Selfhosted instant messenger

Web, mail, IRC, IM, hálózatok

Sziasztok!

A történet nagyjából ott kezdődik, hogy a kollégák egyszer kitalálták, hogy ők Viberen keresztül akarják küldözgetni a céges anyagokat, ezért telepítsünk nekik Vibert a céges mobilokra. Elég volt az eulát elolvasni és nyilvánvaló volt, hogy felejtős a történet, de eleve nem szeretjük a külső megoldásokat. Vannak ftp-k, windows sharek, vannak céges e-mailek, megosztott postafiókok, stb...

Mi történt azóta? Előszeretettel küldözgetik a céges anyagokat privát eszközeiken a viberen keresztül. Nem csak tiltani akarom, mert az szélmalom harc lesz. Fel akarok ajánlani egy alternatív lehetőséget. Sajnos a Skype for Business nem játszik több ok miatt sem. Van egyébként a cégnél, de erre a célra nem lenne optimális.

Eleinte a NextCloud chatre gondoltam, de gyorsan kiderült, hogy 10-nél több felhasználót nem igazán tud kiszolgálni konferenciahívásban az ingyenes verzió.
Ott a Jitsi, amivel kapcsolatban csak felhasználóként vannak tapasztalataim. Nekem teljesen jónak tűnik, mivel elég lehet vendégek számára akár egy modern böngésző is hozzá. Nem tudom, hogy létezik-e kliens hozzá asztali gépre, mobilra, stb. Illetve ha van rá mód, akkor milyen formában lehet azonnali üzenetet küldeni vele akár médiatartalmakkal, fájlmellékletekkel, van-e E2E titkosítás.

Még a rocketchat ami szerintem érdekes lehet számomra. Úgy láttam, hogy 100 körüli usert képes kiszolgálni az ingyenes verzió. De mi van akkor, ha van mondjuk 3000 userem, de abból 2950 jellemzően inaktív, csak ad-hoc jelleggel használják? Mi történik ha 100-nál több usert engedek az ingyenes verzióra? Egyáltalán lehetséges ez? Vajon mekkora videokonferenciát tud kezelni? Jellemzően napi szinten olyan 8-10, de van amikor akár 20 résztvevős is lehet egy-egy konferencia.

Mit gondoltok?  Van esély ezt így megoldani? Használ valaki hasonló megoldást?

A forgalom a tervek szerint internetre nem menne ki, így a "vendégek" is csak belső hálózatról csatlakozhatnak. Később ez változhat.

  • 1207 megtekintés

( tigrincs | 2022. 03. 31., cs – 09:06 )

A problema ott kezdodik, hogy ezekszerint nincs semmi vedelem azokon a ceges telefonokon. Hogyan kepesek viberre feltolteni ceges anyagot ha az nem ceges jovahagyott app? Device policy?

Elvileg nálunk is. De hát az elmélet és a gyakorlat között elméletileg nincs különbség, gyakorlatilag van.

Tudod, az ilyenek felett mindenki szemet huny egészen addig, amíg nem lesz valami baj. Utána meg megy a kapkodás... csak már késő. Egyedül nem fogom tudni megváltani a világot, de azért megpróbáljuk. Van most néhány értelmes vezető.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Nálunk mondjuk ilyenért kb egyből kirúg(hat)nának, és nagyon valószínű, hogy még be is perelnének utána...

Égadta világon semmi értelme nincs ezeknek a tiltásoknak.
A legtriviálisabb példa, hogy elviszi a fejében, vagy lefényképezi a monitort.

egyik korábbi cégnél belépéskor végignézették velünk a nevelő célzatú videót, amiből kiderült h. usaban az egyik vezető műszaki fejlesztő kicsi kínait az utolsó pillanatban kapták el még a reptéri váróban az FBI-al közösen. Táskájában a legújabb fejlesztésű CT vagy MRI gép (már nem emlékszem melyik volt, lehet nem is volt konkrétan megemlítve) kicsempészett doksijai.

Ezért volt az a mondás, hogy nincsenek file serverek a cégben.  Mindent rohadt webes filesharinggel kellett megoldani. A jogosultságokkal (azaz a hiányukkal, "elfelejtettelek hozzáadni a folderhez téged is") minden egyes kibaszott nap minden egyes kibaszott melónál minden csapat és ember szopott. De még így is megérte nekik a megszámlálhatatlan emberóra és életenergia elvesztegetés. Pedig mi még a közelébe se mentünk se CT se MRI se repülőgép turbina tervrajzoknak.

Szóval ahol ekkora ipari titkokon megy a rettegés, ott van értelme.

hogy elviszi a fejében, vagy lefényképezi a monitort.

 - elviszi a fejében, ez technikailag OK.

Ez ellen maximum a szerződéséhez tartozó titoktartási nyilatkozat "véd". Ha ezt megszegi, akkor lehet pereskedi...

 

- lefényképezi a monitort.

Ellenben ezzel több probléma is van, mert teljesen szándékos megszegése az adatvédelmi szabályoknak.

Ezen kívül - szemben a fejében lévő adatokkal - ez innentől a magán telefonján van, ami felhőbe szinkronizál, messengernek és minden vacaknak egyből hozzáférést ad, stb. Tehát 'akaratlanul' is könnyedén harmadik félhez kerülhet, csak mert nem kezelte megfelelően az adatokat.

 

Tehát ,egyik szabályzásnak sem az a lényege, hogy technikailag lehetetlen legyen megszerezni egy céges/titkos adatot - mert azt valóban nem lehetséges. Sokkal inkább az, hogy a szabályok betartásával a céges policy-nek megfelelően 'vigyázol rá', hogy ne kerüljön illetéktelen kezekbe céges adat.

 

arról persze lehet vitatkozni, hogy milyen adatot milyen kategóriába sorolunk, de ez egy másik kérdés.

 

Tehát aki ezeket direkt megszegi, az tulajdonképpen ipari kém.

Aki csak nemtorődömségből, az pedig akaratán kívül, de végülis technikailag ő is kiadja a céges titkokat kvázi bárkinek...

 

Aki ennek jelentőségét nem érti meg, az egyszerűen nem való ilyen munkakörbe - nyugodtan mehet lidli pénztárosnak vagy raktárfeltöltőnek.

(és itt most nem lenézni akarom ezeket a munkaköröket, csak jelezni, hogy sokkal kisebb felelősségi körrel járnak)

 

szerintem.

zrubi.hu

Tehát ,egyik szabályzásnak sem az a lényege, hogy technikailag lehetetlen legyen megszerezni egy céges/titkos adatot - mert azt valóban nem lehetséges.

Ha az a cél, hogy valamire hivatkozva elrettenteni, vagy szankcionálni lehessen, akkor ezt meg lehet tenni tisztán jogi keretek között is.

Nem azt mondom, hogy minden korlátozás felesleges, hanem hogy egy szint felett már több költséggel (*) jár, mint amennyi tényleges haszna van.

* Költségbe tartozik az is, hogy képtelen leszel munkaerőt felvenni, mert ilyen körülmények között senki nem akar dolgozni veled.

Értem én, de ezek PRIVÁT, saját tulajdonú készülékek. Mi alapján szabályozom én azt bármilyen formában is? Ennyiből azt is megmondhatám, hogy ki mit egyen reggelire. Van egy online viselkedési kódex, amit kötelező betartani (nem pontosan ez a neve). Én még mindig úgy gondolom, hogy ezen nem az MDM fog segíteni. Az van a céges eszközökön. Itt az fog segíteni, hogy jogilag egyértelműen megtiltjuk mindenféle céges digitális vagy digitalizált információ bármilyen formában történő továbbítását illetve tárolását privát eszközökön. Ezek után lesz jogalap eljárni ha ilyen jellegű tevékenységre utaló cselekmény történik.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Szerintem félre ment ez a szál. Beléptetni nálunk is lehet privát készüléket, akkor életbe is lépnek rajta a céges policyk. Itt mst arról beszélünk, hogy kamera + telefon a bemenet, a kimenet pedig kb. végtelen lehetőség. De a bemenet lehet az OWA is vagy szimplán elküldi magának privát mail címre a kérdéses anyago(ka)t. Ez ellen igen nehéz küzdeni, de szeretnék felajánlani egy belső, saját üzemeltetésben lévő megoldást. Hátha. Ha nem megy szépen, akkor utána majd megy erővel csak nem akarunk először a legdrasztikusabb módszerekhez nyúlni.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

Nálunk pont emiatt az OWA tiltva van: van mindenkinek céges laptopja. A külső email címek felé menő forgalom  ill a pendrive pedig DLP-vel védve van, ez persze nem 100%-os.

De azzal maximálisan egyetértek, hogy alternatívát nyújtani kell, anélkül csak elüldözöd a munkavállalókat a tiltásokkal.

DLP policykat bekapcsolni es raszabaditani a renitenskedo osztalyokra. Ha valami nem mukodik akkor nem az a megoldas, hogy elkuldom privat cimre es onnan varazsolok vele.

Mondjuk a scenariot se nagyon ertem. Mitol lesz neki jobb ha privat emailre elkuld valamit?

Amugy a szal onnan indult, hogy viberen osztanak meg fileokat. Hogyan lett ebbol sajat email meg kepernyokep?

Értem én, de ezek PRIVÁT, saját tulajdonú készülékek. Mi alapján szabályozom én azt bármilyen formában is?

Olyan alapon, hogy a munkavállaló eldöntheti, hogy akarja-e céges feladatokra használni a mobilját, és akkor szabályozod, vagy nem akarja, és akkor nem. 

Itt az fog segíteni, hogy jogilag egyértelműen megtiltjuk mindenféle céges digitális vagy digitalizált információ bármilyen formában történő továbbítását illetve tárolását privát eszközökön.

Nem, ez jó eséllyel nem fog segíteni, ugyanis a mindenféle itsec incidens mögött leggyakrabban nem egy blackhat mastermind van, hanem Józsi véletlenül rossz címre forwardolja az emailt, vagy rákattint arra a linkre, amire nem kellene.

Ezek után lesz jogalap eljárni ha ilyen jellegű tevékenységre utaló cselekmény történik.

Itt ugye a Mt., extrém esetben a Btk. az irányadó, szóval most is van jogalapod eljárni.

( gigalomania v | 2022. 03. 31., cs – 09:07 )

Szerkesztve: 2022. 03. 31., cs – 09:08

RocketChat-et használjuk pár felhasználóval. Szöveges üzenetek, file-ok küldésére. Docker konténerben fut, nincs gond vele.

Inkább IRC, mint Viber.

Hívás és videóchat külső alkalmazással, most kerestem rá, hogy tudja:

"In Rocket.Chat start video and audio conferences using Jitsi Meet."

( zrubi v | 2022. 03. 31., cs – 09:20 )

Előszeretettel küldözgetik a céges anyagokat privát eszközeiken a viberen keresztül.

Ez alapján mondjuk azt mondanám hogy

- elég hiányos az IT security oktatás és szabályozás

- és/vagy nagyon gagyik a hivatalos céges kommunikációs eszközök/lehetőségek.

 

Persze a már önmagában az is elég intő jel, hogy 'ingyenes' megoldást keresel céges használatra ;)

 

egyébként meg szerintem tökmindegy mit ajánlasz nekik, ez valami fétis lehet hogy épp 'viber' a sztárolt random cset jellegű app.

Hidd el, jövőre valamelyik másik lesz ;)

zrubi.hu

Igen, ez fétis. Viber + Messenger.

IT security oktatás folyik a csapból is. Szerintem már lepereg róluk. Egyszerűen néhányan nem érzik a veszélyt vagy nem veszik komolyan. Az a baj, hogy a dolgozótól kellene megvédeni a hálózatot úgy, hogy közben tudják használni is és én is életben maradjak. Mindent úgy örököltem. Az IBSZ-ünk is egy vicc, azt is sürgősen át kellene dolgozni.

Szerintem egyébként a céges kommunikációs eszközök elengendőek lennének, csak sokkal egyszerűbb lefényképezni valamit aztán átdobni a pistinek, mint elballagni a scannerhez és utána e-mailben továbbítani vagy eleve beállítani címzettnek az adott személyt. 

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

csak sokkal egyszerűbb lefényképezni valamit

ahh, igen... ilyet (is) nagyon sokat látok a munkám során, pedig nem a 4 fős 'fűnövesztő kft' a jellemző ügyfélkör ;)

 

DE: ha valamit sokka legyszerűbb a saját cuccal megcsinálni, akkor a céges megoldás  - úgy tűnik - mégsem  'elég jó'....

látom ezt a túltolt és értelmetlen jelszó policyknál, az céges korlátozó szoftverekkel  'agyonbaszott', használhatatlan lassúságú céges laptopoknál, és a munkát lehetetlenné tévő IT szabályoknál is...

 

Persze a jómunkásember is legtöbbször szarik bele, de nagyon sokszor ez már a következmény, nem maga a probléma....

 

szerintem.

 

Ha meg ilyet elvállaltál, az valóban kíhívásokkal teli munka...

sok sikert hozzá! ;) - csak arra vigyázz, ne te legyél aki emiatt idő előtt 'kiég'.

zrubi.hu

Valahogy én is így gondolom. Ezért szeretnék nekik valami alternatívát ajánlani, ami ugyanúgy vagy hasonlóképp működik, de "legális".

Nálunk minimális a policyk hatása látszólag, de még bőven lehetne azokon is faragni. Csak az első profilbetöltés tart sokáig. Igazából ha most nem szólna hozzám senki, minimum fél évre akkor is megtalálnám magamnak a melót :D Állítólag lesz új kolléga, akkor lenne idő be is fejezni néhány dolgot mert most úgy vettem át egy csomó mindent, hogy látszólag működik ez-az, de ha kicsit jobban mögénézek, akkor azért szoktam fogni a fejem, hogy vannak dolgok, amiket csak a jószándék tart életben. Ez az IM-es sztori csak egy mellékszál.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

A Viber piszok jól ki van találva. Ennél egyszerűbben már nem lehet képet, videót küldeni, megosztani a munkatársakkal és ügyfelekkel. Ami mellette szól, titkosított kapcsolat és elég távol van a Facebook Messenger-től, annak "adattolvaj beidegződéseitől".

Az átküldhető képek videók minősége, kezelhetősége pedig szuper. (Nem mellesleg úgy tudom, japán tőkés csoport tulajdona.)

Ne felejtsük el, a cégeknek ki kell szolgálniuk az ügyfeleiket. Ha azok ezt a kommunikációs módot szeretnék, akkor nincs mit tenni. (Persze vannak olyan szereplők egy gazdaságban akiknek ez biztosan kockázatot jelentene.)

(Én a Facebook üzenetküldő használatáról beszélnék le mindenkit, és alternatívaként jelölném meg a Viber-t, - ha már mindenképpen kell képes, videós üzenetküldés!)

Én értem, hogy baromi jól ki van találva, és ahol LEHET ott én is a cloud eszközöket használom, de sajnos pontosan tudom, mit jelent az, hogy ipari kémkedés, és azt is, milyen az amikor egy projektre közlik, hogy itt most nem lesz cloud, bármit megveszünk nektek ami feltelepíthető a belső hálóra, de a cloudot felejtsétek el.

Kényelmetlen? Az. De van, hogy nem szeretnéd ha akár csak a Rakuten kotorna a dolgaidban, mert esetleg pont kiváncsiak lennének rá amit építesz (nem KKV szoftver értelemszerűen).

( meskobalazs | 2022. 03. 31., cs – 09:26 )

Eleinte a NextCloud chatre gondoltam, de gyorsan kiderült, hogy 10-nél több felhasználót nem igazán tud kiszolgálni konferenciahívásban az ingyenes verzió.

Ez egészen 2020. májusáig így volt, de akkor nyílt forráskódúvá tették az előtte csak szolgáltatásként elérhető High Performance Backendet. Ez egyben egy signaling server és egy SFU, így vas kell alá bőven.

Bejelentés: https://nextcloud.com/blog/open-sourcing-talk-back-end-rc-of-talk-9-bri…

Forráskód: https://github.com/strukturag/nextcloud-spreed-signaling

( gabrielakos v | 2022. 03. 31., cs – 09:45 )

rocket.chat, mattermost

zászló, zászló, szív

( arpi_esp v | 2022. 03. 31., cs – 16:46 )

Szerkesztve: 2022. 03. 31., cs – 16:49

> Vajon mekkora videokonferenciát tud kezelni?

most akkor chat kell vagy egy Teams klon? :)

free openszosz selfhost video/audio konferenciara ott a BigBlueButton, a 2.2 erosen kuzdott a sok useres mukodessel (nem skalazodott jol tobb cpu-n a node.js miatt, ezert kb 200-300 usernel beleallt a foldbe a 6mFtos szerveren is) de a 2.3-ban elvileg ezt javitottak es mar 2.4-nel (2.5 dev) tartanak.  mondjuk eleg maceras telepiteni es nem szeret virtualizalva mukodni, de ha van ala rendes vas akkor okes. mondjuk a v2.2 meg jobban futott egy i7 desktopon mint egy 2x24 magos szerveren, a magasabb 1core ghz es gyorsabb ram miatt.

chat-re nincs otletem, mi is a vibert hasznaljuk :) de nem kuldozgetunk jelszavakat meg fileokat rajta, arra ott a freemail :) (csak viccelek)...

( kassaiviktor | 2022. 03. 31., cs – 17:05 )

nekünk mattermost vált be. aki slacken volt, annak nagyon ismerős

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

( sibike | 2022. 03. 31., cs – 17:18 )

Szerkesztve: 2022. 04. 01., p – 08:25

Rocketchattel kapcsolatban:

- Nem videokonferencia szoftver, de valamilyen jitsi integráció van, de nekünk pár éve nagyon rosszul működött

- A 100 useres limit csak egy ajánlás, mert úgy látom, hogy multi instance nem támogatott a community editionben, és emiatt nehezen fog egy instance 100-nál több párhuzamos usert kiszolgálni. Ennek a HA korlátozásnak utána nézek, ilyen régen nem volt.

Szerk: nem találtam semmilyen konkrétabb utalást a fizetős only HA képességre, a dokumentációban szerepel mindegyik változatnál. Esetleg valaki ügyesebben googlizik?

( deje | 2022. 03. 31., cs – 17:33 )

Korábban Mattermost-ot használtunk hasonló okokból kifolyólag.

Azóta a cég átköltözött az M$ felhőbe levezésestől-mindenestől, így a pandémiára már integrált Teams lett. Linuxon sajna a Teams elég fos (lassú, instabil, webcam feature-ök hiányoznak), Androidon is, de nagyjából működik (mondjuk nem sokan használunk Linuxot munkára...). Viszont mindenki ezt a platformot használja, nincs Viber meg FB Messenger meg ilyen bohócságok.

Évekkel ezelőtt (talán 5-6?) kipróbáltam, hogy a Skype tényleg felhasználja-e az ott megadott információkat. Csináltam egy user/pass hozzáférést egy webszerverre, és Skype üzenetben elküldem a user/pass-t, majd megnéztem a logokat. Az M$ search indexer botja néhány óra múlva benézett a megadott hozzáféréssel :) Ugyanez Google Hanglouts-on (vagy talán még Talk volt akkor?) is megtörtént, ott a gugli botja kb 1 percen belül bekopogott.

Csináltam egy user/pass hozzáférést egy webszerverre, és Skype üzenetben elküldem a user/pass-t, majd megnéztem a logokat. Az M$ search indexer botja néhány óra múlva benézett a megadott hozzáféréssel :)

Az igen. Emlékszel még, hogy konkrétan mi volt az üzenet, amit küldtél?

( Aadaam v | 2022. 03. 31., cs – 18:59 )

Nézz körül itt:

 

https://xmpp.org/software/servers/

az ejabberd a legterhelhetőbb, az openfire volt anno a leg rendszergazda barátabb (és amúgy baromi jó minőségű a kódja), a NATO meg a mindenféle amerikai hadtestek rendszerint Isode-on futnak.

( Adamyno | 2022. 03. 31., cs – 19:05 )

Annyival kiegészíteném a dolgot, hogy nem feltétlenül szükséges, hogy az IM és a videokonferencia szoftver ugyanaz legyen, csak célszerű.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

( riverman | 2022. 03. 31., cs – 19:32 )

Mattermost. Mindent tud, amire neked szukseged van.

Roses are red
Violets are blue
Unexpected '}' on line 32

( debtamas88 | 2022. 04. 01., p – 23:19 )

on-prem megoldások:

-Cisco Meeting Server (CMS) - Webex client / Jabber client
-Alcatel-Lucent Rainbow
-HCL Domino + HCL Sametime (korábban IBM Domino / IBM Sametime )
-OpenFire

( prozherum v | 2022. 04. 01., p – 23:58 )

+1 XMPP-re . Prosody és Coturn szervereket használok már pár éve. Lásd itt.

( PDA_FAN | 2022. 04. 02., szo – 06:43 )

Milyen platform van a cégnél? O365, Teams, Sharepoint nem játszik? A vállalati Skype valószínűleg meg fog szűnni, legalábbis az Ms mindenkit ezzel a szöveggel nyom a Teams felé.

A lokalis valtozat ugyanugy managelt eszkozon van. Ha a mobilja be van leptetve az ugyanugy viselkedik alkalmazasszinten. Probald ki ha egy belepett mobilon Outlookban megnyitsz egy levelet egy sort sem fogsz tudni belole kimasolni ha nem trusted appba masolnad mert ezt kapod rogton uzenetkent:

Your organization's data cannot be pasted here.

Ez abban az esetben igaz, ha az érintett fájl soha nem lesz letöltve (praktikusan csak MS Office), ha Teams-ben osztod meg, még enforce-olni sem tudod a view-only módot.

Az Office-ban régóta jelenlévő Right Management ennél szofisztikáltabban biztosítja ugyanezt.

Fájlokat nem osztogatnak Skype-on a userek.

Nincs nálunk SEMMI ami felhős. Felhő egyenlő a halállal.
Szinte 0 internet, csak beső hálózat van 99%-ban. Ha nagyon akarnék valszeg meg tunék oldani egy külső portot, hogy internetről is elérhető legyen a szerverem, de nincs fixIP-sem, úgyhogy kb. felejtős a dolog. Egy dyndns kerül annyiba mint egy fix ip, az ingyenes verziót meg havonta nyomkodni kell, hogy akarod még használni.

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

( gabrielakos v | 2022. 07. 27., sze – 17:37 )

Rocket.chat, mattermost

zászló, zászló, szív

( Rt711 v | 2022. 07. 27., sze – 22:47 )

Céges adatok nem managelt eszközökön való terjesztése aggályos ezért bárhogy is döntesz, legyen róla papír. A security VP meg valami egyéb nagyfőnök írja alá hogy ez így jó.
Alkalmazotakkal tudatni mi a céges adat és mi mibe kerül, aztán ha nem teszik akkor lehet munkát keresni máshol.

Technológia téren:
Mattermost valami olyan backenddel ami tud encryption at rest-et, mondjuk S3.
https://docs.mattermost.com/deploy/encryption-options.html
Ha nem akarod üzemeltetni akkor Slack managed.
Adminkodni lehet, sok melo.

Céges adatokra Signal-t is lehet, de csak ha meg lehet bízni a csapatban.
Vannak eltűnő üzenetek, nincs audit trail.