCNA certifikat in je verjetno že Äas, da del teh predavanj povzamem na tem mestu.
Ker je tega kar nekaj, bom to naredil v nekaj postih, obljubim, da bodo vsaj za ta namen precej bol jpogosti. ZaÄeli bomo z osnovno higieno – konfiguracijo Mikrotika. Tu bomo nastavili naslednje kljuÄne komponente:
- Požarni zid,
- uro in Äasovno cono,
- beleženje kljuÄnih sistemskih dogodkov na “disk”,
- dostop iz znanih “administrativnih” omrežij,
- dostop s trkanjem na porte (znan tudi kot Knock zaÅ¡Äita)
V naslednjih postih bomo pogledali Å¡e:
- enostavnejÅ¡o impelmentacijo dodeljevanja pasovne Å¡irine uporabnikom s “Simple Queues”,
- kompleksnejÅ¡o klasifikacijo prometa z “Mangle” mehanizmom,
- Nastavitev “Queue Tree”, tako da imajo razliÄni protokoli razliÄne prioritete
Jutri bom na zakljuÄku teÄaja pokazal tudi eno od implementacij IPv6 požarnega zidu, ki sem jo podal v prejÅ¡njem postu. Glede na to, da je Å¡la zadeva nekoliko naprej, bomo morda ponovili vajo iz IPv6 in bom to tudi objavil.
Lotimo se torej osnovne konfiguracije Mikrotik usmerjevalnika:
Opravilo je zelo enostavno, spodnjo kodo le skopirajte v terminalno okno.
Pomembno: Skripta nastavi osnovno higieno usmerjevalnika, ne nastavi pa naslednjih parametrov:
- ne nastavi lokalnega naslova,
- ne nastavi zunanjega IP naslova ali dhcp/pppoe ali kakšenga drugega klienta
- ne nastavi NAT prevajanja
Razlog je preprost, obstaja preprosto preveÄ kombinacij.
Uspešno konfiguriranje!
# najprej uredimo beleženje sistemskih dogodkov
/system logging
# pobrišemo osnovno konfiguracijo
remove 0
remove 1
remove 2
remove 3
# popravimo velikost datotek, kamor beležimo dogodke in dodamo novo – persistentno –
# za firewall dogodke
action set 0 disk-lines=200
action set 1 disk-lines=200
action add target=disk disk-lines=200 name=FirewallHits
# dodamo zanimive dogodke, ki jih želimo beležit
add topics=critical action=disk
add topics=critical action=echo
add topics=error action=disk
add topics=warning action=disk
add topics=info,!firewall action=memory
add topics=firewall action=FirewallHits
# Äe imamo kakÅ¡en linux s syslog procesom, odkomentiramo tudi spodnje, pa seveda nastavimo pravi IP
# action set 3 remote=10.10.1.1:514 disabled=yes
# nastavimo Äas s Äasovnim strežnikom in Äasovno cono
/system ntp client
set enabled=yes mode=unicast primary-ntp=193.2.1.117 secondary-ntp=193.2.1.92
/system clock set time-zone-name=”Europe/Ljubljana”
# dodamo svojo interno mrežo na spisek dovoljenih naslovov
/ip firewall address-list
add address=192.168.0.0/24 comment=”interno” disabled=no list=safe
#dodamo pravila v pošarni zid
/ ip firewall filter
add chain=input protocol=tcp dst-port=2030 action=add-src-to-address-list address-list=knock \
address-list-timeout=15s comment=”” disabled=no
add chain=input protocol=tcp dst-port=4060 src-address-list=knock action= add-src-to-address-list \
address-list=safe address-list-timeout=15m comment=”” disabled=no
add chain=input connection-state=established action=accept comment=”Accept established connection packets” disabled=no
add chain=input connection-state=related action=accept comment=”Accept related connection packets” disabled=no
add chain=input connection-state=invalid action=drop comment=”Drop invalid packets” disabled=no
add chain=input src-address-list=safe action=accept comment=”Allow access to router from known network” disabled=no
add chain=input protocol=tcp psd=21,3s,3,1 action=drop comment=”detect and drop port scan connections” disabled=no
add chain=input protocol=tcp connection-limit=3,32 src-address-list=black_list action=tarpit \
comment=”suppress DoS attack” disabled=no
add chain=input protocol=tcp connection-limit=10,32 action= add-src-to-address-list \
address-list=black_list address-list-timeout=1d comment=”detect DoS attack” disabled=no
add chain=input protocol=icmp action=jump jump-target=ICMP comment=”jump to chain ICMP” disabled=no
add chain=input action=jump jump-target=services comment=”jump to chain services” disabled=no
add chain=input dst-address-type=broadcast action=accept comment=”Allow Broadcast Traffic” disabled=no
add chain=input action=log log-prefix=”Filter>” comment=”” disabled=no
add chain=input action=drop comment=”drop everything else” disabled=no
add chain=ICMP protocol=icmp icmp-options=0:0-255 limit=5,5 action=accept comment=”0:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:3 limit=5,5 action=accept comment=”3:3 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=3:4 limit=5,5 action=accept comment=”3:4 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=8:0-255 limit=5,5 action=accept comment=”8:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp icmp-options=11:0-255 limit=5,5 action=accept comment=”11:0 and limit for 5pac/s” disabled=no
add chain=ICMP protocol=icmp action=drop comment=”Drop everything else” disabled=no
add chain=services src-address-list=127.0.0.1 dst-address=127.0.0.1 action=accept comment=”accept localhost” disabled=no
add chain=services protocol=udp dst-port=20561 action=accept comment=”allow MACwinbox ” disabled=no
add chain=services protocol=tcp dst-port=2000 action=accept comment=”Bandwidth server” disabled=no
add chain=services protocol=udp dst-port=5678 action=accept comment=” MT Discovery Protocol” disabled=no
add chain=services protocol=tcp dst-port=161 action=accept comment=”allow SNMP” disabled=yes
add chain=services protocol=tcp dst-port=179 action=accept comment=”Allow BGP” disabled=yes
add chain=services protocol=udp dst-port=5000-5100 action=accept comment=”allow BGP” disabled=yes
add chain=services protocol=udp dst-port=123 action=accept comment=”Allow NTP” disabled=yes
add chain=services protocol=tcp dst-port=1723 action=accept comment=”Allow PPTP” disabled=yes
add chain=services protocol=gre action=accept comment=”allow PPTP and EoIP” disabled=yes
add chain=services protocol=tcp dst-port=53 action=accept comment=”allow DNS request” disabled=no
add chain=services protocol=udp dst-port=53 action=accept comment=”Allow DNS request” disabled=no
add chain=services protocol=udp dst-port=1900 action=accept comment=”UPnP” disabled=yes
add chain=services protocol=tcp dst-port=2828 action=accept comment=”UPnP” disabled=yes
add chain=services protocol=udp dst-port=67-68 action=accept comment=”allow DHCP” disabled=no
add chain=services protocol=tcp dst-port=8080 action=accept comment=”allow Web Proxy” disabled=yes
add chain=services protocol=ipencap action=accept comment=”allow IPIP” disabled=yes
add chain=services protocol=tcp dst-port=443 action=accept comment=”allow https for Hotspot” disabled=yes
add chain=services protocol=tcp dst-port=1080 action=accept comment=”allow Socks for Hotspot” disabled=yes
add chain=services protocol=udp dst-port=500 action=accept comment=”allow IPSec connections” disabled=yes
add chain=services protocol=ipsec-esp action=accept comment=”allow IPSec” disabled=yes
add chain=services protocol=ipsec-ah action=accept comment=”allow IPSec” disabled=yes
add chain=services protocol=udp dst-port=520-521 action=accept comment=”allow RIP” disabled=yes
add chain=services protocol=ospf action=accept comment=”allow OSPF” disabled=no
add chain=services action=return comment=”” disabled=no
blockquote>
by nejc | Avg 5, 2009 | Mikrotik, Tehnologija
Trenutno sem V Rigi, Latvija, na nekem predavanju, ki ga prireja Mikrotik, zelo zanimiv proizvajalec strojne in programske opreme za usmerjevalnike, ki na svojo sreÄo, ne nosi za sabo preveÄ bremen preteklosti.
Kakor koli, pogovor je danes nanesel na pasovno Å¡irino (v nadaljevanju kar hitrost povezave), ki nam jo ponudniki prodajajo. Težava je namreÄ v tem, da veÄina ponudnikov prodaja nekaj, Äesar pravzaprav nima. Kaj bi se recimo zgodilo, Äe bi se vsi T-2 uporabniki na primer zmenili, da bodo istoÄasno zagnali uTorrenta na vseh domaÄih maÅ¡inah? Prej bi jih pa priklopili direktno na T-2 switch, da ne bodo s tem sesuli svojih routerjev.
Za tak primer bi moral imeti ponudnik zagotovljeno hitrost na vseh poteh, ki bi bila seÅ¡tevek vseh hitrosti pri uporabnikih. Tega seveda nihÄe nima, pravzaprav bi bili že zelo sreÄni, Äe bi kdo imel vsaj tisoÄinko tega.
Ponudniki se sicer veÄinoma zavarujejo v svojih pogodbah, kjer nekje piÅ¡e, da je hitrost “best effort” ali da je navedena hitrost najveÄ ta in ta. Zelo redki povedo kakÅ¡na pa je minimalna hitrost, ki jo bi lahko uporabnik, Äe bo imel smolo, pri njih izkusil.
Temu bi se dalo izogniti s cenovnim modelom, ki bi bil sicer nekoliko bolj zapleten, sem pa prepriÄan, da bi se ga ljudje hitro navadili.
Å lo bi nekako takole: Hitrost povezave ne bi bila fiksna. DoloÄen krajÅ¡i Äas Tb bi bila zelo visoka, recimo 100Mbps, temu bi rekli lahko “burst”, hitrosti povezave pa Vb. Po tem Äasu (ob polni hitrosti) bi padla na neko bistveno manjÅ¡o hitrost, recimo ji Vmin. Tam bi ostala dokler bi seÅ¡tevek (integral) trenutnih hitrosti v drseÄem obdobju zadnjih Tb enot ne bi padel pod doloÄeno mejo Vcut*Tb. Z drugimi besedami, Äe bi uporabnik stalno kuril le Vcut internetne povezave, bi imel skozi konstantno hitrost. Vcut bi bila seveda bistveno nižja od sedanjih hitrosti ali Vb hitrosti.
To bi privedlo do bistveno kvalitetnejše izkušnje za uporabnike, ki internet uporabljajo za delo, ter nekoliko slabše izkušnje za tiste, ki ga uporabljajo za pretakanje vsebin, pa tudi za recimo backup na daljavo.
Paketi bi se razlikovali med seboj v glavnem po Tb parametru.
Seveda je tudi v tem modelu možno, da uporabniki vsi na enkrat zaÄno pretakati nekaj velikega in so zato vsi na Vb hitrosti. Zato bi bilo smiselno povedati tudi kakÅ¡en je standardni Äas, po katerem ob statistiÄnih predpostavkah pridemo do resniÄne Vb hitrosti. Dodatna komplikacija je pa Å¡e ta, da so verjetno pogoji za dostop do lokalnega omrežja drugaÄni kot recimo pogoji za dostop do mednarodnega. Zato bi bilo verjetno nujno ta razliÄna podroÄja loÄit in za vsakega doloÄit neko svojo ceno glede na prej predstavljene parametre. Iz tega pa bi se naredili komercialni paketi, ki bi zajemali vsa podroÄja s smiselnimi parametri za razliÄne tipe strank.
