Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
casa verde 2024

Intrerupator cu N - doza doar cu ...

Incalzire casa fara gaz/lemne

Incalzire in pardoseala etapizata
 Suprataxa card energie?!

Cum era nivelul de trai cam din a...

probleme cu ochelarii

Impozite pe proprietati de anul v...
 teava rezistenta panou apa calda

Acces in Curte din Drum National

Sub mobila de bucatarie si sub fr...

Rezultat RMN
 Numar circuite IPAT si prindere t...

Pareri brgimportchina.ro - teapa ...

Lucruri inaintea vremurilor lor

Discuții despre TVR Sport HD.
 

Retea nesecurizata persoane juridice.

- - - - -
  • Please log in to reply
16 replies to this topic

#1
dagobar

dagobar

    Active Member

  • Grup: Members
  • Posts: 1,277
  • Înscris: 09.03.2019
Salut all

In ultimul timp am intalnit la multe firme urmatoarea situatie:
Au de obicei mai multe routere/AP wifi configurate pe WPA2 Personal adica acces pe baza unei simple parole.
In cel mai bun caz fiecare router/AP wifi are o parola diferita insa de obicei toate au aceiasi parola pe care o stiu toti angajatii, inclusiv fostii angajati, parola pe care o mai folosesc si musafirii temporari, precum si alti angajati de la alte firme din zona care afla de obicei parola de la angajatii firmei care ies afara la tigara si socializeaza... pe scurt in zona respectiva cam toti stiu parola de acces.
Chiar daca majoritatea se folosesc de acesta parola pentru a avea acces gratuit la Internet, implicit au acces si la reteaua interna a firmei respective... da poate ati ghicit nu au VLAN-uri...
Daca la porturile LAN macar ai nevoie de acces fizic in interiorul firmei pe cele wifi le poti accesa chiar si din cladirea invecinata...
Chiar daca am discutat cu "factorii de decizie" nu s-a luat nici o masura... ba mai mult... in unele locuri sunt chiar deranjati de o astfel de discutie...

Pe unde lucrati voi sau daca furnizati servicii de outsourcing IT&C ati vazut situatii similare... este un trend... ?

#2
britneysbitch

britneysbitch

    Active Member

  • Grup: Members
  • Posts: 1,295
  • Înscris: 06.01.2012

Quote

in unele locuri sunt chiar deranjati de o astfel de discutie...

Dacă firma este ceva gen import piese auto sau comerț cu amănuntul, nu văd de ce ar investi mii de lei într-un IT-ist care să le facă sisteme avansate de mitigare a pericolelor. Oricum nu găsești nimic de valoare în rețeaua lor.

#3
adythekiller

adythekiller

    Member

  • Grup: Members
  • Posts: 580
  • Înscris: 25.04.2010
Eu acum mai multi ani (5-6) am vazut spital cu retea wireless nesecurizata, cand zic nesecurizata ma refer AP fara parola, probabil lasat asa pentru angajati sau pacienti.
In reteaua respectiva, computerele aveau shareuri libere cu bazele de date specifice unui spital. Desigur ca nu le-am accesat din principiu si pentru ca ar fi fost ilegal, dar asta ca sa va dati seama la cel nivel de incompetenta sunt unii administratori de retea.

Am vorbit la momentul respectiv cu managerul pe care il cunosteam din copilarie dar nu stiu ce masuri au luat, n-am mai verificat de atunci pentru ca m-am mutat din localitatea respectiva.

#4
eiffel

eiffel

    BusyWorm

  • Grup: Moderators
  • Posts: 68,364
  • Înscris: 15.06.2004
N-au auzit de retea guest ?

Cu VLAN-ul e un pic mai complicat - majoritatea folosesc routere ordinare, nu business, care nu prea au asa ceva in setari.
Poate doar sa le pui un switch cu VLAN inainte...

Dar ma ideparte cred ca au ceva securizat - adica poti vedea reteaua interna sa zicem da rn-ai cum sa accesezi calculatoare sau servere - ca si alea ar trebui sa fie parolate.

#5
dagobar

dagobar

    Active Member

  • Grup: Members
  • Posts: 1,277
  • Înscris: 09.03.2019
@britneysbitch
Nu stiu daca activitatile mentionate de tine fac inutila securitatea informatica...

@adythekiller
Eu am fost anul trecut la spitalul de urgenta Floreasca din Bucuresti cu un amic motociclist care cazuse cu motocicleta.
Cat am asteptat (era coada) la demisol pentru o prima evaluare am observat ca erau disponibile numai acolo 3 retele wifi, fiecare cu WPA2 Personal adica cu o singura parola fara username, ulterior am fost trimisi la radiografie unde iar am asteptat la coada in zona respectiva alte retele wifi tot WPA2 Personal... pana si echipamentul de facut radiografii era computerizat (cat am asteptat acolo a rugat o persoana sa-i dea copia radiografiei pe CD).
Orice ciumparliu poate veni cu o poveste lacrimogena + 100 RON mita si probabil se va gasii cineva din personalul TESA care sa-i dea parola de acces pe motiv ca ar avea nevoie de Internet si nu are semnal GSM...
In plus parolele WPA2 personal pana la un anumit grad de dificultate pot fi sparte chiar si brute force...

@eiffel
Unii au auzit de retea guest si uite cum au implementat-o Posted Image
Au luat un router wifi a carei nume de retea wifi au denumit-o Guest, au setat routerul in mod AP si l-au conectat cu cablu LAN in primul router wifi care are si conexiunea de Internet... simplu nu ? Posted Image

Edited by dagobar, 08 December 2020 - 11:45.


#6
eiffel

eiffel

    BusyWorm

  • Grup: Moderators
  • Posts: 68,364
  • Înscris: 15.06.2004
Pai la solutia cu 2 routere ar trebui sa le dea cu virgula daca n-au dezactivat DHCP-ul.
In rest cu astea home nu prea ai alte posibilitati.
Am incercat candva si eu sa vad daca merge sa pun un router cu DHCP in alta plaja de IP-uri decat reteaua normala, dar tot o putea accesa. Am incercat si AP isolation care apare pe unele routere. Nici cu aia nu a mers - nu se vedeau intre ele dar vedeau reteaua interna.

Singurele solutii raman - retea Guest ptr clienti si VLAN.
Asta cu Guest e posibila cum si pe routere home, deci e simplu de facut.

#7
dagobar

dagobar

    Active Member

  • Grup: Members
  • Posts: 1,277
  • Înscris: 09.03.2019
Ce parere ai de varianta cu cont individual (username & password) in combinatie cu RADIUS ?
Oricum si din RADIUS se poate configura VLAN-ul, clasa IP, e.t.c.
In felul acesta cand pleaca un angajat ii stergi contul.
Daca posesorul contului da mai departe username & password catre alte persoane stii pe cine tragi la raspundere...

#8
EmeraldCountryHouse

EmeraldCountryHouse

    Member

  • Grup: Members
  • Posts: 999
  • Înscris: 31.03.2018
WPA Personal este destul de popular zilele astea.Solutia de adugat securitatea este VLAN-ul si/sau "guest wifi zone".

Sa zici ca vrei WPA Enterpise cu Radius si cu certificate...well,va trebui sa imi dai un cec in alb sa iti fac architectura , altul pentru al implementa si apoi sa ma platesti serios de fiecare data ma suni noaptea ca nu merge net-ul.

Ce m-a zguduit de mai sus este faptul ca unii "business owners" fie private sau publici sunt indiferenti cand discuti despre securitatea interna dar sunt paranoici despre alte chestii minore.
Eu cand am de a face cu asa ceva fie fac cum stiu eu pe banul lor ...fie...refuz sa mai am de a face cu respectivii.

#9
dagobar

dagobar

    Active Member

  • Grup: Members
  • Posts: 1,277
  • Înscris: 09.03.2019
Este simplu sa imparti reteaua in 2 VLAN-uri, unul cu LAN firma in care sunt routere/AP wifi cu acces si alt VLAN separat numai pentru guest in care sa aiba acces numai la Internet fara acces la VLAN firma.
Insa apar 2 probleme:

1. Cum toate routerele/AP wifi care dau acces la VLAN firma au o singura parola sau fiecare propria parola, aceasta parola/parole trebuie sa le dai la angajati ca sa poata sa foloseasca reteaua de firma. In timp angajatii care pleaca din firma pleaca si cu parola, iar cei noi care vin trebuie sa stie parola ca sa aiba acces. Cand angajatii ies la tigara socializeaza cu altii si pot furniza aceasta parola si la altii. Pe scurt in timp numarul celor care cunosc aceasta parola creste obligatoriu.
Mai rau daca apare o problema nu poti sa identifici cine este responsabil din moment ce toti se conecteaza cu aceiasi parola.

2. Exista si un revers la Guest care are acces numai la Internet fara retea firma.
- De obicei esti nevoit sa functionezi cu aceasta retea in 2,4 Ghz ca sa ai compatibilitate cu unele vechituri. Daca nu faci acest lucru o sa te trezesti cu apeluri "nu pot sa ma conectez" "nu se vede reteaua"...
- Odata configurat routerul/AP wifi in 2,4 Ghz trebuie limitat accesul la maxim 15-20 clienti wifi per router/AP wifi... altfel iar vin apeluri... "nu merge" sau merge incet" sau "se deconecteaza"...
- De cele mai multe ori "factorii de decizie" nu vor sa aiba mai multe routere/AP wifi pentru guest pe principiul dai dracu' ca le ajunge...
- Cum parola guest o afla toti foarte usor (pe principiul o ceri si o primesti) se pot conecta pe blat la acest guest alte persoane din zona care nu sunt nicidecum musafiri... aici intra angajati la alte firme, vecini, e.t.c. Iar acestia cum nu stau doar temporar in zona respectiva raman conectati mai mult timp mai ales in orele de program.
- Asa ca cele 15-20 sloturi se ocupa destul de repede si se ajunge uneori la situatia ca lui clientul x (mare smecher) a trebuit sa-i dam parola la reteaua wifi de firma, pentru ca pe guest nu se putea conecta (acesta fiind deja full). In timp acest comportament se extinde pe principiul routerul/AP guest este prost ca nu putem sa ne conectam la el (nestiind ca este deja full) si in timp se mareste numarul celor de la pct.1

Am incercat si abordare cu limitare per MAC address direct din router/AP wifi... varianta preferata de clienti pentru ca este ieftina...
Ne-am trezit ca unii clienti wifi isi schimbau in mod dinamic MAC addresul la intervale de timp necunoscute... am patit treaba asta cu mai multe modele de Android... care aratau ca niste caramizi cu ecran mic... probabil imprumutate de la muzeu... insa cum clientul este stapanul a trebuit sa renuntam la aceasta metoda din cauza unor astfel de dispozitive. Oricum nici eu nu am insistat avand in vedere cat de usor se poate falsifica un MAC addres...

#10
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,226
  • Înscris: 08.10.2015
Nu apare nici o problema. Sa fim seriosi exista o mica chesrie finuta, draguta si mult iubita de angajati... se numeste ROI  care specifica unele chestii la fel de dragute ca si mentionatul document. Printre care si faptul ca parola X de la chestia Y _NU_ se ofera nimanui in afara de angajati. Iar angajatii care fac asta sunt aflati si "compensati regeste" conform respectivului document.

Frumusetea este ca toti angajatii semneaza actul ala. Odata semnat isi asuma responsabilitatea actiunilor. Acu' o sa zici ca "e parola unica de unde stie cineva cine a furnizat parola lui Z?". Exista metode. In afara de ROI mai exista ceva dragut si frumusel de tot dar cam ignorat de ignorantii din Romania. Se numeste Politica de Securitate adoptata in cadrul companiei X, certificata ISO 27001 sau care masa mai e cetifcarea aia. Stii ce se specifica prin documentul ala? Care e semnat de patron, actionari, etc plus CISO, CTO, CEO, etc? Chestii legate de parole inclusiv ales de la fireless-uri. Si fiecare incalcare a unui punct dintr-un astfel de document poate fi un motiv de desfacere CIM sau mustrare (verbala / scrisa), penalizare salariala. Crezi ca un X nu il da in gat pe Y ca a dat parola lui Z care e angajat in cladirea de pestre drum? Sau la etajul superior? Sau X va accepta cu zambetul pe buze o penalizare de 10% pe 3 luni pentru ca Y e ghertoi si incalca flagrant ROI si PS?

Deci in concluzie problema e o non problema si ea exista doar pentru cine doreste sa aibe o problema. Sau mai multe.

#11
dagobar

dagobar

    Active Member

  • Grup: Members
  • Posts: 1,277
  • Înscris: 09.03.2019
@Kagaroth
Oricat de frumoasa este teoria ta legala vis-a-vis de responsabilitatea individuala determinata de raspunderea individuala... eu vad ca situatia este complet alta pe teren...
Marea majoritate fac scandal si amenita insa nu vor sa faca reclamatie...
Multi din "factorii de decizie" dupa ce au facut reclamatii pentru alte probleme nu si-au recuperat prejudiciul cauzat insa sau ales cu amenzi... aiurea nu ?
De ce amenzi si alte probleme ?
Pentru ca nu respectau legislatia cu privire la: alarma antiefractie, procedurile PSI, stocurile nu corespundeau cu actele, numerarul din caserie nu corespundea cu actele, e.t.c.
Majoritatea acetor abateri sunt cauzate de zgarcenie/lacomie, indolenta, indiferenta, incompetenta si lista poate continua.
Multi dintre angajati cunosc macar o parte dintre aceste nereguli insa nu le reclama de frica sa nu-si piarda jobul sau pur si simplu pentru ca nu sunt direct afectati si nu le pasa... situatia insa se schimba radical atunci cand sunt anchetati si fiecare vrea sa scape si da totul pe goarna asa cum ai scris si tu mai sus.... doar ca nu ii da pe goarna doar pe cel de la care are parola... de obicei da pe goarna tot... iar acest "tot" afecteaza si "factorii de decizie"...

#12
eiffel

eiffel

    BusyWorm

  • Grup: Moderators
  • Posts: 68,364
  • Înscris: 15.06.2004
La mine parola o pun eu pe telefoane sau alte device-uri care apartin celor care pot accesa reteaua, plus ca se schimba lunar. Teoretic ei nu o stiu. Ca o pot afla cumva e posibil, dar cum se schimba...
Ptr restul - clienti / vizitatori - retea Guest, dar care expira in functie de cat consider eu - 1 ora, 2... Nu e permanenta. O creez strict cand e nevoie.

#13
dagobar

dagobar

    Active Member

  • Grup: Members
  • Posts: 1,277
  • Înscris: 09.03.2019
@eiffel
Cati clienti wifi are reteua la care te referi tu ?
La o retea cu 80-130 clienti wifi legitimi (fluctuatia este cauzata de munca de teren partiala a unor angajati) cat de practic ar fi sa schimb personal lunar parola la acestia ? Te rog sa iei in considerare ca niciodata nu sunt toti simultan in sediu si schimbarea pentru unii ar fi posibilia numai cand revin ei in sediu.
In acesti 80-130 intra si device-urile personale, in general smarphone la care daca refuzi sa le dai acces intra pe Guest.
Pe Guest sunt musafiri multipli permanent in timpul orelor de program intre 2-15 clienti wifi legitimi pe guest.

Numarul de clienti wifi precizati mai sus sunt numai cei legitimi... cei nelegitimi variaza de la cativa in afara orelor de program pana la cateva zeci in timpul orelor de program...

In exemplul precizat mai sus exista 6 AP-uri wifi pentru retea firma si 1 router wifi pentru Guest cu alta clasa IP si acces numai la Internet.

#14
eiffel

eiffel

    BusyWorm

  • Grup: Moderators
  • Posts: 68,364
  • Înscris: 15.06.2004
Aici am un avantaj - sub 30.
Iar Guest doar ocazional. Nu are rost sa il activez daca nu merita. In ziua de azi exista internet pe mobil.

Se poate schimba si la 1000 de angajati parola, lunar, dar in cazul asta nu o poate face o persoana - le dai mail cu noua parola sa si-o schimbe singuri.

#15
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,226
  • Înscris: 08.10.2015
Cum e sa ai ~13 - 14K angajati ale caror parole expira la 90 de zile si care nu pot pune una din ultimele 10 parole folosite iar parola trebuie sa respecte o anumita complexitate? E la fel de simplu ca la un singur angajat. Vine mail-ul "Mai ai 7 zile si expira parola. Pana in data de intra pe link-ul si scimba parola". Nu ai facut ce scrie in mail, ghinion, mergi la IT si te ajuta cineva de acolo, asta dupa ce esti tras de urechi de seful direct. Cam asa merg lucrurile prin companiile mai serioase.

