-
IT café
Haladó szintű hálózati témák topikja
Új hozzászólás Aktív témák
-
4Grider
nagyúr
válasz fatpingvin #11650 üzenetére
Nyilvánvalóan ha egy ilyet beállítasz, akkor időnként ránézel. A saját honeypot-om adatbázisa napi 1-2 tucatnyi ip címmel bővül 4 általánosan használt portot (2 levelezőkiszolgáló, 1 távmenedzsment és 1 fájlátviteli) nyitottként tartva. Tehát egy év alatt bőven 10000 ip cím alatt marad.
Egy ilyen NAS azért megbirkózik egy néhány ezres adattáblával, így a 60 naptól 180 napig simán beleférhet. -
bambano
titán
válasz fatpingvin #11650 üzenetére
a végleges helyett valami időkorlátot.
mindenki által saját maga kitalált ideig maradjon egy ip cím a listán.
szerintem egytől néhány óráig lehet valahol a helyes idő.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Xpod
addikt
válasz bambano #11652 üzenetére
Én azért ezt kiegészíteném, hogy megnézném, hogy honnan történik bejelentkezés és akár komplett tartományokat is kitiltanék. Pl ha külföldről nem kell az elérhetőség, akkor minden IP tartományt amit külföldi letiltanék.
De persze itt is érvényes, hogy egyáltalán van-e értelme vesződni vele. Home környezetben nem biztos van értelme a dolognak, de ha sok a próbálkozó akkor inkább megszüntetném az FTP szolgáltatást és VPN-re tenném át.
Én is most kezdek ilyen projektbe otthon, csak előtte összerakom a logszervert, hogy legyen infóm.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
bambano
titán
hogy nézed meg? van, hogy napokig nem jön semmi, utána fél napig percenként.
nincs ember, aki ezt nyomon tudná követni.
vpn-ezni lehet.
vagy kopogtató démont felrakni.
valamit mindenképpen csinálni kell, mert ha felnyomják a cuccod és onnan megy tovább a törés, azért fenékbe billentenek.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
Xpod
addikt
válasz bambano #11654 üzenetére
Ebben igazad van. Ez én tervem, hogy Visual Syslog Server-t pattitntok fel egy gépre. Heti rendszerességgel ránézek, és elkezdem a külföldi IP tartományokat letiltogatni az Edgerouteren.
Nem a leghatékonyabb, nem a legbiztonságosabb, de azért mégiscsak ér valamit. A gép ami kint van neten csak Plex+torrent, más szinte nincs is rajta, meg fut a gépen egy normális víruisrtó+tűzfal szoftver. (hálózat feltörése ellen tudom nem véd, de így is jobban állok az otthoni hálózat védelmével, mint az átlag)Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
bambano
titán
válasz MaCS_70 #11656 üzenetére
most arra vagy kíváncsi, hogy pontosan hogy működik, vagy arra, hogy hogyan használják? mert azt le tudom írni, hogy mikrotiken hogyan működik
az alapelv a security by osbcurity (fenébe, leírni sem bírom --->> szuper titkos ). alapértelmezetten tűzfalban minden port zárva van, ami fontos. kiválasztasz néhány portot, és megcsinálod a tűzfalon, hogyha ezekre a portokra megfelelő sorrendben kapcsolódási kérelem érkezik, akkor a tűzfal azt az ip-t, ahonnan a kérelmek jöttek, felveszi egy olyan címlistára, ahonnan jogosult a belépés.
nekem van egy egyszerű shell szkriptem, kb ez:
wget http://szerverip:port1/index.html
wget http://szerverip:port2/index.html
wget http://szerverip:port3/index.html
.
.
.
wget http://szerverip:portn/index.html
ezt ráküldöm a tűzfalra és ettől a tűzfal kinyitja az ssh portot a forrásip címre.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Xpod
addikt
válasz bambano #11659 üzenetére
"az a feltételezés se helytálló szerintem, hogy ahonnan ma megtámadtak, onnan hosszú ideig jönni fog a szemét."
Ezt nem értem. Valahol írtam ilyet? Az meg, szerintem ér valamit, ha komplett tartományok vannak letiltva, amikről biztos nem akarok fogadni semmilyen forgalmat. Értem én, hogy NGFW-t mindenhova, de ezért nem fogok több százezres tűzfalat venni, vagy külön tűzfal szervert üzemelteni otthon.
Értem az általam elképzelt rendszer hátrányát, tisztában vagyok a kockázattal, de kockázat arányosan ennyit tudok tenni.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
bambano
titán
"Valahol írtam ilyet?": igen, amikor azt írtad, hogy "végleg" kitiltod.
szerintem a hetes reagálási idő pont nem jó semmire.
vagy reagálj sokkal gyorsabban, vagy felejtsd el, mert felesleges energia pazarlás.ez nem tűzfal-költség kérdés. szerintem ez a döntésed nem kockázat-arányos. szerintem kockázat-arányosan jobb pár órás timeoutot tenni és hagyni békében.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
fatpingvin
őstag
válasz MaCS_70 #11661 üzenetére
igen, azzal a különbséggel, azaz hogy annyival jobb egy egyszerű tűzfalszabálynál, hogy amíg a minta nincs meg addig nincs is nyitott port a háló felé, azaz azoka a botok amik csak nyitott porton próbálkoznak békén is fogják hagyni. ja, és nem is épül ki IP kapcsolat amíg a bekopogás meg nem történik, szval azt így tűzfalazni meg célirányosn szűrni nem is kell (elvi síkon persze, aztán a gyakorlat már más tészta )
A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)
-
Xpod
addikt
válasz bambano #11662 üzenetére
Értem, de nekem más a meglátásom ezzel kapcsolatban. Nem szolgáltatok, csak itthoni hálózat. A "szerveren" hamarosan már semmilyen értékes adat nem lesz (torrent nem minősül annak számomra), külön vlan-ba lesz rakva, ahol egyedül lesz. Egyrészt ezért kockázat arányos a védelem, másrészt eddig nem vettem észre célzott támadást, a vírusirtó tűzfala jelzett volna. Csak a Plex-nek és a torrentnek van nyitott portja a külvilág felől, és ezt akarom kicsit levédeni, hogy ne legyen bárhonnan elérhető, és első körben azokkal az Ip tartományokkal kezdem, ami külföldi és szükségtelen pl a Plex működéséhez.
Igen, tisztában vagyok, hogy produktív környezetben ez a reakció idő elképzelhetetlen (mellesleg rohadt sok cégnél találkozok ezzel, hogy nem hogy 1 hét, de még havi szinten sem néznek bele a logokba, sőt nincs is loggyűjtés), és hülyeség lenne így csinálni, de nekem ez most itt megfelelő a jelenlegi eszközpark és idő függvényében.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Xpod
addikt
válasz bambano #11658 üzenetére
Ez meglátásom szerint szintén fals biztonság érzetet ad. Mi ebben a védelem? Próbálgatásos módszerrel előbb utóbb meg lehet fejteni a helyes sorrendet, ez ugye csak idő és elszántság kérdése.
Használhatóság tekintetében kb addig működik, míg egy viszonylag szűk csoport használja akik valamilyen szinten értenek az informatikához, vagy az egész le van scriptelve amit csak el kell indítani. De akkor már egyszerűbb egy SSL VPN kiépítése. Nem véletlen, hogy mind az NKI mind az MNB a kritikus fontosságű rendszerek távoli eléréséhez (pl rendszergazdai elérés) SSL VPN + 2FA és SSH/RDPS + 2FA követel meg, (lehetőleg fix forrás IP címről).
Publikus szolgáltatások esetén sem használható. (SMTP, HTTP, HTTPS, stb.)
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
krealon
Topikgazda
válasz MasterMark #11665 üzenetére
"És ha NAT mögött van a kliensed akkor mindenkinek kinyitod a NAT mögött?"
Ez egy értelmetlen kérdés. NAT (pontosabban Port Address Translation (PAT)) egy-az-egyhez hozzárendelés. Nincs értelme a többes számnak.
#11658 bambano
"a tűzfal kinyitja az ssh portot a forrásip címre."Ebbből nyílvánvaló a külső oldali szűrés.
-
félisten
Már csak pár portra történő "bekopogás" is durván megsokszorozza a feltörés időigényét, és nem lehet tudni kívülről, hogy eleve van-e ilyen védelem és mennyire összetett mintát vár.
Ahogy én látom, kívülről eleve nem detektálható, hogy belülről figyelik-e a kopogást.
Egy célzott támadás esetén lehet rá idő/erőforrás, de a sebezhetőség-szkennelést szerintem nagyon hatékonyan kizárja.
Mondom ezt úgy, hogy két napja még csak nem is hallottam erről a megoldásról, de nagyon ötletesnek találom.
MaCS
[ Szerkesztve ]
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
krealon
Topikgazda
"Ez meglátásom szerint szintén fals biztonság érzetet ad. Mi ebben a védelem? Próbálgatásos módszerrel előbb utóbb meg lehet fejteni a helyes sorrendet, ez ugye csak idő és elszántság kérdése."
A próbálgatással kísérletezőt könnyű blokkolni. A portlista növelésével a szükséges kisérletszám 65000 alapon hatványozódik.
"Használhatóság tekintetében kb addig működik, míg egy viszonylag szűk csoport használja akik valamilyen szinten értenek az informatikához, vagy az egész le van scriptelve amit csak el kell indítani."
Az a lényege a módszernek, hogy lehetőleg kevés lehetőség legyen egy kritikus ponthoz hozzáférni.
"Publikus szolgáltatások esetén sem használható. (SMTP, HTTP, HTTPS, stb.)"
Használható, ha csak 1 helyről akarjuk elérni.
A port kopogtatás nem általános tűzfalazási technika, hanem egy konkrét, kritukus pont védelmére szolgál.
A publikus IP-mre (honeypot) tipikusan 2 napig szokott érkezni próbálkozásos támadás, azután feladja. Senkinek sincs korlátlan ideje, energijája egy bizonytalan előnyöket eredményező próbálkozásos támadásra.
Persze ha a támadónak van információja a betörés adta előnyökről, akkor az egy teljesen más szituáció. -
krealon
Topikgazda
válasz MasterMark #11668 üzenetére
Most fogom csak fel a kérdésedet.
Ha nem megbizhartó hálózatból érkezel, akkor nyílván rossz eszköz a port kopogtatás.
Ez esetben az IPv6 lehet egy megoldás. -
Xpod
addikt
válasz krealon #11671 üzenetére
"Publikus szolgáltatások esetén sem használható. (SMTP, HTTP, HTTPS, stb.)"
Használható, ha csak 1 helyről akarjuk elérni.Az már akkor nem publikus. Ha egy helyről akarjuk elérni, akkor sokkal egyszerűbb egy site2site / client-site VPN és/vagy az IP cím korlátozás beállítása, hogy csak megadott IP-ről lehessen bejelentkezni. Ez továbbra is kevesebb munka, mint tűzfalon beállítani a kompogtatást, scriptet írni, stb és nagyobb biztonságot nyújt. Ok a VPN az nagyobb internet sávszélességet igényelhet, de többet is nyújt.
A próbálgatásos módszerre vonatkozó résszel egyet értek, jobban bele gondolva igaz. De továbbra is csak akkor használható ha kevesen használják és meg van a megfelelő script tudás a használathoz.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
fatpingvin
őstag
válasz MaCS_70 #11669 üzenetére
pontosan így. simán lehet a kopogószellemnek megadni 63+ portból álló knock patternt is, ezt könnyen belátható hogy bruteforce-olni gyakorlatilag lehetetlen (sokkal időigényesebb mint a sima jelszavazás, ugyanis itt minden "karakter" beviteléhet egy IP kapcsolat próbálkozásra van szükség).
matematikailag optimalizálható, lásd Haruhi probléma megoldása (n! + (n−1)! + (n−2)! + n − 3) de ez a portok számára (65535) vetítve praktikusan konvergál a végtelenhez. ugyanaz az eset hogy matematikai szempontból a RSA-4096 is algoritmikusan törhető, de az erőforrásigénye minden realisztikus helyzetben használhatatlanná teszi mint megoldás.
a plusz védelem itt leginkább az hogy rendkívül erőforrásigényes bruteforce-olni, és amíg nem tudod lekopogni a helyes mintát addig azt sem tudod hogy van-e egyáltalán mögötte valami.A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)
-
MasterMark
titán
válasz fatpingvin #11674 üzenetére
Amit itt én még problémának látok, hogy ha valaki látja a forgalmat akkor nagyon egyszerű kiszedni belőle a kódot.
Switch Tax
-
fatpingvin
őstag
válasz MasterMark #11675 üzenetére
na ez viszont igen, egy másik kupac probléma. bár ha valaki a forgalmat látja ott már egyéb aggályok is felmerülhetnek.
A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)
-
bambano
titán
tévedés, nem ad fals biztonságérzetet, mert nem ad biztonságérzetet sem.
pontosan tudni lehet, hogy adott felhasználási körülményekre milyen befektetéssel milyen eredményt hoz. SENKI NEM MONDTA, hogy ez általános csodaszer.a biztonságban mindig az a lényeg, hogy adott konkrét esetre végiggondolt költség-haszon és kockázat elemzés eredménye alapján határozzuk meg a megoldást.
"Nem véletlen, hogy mind az NKI mind az MNB a kritikus fontosságű rendszerek távoli eléréséhez": mint ahogy az sem véletlen, hogy egy csomó otthoni user privát rendszerét sem az nki felügyeli, meg nem az mnb. Ez egy adott konkrét kérdésre, egy adott konkrét otthoni rendszerre adott válasz. Nem általános.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
válasz MasterMark #11665 üzenetére
én pl. publikus címet kapok, tehát a családomnak nyitom csak ki.
másrészt még mindig jobb kinyitni pár, földrajzilag valószínűleg közeli usernek (tehát feltételezhetően békés szándékúnak), mint mikor mindenkinek nyitva van (tehát a mocskoknak is).Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
válasz krealon #11667 üzenetére
"Ez egy értelmetlen kérdés. NAT (pontosabban Port Address Translation (PAT)) egy-az-egyhez hozzárendelés.": nem, a kérdés nem értelmetlen ebből a szempontból nézve.
igen, kinyitom mindenkinek, akinek a külső ip címe ugyanaz.a kérdés abból a szempontból aggályos, hogy egy konkrét felhasználás esetén az elvárt biztonság és a hozzá befektetendő energia más, mint más esetben. Tehát arra, hogy topictárs elérje a virágbolti gyűjteményét, és a script kiddie-ket távol tartsa, ez a megoldás tökéletes, miközben pontosan ugyanez a megoldás egy banki tranzakciós rendszerhez nem megfelelő.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
félisten
válasz fatpingvin #11676 üzenetére
Az én fogalmaim szerint a felhasználói szint a skála két szélén van a legnagyobb veszélyben:
Azok, akiket valamiért tudatosan, támadnak, mert valamilyen feltételezett értékhez tudnak hozzájutni, és ezért megérheti komoly erőforrásokat bevetni, illetve azok, akik sima gereblyéző módszerrel akadnak horogra, egységre lebontva Lim0 erőfeszítéssel, de ennél egy kicsit nagyobb értéktalálati aránnyal. Persze vannak mindenféle trükkös, statisztikai, publikusadat-elemző módszerek is, de a szkennelők erőforrásai sem annyira végtelenek, hogy egy bizonyos statisztikai esély alatt megérje azokat egy esetleges behatolásra fordítani.
Az ilyen támadás ellen pedig hatékony lehet bármilyen egyszerű trükk, amely önmagában ugyan nem zár hermetikusan, de a megtérülési zónából kimozdítja a védett eszközt.
Kicsit olyan ez, mint az egyszerű barkácsvédelem az autókban. Anno bő húsz éve az autólopások legsötétebb időszakában volt egy ügyem, amelyben elloptak féltucatnyi Golfot. A gyári indításgátlót kiiktatták, az autókat lábon vitték el. Egy maradt csak az udvaron, tök ugyanolyan, mint a többi (céges flotta volt). Abban két extra volt, nem tudjuk melyik miatt nem volt gazdaságos foglalkozni a kocsival: egy hengerkulcsos pedálzár (egy perc alatt nyitható) és egy rejtett áramtalanító kapcsoló a gyári elektronika előtt.