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_e.png?x-id=2092e3c0-7a95-4a6c-a134-dbb9f9ae8183)
by nejc | Avg 1, 2009 | Tehnologija
Danes bi moral pisati nek tekst, pa mi ni diÅ¡alo in sem zato delal vse drugo. Najprej sem oÄistil klimo (kul je, ker ima odtok za kondenz in lahko zato nanjo zlivaÅ¡ poljubne koliÄine vode – na hladilna rebra seveda, da s tem odplakneÅ¡ hrano za bakterije in drugo golazen, ki se tam notri redi), potem sem celo nekaj pospravljal, na koncu sem se pa lotil IPv6 protokola.
Vse skupaj je bilo posledica tega, da sem pred dnevi sreÄal Jana Žorža, ki se s tem poklicno ukvarja in ima celo spletno stran posveÄeno vpeljavi tega novega protokola (http://ipv6.go6.si).
- Moram reÄi, da se mi zdi, da bo s tem kar precejÅ¡nja drama. ÄŒeprav je protokol nedvomno precej naprednejÅ¡i, pa uvaja nekatere res dramatiÄne spremembe, ki bodo prinesle kar nekaj težav: Zadeva pravzaprav ni združljiva z IPv4, kar pomeni, da bomo leta in leta živeli z obema. Starega protokola enostavno ne bo mogoÄe opustiti, kar pomeni, da bo treba oskrbovati kar dva. Zelo nadležno. ÄŒlovek bi priÄakoval, da bo obstajal nek protokol za prevod med enim in drugim, pa tega enostavno ni. Je par poskusov pa nobenega pravega standarda.
- IPv6 veÄ ne potrebuje NAT, torej prevoda lokalnih naslovov v javne. SliÅ¡i se super, je pa kup težav na obzorju. Trenutno veÄina podjetij in domov “varuje” svoje raÄunalnike z usmerjevalniki, ki prevajajo njihove lokalne IP naslove v javne. Ko javni strežnik odgovori, ta usmerjevalnik ugotovi za katero povezavo gre in zopet nazaj prevede tokrat javni naslov v lokalnega. Finta je v tem, da Äe povezave ni, torej ni bila ustvarjena iz notranjega raÄunalnika, in zato usmerjevanik ne naredi niÄesar. To nas do neke mere varuje pred zunanjimi vdori. Seveda NAT ni varnostna tehnologija, je pa res, da v praksi za manjÅ¡e in manj varnostno obÄutljive uporabnike kar nekako deluje. ÄŒe tega kar naenkrat ne bo veÄ, bo vzdrževanje usmerjevalnikov v takih okoljih precej bolj problematiÄno. Upamo, da bodo vsaj cenejÅ¡i usmerjevalniki vsebovali neke privzete nastavitve, ki bodo po funkciji podobne NAT, torej da bo dovoljen promet navzven, notri pa v celoti prepovedan
- Ker naÅ¡i omiljeni ponudniki seveda Å¡e ne podpirajo IPv6, je komplikacija tudi s tem. ÄŒe se želite s tem igrati, je treba narediti tunel preko IPv4. Za to pa rabite ponudnika, ki ima na drugi strani strežnik, ki te tunele razkodira in vam tudi dodeli del novega naslovnega prostora, ki je milo reÄeno res ogromen. Osnovni prostor, ki vam ga bodo dodelili za vaÅ¡o, recimo domaÄo uporabo, bo bistveno veÄji od celotnega interneta, kot ga poznamo danes. Pojdite torej na (recimo) http://he.net/ in si naredite svoj raÄun. ÄŒe imate katerega od podprtih usmerjevalnikov, vam bodo zgenerirali celo skripto, s katero boste nastavili svoj usmerjevalnik za delo z IPv6. Jaz uporabljam Mikrotik – s tem res ni bilo nobenih težav.
Takole, prvo poglavje je zakljuÄeno, nastavil sem tudi osnovni požarni zid, bomo videli, kaj bo prineslo jutro.
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_e.png?x-id=d4c4c208-d8d0-43d2-80fe-4445aa31196d)