@dagobar: in postarea anterioara am si pomenit de ignorantii din Romania sau de Romania. In tara asta toti au drepturi dar nimeni nu are respnsabilitati. Apropo ce am zis in respectiva postare nu e teorie ca se practica si in Romania. Dar acum daca "conducerea" e formata din coate goale care s-a trezit mare pulifrici... aaa... pardon mare patron atunci ce asteptari ai de la un rahat de acest fel? Astia sunt aia care doresc doar profit si investitie zero. Daca lucrezi la un ghertoi de asta atunci mergi cu tupeu la el si ii explici ca o mica investitie initiala ajuta pe un termen mai lung sau mai scurt. Insa cu siguranta ajuta la profit. Te duci frumos si zici "Pentru ca societatea sa functioneze corect si sa nu apara probleme care sa duca la amenzi, procese, etc. aka pierdere de bani e nevoie de... bla bla bla, pentru ca altfel pierzi bani si eu nu imi asum nici o responsabilitate deoarece am explicat frumos de ce este nevoie ca sa functioneze totul corect".

Din ce ai zis in postarea #11 eu nu m-as complica cu astfel de angajatori. Eu as evita contactul cu astfel de specimene.

Edited by MembruAnonim, 09 December 2020 - 14:44.


#16
dagobar

dagobar

    Active Member

  • Grup: Members
  • Posts: 1,277
  • Înscris: 09.03.2019
@Kagaroth
Mi-as dorii sa spun ca aceasta situatie este intalnita doar la firmele mici insa nu este asa... am aceasta situatie inclusiv la multinationale :)
Ce fel de multinationale ?
Pai firma x dintr-o tara civilizata (U.E. sau USA) isi deschide un branch un Romania.
Asociat in Romania in aceasta firma este de obicei cel putin un Roman cu bani si cu relatii in compania mama.
Motivul pentru care isi deschide firma x in Romania un branch este ca vrea sa foloseasca forta de munca cu inalta calificare (ex. programatori) iar in schimb sa plateasca banane... ca in orice colonie... ma rog observa ca nu merge cu banane asa ca plateste un salariu Romanesc... de obicei de acest lucru are grija asociatul/asociatii Romani.
Se califica o astfel de entitate ca multinationala ? ...cel putin teoretic da...
Daca nu lucrez pentru astfel de multinationale crezi ca am sanse mai mari sa mananc o paine la Gigi com s.r.l. care are in total 3 angajati pe salariul minim pe economie ?
Din pacate eu nu am nici o ruda politician, primar, senator sau cu o alta functie similara care sa-mi aranjeze contracte cu statul prin SEAP...
Ca sa fac o descriere mai nostima... eu nu sunt prin cei care mananca gratis feliile de tort... ci doar ce framituri mai raman si asta pe munca.

#17
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,226
  • Înscris: 08.10.2015

View Postdagobar, on 09 decembrie 2020 - 15:53, said:

Asociat in Romania in aceasta firma este de obicei cel putin un Roman cu bani si cu relatii in compania mama.
AKA ghertoiul de care am pomenit in postarile anterioare.

In cazul meu, daca m-as lovi de astfel de specimene, as ridica din umeri si nu m-as stresa, daca conducerea nu o face atunci de ce sa o fac eu? Oricum ce am zis anterior ramane valabil. As incerca sa explic cum trebuie facuta treaba, daca vad ca nu am cu cine atunci e clar ca nu am de ce a ma stresa. Eram la jobul #2, analist SOC pentru un client din SUA caruia am incercat sa ii explic ceva cand am vazut ca nu am cu cine efectiv a inceput sa ma doara undeva de tot si de toate. Ma rog dupa 3 luni (alea de proba) mi-am bagat picioarele si am plecat de unde eram ca nu merita sa pierd timpul acolo.

Anunturi

Neurochirurgie minim invazivă Neurochirurgie minim invazivă

"Primum non nocere" este ideea ce a deschis drumul medicinei spre minim invaziv.

Avansul tehnologic extraordinar din ultimele decenii a permis dezvoltarea tuturor domeniilor medicinei. Microscopul operator, neuronavigația, tehnicile anestezice avansate permit intervenții chirurgicale tot mai precise, tot mai sigure. Neurochirurgia minim invazivă, sau prin "gaura cheii", oferă pacienților posibilitatea de a se opera cu riscuri minime, fie ele neurologice, infecțioase, medicale sau estetice.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate