14:13
10/4/2020

W ostatnich tygodniach kluczowe słowa w naszych rozmowach z klientami, to głównie praca zdalna i VPN. Czas jest specyficzny i wielu z nich przeszło na pracę on-line. W działach IT, po raptownej instalacji nowych urządzeń do terminowania VPN, opadł kurz walki i sytuacja powoli się stabilizuje, a przynajmniej tak mogło by się na pierwszy rzut oka wydawać. Po pierwszym uderzeniu, na horyzoncie pojawia się całkowicie nowe wyzwanie. Setki laptopów – tych nowych, nabytych w pośpiechu i tych starych, nagle wzbudzonych do życia, rozjechało się po domach. W jednej chwili setki tysięcy zwykłych mieszkań stało się także małymi biurami. Komputery opuściły tym samym bezpieczne sieci firmowe i trafiły na niezabezpieczone pole walki.

Niniejszy artykuł jest autorstwa Piotra Ksieniewicza (CCIE#23799, CISSP, CEH) z firmy Network Experts.

W firmie, na ogół, jest przecież zaawansowany firewall, jest IPS, mamy content filtering, url filtering i wiele innych wynalazków z dziedziny bezpieczeństwa. Po przejściu w tryb pracy zdalnej, do tej pory bezpieczne firmowe komputery, podłączyły się do domowych routerów, nierzadko kosztujących złotych 1,23 (z VAT) i będących dodatkiem do usługi dostępu do internetu. Czy one są bezpieczne? Nie sądzę! Jako mechanizmy ochrony zasobów teleinformatycznych w obecnej chwili pozostały na placu boju zazwyczaj dwa rozwiązania: klasyczny antywirus oraz szyfrowanie czyli połączenie vpn-em do wnętrza firmy.

Zastanówmy się jakie mogą być konsekwencje takiego funkcjonowania.

Klasyczny antywirus nie zapewnia pełnego bezpieczeństwa

Antywirus nie chroni przed dużą częścią zagrożeń. Najprostsza forma ochrony, czyli rozpoznawanie sygnatur potencjalnych zagrożeń, to zdecydowanie za mało. Wystarczy drobna modyfikacja pliku z zagrożeniem i już nasza ochrona na nic się nie zdaje. Lepiej jest, jeśli takie rozwiązania ochrony potrafią jeszcze rozpoznać zagrożenia polimorficzne. Całkiem dobrze, jeśli dodatkowo oprogramowanie antywirusowe prowadzi analizę zachowania konkretnego oprogramowania.

Powstają jednak cały czas nowe modele zachowań plików z zagrożeniem, nie wiemy co za chwilę może nam zaszkodzić. Przecież wystarczy, że jakiś sprytny skrypt pozmienia trochę nazw plików na naszych komputerach, czy odnajdziemy się w nowej rzeczywistości, gdzie nasz raport za pierwszy kwartał zeszłego roku będzie się nazywał np. d4b7dmsb.xls zamiast rap-1kw.xls? Czy ewentualny plik powodujący takie losowe podmiany musi być rozpoznany jako coś złego? Szczególnie jeśli działa sobie wolno, podmieniając pliki w odstępach kilku minut?

Tak samo było z ransomware. „Ten” program, który właśnie uruchomił użytkownik, to tylko narzędzie, które cos szyfruje. Skoro szyfruje, to nawet lepiej, bowiem gdy ktoś wykradnie dysk, to data at rest i firmowe know how na ich komputerach będą bezpieczne. O Stop! nie mamy przecież klucza do odszyfrowania…. Teraz już wszyscy wiedzą że takie zachowanie to coś złego, ale czy wiedzieliśmy to 10 lat temu?

Powtórzymy: klasyczny antywirus nie zapewnia pełnego bezpieczeństwa. Bezpieczeństwo najlepiej zapewniać stosując wiele poziomów i punktów inspekcji oraz kontroli. Jeżeli możemy odseparować zagrożenia, zanim dotrą do silnika naszego programu antywirusowego, to zróbmy to. Tyle, że teraz ten program niejednokrotnie został naszym jedynym zabezpieczeniem w komunikacji z internetem.

