Biztonságos(abb) videókonferencia cégeknek 2020?

Sziasztok!

A kikerült Zoom-os videó elgondolkodtatott: csak úgy becsattanni érzékeny adatok szobájába? Egy text url-lel? Hol van ilyenkor tűzfal (a dedikált IP-range-nek?) Ja, hogy ez egy 3rd party felhő? Gratula.
Lehet, hogy furcsán fog hangzani, de akkor inkább már Skpye Business dedikált saját szerverrel, VPN-ezett userekkel.
Valami hasonló érzésem van az összes felhő alapú meeting szoftvernél: jó játszótér, ha mindenki kint van és tesz a saját hálózatára. Hány TCP/UDP portot kell kinyitni ahhoz, hogy működjön egy felhő bigyó? Egy komolyabb céget egy botnet azonnal két vállra akarna nyomni.

Nem értem mi zajlik, az IT biztonságiak már felakasztották magukat?
Van most a piacon hasonló megoldás, mint a Skype Business céges szerverrel?
 

Hozzászólások

Kicsit jobban kifejthetnéd, mert valóban mostanában egy csomó érzékeny témát ezeken a megoldásokon tárgyalnak meg nem csak cégek, hanem politikai szervezetek is, ami szerintem sem jó dolog. Viszont milyen alternatívák vannak, amik használhatóak is? Tehát pl. a műszaki analfabéta is be tudjon kapcsolódni a nappalijából, de ne streameljük azért a kontentet se Kínán, se az USAn keresztül, ahol szerintem is árgus fülecskék figyelnek bele az érdekesebb témákba.

Szóval, mit javasolsz? 

Javasolni? Semmit, mert az alapvető probléma az, hogy műszaki analfabétáknak kell adni egy komplex eszközt. Vagy az eszközt kell lebutítani a szintjükre vagy őket kell felokosítani a kellő biztonságra. A butítás gyors, az okosítás lassú folyamat, ennek az eredményét látjuk.

Kapcsold be az előszobát, authentikációval véd a belépést (ha van rá lehetőség) és rendszeresen frissíts.

A szoftverben lévő sérülékenységeket nem fogod tudni kikerülni, a VPN pedig járhatatlan, ha jelentős számú külső ügyfeleid vannak. 

Mindezek rendben vannak, és ha élhető használjuk is; ami a legnagyobb problémám, hogy érzékeny beszélgetéseket előzékenyen straemeljük a konkurencia lehallgatószobáiba. Legyenek azok akár politikailak vagy üzletileg érzékeny témák. (Lehetőleg még a dokumentiációt is náluk tartjuk, de ez most más lapra tartozik, plusz azt ma már meg lehet oldani.)

Igen, de: szakember hiány van és a tengernyi pénz ezt nem oldja meg rövid idő alatt.

Körülnézel, hány olyan szakembert tudsz befogni egy hónapon belül alkalmazottként, akik képesek felépíteni és biztonságosan üzemeltetni egy on premise videókonferencia szoftvert annak minden vonzatával? Mert egy céget a piacról megbízni a munkával nem sokkal jobb helyzet, mint egy olyan céget megbízni, amelyik adja az infrastruktúrát is...

Ez már onnantól vérciki, hogy védelmi miniszterek Zoom-ot használnak. Egy Cisco Webex már nem fért bele a költségvetésbe valami VPN-nel? 

A BigBluebutton ingyenes nyílt forráskódú megoldás, max userszám 100 mint a "nagy proprietary" szolgáltatóknál. Bigbluebuttonnál lehet 100 felett is a userszám de nem ajánlott és a minőség romlásával jár. Az infrastruktúrát és sávszélt persze házon belül kell biztosítani hozzá. Hivatalos Moodle plugin, vannak oktatók akik használják de kevesen, így viszont bírja az egyetemi infrastruktúra :) Jitsi meet másik ingyenes megoldás, ez is működhet saját szerveren OpenVPN mellett. Itt van egy 75-ös hard limit userszámban, de 35 felett már látványosan romlik a minőség. 

Ha már NextCloud, van free-and-open-source BBB-pluginja, és ugyan eléggé friss darab, de ehhez képest kevés elcseszett dolog van benne. (Van egyébként egy zárt BBB-plugin is hozzá, az bitang jó, de ugye az termék.)

Nagyon nem lehet elcseszni a BBB integrációt, hulla egyszerű az API-ja (kb.: összerakod az URL-t, a query string-hez hozzácsapod a shared secretet, csinálsz belőle egy talán MD5 hasht, aztán ezt a hash-t még hozzácsapod az URL-hez), amikor egy konferencia rendszerhez íllesztettem, a leghosszabb szívás azzal volt, hogy egy-két lekérést nem a szerver oldalon kell csinálnod, hanem már a klienst kell ráuszítanod az URL-re (jó, ennél pl. pont el lehet, ha újrahasználsz meeting ID-kat, akkor a régi URL és a checksum érvényes lesz... de az API leírás hivatalosan is javasolja a generált GUID-ek használatát meeting ID-ra)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

A covid19 kezdetén az egész szektornak komoly stabilitási hibái voltak (webex-nek és a Teams-nek is, a zoom-ról nem is beszélve). MS azt írta, kb. megduplázódott az aktív felhasználóik száma 2 hónap alatt. Állításuk szerint aki élt és mozgott, a datacenterben szervereket rackelt.

Zoom-ot használnak. Egy Cisco Webex már nem fért bele a költségvetésbe

Hozzá nem értőként kérdezem: mitől lenne jobb, ha Zoom helyett Webex lenne?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Nem igazán, bocs az offért.

(Tekintve, hogy -- amennyire én értem, de csak extrapolálok szalagcímekből, mert annyira nem érdekel -- a zoommal sem volt valódi sebezhetőség, ha normálisan használtad, nem tudtak bemenni pöcsöt lóbálni, szóval egyszeri usernek kb mindegy, hogy zoom vagy webex, viszont mivel mindkettő usákia, ennek megfelelően eus védelmi miniszterek tárgyalásának akkor se kéne a közelébe menni egyiknek se, hiába szövetségesek laknak mögötte)

Mármint, hogy van-e jobb?

Imho, ha ésszel használod akár a cloudosat is, akkor átlagcégként viszonylag kis rizikónak teszed ki magad, leginkább a világnézeteden függ, hogy melyiknek hiszel, vagy nem (mondjuk én az ilyen nagyon startup szagú, hirtelen berobbantakat kerülném, ott saját szájízem szerint kicsit nagyobb esélyt látok technikai balfaszkodásra) On perm üzemeltetni emberigényes, viszonylag kicsi gainért, Ha ebbe az irányba mész, akkor gondolom első körben érdemes olyat nézni, ami már eleve "van", magyarul meglévő vendortól. A szopás tényleg ott kezdődik, és erodálja a gaint, hogy ha vannak külsősök (márpedig most szoktak lenni). Mert vagy szenvedhetsz dmzvel meg anyámmal te, vagy úgyis valami hibrid izét kapsz pl az MStől, extra üzemeltetési szívással.

És akkor persze ott van még a konkrét feature igény szett, amin felteszem haláloznak el azért megoldások. 

Szóval szerintem nincs silver bulett.

Erről a BBB-s 100 fős problémáról mesélhetnél részletesebben, mert mi valahol 370 fő környékén ültettük le az NTG nekünk allokált részét, és nem volt lényegesen szarabb a minőség, mint amit rendszeresen tapasztalok 3-5-10 fős MSTeams vagy GMeet megbeszéléseken. (Csicsót és Zummot elvétve se használtam, szóval arról nem tudok nyilatkozni.) Mondjuk minden ilyennek egy rákfenéje van, erős kezű moderátor nélkül lófüttyöt se ér.

Nekem a Jitsi bevált: a titkosítása ennek is csak sima böngésző standard, de mint a példa is mutatja nem ott tartunk, hogy ez volna a szűk keresztmetszet. Fel lehet pattintani saját szerverre (nginx mögé AFAIK), elé lehet tenni tetszőleges autentikációt. Ha nem analfabéta a felhasználó, akkor egyébként elvben elegendő lehet a jelszó-szerű szoba link úgy, hogy csak a szervező autentikálja magát, a többiek autentikációja az, hogy tudják a linket. Ha akarod a szervert nyilván rakhatod úgy is, hogy csak VPN-en legyen elérhető, tehát tetszőlegesen fokozhatod a biztonságot (legalábbis a biztonság érzését :-).

A felhős szolgáltatókkal nekem a legnagyobb problémám az, hogy nem tudom elhinni, hogy az egésznek nem az ipari léptékű kémkedés volna az üzleti modellje. Pláne, hogy mind ingyenesen elérhető a kis halak számára. Márpedig ezeket szolgáltatni iszonyatos költség, hol éri ez meg? És ha már az ingyenesekre kiépítették a lehallgatási modellt, akkor nyilván a fizetősökre is bekapcsolják, hiszen ott jön az igazán zsíros információ, nem? Ezért aztán a nemzet biztonságát ezekre építeni számomra hihetetlen meredek.

Persze, amiről ezek a "védelmi miniszterek" picsognak - gondolom divat, receptek, hasonló női dolgok -, annak nincs szükség a védelmére, nyilvánvalóan ezek csak bábok, illetve eleve feladták a nemzet védelmének az igényét is, akik ezekre bízták a vezetést.

Írtam saját programot is, ami egyetlen TCP porton kommunikál, úgy véded ahogy akarod. De ehhez is kell szerver - ami lehet az egyik usernél is. Alapból SSH-t használ titkosításra, de ha valaki nagyon akarja, akár OTP-t is tehet alá, mivel számára a titkosítás tényleg csak egy layer, külön processzben is fut, a parancssor pedig konfolható. Ez viszont egyáltalán nem kényelmesen használható, és valamiért csak Linuxom működik jól (Windowson akadozott amikor legutóbb próbáltam: a gyanúm az, hogy a Windows ütemezője nem kezeli jól azt, hogy a program valójában csak egy rakás pájp egy rakás processz között). Mivel nem egyszerű telepíteni (bár nem is túl bonyolult), ezért csak néhány partnerrel használom, 2-nél több useres konferenciát ki sem tudtam próbálni még, pedig eredetileg arra terveztem. Itt van a linkje, ha valakit érdekel: https://github.com/rizsi/rcom

amiről ezek a "védelmi miniszterek" picsognak - gondolom divat, receptek, hasonló női dolgok

Ez csak feltételezés annak alapján, hogy nők, vagy valaki konkrétan lehallgatta és a munkájuk helyett mással foglalkoztak valóban?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

A személyes véleményem:

on-prem megoldások,  (pl skype business) óriási erőforrásokat (hardver és humán egyaránt) igényelnek, legtöbb cég egyszerűen nem tudja megfizetni.

Ezen felül, ha külsősöket is be akarnak engedni, akkor ki kell nyitni az internet felé. Ez (tűzfal, hálózati szeparáció) újabb erőforrásokat igényelne, ahol a humán oldala hálózati és biztonsági szakembereket is kívánna.

Ezt így együtt simán csak nem tudják előteremteni, vagy egyszerűen "nem éri meg"

Innentől marad a felhős megoldás, amiből eleve sokkal több van, van lehetőség nem windows only megoldásra is :) és sokkal olcsóbb, és sokkal skálázhatóbbak ezek a szolgáltatások. - cserébe 101%-ban meg kell bízni a választott szolgáltatóban (és annak üzemeltetőiben)

Nyilván program és/vagy implemetációs hiba mindegyikben van, de azok kihasználásához (legtöbbször) tényleg feltörési szándék kell, nem csak pöcslengető troll, vagy egy kíváncsi újságíró. - tehát nagyságrendekkel másabb kategória, mint amikről a hírek szólnak.

De én továbbra is azt látom, hogy a gyenge láncszem még mindig a (l)user aki használja ezeket.

Mert szinte mindegyik titkosított csatornákon kommunikál, authentikációhoz köthető, lobby funkciójuk is van - tehát csak azt engeded be, akit te akarsz. A legtöbb esetben zárt konferenciát is lehet csinálni, ahová később senkinek nem lehet becsatlakozni!!

a gyakorlatban pedig mit látok:

- a zemberek arra sem képesek hogy elnémítsák magukat ha épp nem ők beszélnek, - vagy ha közben klótyóra mennek!!

- az asszony/gyerek lenge öltözetben átlibben a háttérben :)

- a linkeket és belépési kódokat titkosítatlan levélben szétküldik a fél világnak, - vagy épp lefotózza az idióta, és kiteszi twitterre :D

Egyértelmű, hogy a user a legtöbb esetben a gyenge láncszem, de olyan cégeknél, ahol van elég szürkeállomány és vas, sőt pénz is, miért "normális" a felhőbe tolni a kommunikációt? Engem nagyon izgat a kérdés, mint fentebb írták is. Ez egy rohadt nagy céges gazdasági és adott esetben nemzetbiztonsági kockázat. Remélem, azért a saját kormányzati védelmi mechanizmusaink nem landolnak a "ki a fene fogja nézni XY miniszterünk, vagy YX stratégiai cég vezető beszélgetését?" kategóriában.

READY.
󠀠󠀠‎‏‏‎▓

Ez egy rohadt nagy céges gazdasági és adott esetben nemzetbiztonsági kockázat.

Egyrészt miben más, mint a telefonálás? Ott is kiszervezted felhőbe, csak telefonszolgáltatónak hívod.

Másrészt meg auditáltad azoknak a szoftvereknek a forrását és binárisát, amit saját belső hálózaton futtatsz? Ha nem, akkor miben más ez a bizalom?

Ha egy szoftver a belső hálózaton futtatva nem játszik ET-set (nem akar hazatelefonálni), akkor elhiszem, hogy bent jól működik, teszi a dokumentációban leírt dolgát. Ha az összes kliens ebbe a szerverbe csattan be VPN-nel, amit értelem szerűen a cég üzemeltet szerver szinten, és minden kommunikáció, amit a komm. kliens használ a VPN felé terel, akkor azzal a szoftverrel és környezetével nincs adatszivárogtatási gond feltehetően. Ez után már csak a user-vékonyjég marad. A marha az ablaknak háttal mutatja a következő kardinális lépésit a cégnek. Na, de az már az ellen nem véd...
Ezért gondolom, hogy egy cégnek, állami vállalatnak, minisztériumnak, hatóságnak, vagy mittom én kinek, az elvárható legbiztonságosabb környezetet, az elvárható legkisebb mértékű adatszivárogtatásnak megfelelő környezetet kell kialakítani, de az meg nem a Zoom, az MS Teams, a Classroom, vagy akár melyik felhőben matató bizbasz.

READY.
󠀠󠀠‎‏‏‎▓

Komoly emberek eddig is tudták, hogy telefonon maximum csak annyit beszélünk meg, hogy mikor és hol találkozunk. Illetve recepteket, divatot, egyéb pletykákat. A telefont pedig szigorúan a tárgyalótermen kívül tartjuk. Lehetőleg Faraday-kalitkában. :-)

A Covid-dal viszont blokkolva lettek a személyes megbeszélések, ezért szükségessé vált, hogy online is tudjuk biztonságosan kommunikálni.

Komoly emberek eddig is tudták, hogy telefonon maximum csak annyit beszélünk meg, hogy mikor és hol találkozunk. Illetve recepteket, divatot, egyéb pletykákat. A telefont pedig szigorúan a tárgyalótermen kívül tartjuk.

Szóval tele vagyunk komolytalan emberekkel, akik mind-mind használják a telefont hétköznapi üzleti tárgyalásokra, jó tudni. Amúgy ki hallgatja le? Csak nem az állam?

Vannak erre pont ezért védett kormányzati katonai felhasználású telefonhálózatok. Magyarországon is volt ilyen biztonságos telefonhálózat. Hamarosan talán újra lesz.

Ilyen hálózat nélkül a napóleoni háborúk színvonalán lehet csak biztonságos kommunikációt folytatni kormányzati körökben ami talán annyira nem szerencsés így 2020 körül. Nyilván az sem jó, ha biztonságosnak képzelünk egy hálózatot ami valójában nem az. A fizikai szeparáció kezdetnek jó, de önmagában nem elég a szükséges biztonsághoz. 

Vannak erre pont ezért védett kormányzati katonai felhasználású telefonhálózatok.

Ami mondjuk pont az állami lehallgatás ellen nem véd. :)

Nyilván az sem jó, ha biztonságosnak képzelünk egy hálózatot ami valójában nem az.

Igazából az a baj, hogy sokkal hamarabb találsz egy Kósát, egy Bijleveld-et vagy egy Hendét, aki balfasz és szivárogtat, minthogy az infrastruktúrán keresztül legyen szivárgás, sőt még a szándékos szivárogtatás is gyakoribb, mint az, hogy az ICT rendszerből legyen szivárgás.

Nyilvánvalóan minden kormányzat csak annyira jó (és biztonságos) mint a benne részvevő emberek. Az alkalmatlan infrastruktúra viszont egészen biztosan nem javít semmin. Ez az egész sztori vérciki. Szó szerint videóval lehetett rögzíteni egy elvben bizalmas konferenciát. Ha egy ostoba résztvevő szivárogtat, ott eleve egy korlát a szivárogtató emlékezete. Az ellenséges hatalom számára pedig mindig maradnak utóbbi esetben kérdőjelek. Például egyáltalán megértette-e az illető amit kikotyogott? Vagy meg sem értette azt, amiről felelőtlenül locsogott? Amikor egy az egyben kimegy egy beszélgetés, nincsenek ilyen kétségek. 

de olyan cégeknél, ahol van elég szürkeállomány és vas, sőt pénz is

:)

Hát én ilyennel a 20 éves pályafutásom során még nem találkoztam

Ezek közül átalában csak egy, de maximum 2 van meg... sajnos.

 

A magyar kormányzati IT megoldásokat is általában túlgondolja az átlagember. A szakember meg nem beszél(het) róla.

Skype for business-el (előtte lync-el, azelőtt ocs-el, még előtte meg lcs-el) foglalkoztam elég sok évig, szóval lehet h. az átlagnál jobban van fogalmam róla, hogy mennyire bonyolult összerakni és mennyire erőforrás zabáló. Mindkettőre a válasz: attól függ mit szeretnél :)

Pár userrel (<100), 0 hibatűréssel, csak belső használatra fel tudod rakni 1 db szerverre, és kész is vagy. Ha külsősöket is be akarsz engedni, még 1 db szerver az internet felé publikálva, és szintén kész. Ilyen terhelésnél kb. vateráról guberált használt sok éves EOL szerveren is vidáman elfut.

Na de aztán jönnek az igények: legyen magas rendelkezésreállás, ne legyen single point of failure. Ilyenkor a szervereket min. duplázni kell, az SQL adatbázis is legyen klaszteren, az internet link is legyen duplikált (ne ugyanazon útvonalon jöjjön a 2 ISP  kábele, mert akkor a markoló mindkettőt viszi egyszerre), ha telefon integráció is kell akkor legalább 2 voice gateway, hozzá 2 ISDN vagy újabban SIP trönk + Session Border Controller (lehetőleg 2 külön telco-tól, h. az egyik országos ledöglése ne vigye magával az egész telco kapcsolatot stb). A tanúsítványkiadó is legyen akkor már multi-tier, az AD természetesen már bőven az SFB bevezetése előtt is redundáns volt (ugye tanulva a Maersk hibájából, mindig tartunk min. 1 DC-t relatíve friss adatbázissal offline kikapcsolva, ha beüt a wannacry aktuális verziója).

Aztán megnő a felhasználószám, kell a compliance támogatás, recording is legyen központosított, kellenek a mindenféle reportok, automatizálni kellene a user provisioning-et, a user policy-k menedzsmentjét. Így már valóban el lehet bonyolítani egy ilyen onprem rendszert a végtelenségig.

Szóval ha tényleg nagyok az igények, sok az elvárás, valóban nagy lesz a hw és üzemeltetés igénye.

És ekkor lép csendben oda a felhős üzletkötő, és mondja azt h. a klódban ezzel mind nem kell foglalkoznod, elég a felhasználónkénti fix havidíjat fizetni, és a fenti elvárt funkcionalitást megkapod mind*.

* a valóságot + a hátrányokat meg majd 1 hosszú bevezetés és próbaperiódus után tapasztalod meg a saját bőrödön

Mi mostanaban a livestorm-ot szoktuk hasznalni. Kemenyen fizetos, de stabil es a legtobb ceges policyn atmegy mert nem kell hozza semmit telepitni, bongeszobol elszalad.

vati

Szerkesztve: 2020. 11. 28., szo - 12:25

Amit bedobnék ide a szálba... A felhasználót semmi nem érdekli, csak hogy a ajfoson azonnal bejöjjön. Ha ezt nem tudja a cucc akkor az nem jó. Innentől minden biztonsági kérdéseket hiába feszeget a kocka.

Az igények fokozódásával is teljesen egyet tudok érteni. Nem igazán lehet megmagyarázni egy megrendelőnek, hogy ennyi fér bele ésszerű üzememeltetési körülmények közé. Válasza: akkor irány a klud...

Azért lenne kérdésem is: A saját környezetbe telepített BBB-vel mi is az ellenvetés? Nekem teljesen patent működött amikor meg azon keresztül tartottam az óraimat. Igaz, csak huszoniksz hallgatónak, és csak én jöttem kamerával képernyőmegosztással. Nem is láttam nagy terhelést a szerveren.

Szóval... Van rá esetleg valami mondásotok, hogy miért ne lenne ez jó? Hol hasal el? Mert ugye nagy méretben nem próbáltam..