Nu spørger jeg sikkert dumt, men:
Er det ikke muligt at automatisere opsætningen af porte på switches ud fra prædefineret roller?
Således at stormsikringen og andre standard værdier bliver aktiveret helt automatisk hver gang man fortæller switchen at der sidder en server i en given port.
Her tænker jeg lidt på Ansibles rollemodel i denne sammenhæng.
SMV-chef: Vi vil gerne gøre noget for at få bedre sikkerhed. Mig: Hold op med at bruge [voldsomt usikkert produkt] SMV-chef: Jamen, det er jo så nemt at bruge. (slut på samtale)
Synes nu at den dialog burde være en smule mere nuanceret.
Fordi man kan godt bruge usikre programmer på en mere sikker måde.
Eksempelvis ved at inddele sin infrastruktur i sandkasser, hvor der er forskellige grader af total nedlukning over de forskellige sandkasser.
Ville gerne, men har lidt mange jern i ilden lige nu, men startpunktet for min server var en tidligere udgave af denne guide:
Der hvor det drillede, er når man modtager mails på en port og skal finde ud af om mailen skal have en DKIM signatur eller scannes for spam / virus.
Men du kan få en ide om hvordan jeg scanner mail / signere mails ud grafikken i dette spørgsmål på ServerFault:
Jeg endte trods alt med at besvare mit eget spørgsmål, fordi jeg min server kan også håndtere ActiveSync.
Derudover findes der også mange nyttige DNS records, som gør det nemmere at sætte en mailkonto op, fordi mail klienten bruger autodiscovery.
Greylisting, Amavis og SpamAssassin + DKIM tjek.
Og derudover tjekker den også op imod hmm SpamCop og et par andre offentlige tilgængelige blacklist sites.
Thunderbird (pc) og Roundcube (web) har en addon for at rapportere tilbage til mailserveren hvis der ryger en spammail igennem, således at banaysian filteret bliver lidt skarpere.
Men ellers kan man lave en dedikeret IMAP folder til hver konto, der er dedikeret til spammail. Jeg har så et cronjob, som løber igennem denne specifikke mailbakke og sender besked til SpamAssassin om det er spam og sletter mailen fra serveren, fordi nu er filteret opdateret.
Derudover har jeg Fail2Ban kørende som lytter på diverse loginforsøg og andet misbrug imod postfix / dovecot / ssh og lignende og blacklister ip-adresser med i stigende perioder (1 time, 8 timer, 1 dag, 14 dage).
Det gør at på nuværende tidspunkt blokere serveren for hele subnettet for 2 russiske, 1 iransk og 2 kinesiske internetudbyderes subnet.
Lad os blot sige at jeg som regel kun en spammail hver tredje måned eller sjældnere.
Jeg hoster selv mail for 4 domæner på en privat server med 200 GB lagerplads og 5 TB trafik.
Det har den sidegevinst at jeg kan bruge serveren til meget andet end blot mail og web.
Eksempelvis bruger jeg den også til at få VPN adgang til netværk, som befinder sig bagved Carrier Grade NAT.
På DNS fronten skiftede jeg fra GratisDNS til Simply, men jeg er ikke helt overbevist om at jeg vil blive der.
Jeg havde nemlig issue med 1 af domænerne fordi hjemmesiden for det hoveddomæne var allerede hostet af en af Simplys webservere, så her kunne jeg ikke gå lov til at administrere DNS direkte, men i stedet skulle jeg overdrage administrationen af det domæne til det firma, der havde produceret hjemmesiden til det nævnte domæne...?
Det vil give mig noget bøvl med nogle Let's Encrypt certifikater længere nede af vejen, så jeg leder selv videre.
Her vil det være et plus, hvis den kan samarbejde med Acme.sh, så jeg kan bruge DNS Api, når jeg fornyer certifikater via et cron job.
Der hentydes nok til et seriel analogt modem, som i sidste generation (inden verdenen gik digital) kunne sende og modtage ved 56 kbps.
Rent tidsmæssigt er vi omkring år 1998.
Det var dem der gav diverse hyletone fra sig, når de ringede op til leverandøren af Internet, hvedenten udbyderen hed TeleDanmark, Tele2, Uni-C, Cybercity, Get2Net, Scandinavia Online eller noget helt andet, som jeg kan ikke huske så godt længere. :-)
Derefter kom ISDN (digitalt signal) med 64 kbps og ISDN2 med 128 kbps (som var blot 2 ISDN linjer, som var slået sammen).
Til erhverv fandtes der hurtigere forbindelser end ISDN2, men så hut jeg visker var det blot x antal telefonlinjer, som blev slået sammen (bondling).
M.h.t. intern båndbredde i computeren, så kunne computeren godt skubbe data hurtigere en 56 kbps.
Jeg kan godt huske hvilken forskel det gjorde at klone en 50 MB harddisk via null-modem kabel på serielporten til en anden computer vs et parallel kabel, som var koblet på computeren på LPT1.
... samt følelsesen, da jeg som det næste opgraderede til 10Base2 Ethernet. :-)
Følelsen skal tages meget bogstaveligt, hvis man glemte at slukke for ALT udstyr og rørte ved et ikke-termineret T-stik, fordi man skulle koble endnu en computer på linjen. ;-)
Jeg har lidt svært ved at se fordelen?
Bevares. Jeg har selv sådan en løsning på mit netværk, men det er ikke for at kamuflere min trafik, men nærmere fordi det er min eneste måde at få adgang til IPv6.
Det eneste du får ud af at pakke alt udgående trafik ind i VPN, inden den forlader din lokale gateway, er at det er en lille smule sværere at regne ud hvor du befinder dig fysisk.
I den sammenhæng er du hverken bedre eller værre stillet, end hvis du surfer på nettet hos en internetudbyder, som bruger Carrier Grade NAT.
Den er nok en lille smule mere raffineret. :-)
Som i IP-ranges fra kendte udbydere af Internet er whitelistet og tilsvarende IP-ranges fra kendte hosting udbydere er blacklistet.
Derudover er der sikkert også indført en nedre grænse for hvor mange forbindelser der må oprettes per IP adresse, før de undersøger om den skal blacklistes/whitelistes.
Tjah et sted hvor det nok vil være en fordel, er at når der bliver udgivet en ny udvidelse til World of Warcraft, så kan Blizzard trække på en NOGET større serverpark (hint: Hele Azure netværket), så mon ikke det gør at lauch day er mere succesfuld på spillefronten? :-)
Jeg har prøvet lag der måltes i minutter på launch day dengang de tilføjede pandaer til spillet.
Det var måske en lille smule modigt at sende hele deres spillerbase igennem de samme 2 områder på samme tid?
Min computer blev ihvertfald forpustet over at skulle rendere et par tusinde spillere, som alle sammen sendte missiler imod samme mål...
... Var det ikke det KMD var oprindeligt? :-)
Undskyld mig, men ironien er til at føle på i så fald. :-)
Udfordringen med Shrems er at du er ikke sikret, blot fordi du hoster dine ting i et tilsyneladende europæisk datacentre, som er ejet af europæer.
Som jeg forstod det, så ryger man stadigvæk i de USAnske regler, hvis der i ejerkredsen findes USAnske entiteter, som ejer tilsammen mere end en hvis procentdel af datacentret - også selvom denne ejerandel er en minoritet.
Næh: Vi skal tilbage til onsite hosting.
... men det betyder at man skal gisp have en IT-proffesionel ansat på skolen, så man er nogenlunde sikret...
Det kommer helt an på hvordan data er genereret.
Hvis alle prøversvar for en given dato bliver talt sammen for hver page load, holder jeg skråsikkert på at nogen har sovet gevaldigt i timen.
I så fald burde data hentes fra en opsummeret tabel.
Selvom jeg synes Blazor er fascinerende, så er jeg ikke så sikker på at den vil score højt på førnævnte ranking tjenester.
For mig at se er Blazor blot arvtageren til Java applets, som var notorisk langsomme at loade i browseren og som kunne kun interagere i begrænset omfang med resten af indholdet på siden.
Bevares: Microsoft har banket hastigheden op, fordi Blazor bruger webassambly, men er det ikke lidt katoffel-katoffel om en browser skal køre bytecode (java) vs webassembly?
Jeg tror det bliver betragtet som "teori" indtil der er kommet lig på bordet hos retsmedicinsk institut.
... og selv da er jeg en anelse skeptisk.
Men hvilke krav vil du stille til en statsautorisation?
Personligt vil jeg tro den skal findeles lidt.
Blot fordi man er en haj til netværk og infrastruktur, betyder ikke at man kan lave god kodekvalitet.
Det omvendte kan også være tilfældet.
Vi har trods alt alle sammen vores styrker og svagheder. :-)
Okay det var nok nok en typo. ;-)
Det var nok nærmere MHz, men stadigvæk en laaaangsom computer.
Hastigheden var forøget dramatisk nogle år senere, da de skiftede computerne ud efter et lynnedslag.
Tja jeg havde maskinlære (altså tekstbehandling) i efterskole i 1993.
Dog havde vi en enkelt time eller to hvor vi splittede en gammel Mac fra hinanden og gennemgik indmaden. :-)
I 1994 havde jeg et valgfag hvor vi rodede en del med MS-DOS på nogle gamle Commodore PC, hvor CPUen kørte 20 Hz, havde 20 MB harddisk og 2 MB ram.
Her fik jeg brugt Memmaker en hel del og nærlæst manualen til CONFIG.SYS, så jeg præsterede på et tidspunkt at få computeren til at registrere at der var 1024 kb base memory i stedet for de sædvanlige 640 kb.
Man skal ikke undervurdere dette trick, fordi det betød man kunne køre 3 af de følgende ting i stedet for kun 2:
- mus
- lydkort
- netværkskort
Jeg lærte også at klone en pc ved hjælp af et null-modem kabel samme sted. :-)
... og jeg tror jeg har stadigvæk et null-modem kabel liggende i kælderen!
Der er ellers en løsning på udfordringen med BGP, nemlig RPKI.
Cloudflare holder øje med udrulningen på denne hjemmeside:
... men nu fremgår det af artiklen at det var en fejlkonfiguration, som gjorde at folk kunne ikke komme på internettet.
Jeg er ikke sikker på at RPKI, vil kunne forhindre at et subnet kan falder af nettet p.g.a. fejlkonfiguration hos en udbyder.
Til gengæld skulle den gerne kunne forhindre, at en fejlkonfiguration sender hele Europa offline.
Ah... klap nu lige hesten. :-)
At hacke et WiFi access point fra gaden er nok ikke første angrebsvektor.
Her er phising noget nemmere at gå til og hvis det ikke virker så kan en professionel "muldvarp" lave meget skade.
Men ellers kan man bruge samme politik som Aarhus Universitet brugte, da jeg læste datalogi:
Alle stik i væggene og alle access points er per definition usikre.
Derfor skulle man altid logge på VPN, uanset om man skulle tilgå en lokal server, eller om man skulle blot surfe på Internettet.
Indrømmet her bliver jeg også nysgerrig.
Når man vælger ens WiFi, bliver man jo spurgt hvad type netværk det er og hvad koden er til det.
Det påvirker jo hvilken algoritme som skal bruges til kodning og dekodning af WiFi trafikken.
Anyhow:
Ud fra hvad jeg kan finde på Wikipedia var WEP forældet i 2003. Her anbefalede WiFI alliancen at man skulle bruge WPA i stedet for.
WPA2 blev frigivet i 2004, så spørgsmålet er hvor mange har en maskine som kan gå trådløst på nettet og som er over 16 år gammel? :-)
Lasse Mølgaard