Hitelesített logolás, ötletelés

 ( Fisher | 2018. július 4., szerda - 11:45 )

Olyan problémánk van, hogy jönnek hozzánk népek, akik használják a laptopjukat, ezt-azt (vezetékes és rádiós is lehet). Ezekre a laptopokra, gépekre nincs hatásunk, rálátásunk, és bármikor előfordulhat hogy törött, lopott szoftvert használnak rajta. Ez persze be is jelent a gyártónak a mi címünkkel, és a gyártó meg minket fenyeget (megtörtént eset).

Jobb híján arra gondoltam, hogy az adott VLAN dhcp logját megőrzöm, és persze a magyar hatóságok rendelkezésére bocsájtom, ha arról van szó. De ha így, akkor nyilván úgy kéne tárolni, hogy az valamennyire hiteles legyen, és egyrészt fogalmam sincs hogy mi az elvárt (úgy értem hogy mi az, ami hasznos) hitelességi szint, és azt esetleg hogy lehet elérni.

Én pl. személy szerint nem feltétlen bízom meg abban, hogy beállítok a DHCP logra (db táblára, ha oda logol valami) ötéves megőrzést, addig gyűlik. De lehet hogy akár ez is elég, hiszen a mentésekből visszakövethető hogy volt-e módosítva (már persze ha van elegendő számú és korú mentés, ami viszont könnyen megoldható).

Az is lehet hogy valami hitelesített megoldás kéne, de ezen a téren végképp nulla ismerettel rendelkezem hogy merre érdemes keresni.

Az is lehet hogy nem érdemes ezzel foglalkozni, vagy másféle logokat kellene megőrizni (pl. switchport/radius logot, de azt is számtalan módon lehetne megkerülni, ha nagyon akarná az ember).

Ez csak ötletelés, nyitott vagyok mindenféle megoldásra.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

A hitelesítésnél az a probléma, hogy ki hisz neked, ha nálad a kulcs? "Ki őrzi az őrizőket?"

Én csináltam olyan naplózást, ami percenként aláírja az előző aláírást + az utolsó 1 percben kiírt sorokat, akkor is ha nem írt semmit.
Ez véd a véletlen / idegen módosítás ellen, de az, akinek rendelkezésére áll a kulcs, később is belemódosíthat és javíthatja az aláírásokat is.

De ha neked nem hisznek, akkor csak azt teheted, hogy odaadod a lepecsételt, letitkosított (GPG) naplót valakinek, aki viszont csak a hatóságnak adja oda.

Igen, közben arra gondoltam, hogy offsite mentés is megtenné. Elsősorban az utólagos módosítás kivédését tippelem fontosnak, mert ugye DHCP logot tudok generálni én is, bármiből. Persze ez lehet hogy az egészet feleslegessé teszi, hisz oké hogy az adat nem módosult, de ha nem hiszik el hogy az tényleg a DHCP szerverből (vagy bárhonnét) jött, akkor értelmetlen az egész.

Szerintem eloszor is, hogy bizonyitod, hogy a ket evvel ezelotti logban levo macaddress nem a Ti gepetek volt?

Na szoval a kerdesek:
- log file integrity? - megoldhato egy mashol tarolt sha summal + filenev; ezzel bizonyitod, hogy nem babralt senki vele
- macaddress owning? - na ez mar kerdeses, ha van valami cmdb megoldas, akkor azt ossze kell kotni ezzel. Azaz X idopontban a Ti cmdb-tekben ezek voltak a sajat gepeitek macaddressei, azaz ami a logban van az nem a tietek volt

En inkabb azt gondolom, hogy egy customer-wifi one-time passworddel sokkal jobb, igy beazonosithato az ugyfel mikor lepett be milyen geprol. Ne adjunk nekik kabelt. :D
Kabel eseten nem tudom hogy oldhato meg, hogy bedugja es ha nem ismeri fel a cmdb-bol a macaddress-t akkor bedobja egy kulon vlan-ba, ami meg monitorozva van. Ez mar nagyon networking :D

Egyszerubb megoldas, ami mukodik wifin es lanon is:
- a halozatra csatlakozva nincsen internet, csak egy belso halot ernek el, amin DNS redirectionnal elvisz egy oldalra, hogy hogyan kell nevet + jelszot igenyelni a VPN-hez
- mindenki VPN-en erheti csak el az internetet, ami egyertelmuen azonositja a felhasznalot
- routerben/bol loggolod:
* ki mikor lepett be/ki VPN-en
* milyen belso IP cimet kapott VPN-en
* a kapcsolat ideje alatt mikor/meddig milyen IP cimekkel/portokkal allt kapcsolatban
(ezt port tukrozessel loggolnam szerveren)

na hat ez igen

Mondtam hogy network related dolgok ezek :D

Itt megint a logforrás hitelessége, a lementett log hitelessége lesz a kérdés. Gyorsan lehet írni valamit, ami napi n alkalommal tol egy login success (i tak dalse) sort (vagy legalábbis a timestampot úgy írja ki, mintha).

En csak arrol irtam hogyan tudod biztosan azonositani a felhasznalot.

Hitelesseget szinte lehetetlen bizonyitani, tobb milliard Ft-os rendszerek sem tudjak. Csak torekedhetsz ra..

Gondolj bele:
1. A naplozo gephez csak egy iranyu kapcsolatot szabad engedelyezni (de ezt nem lehet routerrel, mert mi van ha feltorik, atallitjak stb.. tehat fizikailag kell megoldani, peldaul lezer/led es szenzor segitsegevel. Ekkor is bizonyitani kellene maganak a naplozo programnak es az alatta levo OS szoftvernek a mukodeset.
2. A gepet el kell zarni es le kell plombalni.
3. A routeren szinten lehet hamisitani csomagokat, igy a router konfiguraciojat is le kell tiltani + azt is el kell zarni es le kell plombalni.
4. Azonban a router szoftveret is bizonyitani kellene, hogy nem lehet elerni a konfiguraciojat/modositani a csomagokat, logokat (peldaul backdoor, exploit segitsegevel)
5. A felhasznaloknak nem lehetne jelszot adni, hanem a publikus kulcsukat kellene alarni, hogy kizarjuk hogy mi ismerjuk a jelszot es a nevukben generalunk csomagokat.

Csak maguk a szoftver verifikaciok és validaciok is tobb milliard Ft-ba kerulnenek ilyen bonyolultsagu rendszerek eseten.

ke? Te mirol beszelsz?

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Arrol hogy bizonyitani tudjad, hogy az adott felhasznalo eszkoze generalta a csomagokat es hogy erre csak torekedni lehet (ha nem rendelkezel vegtelen penztarcaval).
Hiszen attol hogy alairod a naplot (barmilyen modon, barki altal), a naploba bekerulo elemeknek az eredetet nem tudod garantalni.

Idézet:
5. A felhasznaloknak nem lehetne jelszot adni, hanem a publikus kulcsukat kellene alarni, hogy kizarjuk hogy mi ismerjuk a jelszot es a nevukben generalunk csomagokat.

Ezt ott bukod, hogy ha előveszed a usert, ő tudja azt mondani, hogy soha nem volt ilyen kulcsa (btw, már ehhez a teljes tanúsítványt logolnod kell minden azonosításnál, nem elég csak a CN-t/serial number-t/bármi más egyértelmű azonosítót

  • ). Ha meg az aláíráshoz kérsz tőle egy aláírt papírt, amin szerepel a nyilvános kulcsa, azt is hamisíthattad. Külső CA esetleg...

    [*]: és persze itt is csak annyit értél el, hogy letároltál egy publikusan elérhető elérhető információt, tehát simán hamisíthattad/hamisíthatod utólag.

    Egy (minden érdekel fél által!) megbízható külső fél mindenképp kell. A legjobb, ha a külső fél ellenérdekelt és olyan technológiát használsz, amit ő nem tud utólag letagadni (pl. aláírt időbélyegzés)

    BlackY
    --
    "en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

  • Ez igy van, tehat meg bonyolultabb :)

    Nem a hozzáférhetőség korlátozása a kérdés, hanem a log file, mint hatósági eszköz helyzete.
    Amit te írsz, az is generál naplófájlt, azt is hitelesíteni kéne, ráadásul az egész procedúrát megnehezíted.

    Amúgy a dolog igen, errefelé indul(t), hogy wifin nem kap szikrát, csak azonosítás alapján. De akkor jön a következő nyomor, hogy boldog-boldogtalannak osztogatnunk kell logint. Vagy nem kap, de megengedjük hogy öt percig, amíg a levelezésében rákattint a megerősítő linkre, addig lásson bármit (így az e-mail címe lesz az azonosítás eszköze). De akkor meg ugye ki tudja hogy a

    az NEM céges felhasználó (azaz ez nem köti össze egyértelműen - legalábbis számunkra elérhető módon - a humánnal). Persze oké, menjen a gyártó a Google-hoz, hogy ki volt az, akkor, ott.

    Ha az adott MAC nincs állandóan nálunk, hanem megjelent egyszer, egy órára (napra, hétre, hónapra, sajnos a gyakorlatosok néha több hétig is itt vannak), de se előtte se utána nincs (sok) nyoma, akkor vélelmezhető hogy nem a miénk. Vagy nem. Passz.

    Ha van CMDB-tek es annak van auditja, akkor ott latszik, hogy nalatok/tulajdonotokban volt e valamikor is az a MAC vagy nem.

    Pontosan ezert irtam, hogy csak ugy logot elrakni nem eleg ebben az esetben.

    A boldog-boldogtalannak login osztast nem is ertem, hiszen csomo rendszerben lehet ideiglenes logint automatikusan generalni egy requestre. Ahogy fentebb is irtak, "3rd party" emberke ralep egy linkre, ahol kitolt egy-ket adatot GDPR komplejenszen persze, majd erre a cgi general neki egy username/passwd parost ami mondjuk 1 oraig el.

    De meg akar azt is elkepzelhetonek tartom, hogy mindenki aki bemegy hozzatok szepen Pixie-n felbutol egy live linux-ot, amin elindul egy bongeszo es kesz, ami mar ossze van love a megfelelo proxy-val, szepen remote logol, stb, stb. Innentol nem hasznalhat akarmit, plane nem lopott software-t. :D

    "A boldog-boldogtalannak login osztast nem is ertem" -- így, kb. --> "majd erre a cgi general neki egy username/passwd parost ami mondjuk 1 oraig el."

    "Pixie-n felbutol egy live linux-ot"

    Ez is felmerült amúgy, sok dolgot leegyszerűsítene. De tuti lenne legalább egy oldal, amibe valamilyen olyan csoda kód van teremtve, ami épp összeroskadna. Nagyon sok alkatrész-, modell- és egyéb katalógust kell nézegetni, van ám néhány érdekes állat köztük. Szóval kéne egy (pár), "csak netezésre" alkalmas windows laptop, meg azokkal keccsölni, hogy most épp miért nem megy ami nem megy rajta. Bár van is ilyen, és viszonylag kevés gondunk van vele, de ez is maradt mint egy lehetőség.

    Túl egyszerű, úgyhogy fel sem vetem: PXE-vel iscsi-n keresztül indítasz egy Windowst?

    Niiice...: PXE-vel iscsi-n keresztül indítasz egy Windowst úgy, hogy minden indításkor egy alap image-et snapshotolsz, aztán minden változtatást eldobsz?

    Még jogilag is rendben van (hogy technikailag működhet-e, passz): PXE-vel iscsi-n keresztül indítasz egy ReactOS-t?

    "Minden napi perverziónk add meg nekünk ma, bocsásd meg vétkeinket, és add, hogy az utódom ne egy pszichopata legyen, aki tudja a címem": PXE-vel iscsi-n keresztül indítasz egy ReactOS-t úgy, hogy minden indításkor egy alap image-et snapshotolsz, aztán minden változtatást eldobsz? :)

    BlackY
    --
    "en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

    Szegény Fisher... Kapod ám a bonyolultabbnál bonyolultabb autentikációs megoldásokat, ám neked nem azzal van a bajod, hiszen azoknak is vannak naplófájljaik, hanem a a hitelességről.
    Ennek egy módja van, a közjegyzői hitelesítés. (Apropó mi lenne, ha csinálnánk egy push-in szervert a naplófájlok őrzésére, és digitális aláírására. Az egész mechanizmus közjegyző által hitelesített formában történne. Kezdve az authentikálás, tárolás, részletes dokumentálásával, lehet, hogy akadna közjegyző, aki megértené, és nevét adná hozzá.)
    Amúgy nincs tökéletes módszer: ha kinyomtatod a naplójájlokat (láttam ilyet), az sem mentesül a nyomtatás előtti módosítás lehetőségétől.
    Egyszerűen: eltárolod a naplófájlokat. A hisztiző félnek bemutatod. Ennyi. Végső soron neki kell bizonyítania, hogy ti vétkeztetek. Csak egy ide illő példa: a 2000-es évek végén egy ismert illető lánya balesetben elhunyt. A megemlékező fórumban valaki lekurvázta a lányt, az apa feljelentést tett. Egészen egy ügyvédi irodáig eljutott a rendőrség. Ám azt nem sikerült bizonyítaniuk, hogy ki volt az elkövető, mert a gép nem volt szigorúan egyfelhasználós. És ott még a jelszós sem bizonyít semmit, mert az is ellopható.
    Nincs megoldás. (Hacsak nem jelent némi megnyugvást a közjegyzői szerver. Ami azért csak feltörhető, na.)

    Igen, a hitelességgel exponenciálisan nő a belefektetendő energia, szóval nem fogok túl sok elvárást támasztani.

    De nekem már az is megfelel, ha kiderül, hogy nincs egyszerű és jó megoldás.

    Nincs. A biteknek nincs DNS-e. De, ha lenne, ki tudja, mikor válik hamisíthatóvá a DNS?

    ha kinyomtatod a naplójájlokat (láttam ilyet), az sem mentesül a nyomtatás előtti módosítás lehetőségétől

    LogFile=/dev/lpr

    Lentebb írtam, hogy lehet leporellora logolni.
    Az nem ugyanaz mint kinyomtatni a logfile-t. Utóbbinak nincs értelme.

    ---
    "A megoldásra kell koncentrálni nem a problémára."

    És vajon mi ír logot?

    A valós esemény, vagy valaki meghívott egy kis parancsot, ami úgy tesz, mintha ő lenne az, akinek logolnia kéne?

    +1 Erről beszélek.
    Végtelen ciklusba futnánk, ha hitelesség minden tényezőjét kizáróan, tökéletesen akarnánk megvalósítani.

    A maca dressze átírható - ha egy gép ki van kapcsolva, akkor annak a hw-címével lehet garázdálkodni. Ha meg a kijára nincs összekötve az épp kiosztott DHCP-s címek listájával, akkor meg egyszerűen az adott tartományból választ a rosszfiú egy ip-t, felkonfigurálja, oszt' jónapot.

    A szűrés kábelesen is műx, port security, 802.1X környékén keresgélj - persze ha nagy és sok mozgó eszközzel terhelt a hálózat, akkor persze önmagadat is meg tudod szivatni vele, de a ki-mit-dug (meg hova) elég jól (néha túl jól...) kordában tartható ezzel.

    "802.1X környékén keresgélj"

    Az már van, már amennyire a TP-Link mérnökök segíteni tudtak.

    off
    Hozzád a publikus IP alapján jutnak el a fenyegető ügyvédek, v. pontosan mi a kapcsolatod az enduserekkel?
    --

    Tulajdonképpen még az sem, a gyári kémszoftver szétnézett a gépen, és az általa összeszedett kb. 10 adatból egy dolog utalt ránk, mégpedig az "e-mail domain" mező. Ennek ellenére igen nehéz volt elkergetni őket. De fel akarom mérni, hogy mit lehet tenni. A kapcsolat meg annyi volt, hogy az egyik gyakorlatos hallgató otthon feltelepítette az szoftver törött verzióját, mert türelmetlen volt (haladnia kellett) és nem várta meg a hivatalos licencet.

    "Ez persze be is jelent a gyártónak a mi címünkkel, és a gyártó meg minket fenyeget (megtörtént eset)."

    Ez esetben inkabb a NAIH-hoz kell fordulni. Gyorsan meg fog szunni a fenyegetes, mert meg ok kapnak nehany millio Ft-os birsagot.

    Blockchainből lehetne valami gányolni rá, végül is erre találták ki, amúgy meg egy syslog-ng appliance?

    Sokkal ezelőtti munkahelyemen ilyesmivel is foglalkoztak, ha jól rémlik olyan megoldás volt, hogy a logsor (?) hashe ment egy szolgáltató szerverének, ami visszaküldött egy aláírást és időbélyeget.

    De szerintem erre a problémára nem IT megoldás kell, hanem ügyvéd, aki megerősít abban amit sejtek, hogy ezzel a jogtulajdonosok kitörölhetik, maximum arra alap, hogy kérjenek rátok egy ellenrőzést, de ha nem találják meg a szoftvert a gépeiteken, akkor nem történik semmi. Pár órás konzultációs díj biztosan olcsóbb, mint ha csak gondolkodtok is ezen a problémán pár napig.

    Igen, szó szerint ezt szoktam mondani, hogy nem IT, hanem jogi probléma. De most épp olyanom van, hogy foglalkoznék ilyesmivel, ha van értelme (épp most rakom össze az érintett VLAN nyomorait, és most még bármit lehet konfigurálni).

    Végül is az is egy megoldás hogy nincs (értelmes, olcsó) megoldás, nekem megfelel ha kevesebbet kell dolgoznom :D

    Idézet:
    hashe ment egy szolgáltató szerverének, ami visszaküldött egy aláírást és időbélyeget.

    Van erre szép standardizélt protocol (TimeStamp Protocol, a fájlformátumokat [kérés/válasz] rögzíti, a transzportot nem, de HTTP transzportot ír példának - RFC 3161).

    Gyors keresés után napi 5 példányra a https://tsa.safecreative.org/ ingyen meg is csinálja (és kedvesen publikálják is a kapott hasheket :) ), ha belefér, hogy napi egyszer van ellenjegyeztetve a naplótok (vagy mondjuk rotate-kor), akkor egy jól konfigurált openssl ... | curl ... és meg van a 3rd party által ellenjegyzett és időbélyegzett naplód.

    Persze még akkor is ott van, hogy de azt bármikor beleírhattad az aláírás előtt meg eleve ki mondta, hogy a dhcp szerverből jött ki az üzenet stb., de az már az a problémakör, amit nem tudsz megoldani vagy max. úgy, hogy egy mindkét fél (te + mindenki más, aki számon kérhet) által megbízhatónak titulált 3rd partyhoz proxyzol minden DHCP kérést...

    BlackY
    --
    "en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

    "megbízhatónak titulált 3rd partyhoz proxyzol minden DHCP kérést..." annyit talán nem ér meg :D

    Köszi az ötletet, töprengek rajt.

    jönnek hozzánk népek, akik használják a laptopjukat, ezt-azt (vezetékes és rádiós is lehet).

    itt *urtatok el mar az elejen.

    De tfh ezen a reszen nem lehet valtoztatni. Az idegeneknek kulon (wifi) halozatot kell adni. Sot, lehet az a policy, hogy idegenek nem is csatlakozhatnak a vezetekes halora (port security, ahogy fentebb irtak). A guest wifi-t meg route-oljatok egy kinai vpn fele, oszt menjenek oda az ugyvedek. Tovabba valamilyen szinten le kell informalni a kapcsolodo usereket elore.