Możemy przywołać przykład firmy, w której autor projektował i realizował sieć bezprzewodową.

Słabo zabezpieczone domowe sieci WLAN

Urządzenia sieciowe z leciwym software, to olbrzymie możliwości w zakresie pozyskania dostępu do sieci, w której właśnie przesyłane są dane firmowe.

Atakujący korzystając ze słabo zabezpieczonej sieci domowej, niskim kosztem uzyskuje dostęp do sieci bezprzewodowej. Widzimy cały czas nieśmiertelnego WEPa lub WPA z najprostszym hasłem, zaskakująco zgodnym z imieniem dziecka lub psa. Otrzymując dostęp do sieci, atakujący ma możliwość wykonania ataków na warstwę drugą modelu OSI ISO. Zyskuje możliwość podszycia się pod default gateway i przechwytywania w locie całej komunikacji, a nawet jej podmiany. Oczywiście nie uda się to łatwo z ruchem szyfrowanym https, ale zawsze znajdzie się jeszcze coś, co zaszyfrowane nie jest. Można pobawić się też dns-em, udzielając odpowiedzi na zapytania wg własnej woli, kto w końcu używa DNSSEC.

VPN pomoże, ale najlepiej gdy tunelowany jest cały ruch z komputera pracownika zdalnego, w tym też ruch stricte internetowy, który nie trafia docelowo do wnętrza firmy. VPN powinien uruchamiać się także w zasadzie od razu, w procesie startu komputera. Profil VPN w konfiguracji komputera powinien uniemożliwiać połączenie z serwerem, który przedstawia nieprawidłowy certyfikat. Z ręką na sercu, niech się przyznają Ci którzy nie spełnili wszystkich kryteriów wymienionych powyżej w zakresie swojego dostępu do sieci firmowej. Ja nie spełniłem.

VPN nie rozwiązuje wszystkich potencjalnych problemów, a nawet więcej, bowiem może stać się celem ataku. Co się może stać? proszę bardzo, oto przykład.

W skrócie podobny atak może wyglądać następująco: atakujący przechwyci (korzystając ze zdobytego dostępu do domowej sieci WLAN) ruch kierowany do serwerów VPN, następnie podmieniając odpowiedzi na zapytania DNS, tak aby kierowały ruch VPN zamiast do poprawnych serwerów VPN do swojej usługi, której celem będzie zebranie danych logowania użytkownika. Zapytasz drapiąc się po głowie: to tak się nadal da? Tak! to nadal się udaje!. Niektórym udawało się nieprzerwanie przez kilka lat, i to gdy na cel brali firmy w Arabii Saudyjskiej, a tam finansowanie na IT Security jest na wysokim poziomie.

No dobrze, ale to tylko jeden przykład. Już zadbaliśmy o bezpieczny VPN, mamy antywirusa. Niestety nie tunelujemy całego ruchu internetowego do firmy, bo łącza i urządzenia nie obsłużą tego ruchu. Dodatkowo należy się spodziewać wzmożonego zainteresowania użytkowników domowych przeglądaniem stron internetowych, niekoniecznie związanych z ich pracą. Kolega nie widzi, szef nie widzi – czyli nikt nie widzi, zatem pooglądajmy sobie koty grające na banjo i roześlijmy kilka(naście) memów.

Czyli można rzec, sytuacja jest trudna i ciężko mieć ją pod kontrolą, tak od początku do końca. Oczywiście możemy pracowników prosić, aby zachowywali się w internecie rozsądnie, aby nie pobierali żadnego oprogramowania, nie instalowali go, nie wchodzili na niebezpieczne strony. Z doświadczenia życiowego jednak wiem, że poleganie na cudzym zdrowym rozsądku bywa zgubne.

Konstruktywne rozwiązanie, żeby nie było to tylko straszenie.

Sytuacja jednak nie jest patowa, bo mamy rozwiązanie problemów związanych z niebezpieczeństwami pracy zdalnej, w zasadzie nawet dwa rozwiązania, są to: Cisco Umbrella i Cisco DUO.

Cisco Umbrella

Umbrella – czyli rodzaj chmurowego firewalla bazującego na zapytaniach DNS.

    ➢ pozwala zminimalizować ryzyko podstawienia niepoprawnej odpowiedzi DNS,
    ➢ uwierzytelnia komunikację DNS,
    ➢ eliminowane są wszystkie ataki bazujące na modyfikacjach odpowiedzi DNS,

Umbrella blokuje wszystkie odwołania do ryzykownych domen lub stron niezgodnych ze skonfigurowaną przez administratora polityką. Ocena bezpieczeństwa zasobów z którymi się łączymy jest wykonywana przez Cisco Talos, czyli jednostkę Security Intelligence Cisco. W tej chwili jednostka ta analizuje komunikację w systemach Next Generation Firewall, systemach ochrony poczty, systemach antimalware zainstalowanych na komputerach użytkowników. Jako dodatkowe źródło informacji wejściowej służy także środowisko analizy plików: Sandbox Cisco Threat Grid. Biorąc pod uwagę cały ten powyższy materiał dowodowy, kilkuset inżynierów bezpieczeństwa ocenia co jest bezpieczne, a co nie.

Co najważniejsze w Cisco Umbrella, to fakt, iż blokowanie występuje już na samym początku, zanim wejdziemy na stronę ze złośliwym kodem lub pobierzemy pliki. Najczęściej klienci stosują Umbrellę w firmie, gdyż mogą w 15 minut wdrożyć zaawansowany system zabezpieczeń. Wystarczy na chmurowym panelu ustawić IP z jakiego przychodzą zapytania DNS – zmienić DNS na komputerach na serwery Umbrelli (208.67.222.222, 208.67.220.220) i już!

Oczywiście potem możemy w zawansowany sposób zmieniać politykę zabezpieczeń naszej sieci. Możemy:

    • Blokować dowolne URL i domeny
    • Blokować całe kategorie stron od stron dla dorosłych, poprzez Online shopping czy strony
    społecznościowe
    • A co najważniejsze korzystać z inteligencji Umbrelli w rozpoznawaniu stron podejrzanych. Za
    wszystkim stoi Cisco Talos
    • Blokować ruch typu command & control

Ktoś zapyta jak to rozwiązanie pomoże nam w obecnej sytuacji? Przecież nie znamy adresów IP wszystkich naszych pracowników. Z pomocą przychodzi bardzo ciekawa (szczególnie w obecnym czasie) funkcjonalność Umbrelli – roaming client!

Umbrella Roaming client

Co to jest roaming client? To 3MB bardzo lekkiego i prostego programu, który możemy w prosty sposób zainstalować na komputerach pracowników. Program ten będzie szyfrował wszystkie
zapytania DNS i wysyłał do serwerów Umbrelli razem z identyfikatorem komputera. Gdziekolwiek nie pracujemy – zawsze zostaniemy zidentyfikowani jako komputer danej organizacji i zadziałają polityki bezpieczeństwa.

Szyfruj zapytania DNS i przetestuj Umbrellę!

Jeżeli chcesz skorzystać z wersji trial usługi Umbrella, to prosimy o wypełnienie formularza, abyśmy mogli aktywować ją dla Ciebie.

Po aktywacji usługi, na podany adres email, przyjadą dane do logowania. Już przy pierwszym logowaniu możemy dodać adresację IP naszej firmy – nie musimy tego koniecznie robić, jednak zalecamy od razu podać naszą adresację. Po zmianie w naszej sieci DNSów na adresy Umbrelli, ochrona zacznie już działać.

W sytuacji, gdy chcemy skupić się na komputerach naszych pracowników pracujących z domu, przechodzimy do następnego kroku:

Pobieramy plik „roaming client” i instalujemy na stacjach. Kilka ważnych kwestii:

    • W archiwum jest kilka plików, łącznie z plikiem json, który parametryzuje instalację.
    • Każdy klient ma instalację od razu z ustawionymi parametrami.
    • Wystarczy wszystko wypakować do jednego katalogu i zainstalować. W pliku txt są gotowe
    komendy dla instalacji zbiorczych z GPO czy też cichej instalacji w tle.
    • Jak ktoś używa już Cisco Anyconnect to należy zintegrować moduł Umbrelli właśnie do
    Anyconnecta.

I to wszystko. Teraz przechodzimy do panelu i ochrona działa! Przy VPN typu split tunel, a taki przypadek tutaj opisuję, agent Umbrelli bezproblemowo współpracuje ze zdecydowaną większością klientów VPN.

Zawsze później możemy pobrać agenta w zakładce Deployments > Roaming Computers. Pamiętajmy, że instalacja jest parametryzowana, dlatego to jedyne miejsce gdzie możemy pobrać gotową instalkę.

W trybie domyślnym Umbrella blokować będzie jedynie (lub aż) Malware, C&C oraz phising. Jednak wystarczy udać się do konfiguracji i zmodyfikować domyślną politykę:

W sekcji Security możemy dodać dodatkowe opcje zabezpieczeń jak blokada dynamicznych wpisów dns, natomiast w sekcji Content Setting możemy zablokować kategorie Urli, które będą blokowane.

Najłatwiej skorzystać z predefiniowanych poziomów, jednak możemy wszystko ustawić sami. I tutaj ważna uwaga – propagacja zmian trwa od kilku do kilkunastu minut. Jak ustawicie sobie testowo poziom HIGH, to przez tę chwilę jak będziecie czekać na zmianę na niższy poziom (bo chyba mało kto tam będzie chciał zostać), nie będzie działał Facebook, Youtube czy inny Gmail

Dodatkowych opcji jest bardzo dużo i zachęcam do samodzielnego ich przetestowania. Ja z pewnością polecam pobranie certyfikatu CA Umbrelli, którym podpisany jest captive portal. Wrzucenie go do „Zaufanych głównych urzędów certyfikacji” nie jest moim zdaniem dużym problemem – szczególnie jak zrobimy to centralnie poprzez AD. To pozwoli na szybkie wyświetlanie block page bez ostrzeżenia o certyfikacie:

Niestety bez certyfikatu użytkownik dostanie ostrzeżenie, że coś jest nie tak – w końcu łączy się np. z Facebookiem, a inny serwer (captive) serwuje mu stronę. Nie polecam przyzwyczajać użytkowników do ślepego klikania „otwórz mimo to”. Oczywiście stronę z blokadą możemy dowolnie modyfikować.

Trail domyślnie ma 21 dni, jednak możemy przedłużyć go do 42 dni. Już teraz Cisco mówi o możliwości przedłużania triala do 90 dni ze względu na panującą pandemię.

Co dalej? Oczywiście Umbrellę można wykupić i nie jest to bardzo duży koszt. W sytuacji gdyby trial nam się skończył, to de facto nie musimy robić nic, gdyż DNS Umbrelli działa zawsze, bez względu na wykupione usługi. Jest to zresztą po Google, druga najpopularniejsza usługa DNS.

Co jeszcze oferuje Umbrella:

    • blokowanie nie tylko dns i url ale również komunikacji z adresami IP poprzez mechanizm proxy (w najwyższych wersjach),
    • integrację z AD,
    • niedługo zostanie wprowadzony firewall chmurowy,
    • I wiele innych opcji.

Umbrella, to przede wszystkim bardzo prosty i szybki sposób zabezpieczenia sieci przedsiębiorstwa bez potrzeby inwestycji w sprzęt i z wdrożeniem w 10 minut.

Cisco DUO

Jeżeli chcesz skorzystać z wersji trial usługi Duo, to prosimy o wypełnienie formularza, abyśmy mogli aktywować ją dla Ciebie.

We wcześniejszej części artykułu rozważaliśmy przypadek związany z bezpieczeństwem haseł remote- vpn. Tutaj także mamy rozwiązanie problemu, i jest nim uwierzytelnianie wieloskładnikowe. Oprócz użytkownika i hasła, aby się zalogować, potrzebne jest także hasło jednorazowe. Hasło jednorazowe dostępne jest z urządzenia zwanego tokenem. Kiedyś był to taki dedykowany „kalkulator”, gdzie po podaniu PIN pojawiał się kod. Teraz dedykowany kalkulator odszedł do lamusa, wystarczy aplikacja na smartfonie. Zresztą nowe wytyczne dla bankowości elektronicznej i konieczność podawania hasła sms (lub z aplikacji) spowodowały, że użytkownicy zrozumieli zasadę działania i przywykli do takiej formy.

Co to jest Duo? Duo, to niedawna akwizycja bardzo prężnie rozwijającej się firmy skupionej na uwierzytelnianiu wieloskładnikowym. Duo jest oparte o chmurę i ma jeden cel – wprowadzić uwierzytelnianie dwuskładnikowe dla największej liczby aplikacji.

Co możemy zabezpieczyć dzięki Cisco Duo? Praktycznie wszystko:

    • Remote Access VPN,
    • aplikacje z dostępem www,
    • Office 365 i One Drive,
    • Google Suite,
    • i praktycznie wszystko co może się odwołać do Radiusa czy innej formy zewnętrznej bazy.

Integracje z systemami są świetnie opisane na stronach Duo i ich realizacja przypomina kopiowanie kodu ze stackoverflow :). Co prawda nie wszystkie aplikacje/systemy wspierają natywnie takie rozwiązania, ale to rozwiązuje oprogramowanie proxy Duo.

Przy każdej próbie logowania będziemy potwierdzać fakt logowania drugim składnikiem. Najprościej jest to zrobić poprzez aplikację na smartfonie:

To oznacza, że do VPN czy innego zasobu logujemy się tak jak zawsze, z tą różnicą, że po podaniu użytkownika i hasła, domyślnie wyskakuje nam powiadomienie na telefonie aby zaakceptować naszą próbę logowania. Zamiast aplikacji możemy wybierać też sms’y a nawet połączenia głosowe.

To co jest bardzo istotne to fakt, że Duo nigdy nie przechowuje danych logowania. Hasła są zawsze w naszym AD lub LDAP, a najwyżej to serwer proxy Duo przekazuje te dane z systemu żądającego autoryzacji.

Na uwagę zasługuje fakt, że płacimy za użytkownika a nie za ilość integracji. Po wdrożeniu na remote VPN, możemy bez problemu zabezpieczyć wszystkie krytyczne aplikacje w firmie.

Według przedstawicieli Duo, najczęściej (niestety) ich produkt jest wdrażany po tym jak włamywacze spenetrują środowisko i zdobędą dane uwierzytelniające – wtedy w ciągu kilku godzin bardzo istotne jest dodatkowe zabezpieczenie aplikacji i firmy, gdyż sama zmiana haseł jest często nie wystarczająca.

Podobnie jak Umbrella, Duo oferuje bezpłatne wersje trial (ten również możesz otrzymać od nas), dzięki czemu masz możliwość przetestowania wszystkich funkcjonalności w infrastrukturze przed podjęciem decyzji.

Wypełnij formularz i zabezpiecz nie tylko swoją sieć, ale również pracowników mobilnych. Pod koniec triala wspólnie z inżynierem Network Expert, będziesz miał możliwość omówienia kwestii zabezpieczenia sieci oraz porozmawiać o wykrytych problemach.

Niniejszy artykuł jest artykułem sponsorowanym i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie.

Na marginesie i w 100% od redakcji: z Umbrelli, dzięki uprzejmości Cisco, od ponad 2 lat sami korzystamy w zakresie modułu dla analityków. Dzięki temu artykuły z ostrzeżeniami o atakch, które widzicie, zawierają więcej danych (m.in. o skali ataku w PL).

Przeczytaj także:



24 komentarzy

Dodaj komentarz
  1. A Australia zbanowala szyfrowanie xD xD xD

    • Tak tylko chcialem zwrocic uwage, ze australijczycy to tzw. “siedzace kaczki” bo VPNy wlasnie to swietny przyklad End-To-End Encryption —- poniewaz analitycy uwazaja ze takie przeboje wkrotce i u nas, a i pewnie sie okaze jak juz stadnie “zapomnim” o lekcji plynacej z obecnego stanu, ze nikt nie bedzie mial nic przeciwko…

  2. Umbrella jako firewall? Chyba na głowę upadliście. To chyba artykuł sponsorowany. Przecież jak malware zadziała po IP to nici z umbrelli która działa na podstawie dns. Macie rigcz?

    • I tu widać Twoją ignorancję. Po pierwsze Umbrella może blokować na podstawie samego adresu IP właśnie dla mallware’u który nie korzysta z DNS (choć jest to b. rzadkie żeby mallware nie używał DNS… ). Ta funkcjonalność jest opisana tu: https://docs.umbrella.com/deployment-umbrella/docs/6-adding-ip-layer-enforcementz

      Po drugie tak to jest artykuł sponsorowany – wystarczy dokładnie czytać ;)

  3. Cloudflare for teams jest za darmo, w porównaniu do tej Umbrelli. (ಠ‸ಠ)

    • Nie jest za darmo, bo za taką funkcjonalność jaką oferuje Umbrella też musisz Cloudflare zapłacić. Ten darmowy wariant ma prawie że nic, wszystko wepchnęli do Enterprise za które trzeba, co zrozumiałe, płacić.

  4. O beyondcorp się nie słyszało https://www.beyondcorp.com/

  5. Bardzo pięknie rozpoczęty artykuł.
    “Antywirus jako niewystarczające zabezpieczenie” – brawo.

    Następnie była wzmianka o routerach i ich bezpieczeństwie – brawo.

    Ale dalej zaczęły się schody. Atak MITM na połączenie VPN?
    To prawda, że w specyficznych warunkach jest to możliwe.
    Wydaje się jednak, że osoba pisząca artykuł nie ma pojęcia o temacie.

    Dalej to jakiś bełkot ze zwrotami typu: „Talos”, „Security Intelligence”, „Next Generation Firewall”.
    Tak jakby autor chciał wejść w techniczne aspekty, ale tak nie do końca.

    Narzędzia nie sprawdziłem, ale z opisu wnioskuję, że dla mnie, nie będzie ono przydatne.
    Wydaje się również, że nie będzie przydatne dla osób z poprawnie skonfigurowanym VPNem.

    Mniej bełkotu więcej konkretów.
    Podlinkowany artykuł kompletnie mnie nie przekonał, a co nieco wiem o tym i o tamtym.

  6. >następnie podmieniając odpowiedzi na zapytania DNS, tak aby kierowały ruch VPN zamiast do poprawnych serwerów VPN do swojej usługi

    Kto o zdrowych zmysłach wpisuje domenę do VPN zamiast IP?

    • Proszę sobie wyobrazić że cały cywilizowany świat tak podaje…co jest łatwiej zapamiętać: vpn.office.com czy 45.23.83.233 ??

  7. co myślicie o postawieniu pfSense pod virtualboem + dodanie w nim dwóch wirtualnych kart sieciowych i puszczenie ruchu sieciowego przez pfSense ?

  8. A co myślicie o postawieniu pfSense na Virtualboxie i puszczenie przez niego ruchu sieciowego ?

  9. Czy mi się tylko wydaje czy cały ten artykuł i wspomniane w nim rozwiązania starają się uchronić użytkowników biurowych pracujących na systemie z Redmond?…

    Czy jest jakieś takie rozwiązanie dla maka albo linuxa?

  10. A tak swoją drogą kogo to kurka boli, że się spędzi pare minut na fejsie czy yt albo przeglądaniu kociaków? Cholera to nie kołchoz tylko praca, a ta wymaga czasami relaksu, żeby móc wydajnie pracować….

    Rekord padł w ostatnim projekcie, gdzie pracodawca sprawdza kamerką czy ktoś siedzi przed komputerem czy nie i czy stuka w klawisze i jaki program ma aktywny… paranoja…

  11. A w firefox nie ma czegoś podobnego ? DNS over HTTPS

  12. Taa, firmowe kompy w domu… A co powiecie na domowe kompy z firmowym VPN-em?
    Zwyczajnie ludzie nie mają służbowych laptopów, bo pracują na wygodnych desktopach.
    Wbijam się TeamViewerem na prywatnego żeby podszykować, a tam syf, kiła i mogiła! Pirackie gry, klienci p2p, po dwa antywirusy (oba nieważne), aktualizacje przestały się instalować 2 lata temu, przeglądarka wyskakuje okna z reklamami przy wejściu gdziekolwiek, a w pasku przy zegarze kilka programów, które “czyszczą i przyspieszają”.

    To teraz dajcie artykuł: jak zdalnie przeinstalować system :) .

    Win10 w zasadzie bardzo łatwo się instaluje, ale zawsze jest ryzyko, że gość na czymś utknie. Albo np. uszkodzony dysk. W ogóle, o ile system jest legalny i sprzęt był kupiony z Win8/10 albo ma nalepkę na 7.

    • Niech to oni sie wbijaja TV na wygodnego desktopa w biurze.

  13. To juz sie nie ocenia pracy po wynikach? Czy to takie bicie z dwoch stron:
    1. nie siedzisz ale masz wyniki – przyp* sie do tego ze cie nie ma
    2. siedzisz ale wynikow nie ma – przyp* sie to tego ze nie ma wynikow.

    Co dla mnie osobiscie jest czysta glupota, bo maksymalizujac pod 2 obnizasz 1 i vice versa – czyli w konsekwencji zawsze jest sie do czegos przyczepic, czyli tak naprawde sens pracy w podwojnym systemie jest nie tyle ekonomiczny co uslugowy: czytaj worek treningowy dla sadysty…

    Ps. I wiem, teoretycznie mozna miec i 1 i 2, tylko ze w takich sytuacjach materialu nie starczy (mocno) w innych miejscach (zazwyczaj kasa, narzedzia czy niedostosowanie pracy do kompetencji pracownija).

  14. @Maciej
    “…pare minut na fejsie…”

    O ile opinie o nadmiernej kontroli mam raczej negatywna (przynajmniej kiedy zatrudnia sie rzetelnych pracownikow) to do twojej wypowiedzi sie przyczepie, poniewaz “pare minut na fejsie” to tak jakby powiedziec, ze si “troche ćpa”…

  15. Moglibyście napisać że pan polegający zajmuję się sprzedawaniem produktów cisco więc jest to artykuł sponsorowany.

  16. Moim zdaniem sam VPN to zło, bo bardzo łatwo nawet jeżeli sam VPN jest skonfigurowany poprawnie narobić sobie problemów np przez słabą izolację hostów wewnątrz sieci firmowej.

    Do takiego VPNa będą się podłączali wszyscy w firmie, często z komputerów prywatnych – bo komuś się laptop kawą zalał a nowy jeszcze nie przyszedł. W takim wypadku bardzo łatwo o szerzenie się np infekcji ransomware.

    Co więcej często aby ułatwić współpracę we wspólnym lanie stoi wszystko od udziałów sieciowych, przez serwer AD po usługi pocztowe. W przylądku infekcji mamy armagedon bo dość szybko wszystko pada o nawet nie wiadomo od czego zacząć przywracanie usług.

    Wiadomo nie w każdej firmie taka sytuacja wystąpi akeale wolniejszych firmach gdzie świadomość na temat bezpieczeństwa sprowadza się do „musi być VPN bo pani Stasia nie może raportu wrzucić na Z:” to dość prawdopodobne.

  17. […] office odnotowuje się zwiększenie liczby ataków wobec osób prywatnych i przedsiębiorstw.  Praca home office często wiąże się ze słabo zabezpieczonymi sieciami domowymi, o czym niedawno pisał Piotr Ksieniewicz w artykule dla niebezpiecznika. Jak odnotowuje KPMG od […]

  18. Ten cały “CISCO Umbrella” jest dużo lepszy niż Ipsec Strongswan, Wireguard czy OpenVPN?
    Czy tylko dużo droższy, jak to zwykle w Cisco?

    Pozdro

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: