Forum

Forum

Bezpečné zasíťování...
 
Notifications
Clear all

Bezpečné zasíťování domu pomocí ubiquiti

Page 5 / 8

Daver
(@daver)
Estimable Member
Joined: 4 years ago
Posts: 167
 

Jestli má klient Synology, tak je tam pěkný integrovaný DNS Server i s replikací zón, je to easy to set, dobře se to spravuje a protokol si můžeš exportovat. Tady jsem ti vytípl dotaz na seznam a co je potřeba nastavit v logování DNS serveru. Samozřejmě to můžeš nastavit někde na Linuxu, ale to asi není to, co bys chtěl 🙂 Transparentní proxy je taky možnost, kdysi jsem nastavoval na mikrotiku a bylo to dost pomalé, ale dnešní Hex3 routříky už mají dvoujádro a utáhnou lecos, nebo pak dospělý firewall ... 

SynologyDNS

ReplyQuote
wex
 wex
(@wex)
Active Member
Joined: 6 years ago
Posts: 17
 

Na sledování navštívených stránek by asi šlo použít Pi-hole, je to DNS server a používá hlavně na blokování reklam na síťové úrovni. Jak název napovídám, tak to jde rozjet i na raspberry pi, popřípadě v dockeru.

Pokud by byl zákazník více náročný, tak by šel využít pfSense, jako router/firewall, kam lze doinstalovat Squid proxy server.


ReplyQuote
Dáda
(@vary)
Honorable Member Moderator
Joined: 6 years ago
Posts: 694
Topic starter  

o Pi-hole vypada dobre... vyzkousim... jestli tam jde udelat logovani, tak to bude super. . na tom dns mi to vyhovuje ... to je idelani, i kdyz se to da snadno obejit.. to me ale zas tak moc netrapi. Jen s ezeptam, jak se to bude chovat, kdyz dam primar ip pi-hole a sekundar dns google ?  Bude to tak, kdyz nahodou vypadne raspbery, tak to pojede pres google ?


ReplyQuote
wex
 wex
(@wex)
Active Member
Joined: 6 years ago
Posts: 17
 

Přiznávám, že to nasazené nemám, jenom teoreticky nastudované, takže to co teď napíšu, nemusí být 100% pravda.

Jen s ezeptam, jak se to bude chovat, kdyz dam primar ip pi-hole a sekundar dns google ?

Bohužel to takto nefunguje nastavení primárního a sekundárního DNS serveru, ale implementace v OS je taková, že to dělá loadbalancing mezi zadanými servery. Zatím jsem nepřišel na jednoduché záložní řešení.

na tom dns mi to vyhovuje ... to je idelani, i kdyz se to da snadno obejit

Pokud se na firewallu na WAN nastaví blokování odchozích požadavků na DNS kromě IP adresy vnitřního DNS serveru, tak by to nemělo být zas tak snadné.


ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 4 years ago
Posts: 167
 

Ale on chce mít záložní na google, takže do netu musí mít 53 otevřený. Btw u DNS je potřeba ještě počítat s lokální keší na kompech vs TTL u záznamů, stroj se nutně nemusí pokaždé doptat DNSka, ale pokud je dotazována stejná doména opakovaně v nějakém intervalu, vytáhne si IP z keše. Proxy je tutovka.


ReplyQuote
wex
 wex
(@wex)
Active Member
Joined: 6 years ago
Posts: 17
 

Ale on chce mít záložní na google, takže do netu musí mít 53 otevřený.

No to je potom problém, protože nejde jednoduše udělat záložní DNS server. Přes DHCP dostane klient přidělen seznam DNS serverů, které při dotazování točí. Není to tak, že se dotazuje primárního serveru a pokud neodpoví, tak zkusí sekundární.

Co jsem to zatím studoval, tak lidé nasazují dva Pi-hole servery, aby zabránily nedostupnosti internetu při selhání jednoho DNS serveru.

Proxy je tutovka.

U té proxy bude problém HTTPS. Aby to fungovalo i pro HTTPS, tak je potřeba HTTPS terminovat na té proxy a mezi klientem a proxy používat vlastní certifikáty (MITM útok). Aby klientovi nehlásil prohlížeč nebezpečné spojení, tak se musí importovat certifikát z té proxy. Toto jsem taky nikdy nedělal, takže terminologie není možná úplně přesná.

Tím se dostáváme k tomu, že by bylo nutné znát přesné důvody, proč potřebuje zákazník ukládat navštívené domény a kolik do toho chce investovat úsilí/času/peněz.


ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 4 years ago
Posts: 167
 

Jmenuje se to SSL inspekce, ale myslím si že k monitorignu přistoupených domén do certu vůbec nepotřebuješ, stačí hlavička packetu. Teoreticky by se to dalo řešit ještě logem policy na 80 a 443 portu a domény dotlačit z uložené DNS keše ... ale jako jsme u toho, že když si koupí nějaký funky firewall, třeba Fortigate, tak to bude asi elegantnější řešení


KaZaN liked
ReplyQuote
msk
 msk
(@dusanmsk)
Noble Member Moderator
Donator
Joined: 6 years ago
Posts: 1642
 
Posted by: wex je potřeba HTTPS terminovat na té proxy a mezi klientem a proxy používat vlastní certifikáty (MITM útok). Aby klientovi nehlásil prohlížeč nebezpečné spojení, tak se musí importovat certifikát z té proxy.

Ja si nie som celkom isty, ci sa tu nahodou nepohybujeme na hrane zakona. Desifrovat cudziu komunikaciu (a este sa vydavat za niekoho kym niesme) je podla mna na TC.


ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 4 years ago
Posts: 167
 

Jde o komunikaci do a z firmy, je to běžná praxe - firma si musí chránit své know how a zabezpečit svá data, dokonce jí to GDPR přikazuje. 


ReplyQuote
blaf
 blaf
(@blaf)
Reputable Member
Joined: 4 years ago
Posts: 433
 

Pánové, chci se připravit na možnost zavedení optiky. Jelikož se tu psalo o tom, že trubička na zafukovaní optiky je tuhá a špatně se protahuje, tak bych ji protáhl teď, když mám ještě místo a půjde to o něco lépe. Problém je, že se v optice nevyznám. Co přesně mám koupit? https://www.alternetivo.cz/opticke-site-chranicky-trubky-mikrotrubicky_c1300.html Tady je toho tolik, že fakt netuším.


ReplyQuote
radek
(@radek)
Prominent Member
Joined: 6 years ago
Posts: 867
 

Ja bych se tim tolik netrapil. O0tiku sem vpohode protahnul dodatecne domu pres chrenicku 40,ve ktere mi uz vedli 2 utp kabely. Sice je trochu tuzsi, ale zase je slaba a ten radius neni tak hroznej. Doma sem ju pak protahoval pres husi krk 32 zahnutej skoro 90st a taky se podarilo. 


ReplyQuote
Daver
(@daver)
Estimable Member
Joined: 4 years ago
Posts: 167
 

Zrovna to řeším, jsem těsně před zaklopením stropů a ještě sem byl kolegou upozorněn, s ohledem na čím dál tím lepší dostupnost 10Gbit technologií, že by bylo dobrý natáhnout optiku, ať pak za pár let nebrečím, že mám 16K 6D videa pomalý 😀 

Takže já skočím pro tuten kabel: https://www.alternetivo.cz/kabel-opticky-samonosny-drop-fttx-3mm-eca-04-vlakna-sm-9-125-g-657a2-pu-cerny-fr-d3mm-800n-prevesy-do-120m-ha_d50829.html

Zaplatím celou krabici a co nespotřebuji vrátím s dobropisem. Natáhnu do každé místnosti jeden z centrálního místa. Nechám to v krabičce za záslepkou pro strýčka příhodu. Bude to pár tisíc (jednotek), ale takových už do domu zahučelo a raději mít navíc, než pak brečet a nemít vůbec. 


ReplyQuote
blaf
 blaf
(@blaf)
Reputable Member
Joined: 4 years ago
Posts: 433
 

Jo, taky bych těď natáhl i optiku. Bohužel jsem to neudělal, mám nataháno jen CAT6A, tak už mi nezbývá než doufat, že zlevní i 10G switche pro metaliku. 

To co řeším, je jen vstup do domu, aby nebylo problematické pozdější dostávání optiky do dovnitř. Rozvody po domě už jsou teď pasé 🙁


ReplyQuote
wex
 wex
(@wex)
Active Member
Joined: 6 years ago
Posts: 17
 

Optická vlákna se zafukují do trubek jakou jsou tyto:

https://www.shopelektro.cz/ulozny-material/trubky-a-kabelove-chranicky/kopos/chranicky-optickeho-kabelu-hdpe

Záleží na vzdálenosti, ale asi bych tam nachystal něco, do čeho ta chránička půjde později nasunout.

Co se týče vnitřních rozvodů metalika vs. optika, tak mezi tím nevidím moc rozdíly. Obě řešení jsou a budou přibližně stejně drahá. Výhoda metaliky je, že se s ní v domácích podmínkách dělá lépe - nemusím řešit svářečku, kabel vydrží víc. Ve finále těch zařízení doma, které využijí tu rychlost moc nebude. V rámci racku se to propojí jakkoli (nemusí se to chystat předem) a dál to bude +/- tolik, kolik je členů domácnosti.


ReplyQuote
blaf
 blaf
(@blaf)
Reputable Member
Joined: 4 years ago
Posts: 433
 

@radek co presně jsi protahoval skrz tu chráničku? To na co dával odkaz wex má vnější průměr 40mm, tak si nedokážu představit, jak bys to protáhl 32 husím krkem 🙂 To jsi asi nedával tu trubičku na zafukování, ale jen nějaký optický patch kabel (nepamatuju se jak se tomu u optiky říká), ne?

Ta chránička má min rádius 400 mm, to u mě může být trochu problém. Umím si představit, že to teď ještě vyřeším, když něco vydlabu v podlahovém polystyrenu, ale až bude finální podlaha, tak už tam budu těžko něco vymýšlet. 


ReplyQuote
Page 5 / 8
Share: