nomore

Hva er den sikkerhetsmessige forskjellen mellom en hub og en switch?

Tja, evig er nå å dra det langt men i overskuelig fremtid vil du nok oppleve dette ja. Sannsynligvis i flere år, kanskje og tiår, alt etter hvor stor butikken er og hvor stort gjennomtrekk det er av ansatte og kunder. Men vær ærlig med deg selv først og fremst. Dersom du mangler impulskontroll så er dette noe du må ta tak i før det skjer igjen.

Jeg synes det er fasinerende at du tok den ene setningen som støtter opp om konklusjonen du allerede har bestemt deg for, og hopper mye av resten. For eksempel: Og ikke minst: Eller: Det er godt mulig du har lært mye om IPv6 siden du startet denne tråden, men jeg føler at du mangler den store forståelsen for nettverk både i teori og praksis. Og at du derfor lett konkluderer uten å egentlig forstå hva som skrives. Kort oppsummert, om vi ser på NSA linken, så går sikkerhetsutfordringene ut på at under utrulling av IPv6 så må en sørge for at de samme (eller bedre!) sikkerhetsmekanismer en har implementert fra før med IPv4 videreføres. Som eksempel at når en i brannmuren har regler som filtrerer trafikk så må en sørge for at regelen både treffer IPv4 og IPv6 trafikk, og ikke bare IPv4 da en da vil være sårbar. Rapporten tar i stor grad for seg at kompetansen på IPv6 må på plass hos personellet for at dette skal gjøres på en trygg måte. Rapporten spesifiserer IKKE at IPv6 i seg selv har sikkerhetsutfordringer. Den nevner noe om SLAAC og personvern/identifisering av host/fingerprint, men så lenge en ikke tillater ekstern trafikk mot link local adresser eller unngår at disse blir opprettet i første omgang så er mye gjort. NSA vil nok ha et problem med det. De fleste andre ikke.

Grunnen til at det ikke står noe om port forwarding (NAT) er fordi det ikke det ikke trengs. Og CGNAT må ikke blandes med brannmur, for det er det ikke. Hvorvidt denne saken har en brannmur eller ikke kan jeg ikke uttale meg om. Men for å oppnå resultatet ditt så har du først installert en webserver på Windows 10 PC'en, og deretter har du (aktivt eller ved installasjon av webserver) åpnet port 80 og 443 inn til webserveren. Samme resultat ville du ha fått med IPv4, men du måtte ha NATet portene i tillegg dersom du kun hadde privat adresse på maskinen. Så jeg forstår ikke helt hvorfor du mener dette fungerer så fryktelig annerledes.

Fin bortforklaring da, dvs at han startet spleisen på oppfordring fra andre.

Om DETTE var det du egentlig mente fra starten av så må du virkelig ta til deg at budskapet på ingen måte har kommet frem. Du har faktisk ikke nevnt pentesting med et eneste ord tidligere. Ei heller Kali. Så hvordan mener du egentlig at dette skulle ha kommet frem tidligere? Jeg sier ikke dette for å være stygg, men jeg synes det er litt kjipt å kaste bort tiden min (og andres) på å gå rundt grøten. Noe det virker som vi gjør her. Nå tror jeg du misforstår noe veldig. Verktøyene er ikke laget FOR IPv4. De fleste er laget nå når IPv4 er mest utbredt, og mange er laget før IPv6 fikk et reelt fotfeste. Dette er ikke det samme som at de er laget FOR IPv4. Så der har du misforstått. Utviklerene pleier da som regel å komme med støtte for nye ting etterhvert som det får fotfeste. Dvs at først støtter verktøyet kun IPv4, etterhvert støtter det nok og IPv6. Og i fremtiden skal du ikke se bort fra at det støtter kun IPv6. Vil du da påstå at det samme verktøyet er laget FOR IPv6 og ikke IPv4? Nei, det er utvikling. Og de fleste av verktøyene der (om ikke alle?) støtter nok både IPv4 og IPv6. Dersom de kun støtter IPv4 så er det nok fordi et underliggende bibiliotek er utdatert og kun støtter IPv4. At dokumentasjonen og eksempler viser IPv4 er mer en vanesak og det er det de fleste jobber med og mot. Eller kan du peke på de verktøyene på listen til Kali Linux som kun går på IPv4? Nå dumper du egentlig bare enda større temaer inn i tråden før du egentlig har oppklart så mye av det du dumpet inn sist. Penetrasjonstesting handler ikke om å teste IPv4 mot IPv6 i en bedrift. Det handler om å finne hvilke åpninger kan en uvedkommende bruke for å komme inn i nettverket ditt eller få tilgang til systemer, tjenester og data du har. Og i en slik prosess så kan man se på bruken av IPv4 og IPv6 og tilgjengeligheten og oppsettet av disse. Pentesting kan blant annet inkludere test av åpne og upatchede sårbarheter på servere tilgjengelig i fra utsiden. Kan du forklare meg hvorfor det her vil være forskjell på IPv4 og IPv6? Som et konkret eksempel. Men alt i alt minner dette meg mer og mer om gish gallopp. Begynn å diskuter det du har fått svar på i stede for å kaste ut mer og mer og videre og videre nett.

Fantastisk. At han i det hele tatt har klart å samle inn 8000 kr (når artikkelen ble skrevet) er jo en skam i seg selv. Men ironisk nok er det en av de mer ærlige spleisene jeg har sett. Det er her ingen tvil om at pengene går til Thomas. Som han selv og skriver. Så kudos for det. Hva nå enn det er verdt.

Men det finnes ikke kurs som tar for seg sikkerheten i IPv6 spesifikt. Som egentlig er påstanden din. Det finnes utallige kurs i nettverk og sikkerhet. Og mange av de går på IPv4 og noen tar for seg begge. Men det er ikke relevant da sikkerheten du lærer om er like relevant på IPv4 som på IPv6. Men siden du sier disse kursene finnes er det jo bare å linke til de her. Jeg er spent.

Enig

Nei tenkte mer som i ingen fast månedtlig avgift

Jeg bruker nå Curve fast. Har og vært innom Lunar i en periode. Totalt sett liker jeg Lunar bedre. Her kan man opprette flere kontoer med hvert sitt digitale (og fysiske) kort på, og til og med dele kontoen med andre brukere. Ulempen her var at en må overføre penger til disse kontoene. Man kan naturligvis ha det som lønnskonto og, men ellers må en overføre selv. Dvs Lunar er mer som en dagligbank men uten fysiske kontor. Mens Curve gir deg bare ett fysisk og ett digitalt kort, men så kan du legge inn alle de andre kortene dine der og så kan du velge i appen før betaling hvilket kort du vil belaste. Evnt opprette regler for kategori (for eks dagligvare skal på ett kort, reise på et annet, alt annet på et tredje). Fordelen her er at du forholder deg bare til ett kort, også ved kortreklamasjon. Som eksempelvis i fjor sommer forsøkte en selger i utlandet å svindle oss ved å legge inn feil beløp i terminalen (som jeg ikke fikk med meg). Denne fikk jeg reklamert på og reversert i løpet av en dag. En annen fordel er at du i etterkant av en transaksjon kan endre kortet den betalingen går på. I praksis så kansellerer Curve transaksjonen på det første kortet og belaster den på nytt på det andre kortet. Veldig greit når en veksler litt mellom kort og gjør feil eller ombestemmer seg etterpå. Gratiskontoen hos Curve er rask å komme i gang med og du er operativ med første kort i løpet av minutter. Kjekt å teste Men skal du ha mange regler og mange kort i appen så må du opp på betalversjonen

Joda. Men i følge Norges Bank var prosentandelen på 12% høsten 2021. Kilde her: https://www.norges-bank.no/bankplassen/arkiv/2021/husholdningenes-betalingsvaner/ Skal vi gjette litt så tipper jeg den nå er på 15-16%, eller mer.

Nå må Vipps og eierbankene ta til seg at dette ikke er en levelig løsning forbrukere vil ta i bruk. Slutt å blokker løsninger som faktisk fungerer og fokuser heller på gode mobil apper til nettbank/dagligbank og sparing. Jeg er drittlei å høre mantraet til eierene til Vipps. "Men du kan betale med Vipps i butikken og". "Men vi tilbyr en sikrere løsning enn Apple Pay". Nei. Jeg KAN betale med Vipps i butikken men det er vesentlig mye tregere en ALT annet. Til og med å betale med enkroninger på ukeshandel går fortere enn å betale med Vipps i butikken. Og sikrere? Dere tilbyr Google Pay (eller Google Wallet eller hva det nå heter i dag) men påstår Apple Pay er usikkert? Det er så dumt å høre på at jeg vet ikke hvor jeg skal gjøre av meg.

Hvor mye tid trenger du egentlig på å forberede saken? Du har vel dokumentasjon på at pengene ble overført til vedkommende? Sammen med avtalen om nedbetaling så bør dette være rimelig enkel sak i seg selv å vinne. Skal motparten komme noen vei må de enten overbevise forliksrådet om at avtalen og dokumentasjon på overføring er forfalsket, eller at vedkommende allerede har betalt deg tilbake. Men som de sier - der intet er å hente har selv keiseren tapt sin rett. Har ikke vedkommende pengene så hjelper det deg lite å vinne. Sannsynligvis er vedkommende allerede såpass gjeldsbetynget at ditt krav kun er en dråpe i havet, og du stiller veldig langt bak i køen før du får noe som helst. Så er det viktig for deg å vinne prinsippielt, kjør på. Ut over det er det mye arbeid for lite penger. I tillegg kjente du jo til den høye risikoen..

Klarer du å logge inn på webmail med kontoene?

Flott. Endelig. På tide.

De skriver om to ulike gebyr der. Et som går til selskapet og et som går på han privat. Det private slipper han nok ikke unna selv om selskapet melder oppbud.

Men hvorfor retter du ikke kritikken mot rett sted? I stede for å kritisere IT som er satt til å drifte systemet (og sannsynligvis heller ikke var med i prosessen med å skaffe fagsystemet) så bør du kanskje rette kritikken mot de som lagde (og solgte) fagsystemet som krever at du som (super)bruker skal logge deg på serveren for å utføre endringer? Det er på alle måter dårlig praksis å tillate brukere å logge på servere. At de som har laget fagsystemet mener det er en akseptabel løsning sier veldig mye om hvor mye de egentlig legger i sikkerhet i systemet. Ellers er det jo en fin holdning med "de som tjener penger". Uten IT er det lite i de fleste bedrifter som fungerer.

Enig. Jeg har vært med på mange nok evalueringsmøter og post-mortems til å vite at det finnes alltid kreative nok ansatte som bare skal gjøre jobben sin, og at de alltid vil klare å finne omveier til målet.

For å gå på dette temaet så er det flere utfordringer knyttet til utbredelsen og støtte for IPv6 i spesielt automasjonsutstyr. For det første kjøper en gjerne inn systemer som har en forventet varighet på langt over 5-10 år. Når utskiftningshastigheten er så treg så er det helt naturlig at utstyret henger bakpå når det gjelder teknologisk utskiftning. Til sammenligning har en PC gjerne en levetid på 3-5 år og nettverksutstyr 3-6 år. For det andre så har det ofte en høy kostnad å gjøre oppgraderinger og utbedringer på slike system. Både i forhold til å få inn kompetanse til å gjøre jobben, kostnad med utstyret og tapt inntekt knyttet til stans i driften. Da vil det ofte være slik at en går for det "gode gamle" som alltid har virket. For det tredje så har automasjonsbransjen ofte ville være for seg selv. Operasjonelle nettverk (SCADA etc) blir ofte definert ut fra at de skal stå i egne lukka nettverk. Ofte argumentert for av hensyn til sikkerhet men og driftsstabilitet. Da har det vært lett å tenke at IPv4 er det som gjelder og IPv6 er det IT folka går og bekymrer seg over. Til sammenligning så har vi hos oss et system som kjører på Windows NT4. Vi snakker altså om et system som er tett opp mot 30 år gammelt. Som fungerer helt greit til jobben det gjør i dag og de som betjener systemet er trygge på det og systemet har svært lite nedetid. Klarer jeg å argumentere for å bytte det systemet til noe som støtter IPv6 for eks? Tvilsomt. Kan jeg argumentere for sikkerhet? Tja, fysisk isolert system med adskilt adgangskontroll på et lukka IPv4 nettverk (samt en del andre bus-systemer). Det vil koste flere millioner å bytte ut det systemet alene og selv om jeg får inn IPv6 støtte der så er det lite av sensorene og andre systemer på samme nettverk som gjør det. Altså blir ikke IPv6 prioritert. Heller ikke av produsentene som vet at dette er ståa hos mange. Hvorfor introdusere en funksjon få vil ta i bruk? Dette blir da en klassisk høna og egget situasjon. Men fremover vil jeg påstå at vi vil se et større behov for å koble flere og flere automasjonssystemer sammen med andre system. Mange gjør dette allerede i dag og, men behovet for data-driven ledelse vil kreve mer datainnsamling og rapportering. Og da ofte direkte fra systemene som drar inn pengene som ledelsen skal ta beslutninger for. Da må automasjonsbransjen våkne litt mer og ta både teknologien og sikkerhet rundt det mer på alvor.

Svaret på IPv4 vs IPv6 har du fått. Flere ganger. Hvorfor godtar du ikke svaret? Til tross for en ganske entydig tilbakemelding her er du uenig. Da må du argumentere for hvorfor. Dette er tross alt et diskusjonsforum.

Nok en påstand. IPv4 er og usikker om man ikke har kompetanse til å gjøre det riktig. Du er særdeles påståelig her og til tross for at samtlige her er uenig med deg så står du på ditt uten å kunne redergjøre for det. Samtidig sier du at tråden ble opprettet for å lære. Da er det bare å sette i gang å lære. Du er blitt utfordret to ganger nå til å redergjøre for de påståtte forskjellene. Link Lokal adresser eksiterer i begge protokoller. Og kunnskap er viktig for å sette opp begge korrekt. Så hva er forskjellen?

Mitt råd TS er å kontakte legen din og snakke om dette.

Ja. Sikkert. Men nå spurte jeg deg.

Men du opprettet jo denne tråden for å lære. Så der har du en utfordring å finne ut av Tja, hvordan definerer du tillatt egentlig? Motsetningen er jo sperret trafikk. Mye styr er kanskje nøkkelordet. Men det blir garantert styr om man får cryptovirus og. Og det må bedriften forstå. Det finnes få (om noen) legitime grunner til at en PC eller server skal ha full tilgang til internett. Ja det kan man. Man kan og bypasse det med å kjøpe en privat PC å ta med på jobb. Eller formatere den man har. Nøkkelen her vil da være at den maskinen har da ikke lenger de samme tilgangene til interne ressurser som før, og får man da virus/malware så kan det ikke uhemmet spre seg i nettverket.