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
Xpod
addikt
válasz bambano #11677 üzenetére
"tévedés, nem ad fals biztonságérzetet, mert nem ad biztonságérzetet sem"
Meglátásom szerint hasonló problémát két eltérő nézőpontból közelítjük meg. Mindkettő helyes lehet. (egyébként biztonságérzetet ad valamennyit, mert különben nem csináltad volna meg, nem vesződtél volna vele)
Az első hozzászólásomnál ki kellett volna egészítenem a saját "szerverem" leírásával és akkor valószínűleg te is mást írtál volna.Az NKI-MNB részben igazad van. De ha szervezeteknél/cégeknél bevált valami és ehhez hasonlót az otthoni rendszerekben is be lehet állítani akkor miért ne azt használja az ember? A legtöbb otthoni router már tartalmaz OpenVPN/L2TP szervert, amit ráadásul nem is nagy művészet bekattintani. Ezekkel biztonságosabb elérést lehet kialakítani, mint egy port forward-olt alkalmazással.
#11678 én hasonló elv alapján gondolkodok. Mivel a szerver torrent futhat, így nem korlátozhatom le csak megadott IP-re az elérést, de le tudom szűkíteni, hogy pl külföldi IP-ket tiltson. Nekem most nem az a lényeg, hogy egy lehetséges támadást ismerjen fel és egyből reagáljon a rendszer (ahhoz IDS/IPS kellene), hanem hogy szűkítsem a kört ahonnan elérhető és így támadható a rendszer. Ezt ha kiegészítem az általad is javasolt time-out megoldással akkor a timeout lista kezelhető méretű marad (kb 72 órás megőrzési idő, mert általánosságban 24-48 óránként az új IP-t egy internet szolgáltató, ettől több ideig biztos hogy felesleges az IP-t őrizgetni), és így a router CPU-ja, memóriája sem lesz nagyon kiterhelve feleslegesen.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
rgeorge
addikt
Üdvözlet! Egyik üzleti partnerünk VPN megoldást cserél, Cisco helyett PaloAlto lesz. Kaptam is egy GlobalProtect klienst, telepítettem, csatlakoztam, majd kiderült, hogy ilyenkor minden más hálózati erőforrás elérhetetlen lesz. Állítólag ez IT biztonság miatt van így és nem lehet rajta változtatni. Nyilván van rá műszaki megoldás, ahogy az előző Cisco kapcsolat pl. nem korlátozta a hálózati eléréseket, de más megoldások esetén sincs ilyen korlátozás (vagy könnyen áthidalható).
Nem azzal van a probléma, hogy aktív VPN miatt nincs böngészés és email, hanem pl. más VPN kapcsolat sem építhető fel, ami csak azért kellemetlen, mert a GlobalProtect csak a rendszer egyik eleméhez kell (SAP), a fejlesztői adatbázis máshol van, amihez másik VPN kell.
Mit lehet ilyenkor helyi megoldásként kipróbálni? Elég hézagosak a hálózati ismereteim, ezért fogalmam sincs, hogy pl. a két hálókártya (laptopról lévén szól wlan + lan) segíthet-e, vagy valamilyen routing esetleg.Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."
-
olloczky
senior tag
válasz rgeorge #11682 üzenetére
Legegyszerűbb az lenne, ha a hálózati adminok beállítanának split-tunnelinget, hogy csak az a forgalom menjen a vállalati hálózatba, ami odatartozik (SAP). Minden más mehet ki a hálókártyádon (vagy ahogy jónak látják). Mert ha jól értem ők korlátoztak téged most ezzel az új klienssel és konfiggal.
Úgy még sosem volt, hogy valahogy ne lett volna!
-
rgeorge
addikt
válasz olloczky #11683 üzenetére
Nyilván, de ez az, amit IT biztonságra hivatkozva nem tesznek meg. Ezért keresek alternatívákat.
Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."
-
rgeorge
addikt
válasz bambano #11685 üzenetére
Mire gondolsz pontosan? Én keressek más helyet, vagy ott keressek valakit, aki pénzért segít?
Az üzleti partner azért adja a vpn-t, hogy támogatást adhassunk a mi általunk fejlesztett rendszerhez. Azért keresek alternatívát, mert ilyenkor az szokott lenni, hogy valami problémájuk vagy igényük támad, és akkor jönnek rá, hogy nem tudunk segíteni a VPN miatt, és megy a kapkodás és az értetlenkedés.Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."
-
krealon
Topikgazda
válasz rgeorge #11682 üzenetére
"Egyik üzleti partnerünk VPN megoldást cserél, Cisco helyett PaloAlto lesz. Kaptam is egy GlobalProtect klienst, telepítettem, csatlakoztam, majd kiderült, hogy ilyenkor minden más hálózati erőforrás elérhetetlen lesz. Állítólag ez IT biztonság miatt van így és nem lehet rajta változtatni. Nyilván van rá műszaki megoldás, ahogy az előző Cisco kapcsolat pl. nem korlátozta a hálózati eléréseket, de más megoldások esetén sincs ilyen korlátozás (vagy könnyen áthidalható).
Nem azzal van a probléma, hogy aktív VPN miatt nincs böngészés és email, hanem pl. más VPN kapcsolat sem építhető fel, ami csak azért kellemetlen, mert a GlobalProtect csak a rendszer egyik eleméhez kell (SAP), a fejlesztői adatbázis máshol van, amihez másik VPN kell.
Mit lehet ilyenkor helyi megoldásként kipróbálni? "Mivel a hozzáférést egy adott gépre korlátozzák, kell egy második gép.
Én Virtualizációt használnék és kiszámláznám az extra szoftver licensz költségeket.De egyet értek a #11685 bambano megállapításával, hogy olyan helyen nem kell dolgozni, ahol a munkavégzéshez szükséges feltételeket nem biztosítják.
-
Xpod
addikt
válasz rgeorge #11686 üzenetére
Az már régen rossz, ha a fejlesztői környezet és az éles környezet össze van nyitva.
Nem lehet, hogy az üzleti partnerre vonatkoznak jogszabályi előírások ami miatt így kell üzemeltetni a rendszerüket?
Azért a kényelmi szempontok ne írják már felül a biztonságot.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
rgeorge
addikt
válasz krealon #11687 üzenetére
Most tényleg nem értitek, hogy nem a munkahelyem korlátoz, hanem az egyik partner? Eddig nem is volt ilyen korlátozás, és egyik másik partnernél sincs És igen, ha nem biztosítanak megfelelő eszközt, akkor nem fogunk nekik fejleszteni se támogatni nem fogjuk őket.
És nincs összenyitva semmi sem. Az nem kényelmi szempont, hogy most el sem tudom indítani az alkalmazást, mert VPN nélkül csak a fejlesztői adatbázist érem el, SAP-ot nem, VPN-nel pedig csak a SAP-ot, semmi mást sem. Csak távoli asztalon tudom futtatni a programot, de ott persze fejlesztőeszköz nincs.
Az miért biztonsági kockázat, hogy nem split tunnelling van beállítva a PaloAlto VPN-en?Picard: "What we leave behind is not as important as how we've lived. After all, Number One, we're only mortal." Riker: "Speak for yourself, sir. I plan to live forever."
-
Xpod
addikt
válasz rgeorge #11689 üzenetére
"Az miért biztonsági kockázat, hogy nem split tunnelling van beállítva a PaloAlto VPN-en?"
Mert így a te gépedet felhasználva egyik hálózatból át lehet esetleg jutni a másik hálózatba.
Egyszerre kell dolgoznod az SAP-ban és a fejlesztői adatbázisban?
Nem ismerem az architektúrát, csak kíváncsi vagyok miért kell egyidejűleg mindkét rendszert elérned?Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
félisten
Elég hülye kérdésem van: milyen széles egy jól nevelt, szabályos UTP keystone jack aljzat?
Az ugyanis a gondom, hogy a patch panelembe egymás mellé nem fér be kettő. Van egy csomó, különböző gyártmányú és kivitelű darabom, amelyek valahogy mind 19,25 mm szélesek. Ha egy ilyet bepattintok a panelbe, a szomszéd helyre már nem fér be a testvérkéje.
Van két prémium kategóriás (legalábbis árban...) darabom is, amelyek viszont csak 18,2 mm szélesek. Na, ezek nagyon szorosan, de betolhatók egymás mellé.
A kérdés az, hogy most a dugaljak a túl szélesek, vagy a patch panel túl szűk...
