Tag Archives: computers

dlp

De vreo 2 ani asa s-a inventat un nou termen in jucaria asta cu information security: Data Loss Prevention. Si acu toata lumea face produse de DLP care de care mai jmechere, mai cu mot, mai cu beculete, mai cu dracu stie mai ce.

Teoria e simpla: exista riscul ca angajatii sa ciordeasca date din companie din diverse motive. Si angajatii astia care alta treaba n-au decat sa produca pagube companiei trebuie opriti. Uite asa si-au gasit si produsele astea un scop in a exista si a fi create si dezvoltate :)

Ce e funny asa e ca toate sunt targetate pe limba engleza, pana localizezi un produs… te iau piticii si mori incet langa el. Si invata ce e ala un document important si ce nu cam ca motoarele de spam: tre sa vada diverse, ii mai dai un cuvant cheie si asa mai departe, eventual template-uri de documente sa stie dupa ce sa se uite mai exact – asta am aflat-o de curand ca e o capabilitatea al unui produs de-l distribuie corporatia.

Toate chestiile astea functioneaza teoretic intr-o companie in care exista niste standarde care’s folosite cum trebuie cand vine vorba de clasificarea documentelor si atunci e usor de monitorizat cine ce vede si unde trimite, si eventual sa blochezi daca e ok sau nu

Dar prin tara asta minunata am vazut foarte rar standardizari din astea ca la carte si fiecare face documente oficiale dupa cum il taie capul. Si uite asa s-a inventat o solutie pentru atunci cand iti urasti adminul de moarte si eventual niste sefi de departamente care trebuie sa dreseze solutia sa recunoasca ce trebuie.

Daca esti BOFH, un soft de DLP e fix ceea ce-ti trebuie sa poti chinui in tot felul de moduri creative angajatii: ba le mai dispare un fisier – ca nu e conform cu politica si nu se admit abateri, ba nu pot da un mail cu planul firmei pe urmatorul an, ba nu mai pot face nustiuce si nustiucum. The sky is the limit cum zic francezii.

vlan rant

Io cand am setat prima oara VLAN-uri pe un switch era un Catalyst, si acolo aveam:

interface FastEthernet 1/0
switchport mode trunk
switchport trunk vlan allowed 100,200,300
switchport access vlan 400

Chestia de mai sus mi se parea extraordinar de logica: stiam din prima citind un config ce setari are o interfata. Dupa aia ma-m jucat si cu altii, recte HP si Juniper. Si astia doi vendori nu cre’ca i-au lasat pe programatori sa fumeze ce trebuie si la ei VLAN-urile se definesc pe dos si ilogic. Exemplu de-mi vine acu in minte ca tot mi-au futu creierii cu VLAN-uri in ultima vreme vine de la HP

vlan 100
tagged 1
vlan 200
tagged 1
vlan 300
tagged 1
vlan 400
untagged 1

Eh, ia si urmareste intr-un mod facil ce port in ce VLAN-uri e cand in fata ai doar configuratia si n-ai acces pe switch. Ultima parte e importanta, ca daca ai acces pe switch, te scoti relativ usor cu show vlan ports 1, daca n-ai acces… ai cam supt-o cand sunt multe porturi si multe VLAN-uri, ca trebuie sa-ti faci in cap schema de retea si s-o transcrii in format Cisco like :((

N-o face Cisco totul bine, da macar asta cu VLAN-urile are sens si logica. Din pacate altii isi urasc netadminii si fac setupuri de te scarpini pe dos dupa urechi.

De ceva vreme ma tot tineam sa scriu da m-au tot oprit VLAN-urile din scris…

3com si wireless-ul

Mda, deci, de marti asa de pe la ~ 14:30 pana seara tarziu, si dupa aia cu repetitie pana acu m-am cacat pe mine in fel si chip sa pun pe picioare o solutie de wireless zice’se moderna, adica AP-uri destepte managerizate de un Wireless Controller.

Din motive sa zicem mai putin importante, solutia aleasa a fost de la 3Com, si anume WX3010 + AP9552, ca deh sa fie 802.11n in 5GHz. Si d’aci s-a cam rupt firul.

Problema e clasica: hardware-ul e facut in China dupa cum crede Huawei de cuviinta, firmware-ul tot pe acolo, documentatia… tot acolo. Problema misto e ca e putina. Si nu e nici coerenta.

Si uite asa, noroc ca era produs nou si am putut apela la suport si sa cer hint-uri pe ici si pe colo ca sa inteleg ce si cum au gandit aia chestiile.

Sa incep cu inceputul: AP-urile merg in doua feluri (bine asta e valabil pentru orice solutie wireless managed): FAT si FIT:

  • FAT inseamna ca AP-ul e standalone si poti sa te dai la el fie CLI fie via interfata web
  • FIT inseamna ca AP-ul e managed de un controller si nu prea ii mai faci nimic dupa ce il legi de controller

Si aci a inceput prima distractie care a insemnat timp pierdut de o zi si jumate asa, give or take. Iau docoment PDF de la 3com de pe site cu procedura din aia ca pentru prosti: dai click colea, te legi cu seriala aci, butonezi asta si intr-un final apoteotic are trebui sa mearga. Eh, ghinion, ca nu mergea cum ziceau ei: AP-ul buta, descoperea controller-ul, intra in starea de ImageLoad – care presupunea ca’si descarca de pe controller o imagine noua de firmware, dupa care se restarta. Prima banuiala a fost ca poate asa e normal si l-am lasat in pace. Dupa vreo 5-10 restart-uri asa am ajuns la concluzia ca ceva e futat, prima idee venita in creieras: dead on arrival. Zic lasa, ca mai am. Despachetez un alt AP, urmez fix aceeasi procedura, zbang, aceesi duda: AP-ul se restarta intr-o veselie. Caut chestii pe site-ul de suport, dau numai de link-uri moarte, as in 404, la diverse tutotiale din astea video de pas cu pas. Bazai la distribuitorul din Romania cu problema, se uita si el la jucarie da nu vede nimic in neregula. Bazai la reprezentantul tehnic 3Com in Romania, sapa si el un pic si vine cu raspuns de la un fel de specialist pe wireless care rezolva problema. Problema complet stupida de altfel: pe controller pui firmware-ul pe care AP-urile o sa si-l ceara cand buteaza prima oara in FIT mode, eh, numai ca minunatul controller are o lista – apdb cu ce ce versiune vine fiecare firmware, ca la chinezi le-a fost greu sa mai faca o subrutina care sa se uite in .bin-urile de pe flash si sa vada ce versiune au. Controllerul stia ca are versiunea tz02, iar eu aveam pe flash tz02sp002. Eh, si ce se intampla de fapt: AP-ul se rebuta cu firmware-ul dat de controller, se inregistra la controller, isi trimitea versiunea de software, controllerul vedea ca nu bate cu ce stia el ca trebuie sa fie, dadea instructiuni la AP sa-si ia versiunea corecta de software, ala downloada ce trebuia si uite asa ca la budisti, ciclul se repeta la infinit. Explicat la controller ce versiune de firmware e si ca prin minune AP-ul nu se mia reseta intr-o veselie.

Din capitolul cum sa te zgarmi in cur bagandu-ti mainile pe gura, controller-ul wireless minune e foarte special: contine un asa numit AC (access controller) si un Unified Switch – doua device-uri intr-unul care comunica intre ele printr-un port de gigabit virtual. Si drept urmare ai un switch cu PoE in care infigi AP-urile care switch mai departe leaga AC-ul de retea si de AP-uri. Daca lasi switch-ul in pace si nu-l configurezi deloc, poti sa dai acces la clienti intr-un VLAN default si cam asta e tot. In schimb, daca vrei sa mapezi SSID-uri la VLAN-uri si nu stii cum sa le legi… ai cam supto cu foarte mult spor. Cu mica mea aventura am supt-o tot cam o zi asa, ca nu priceam ce mortii si ranii ma-sii nu merge. Cu ocazia asta aveam si-un caz deschis la suport, dau reply, primesc reply: Think of the GigabitEthernet 1/0/11 as virtual interface between the network switch and the AC and create trunking between the interfaces. Si uite asa m-am luminat. Da s’a facut repede bezna, ca tot nu veneau VLAN-urile spre AC si nu vedeam nici un MAC pe nicaieri. Aici si mai interesant: 3Com in mareata lor genialitate, daca pe un switch de-al lor ai doau porturi puse in trunk cu “permit vlan all” nu forwardeaza nimic dintr-o parte in alta, ci trebuie sa definesti local pe swich VLAN-urile pe care le vrei sa traverseze doua trunk-uri. Noroc ca, dintr-un motiv care mie iar imi scapa, comanda “vlan all” care face ceva foarte interesant in 2-3 minute: creeaza 4094 de intrari de VLAN in baza lui de date interna. De ce doar 4094 din 4096… beats me, da macar le face in liniste fara sa comenteaza prea mult, doar pune pe ecran cate un punctulet cam pentru fiecare VLAN :)) Dupa ce faci trunking pe switch, trebuie sa faci trunking si pe wireless controller. La ala am definit doar VLAN-urile care ma interesau, nu de alta da asta daca le definesc pe toate mi le toarna pe toate in interfata grafica, si daca vreau sa folosesc vlan 100 si 200… am belit-o cautand pagina cu pagina pana dau de ele in lista….

Ca sa fie treaba treaba, 3Com a inventat hybrid port, adica nici trunk da nici access. Pe undeva pe langa. Hybrid port asta te lasa sa ai X VLAN-uri tagged si Y VLAN-uri untagged pe acelasi port. care o fi logica sa ai 2-3 VLAN-uri untagged pe un singur port imi scapa la ora asta, insa probabil prin China retelele sunt altfel :)

Futerea maxima e cand creezi SSID-urile si vrei sa le legi de un VLAN anume, daca gresesti si pui si VLAN 1 ca acces pe SSID-ul tau… tot traficul o sa se duca bucuros pe VLAN 1. Partea si mai futacioasa e ca daca gresesti, nu mai repari asta si s-o faci si sa mearga decat daca stergi de tot SSID-ul si-l recreezi.

Partea misto si care dadea cele mai multe WTF-uri e ca la un moment dat un config mergea bine, dupa un reboot…. lipsa.

Concluzia e ca nu prea e documentatie, aia care e relativ degeaba, site-ul de suport e vai de creierii lui. Astea’s genul de echipamente pe care le recomanzi la dusmani sa vezi cum se descurca sub stres sau cum a fost cazul meu, sa stau 4 zile cate 12-14 ore la servici sa sap in variante de configurari.

Si ca factor WTF suplimentar a mai fost si Windows-ul 7 de la mine de pe laptop care daca-l freci la cap cu connect/disconnet from wireless network la un moment dat se confuzeaza si fara restart nu prea o sa mai colaboreze in privinta wireless-ului – asta am descoperit-o mia tarziu cand nu intelegeam de ce nu merg anumite chestii SSID-uri la mine pe laptop, da pe altele mergeau. Si cum distractia nu se termina niciodata cand ai mediu heterogen si fiecare laptop are wireless de la diversi in diverse stadii de 802.11n draft, ba lipsa de suport pentru 802.11a si deci nexam access in banda de 5 GHz sau se leaga in 5GHz da si cu AP-ul in fata lui se leaga doar la130Mbps si nu la 300Mbps, sau laptopul meu care are card intel 5300 AGN cand vede un SSID care se gaseste si in g si in n se duce direct in g, sau pe g am mai mult semnal ca pe n, sau mai stiu io ce ciudatenii.

Tot la capitolul putere semnal, fiecare tara cu de la sine putere a decis ca un AP poate emite cu maxim o anumita putere. Cum io am chiulit la fizica, tot ce stiu e ca cu cat sunt mai multi dbm cu atat e mai bine si ca zgomotul sa fie cu dbm d’astia negativi, preferabil foarte negativi. Si uite asa in China ai voi cu 22dbm iar in Romanica ai voie doar cu 12 respectiv 16 dbm. Din sapaturile facute, astia in China te lasa sa dai cat mai mult si uite asa AP-urile mele se cred la ele acasa, adeca in China.

Dupa ce-mi trec nervii si mai linistesc si cu wirelessul ma zbate gandul sa torn un config pe wiki, ca poate mai ajung si altii in stadiul de suicidal wannabe in incercarea de a configura dracii din astea.

acronime si wireless

Azi am descoperit ce nasol e sa lucrezi pe echipamente noi si sa nu stii acronime, mai ales ca help-ul e scris de chinezi si e semi-useless.

Da sa incep cu inceputul: azi cautam intr-un controller wireless de la 3Com cum sa activez criptarea AES pe WPA pe un SSID anume. Gaseam WPA, da nu gaseam si AES-ul, ca pe controller erau doua optiuni mari si late: TKIP sau CCMP. Initial m-am lasat pagubas si l-am pus pe TKIP, am injurat chinezii de la Huawei ca nu’s in stare sa implementeze si ei AES. Acu seara am facut o chestie super mega jmekera: am cautat pe Wikipedia ce inseamna CCMP, si ca printr-un facut din ala Murphy style, CCMP implementeaza AES :) Dupa aia am gasit ce inseamna si RSN – ca tot aveam optiune pe acolo de asa ceva, si incep sa fiu destul de incantat de controller la ce stie sa faca.

Acu mai astept sa vina si AP-urile asa vad ce parere au ele vis-a-vis de controller si de ce setari am facut io pe el. Si cel mai important, sunt tare curios cati clienti suporta simultant un AP si cata banda da la fiecare cu CCMP.

ips/ids

In decursul carierei de bagator de seama in jucaria asta cu calculatoarele am ajuns sa ma dau si cu software/hardware de tip IDS/IPS.

Primu cu care m-am dat a fost Snort care mergea bine, spunea tot ce vedea, putei sa scrii usor reguli pentru el si alte cele.

Dupa aia am ajuns in corporatie si m-am intalnit cu IPS-urile de la ISS, acu parte din Big Blue. Eh, aci s-a rupt firu, io nu m-am inteles cu cacaturile alea deloc bine. Si nici n-am fost in stare sa fac unul sa mearga. Singurul lucru care l-am scos dintr-un IPS din seria M a fost “Firewall General Attack” si cam atat.

Saptamana trecuta am ajuns sa ma dau si c’un senzor de la Tipping Point. Si-am ramas masca: se seteaza al dracu de usor, merge “as advertised” si nici nu necesita prea multa mentenanta o data instalat si dat in productie. Adica e simplu la modu ca poti sa-l dai la o maimuta si poa sa-l instaleze :)

Altele pe care le-am vazut sunt de la Juniper, care sunt OK doar ca necesita ceva intretinere. Mai am sa vad alea de la McAfee cum sunt, ca review-urile sunt pozitive in general.

ipv6

I haz it :) Asta ca sa ma laud si pe blog.

Azi am fost notificat prin mail de RIPE ca am primit un /48 PI. Acu mai tre sa bat la cap providerii sa-mi ofere si IPv6 + BGP v6 :)

In alta ordine de idei, un /48 din asta contine atat de multe adrese IP c’as putea sa dau la fiecare negru de pe plantatie cate un /64 sa zburde pe acolo si sa-mi mai ramana pana ajungem corporatie din aia cu mii de angajati.

Acu, unde gasesc si io un calculator care sa-mi spuna cate /126 intra intr-un /64 si sa le calculeze ? ;))

web security si url filtering

Azi din motive de cautat date despre ‘e-mail security in the cloud’ vizitai din nou pagina de la postini despre ce servicii ofera mi-a atras atentia faptul ca mai nou ofera si web filtering si web security ‘in the cloud’. Singurii care stiam ca fac asta sunt ZScaler, da acu c’a intrat si Google in joc si tinand cont de baza lor de URL-uri si de utilizatori, sunt curios in cat timp restul vendorilor vor deveni irelevanti cand vine vorba de web security si web filtering ‘in the cloud’.

mysql & oracle

De ceva vreme Oracle tot incearca sa-i cumpere pe Sun. Si de ceva vreme ba s-a opus Departamentul de Justitie in SUA, ba Comisia Europeana in Europa. Cica chestii antitrust, c’ar fi nasol daca Oracle ar avea si hardware pentru bazele de date. Departamentul de Justitie a zis ca OK, Oracle poate face plata. UE inca se mai caca in sus in aceasta privinta – ca se pare ca apucat-o dragul de MySQL si despre soarta lui in mainile lui Oracle.

MySQL e GPL. Se face fork si se continua dezvoltarea fara probleme. Nu stiu ce pisici e asa greu sa priceapa si Comisia Europeana.

Si ca sa fie treaba treaba, gigi ala de’a facut MySQL prima oara pune gaz pe foc ca vai, Oracle o sa puna gheara pe MySQL si ca o sa ceara bani pe el and stuff si ca o sa fie monopol. Asta avand in vedere ca MySQL in continuare e GPL, asa ca nu e nimic oprit sa si-l dezvolte in continuare daca vrea sa-l foloseasca. Si uite asa s-a apucat el de impartit panica pe ici si pe colo impotriva lu Oracle.

Ce uita el in schimb e ca a vandut MySQL lui Sun acu ceva timp pentru 1 miliard de verzisori. Si cu miliardul ala de verzisori in buzunar si-a pierdut dreptul de a-si da cu parerea in privinta a ce se intampla cu MySQL. Simple as that.

Parerea mea e ca e un ipocrit si jumatate, dupa ce-a bagat banii in in buzunar de la Sun sa chitatie ca ce nasol ca o sa fie vandut mai departe la Oracle. De fapt, pe langa faptul ca e ipocrit, e si nesimtit cu chitaiala asta.

Lumea zice c’ar fi de fapt inca una din metodele de competitie corecte practica de Microsoft in razboiul bazelor de date. Si ca Monty ala ar fi luat ceva verzisori si de la MS sa produca atata FUD. Nasol cand iti intuneca banii mintea. Sau ura chioara fata de un vendor anume.