IT bezpečnost jako mrtvý obor

Ono se ne nadarmo rika, ze bezpecnost neni produkt, ale proces.
Takze integrace bezpecnostnich prvku do vseho je jedina schudna cesta.

Kdyz uz se mluvi o Schneierovi, tak tohle je docela dobre huste.

Když je řeč o Bruce Schneierovi, tak tohle je hustší. :-) A výběr mých oblíbených:

• Schneier has no diseases, but he isn't vaccinated. Injection doesn't work with him.
• Bruce Schneier taught his dog to do a secure handshake
• Deep Blue couldn't beat Kasparov until Schneier pwned it.
• Schneier knows if Reiser did it.
• Bruce Schneier uses a variation of the sha1 algorithm to drive his car, which is why he never has collisions.
• Bruce Schneier's first program was encrypt world.
• While boarding an aircraft, Bruce Schneier was "randomly" selected to be searched. Bruce responded by proving that the selection was predictably pseudo-random, and then he proved that he could only be searched in polynomial time.
• It's often misquoted, but when Bruce Schneier killed Julius Caesar for promoting weak cryptography he actually said, "Et tu, Bruce?"
• Bruce Schneier uses a different salt for his soup everyday.
• Alice and Bob met for the first time at Bruce Schneier's pool-party
• For a woman to be impregnated by Bruce Schneier, she must decrypt his sperm with a 128-bit blowjob.

administrator, ktery zavre sit a pusti jen tcp 80 pres proxy, patri na ulici a nema u pocitace|serveru|routeru co pohledavat

To prosím trošku rozveďte.
Děkuji.

zajimava teorie...

Mnohdy je to ale nezbytne. Jako student jsem si myslel to same. Jako admin si to uz nemyslim. Kdyz nejsou prostredky na poradny l7 filtr pripadne qosovani jistych sluzeb, pak kolikrat nezbyva nic jineho nez povolit jednom 80 a 443 pres proxy.

Jako admin jsem si to taky nemyslel. Dneska ale vim, ze je to v drtive vetsine pripadu ukazkovy alibismus administratoru (kteri maji navic ke vsemu uzivatele za poter), ktery ale svedci spise o tom, ze sve praci naprosto nerozumi. Tak at to proste ustrihnou od site uplne a budou mit pokoj.... A prostredky na filtr? Ehm. O jakych prostredcich se bavime? Jednak s drtivou vetsinou veci pomuze ISP a na dalsi veci nemusim mit sedmiciferne hracky.

Nemluv do veci, kterym evidentne nerozumis. Timhle stylem si muzes hrat ve sve domaci sitce. Uzivatel v typickem podnikovem prostredi nesmi s internetem komunikovat primo vubec. Standardne povolena pouze komunikace na http/https pouze pres proxy. Nic dalsiho v drtive vetsine na internetu nepotrebuje.

Podivej se do kalendare. Pise se rok 2008 nikoli 1988.

O tom co, potrebuji uzivatele rozhoduji uzivatele ve spolupraci s vedenim spolecnosti. Nikoli IT oddeleni! To je vec, co? To jsou novinky. Jak dlouho ti bude trvat, nez to tvoje hlava vezme.

Hloupy nazor, ale tvuj ze?! :))

Tak podle vas urcuje IT oddeleni co potrebuji uzivatele? Takovemu nazoru rikam hloupy.

Pokud nedokazete ochranit interni sit, aniz byste ustrihli uzivatele od Internetu, tak takovou praci poverim nekoho jineho.

jak si tedy predstavujes ochranu vnitrni site? to me tedy zajima. Rad se priucim, protoze nemohu garantovat zadnou bezpecnost, pokud je defaultni akce "permit" jak na siti tak na systemu.

Dobře dobře. A jakým způsobem to tedy děláte vy když jste tak chytrý? Nepopírám že to lze. Ale je to velmi velmi finančně náročné. Takto držkoval můj kamarád který si naivně myslel že k tomu všemu mu stačí stavový firewall a logování provozu. Po tom co si odsnifoval nadměrný provoz tak zjisti že si někdo z firmy celý den vesele používá skype. Pokud byste nějak zajistil aby si za spamující počítač šéfa případně manažerů sami zodpovídali tak prosím. U nás mají plný přístup jen IT školitelé,administrátoři a studenti ve vyučovacích hodinách(anžto to potřebují).

Ano, o tom co potrebuji uzivatele dostane IT pokyny z jinych mist. Ale pouze pro tyto uzivatele udela vyjimky. Obvyklym pozadavkem vedeni spolecnosti je zamezit brouzdani po pornostrankach, hrani her, stahovani a instalovani warezu apod.

Vhodnou ukazkou je pristup do vnejsi site na port 25 - povoleni odesilani posty pro vsechny si firma zadelava na rozesilani spamu a pritomnost na blacklistech.

Pravda je asi nekde uprostred - naproste vetsine uzivatelu staci provoz pres proxy na 80/443, pro ostatni se zavadi vyjimky.

pro radu lidi "staci" email, takze s takovam pristupem bych jim zakazal http uplne. Ono je to strasne jednoduche to vsechno zakazat a rict "mam problem vyresen". Jenze pak potrebujete nejakou sluzbu a cekate par hodin nez vam zavedou vyjimkou a v drtive vetsine pripadu vyjimka nedopadne napoprve, i kdyz administrator ticket uzavre. Pak se to vraci zpet na kontrolu vyjimky. Nehlede k tomu, že kazda takova vyjimka zvysuje s casem v celkove koncepci bezpecnostni riziko.

Kdo nakonec urcuje co potrebuji a nepotrebuji uzivatele? Takove restrikce jsou zname z 90. let, ale potradaji logiku (krome tedy ulehceni prace adminum). Navic brani rozsirovani dalsich sluzeb, ktere nejsou zalozene na HTTP resp. se pres HTTP musi slozite tunelovat. A ve vysledku to riziko paradoxne zvysuje.

Jiste. Ale pokud nemate komplexnejsi ochranne prostredky tak se vystavujete riziku. Ja si proste nemuzu dovolit pustit vsechno ven. Za chvili zacne pocitac spamovat okolni internet, nekdo zacne prehlcovat sit mnozstvim spojeni do p2p site. Firma neni internetovy provider. Firma ma poskytnout zamestnancum zazemi pro praci. Sestavim to co typicky zamestnanec muze potrebovat, doladim s IT manazerem a podle toho pustim nebo nepustim urcite sluzby. Kdo potrebuje neco navic toho obslouzim. Bezpecnostni model by nemel byt slozity jinak se v nem clovek za chvili nevyzna. Mam rad jednoduche a funkcni veci. Tou l7 filtr rozhodne neni. Takze nastavim pravidla ve firewallu co ten dany clovek potrebuje nebo nepotrebuje a hotovo. Pokud potrebuje plnou konektivitu tak loguju spojeni a podepise mi papir ze prebira zodpovednost.
Kecy typu proc omezovat uzivatele si nechte pro zdruzeni Naše země moře chce. Až budete mít v práci perfektně vyškolené a pracovité uživatele, kteří budou dělat za stejné platy jako teď tak mi přijďte říct a já se na ten světový unikát přijdu podívat. Pak se dá uvažovate o plné konektivitě.

uzivatele by teoreticky rozhodovat o tom co chteji delat v praci (napriklad cely den cumet na youtube) mohli pokud by meli dohromady dostatecny balik firemnich akcii a prehlasovali tak investory/majitele.

Dobře a jak by jste provedl zabezpečení v prostředí kde se používají 4 různé operační systémy? Jediné multiplatformí omezení které mě napadá je na úrovni IP protokolu.
ISP nepomůže s QoS jelikož na to nejsou peníze. L7 filtr u ISP zpravidla nenajdete jelikož krabička na tak velké datové toky je moc drahá věc. Navíc páteřní síť mezi budovami je naše takže tam si to musím ošefovat sám. Jsem omezen tím že pojítka zvládnou jenom 100Mbit. Rozpočet na IT je takový jaký je.

Podle me je bezpecnost buzzword, ktery se ted pouziva uplne vsude. Firmy jsou ochotny utratit neskutecny penize, kdyz se jim rekne ze zakazka nejak souvisi s bezpecnosti. Zaroven je bezpecnost casty argument kdyz neco nefunguje, nebo nejde neco zmenit, zjednodusit, ...