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
Xpod
addikt
válasz MaCS_70 #11691 üzenetére
Ez gyártónként eltérhet. Tudomásom szerint nincs szabvány.
Én azzal szívtam meg, hogy a tartó körmök az egyiknek az oldalán vannak, a másiknak meg a tetején, és a panelbe csak azokat tudtam beletenni, aminek a tetején vannak a körmök.
Érdemes a panelt és a keystone-t is ugyanattól a gyártótól rendelni.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
félisten
Köszönöm!
Ez azért elég meredek.
Az a gondom, hogy jelenleg öt különböző gyártótól származó keystone-om van, amelyik nem megy bele a házba, és kettő (szintén nem a házzal azonos gyártótól), amelyik keskenyebb. Gyors körbe telefonálás alapján a barátaimnál is a nálam tobzódó, 19,2 mm-es változat fordul elő.
Ahogy pedig nézem a kínálatot, egyetlen panelnél sem tüntetik fel az egyes helyek szélességét, sőt, két boltot fel is hívtam, és fogalmuk sincs arról. Csak annyit tudnak, hogy "rendes keystone", és ne aggódjak, mert az egységes.Hát, nem az. A nálam levő AFL-be biztosan csak 18,2 mm-ig fér bele bármi, ráadásul valamiért baromi drágák ezek az üres panelek.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
bambano
titán
válasz MaCS_70 #11693 üzenetére
A keystone-nál az a téglalap alakú kivágás, amibe az elejét beletolod, az szabványos. De hogy mögötte nagyobb-e a csatlakozó háza, az nem.
A panelednél a kivágások távolsága lehet a gond, túl sűrűn lyuggatták ki.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
félisten
válasz bambano #11694 üzenetére
Igen, pontosan ez a gond, túl sűrű az osztás.
Egyébként vicces, hogy most végigkatattam a neten vagy egy tucatnyi patch panel előlap leírását, és konkrétan egyetlen egynél sem találtam adatot a lyuksűrűségre / fogadott betétek lehetséges szélességére. 19" a teljes szélesség 1U a magasság, oszt annyi...
Egyébként telefonálgattam még egy sort, beszéltem pár üzlettel, ahol volt polcon keystone betét. Mindegyik elért helyen 19,2 mm szélességű darabokat árulnak, ami azért már egy kicsit sok a véletlen egybeeséshez.
Ez az AFL, akik a panelem gyártői, valami egzotikus cég?
Egyáltalán: létezik Átlag Józsi számára keskenyebb betét?
Csak kíváncsiságból: Nálatok milyen széles betétek sorakoznak a panelben/fiókban?
Köszönettel: MaCS
[ Szerkesztve ]
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
gozi
tag
válasz MaCS_70 #11695 üzenetére
A kulcsszó: a "high density" keystone jack, például:
https://www.keline.com/keystone-jack-hd-category-6-rj45-u?5=4&15=67[ Szerkesztve ]
-
félisten
Xpod, gozi!
Nagyon köszönöm!
Kedves, hogy utánanéztetek, de ha most ennyiért veszek egy sor keystone-t, akkor több Swarovski kristályokkal kirakott Gucci patch panel árát költöttem el rájuk.
Itthon, háztáji felhasználásra egyszerűen nincs értelme ilyen drága eszközöket vásárolni -- nem is beszélve arról, hogy a betétek ugye megvannak, csak nem bérnek be...
Vélhetően elkezdek neten rendelgetni az 5-10e Ft-os panelekből, aztán remélem, csak befut egy jó is.
Azért írtam ide, mert beromi kíváncsi vagyok ennek az anomáliának a hátterére, illetve mindig él az emberben a remény, hogy ő szűrt el valami triviális dolgot és van egyszerű megoldás.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
gozi
tag
válasz MaCS_70 #11698 üzenetére
Az alábbi típusok is jók lehetnek, és lényegesen olcsóbbak a korábban linkeltekhez képest:
https://lan.hu/keystone-modul-utp-cat5e-180-fokos-toolless-3176
https://lan.hu/keystone-modul-utp-cat6-180-fokos-toolless-3175
A linken lévő adatlapokon méretezett rajz is van.
Új hozzászólás Aktív témák
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen
Cég: Promenade Publishing House Kft.
Város: Budapest