    Btw. mi ez a hely, ahova boldog-boldogtalan bemegy, es netet kap?

    --
    "dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

    "A guest wifi-t meg route-oljatok egy kinai vpn fele"

    Lehet hogy ez lesz.

    "Btw. mi ez a hely, ahova boldog-boldogtalan bemegy, es netet kap?"

    Most konkrétan nyári gyakorlatos hallgatók kempelnek nálunk. De nemrég pl. a tanácsadó cég(*) könyörgött netért, hogy megnézhesse a levelezését.

    *) Tudom, tudom, személy szerint én csak röhögök rajtuk, meg a kutyakomédián amit csinálnak, de a management felszállt a bohócvonatra.

    Idézet:
    "A guest wifi-t meg route-oljatok egy kinai vpn fele"

    Lehet hogy ez lesz.

    Minek?

    Azt írtad fent, hogy nem az IP címetek alapján találtak meg, hanem a felhasználó gépén az email domain volt beállítva.

    Vagyis ha az idegen a saját lakásában van és az ellenőrző szoftver megtalálja, hogy az outlookban a ti mail domain-etek van benne, akkor ugyanúgy megy a drót az ügyvédeknek.

    Ha találsz tökéletes műszaki megoldást az IP címek és emberek összekötésére és hiteles tárolására, mire mész azzal?

    Ha jön az ügyvéd, hogy a kémprogramunk talált egy törött program használatot, és az email cím domin neve a ti cégetek neve, akkor hogyan fog a fenti szuper hiteles log segíteni bármiben?

    Az egész problémafelvetésed innentől kezdve értelmetlennek tűnik.

    -1

    Ha hozzam kuldened az ugyveded, hogy az acts.hu domaint hasznalva egy kinai IP-cimrol csinaltak valamit, siman kirohogom, es letagadom, hogy barmi kozom lenne a dologhoz*. Sok sikert bebizonyitani, hogy en vagyok mogotte

    *felteve, hogy objektiven artatlan vagyok

    --
    "dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

    -1 (ha mar nalad ez a divat)

    Miert menne kinai vpn-rol? O arrol beszelt hogy valaki akar az otthoni halozatan, lehet nem is ceges laptopon hasznalta azt a programot aminek a keresoje kikopott annyit hogy levelezo kliensben milyen email cimet hasznal az illeto -> email domain alapjan melyik ceghez tartozik.

    Most viszont arra (is) keresek megoldást, hogy ha beül hozzánk - mint most is - egypár egyetemi hallgató, akkor:

    - aláírnak egy papírt hogy a saját laptopjukért ők felelnek (oké, ez eleve így van, csak nem árt tudatosítani bennük)
    - ha véletlenül mégis marad rajta valami, ami miatt ránk hozzák a pestist, akkor tudjam mutogatni, hogy lám, ez nem a miénk (pl. a papíron rajta a MAC és kérem kapcsojjaki)

    De arra is kéne, ha nem hetekre jön valaki, hanem csak beugrik egy órára (a tanácsadó cég ilyen pl.), akkor nem életszerű a papírozás. Gondoltam elteszem a DHCP logot jól, és abból látszik, hogy. De persze ez is sokféleképp hamisítható, pl. ha beállít kézzel egy címet. Ami ellen megint lehet védekezni, de nem biztos hogy ér nekem annyit.

    Lehet 802.1x-et csinalni lanon es wifi-n is kulccsal/loginnal pl ami alapjan azonosithatok a tartosabb felhasznalok, azzal nincs olyan hogy mi van ha valaki felveszi a masik mac-jet vagy atirja a sajatjat, mert login alapjan azonositod amit meg regisztracio alapon hozza tudsz kotni valakihez (ha kiadja a loginjat az az o felelossege es terhe).
    Futolagos userekre lehet mondani guest wifi ami kulon vlan, kulon ip tartomany (akar dhcp snooping+arp inspection-el ipv4-hez), kulon publikus ip (hogy ha ip alapjan talalnak be hozzad akkor lasd egybol hogy ez guest wifi volt), kulon tuzfalszabalyok (akar proxy is) amiben szukseges ceges halon kivul is csak a szukseges kulso dolgot erni el, ha az keves neki akkor lehet regisztralni aznositott loginra vagy hasznalja a sajat mobilnetjet arra a par orara vagy belsos kollega gepen megnezheti azt az 1-2 dolgot ha szukseges.

    Maga a dhcp logolas nem sokat er, oke elteheted a logokat de mint mondtak mac-et atirhatjak, meg attol hogy most epp azzal talaltak be hozzad sok esetben nem azzal fognak.
    De ha mar dhcp-t akarsz logolni akkor ugy erdemesebb hogy adatbazisba letarolni dhcp-tol, regisztraciobol, vpn hasznalatbol es egyebekbol eszkoz inventory-t nyilvantartani, ami komplexebb de masra is lehet hasznalni hogy kinel milyen gep van, milyen oprendszer/verziok, milyen ip-vel, ha belso halon akkor melyik wifin/switchporton stb.

    -1 (ha mar nalad ez a divat)

    code review mond valamit?

    levelezo kliensben milyen email cimet hasznal az illeto -> email domain alapjan melyik ceghez tartozik.

    akkor mar te is erted, miert lenne jo a kinai kijarat: nyilvanvalo lenne, hogy az asszociacio a topikindito cege es a kinai IP-cim kozott fals. De jobban belegondolva, szerintem nem is cegrol van szo, hanem valamelyik egyetemi halozatrol...

    --
    "dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

    -1

    Azt írta, hogy nem az IP alapján ment a dolog. Nem az IP címről csináltak valamit, egyszerűen valakinek a magán laptopján volt egy feltört program. Tehát teljesen mindegy, hogy kínai IP volt a gateway, vagy magyar, teljesen mindegy, hogy a felhasználó gépének az IP címe 192.168.akármi volt-e vagy valami más, mert nem ez alapján találták meg őket.

    Emiatt se elrejteni az IP címet se logolni az IP címet nem hoz semmi előnyt.

    Az a "baj", hogy több gyártó, több nyomorát használjuk, mindegyik másképp köcsögösködik. Komolyan mondom, a legnagyobb büntetés a szoftvervásárlás, és a korrekt licencelés.

    Aztán persze a másik baj, hogy akár a hallgatók, vagy amúgy nem is érdekel hogy ki, behoz a laptopján egy törött ofiszt, játékot, videóvágót, időjárásmodellezőt, műkörömkatalógust vagy mittomén mit (és nem is tudhatom előre), akkor azt egyértelműen ne kössék hozzánk. És esetleg tudjam bizonyítani, hogy az adott időintervallumban, az adott gép ugyan valóban nálunk volt, de egyébként sose (eltekintve esetleg hasonló, rövid időszakoktól), és amúgy se a miénk. Persze ahány dolgot kitalálok, annyiszor látom is, hogy hogyan lehet mégis kikerülni, ha nagyon akarom.

    Arra gondoltam, hogy leválasztom azt a hálót, azon belül csinálok egy bsa.org (vagy mi) domaint, és hajrá. Ha megint a "mail domain" alapján akarnak minket megkeresni, akkor megint az lesz mint a múltkor, hogy nehogymá. Ha valami új hülyeségen át mutogatnak ránk, akkor elhajtjuk őket megint.

    No mindegy, gyűjtöm az ötleteket, és majd belövöm, hogy mennyi munkát vagyok hajlandó rászánni.

    Hasonlón már én is gondolkodtam (nem feltétlen DHCP logok tárolásával kapcsolatban), hanem "hiteles" log megoldáson.

    Én valami blockchain megoldást kerestem volna, de most kíváncsivá tettél, utánanéztem, és pl ezt találtam:

    https://logsentinel.com/

    Ha kipróbálod és lesz bármi tapasztalat, légyszi osszd meg itt (is) :)

    a.

    Alapvető elvi problémával szembesültem, oké hogy a log hitelesen van tárolva, de ki garantálja az adatok hitelességét (azaz hogy pl. az igazi dhcpd - vagy bármi - logol, nem egy bármi, kvázi random, szépen cicomázott adatokkal?) Auditált környezet nélkül kb. semmi. Annyit meg az egész nem ér.

    Szerintem egy olyan problémát akarsz megoldani, ami igazából nem létezik így, ebben a formában.

    Az egyik opció, hogy ezt az egészet komolyan veszitek, és arra az a mondás, hogy hozzátok köthető netet nem kéne adni ezeknek a népeknek.

    Van egy másik opció is, miszerint leszarjátok, hogy ki mit hisz el meg mit nem, és ha valaki nagyon pampog, akkor elhajtjátok a halál redvás faszára. Én ez utóbbit választanám...

    Jahm, nagyjából az utóbbi történt, és tartott vagy egy évig... ha jól emlékszem.

    Lehet hogy eleve nem is műszaki, hanem jogi fórumon kellene kérdezni.

    Amíg root jogosultságod van filerendszer szinten az egész holmi felett, addig a szavad az egyetlen amitől a log tartalma hiteles.
    Mondhatnánk úgy is, hogy olyan ez, mint amikor a Mindenhatót kérik, hogy teremtsen olyan nehéz követ amit ő sem tud felemelni...

    Ha mindenképp hitelest akarsz, két út van:
    1.) kilogolsz a saját hálózatodból megbízható (és megbízhatónak mindenki által elismert) harmadik félhez.
    2.) laporellóra logolsz. Viccesnek hangzik, de láttam már ilyet, és nem is akkora butaság...

    ---
    "A megoldásra kell koncentrálni nem a problémára."

    nem kell feltetlen 'kilogolni', az eleg is, ha rendszeres idokozonkent idobelyeget ker a logokra, es akkor a 3. fel igazolja azt, hogy a log file tartalma akkor az es az volt...

    --
    "dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

    Ki a harmadik fél? Itt most nem sokak által megbízhatónak kell lennie, mint egy https tanusítvány-kibácsátásnak. Itt a törvény előtt kell megfelelni.

    Szerintem tulbonyolitjatok.
    Ha engem talalnanak be egy ilyen feladattal en igy csinalnam:

    En tudom a mac addresst es IP cimet.
    Belso weboldal megjelenit, hogy akarod-e hasznalni a wifit, XYZ kodot kuldd el a

    -ra, MAC cimem, IP cimem benne a levelben. Elore generalt mailto: az oldalon, meg mintalevel.
    Aki ezt nem lepi meg, az ugy jart.

    A gmail lesz a hitelesito harmadik fel.

    Ha valamit en is akarok logolni mint szolgaltato en is kuldok erre a gmail accountra. (pl. mikor jart le a dhcp cimosztas pl.)

    ---
    Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

    Nade ha nincs net, akkor hogy küldi el? Mert nincs net, azért kell neki a wifi.

    hat ugy, hogy mindenkinek van 5 perc turelmi ideje, amig elkuldheti

    (addig van netje)

    ---
    Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

    Jo hat el kell donteni, hogy mi az a szint, ami elegendo a user hitelesitesehez:
    - MAC address
    - email cim
    - email cimen keresztul megerositett beleegyezo nyilatkozat
    - telefonszam
    - android app
    - ujjlenyomat
    - vercsoport + ujjlenyomat
    - DNS minta
    - sperma minta

    Nem hiszem, hogy ezek informatikai problemak.

    ---
    Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

    Én se: https://hup.hu/node/159978?comments_per_page=9999#comment-2245722

    De hátha valaki másképp látja.

    lol, eleg gagyi megoldas, ami raadasul lazan kijatszhato...

    --
    "dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol