- Liittynyt
- 23.10.2016
- Viestejä
- 512
Kiitosta, hyviä settejä tullut. Täytyy juu heittää nuo HTTPS ja SSH ulkopuolelta pois, ja konffailla OpenVPN tulille. En ole vaan kotona jaksanut.
Miksi käytät DMZ:tä, jos sulla on siinä tehokas palomuuri alla? Eikö tuossa ole OpenVPN tukea? pfSensessä VPN:n pystyttäminen oli todella helppoa. Serveri pystyyn, palomuurista portti auki ja lataat valmiin .ovpn tiedoston laitteelle.Ainoa vielä projektissa asia on miten sisäverkkoon saa DMZ:stä muodostettua VPN:n Sophoksen läpi.
DMZ on samalla WLAN alusta (semi)luotetuille vierailijoille (siis joille annetaan salasana), mutta ei haluta päästää sisäverkkoon edes näkemään infraa tai ainakaan hallitsemattomasti heilumaan. VPN:n kautta pääsee konffaamalla hallitusti sisäverkkoon. Tai siis pääsisi jos tuo VPN ei olisi vaiheessa. Olen tässä palomuurien konfigurointiasiassa hieman ulkona omalta mukavuusalueelta, joten jättäkää kaverit minulle hieman pelivaraa.Miksi käytät DMZ:tä, jos sulla on siinä tehokas palomuuri alla? Eikö tuossa ole OpenVPN tukea? pfSensessä VPN:n pystyttäminen oli todella helppoa. Serveri pystyyn, palomuurista portti auki ja lataat valmiin .ovpn tiedoston laitteelle.
Jos haluaa avata internettiin minkä tahansa palvelun, on sen kuuntelijan portti avattava palomuuriin. VPN on palvelu siinä missä Web-palvelinkin tai postipalvelin. Portti auki vaan, ja pidät softan päivitettynä aina, niin että tietoturvaongelmat on fiksattu, niin ei siinä ihmeempää.mutta tuo ajatus "palomuurista portti auki" eli porata reikä muuriin kuulostaa hirveältä ajatukselta. (".... niin vahva kun sen heikoin lenkki".)
Juu näinhän se aina menee että portti avataan muurista ja staattinen ohjaus haluttuun palveluun (sisä)verkossa. Mutta olen hieman tavallista varovaisempi koska kuten sanottu muuri on NAS:n virtuaalikytkimen ohjaamana virtuaalikoneessa, joten ettei vaan tule avattua ns. tulvaporttia. Eli että vastaako palveluun virtuaalikoneen portti, NAS:n portti, sisäverkon portti, ... vai mikä ja miten ohjauksen toteuttaa luotettavasti ja oikein. Jos tästä tulee ns. korttitalo ja infraa takana on aikas paljon niin tää alkaa olla jo rojekti.Jos haluaa avata internettiin minkä tahansa palvelun, on sen kuuntelijan portti avattava palomuuriin. VPN on palvelu siinä missä Web-palvelinkin tai postipalvelin. Portti auki vaan, ja pidät softan päivitettynä aina, niin että tietoturvaongelmat on fiksattu, niin ei siinä ihmeempää.
Portteja jos menee availemaan tarpeettomasti ja niin että ei ole palvelua siinä reiässä on vaarallista kylläkin. Mutta ei, jos tietää mitä on tekemässä.
Ja samantien päivitin omaan purkkiin. Päivitys meni läpi hienosti, mutta purkki ei noussut takaisin linjoille. Tovin hermoiltuani huomasin, että auttaa kun pistää purkin päälle. Näköjään tuon purkin USB porteissa on virrat päällä, vaikka itse tietokone on sammuksissa. LCD-näyttö ja GPS-vastaanotin oli kokoajan elossa. Varmaankin ensimmäinen käynnistys oli jostain syystä pysähtynyt ja kun boottasin sen virtajohdosta niin jäi sammuksiin.pfSense 2.4 on nyt julkaistu.
Riippuen millaisella raudalla ajat, mutta mikäli pc-rautaa käytössä niin emolevyn biossista säätämällä pitäisi saada tuo asetettua.Ja samantien päivitin omaan purkkiin. Päivitys meni läpi hienosti, mutta purkki ei noussut takaisin linjoille. Tovin hermoiltuani huomasin, että auttaa kun pistää purkin päälle. Näköjään tuon purkin USB porteissa on virrat päällä, vaikka itse tietokone on sammuksissa. LCD-näyttö ja GPS-vastaanotin oli kokoajan elossa. Varmaankin ensimmäinen käynnistys oli jostain syystä pysähtynyt ja kun boottasin sen virtajohdosta niin jäi sammuksiin.
Siinäpä on sitten seuraava selvitettävä asia, pitää saada purkki käynnistymään aina kun virtaa tulee.
Joku kiinan mini PC tuo on. Pitää alkaa kaivelemaan vähän tietoja siitä, ite laitteessa ei tietenkään lue muutaku power virtanapissa. Sillon kun tuon kasasin, yritin pikaisesti päästä BIOSiin, mutta ei onnistunut perinteisillä nappeilla.Riippuen millaisella raudalla ajat, mutta mikäli pc-rautaa käytössä niin emolevyn biossista säätämällä pitäisi saada tuo asetettua.
Kiinasta esim. Aliexpressistä saa Qotom merkkisiä koneita, joissa riittää tehot gigan nettiinkin. Maksavat yli satasen (+verot), mutta ovat kuitenkin selvästi halvempia kuin Netgaten vastaavat laitteet.PfSense-purkki olisi haussa 50/10-kotiverkon vartijaksi. Pitäisi olla aika pieni, kun on vähän ahtaat tilat ja täytyy varmaan kiinnittää seinään.
Onko vieläkin niin, että alle satasella ei löydy oikein mitään?
Se Netgaten SG-1000 olisi varmaan ihan passeli, mutta ei haittaisi jos löytyisi joku edullisempi. Jenkeistä jos tilaa, niin menee vielä tullit päälle.
Onko hyviä ehdotuksia?
Jos pienellä budjetilla haluaa päästä, niin Mikrotik voisi olla hyvä vaihtoehto. Ei tue pfSenseä vaan tulee omalla RouterOS:lla.Onko hyviä ehdotuksia?
Tuon pitäisi jaksaa puskea 50/10 liittymä monin kerroin tukkoon vaikka VPN-putken kanssa.Eli olisiko se sitten Mikrotikin hEX RB750Gr3? Tuon hinta Seneticissä on reilu 50€, mikä sopisi budjettiin ihan mukavasti.
IBM Maksuton Quad9 DNS-palvelu tuo tietoturvaa jokaisen ulottuville - SuomiIBM Security, Packet Clearing House (PCH) ja Global Cyber Alliance (GCA) julkistivat tänään uuden maksuttoman palvelun, joka antaa jokaiselle yksityishenkilölle ja yritykselle mahdollisuuden lisätä yksityisyyden suojaa verkossa.
Quad9-nimipalvelinpalvelu (DNS: 9.9.9.9) suojaa käyttäjiä miljoonilta haitallisilta verkkosivuilta, joiden tiedetään urkkivan henkilökohtaisia tietoja, saastuttavan käyttäjien laitteita erilaisilla kiristys- ja haittaohjelmilla tai linkittävän käyttäjän petokseen.
Quad9 mahdollistaa jatkuvan suojauksen, kunhan dataliikenne on ohjattu kulkemaan palvelun kautta. Lisäksi palvelu tukee käyttäjän yksityisyyttä verkossa entistä paremmin. Palvelu ei tallenna tai hyödynnä käyttäjien henkilökohtaisia tunnistetietoja (PII). Toisin kuin jotkin DNS-palvelut, jotka hyödyntävät keräämäänsä tietoa markkinointiin tai muihin tarkoituksiin, Quad9 ei kerää henkilötietoja tai jaa mitään tietoja väestötieteellisiin analyyseihin tai markkinointitarkoituksiin.
Quad9:n käyttöönoton myötä yksityishenkilöillä ja yrityksillä on mahdollisuus suojaan, joka on tehokas ja maksuton. Tarvittavat muutokset asetuksiin ovat vähäiset. Quad9 ei vaadi käyttäjältä muita määritystoimenpiteitä kuin DNS-kyselyiden uudelleenohjaamisen. Palvelussa on kyse reaaliaikaisesta ja pitkälle järjestelmän ohjaamasta tietoturvasta, joka estää pääsyn tunnetuille haittasivustoille. Palvelun antama suoja ei kata ainoastaan pöytäkoneita ja kannettavia, vaan se on laajennettavissa myös muihin laitteisiin, kuten televisioihin tai IoT-teknologioita hyödyntäviin ratkaisuihin. Usein tällaiset laitteet tai ratkaisut jäävät perinteisten tietoturvaratkaisuiden ulottumattomiin jättäen ne alttiiksi hyökkäyksille.
Kuinka kauan odottelit? Välillä päivityksessä kestää järjettömän kauan syystä x. Itsellä on pahimmillaan kestänyt 30min, että GUI ja yhteydet on alkanut toimimaan. Välillä päivitys taas menee sukkana sisään ja aikaa meni 2-3min.No sattuipas taas päivityksen jälkeen GUI kuoli eikä ssh:lla pääse sisään joten p...le!
Kiitos vinkistä. Compulabilla näytti olevan näitä vielä muutama varastossa, E3950 lähti tilaukseen.Fitlet2 is a tiny fanless Apollo Lake mini PC for $153 and up - Liliputing
Compulab Launches the Fitlet2 Passive SFF PC with Apollo Lake SoCs
Fit-PC puljulta on tulossa mielenkiintoinen purkki, passivijäähdytetty ja 2 Intelin gigabit verkkoporttia vakiona, yhteensä 4 saa laajennuspalikan kanssa. Hinta tosin on yleensä ollut korkeahko heidän tuotteissa.