Názory k článku Stavíme privátní datový sál: zabydlujeme se

Takova blbost a pritom tolko casu.
Mam pocit ze to mate az prilis prekombinovane, viac menej len informacie s pridanov hodnotou 0.
K tomu klucovemu systemu. Mam to chapat tak ze zadam svoj pin otvory sa skrinka a ja mozem zobrat hociktory kluc ktory chcem? Ako to kontroluje ci som si zobral "ten" spravny. Myslim ze tu nic.cz spravil amatersku chybu. Chcete logy + prehlad kto kam kedy? Riesenie je jednoduche cipove karty. Ale zasa na druhej strane nemohlo sa utopit cca 60K :) Kedy bude uz blog o niecom co ma informacnu hodnotu? Ci po faily s Turrisom a Moxov je uz ticho?

Vidím že klíče drží na kroužku a ten podle všeho nejde vysadit z držáku před zadáním pinu, opravdu to nevypadá že by to byly jen stupidní háčky ;)

Dobrý den,

veřte, že to překombinované není. Zkuste si představit, jak náročné je stěhovat zařízení a služby v datacentru. Máte X racků, Y serverů, Z switchů a routerů. Většinu služeb musíte přemigrovat do jiné lokality kvůli minimalizaci výpadku, u některých si krátký výpadek dovolit můžete. Současně chcete takovou akci provádět postupně a tak musíte plánovat, čím začnete a jak budete postupovat, kdy budete mít k dispozici switche z jednoho racku do jiného apod. A když už to děláte, logicky to spojíte s plánovanými upgrady sítě a serverů.

Co se týká klíčového systému. Obyčejný box, který vydá po zadání PINu všechny klíče samozřejmě nedává smysl. Doporučuji Vám znovu si přečíst úvod článku, kde uvádím, že se uživateli po zadání PINu rozsvítí pouze ty klíče zeleně, které má přidělené. Jednotlivé klíče opravdu nejdou vysadit z držáků, pokud nejsou uvolněny keyboxem (samozřejmě se nebavíme o použití nástrojů hrubé síly).

Čipové karty jsou také řešením, to máte pravdu, nikoliv však levnějším. Abyste tuto technologii zprovoznil, musíte nejen osadit všechny racky čipovou čtečkou, ale je potřeba mít také zařízení (typicky 1U), které tyto čtečky spravuje, umožňuje definovat oprávnění apod. Je to navíc další zařízení, o které se musí někdo starat. A samozřejmě musíte mít všechny racky mezi sebou propojené. Pokud to však s řízením přístupů do racků myslíte vážně, použijete spolu se čtečtou čipových karet i PIN či biometriku. Pokud si to celé spočítáte, rozhodně "utopíte" výrazně více než 60 000 Kč (pokud se bavíme o ceně z e-shopu výrobce). Nemyslím si, že jsme udělali amatérskou chybu :-)

Pokud Vás zajímají podrobnosti, neváhejte se mě ozvat na e-mail. Stejně tak budu rád, když mi napíšete Vaše tipy na blogy, které by měli podle Vás větší informační hodnotu.

Pěkný den,
VS.

Ok diagram chápu, jste hračičky a je to pro vás velká akce, kterou chcete mít pod kontrolou.

Ale mít schránku na klíče, která neodolá hrubé síle a je offline (byť jen logování je nutno provádět přes flashku) to je prostě prehistorie. Tohle je jednoznačně slabý článek řetězu, který počítá s tím, že se budou lidi chovat slušně bez síly, což je celkem mimo když člověk počítá s útokem, takže bych se na to vykašlal, je to jen krok, který nezabrání hrubému útoku, otravuje uživatele a prostě bych posílil vstup a dal všem plnou důvěru. Protože tohle rozhodně nikoho fyzicky nezastaví. Když vezmu malé páčidlo a pak si tu schránku klidně odnesu celou domů... Prostě nádherná hračka ale neodolná hrubé síle, takže nanic.

Tohle je typický problém všech držáků na klíče, bylo to už tisíckrát spomínáno, že držák/schránka musí mít minimálně stejnou odolnost jako zbytek.

Takže pokud bude mít schránka stejnou odolnost jako vstupní dveře a bude online a hlásit útok, tak ok má smysl. Jinak smysl nemá a je to jen otravování slušných lidí a útočníka to nezastaví!

Jinak samozřejmě pěkná hračka!

A článek oceňuji, jsem rád, že někdo píše a tvoří něco :).

Jen tak dál.

Ale zároveň počítejte s útočníkem hajzlem, co má v kapse šperhák a páčidlo a ne jen se slušnými lidmi, kteří budou mačkat piny...

Hrubé síle má odolávat objekt jako takový, nikoliv "blbá" schránka na klíče. Na schránku má mířit kamera, kterou má hlídat obsluha objektu.

Jinak s výhradou, že to není offline víceméně souhlasím, ikdyž to není zásadní.

A ten člověk s kamerou je dedikován jen na sledování 24/7 dané skřínky a naběhne tam do 30 sekund pokud se něco stane? Sorry to je výmluva.

Opakuji, co jsem napsal, pokud skříňka NEodolá útoku hrubou silou je NANIC a je lepší ji úplně vypustit, protože je to jen hračička, která bude otravovat běžné uživatele.

Řeště přístup prostě dveřmi, jak to děláte... Tohle je směšné, když na skřínku jde vzít páčidlo, je nanic... Jen bude otravovat lidi a nepřidá naprosto nic bezpečnosti.

Lidé, kteří vás budou chtít poškodit se NEchovají pěkně.

Vždy je to jen o tom, jak moc se někdo někam potřebuje dostat. I do Pentagonu se dalo dostat ... dokonce letecky a přímou linkou !

Stejně je to s bezpečností hesel ... všichni řeší počet znaků, variabilitu znaků, odolání proti slovníkovému útoku. Ale pak přijde frajer s bouchačkou ... a s prostřeleným kolenem by jen blázen znovu odmítl to heslo sdělit.

Je potřeba se na tyhle věci dívat trošku pragmaticky a neřešit blbosti.

Chapem ale nalejete xyz milionov do novej serverovne a technologii a cipove karty su drahe?
Hentu skrinku a jej bezpecnost zrusis asi za 4s s "stipackami" kliestami proste otvorim spravim cvak cvak cvak a mam vsetky kluce.

K tomu predposlednemu odstavcu co ste pisal mam to chapat tak ze bezpecnost nemyslite vazne kedze nemate cipove karty? O ten super zamkovy system sa nikto starat nemusi? Nikto nemusi nahodit novy kod pre noveho zamestnanca? Chcete mi povedat ze je jeden pin a ten sa "zdiela" ?

Mam nieaku tu skusenost s lockpikingom a venujem sa tomu uz nieaky ten piatok a s principu pokial je tam kluc da sa to bumpnut / vypickovat pokial je tam karta je to zhruba o 150% bezpecnejsie. Minimalne logy ktora karta otvorila ktore dvere a kedy.

Kludne Vam odpovedam ale zasadne do sem. Nie je dovod komunikovat cez iny kanal

Dobrý den,

rozhodnutí o tom, jestli půjdeme cestou klíčového systému nebo čipových karet rozhodně nebyl o financích. Jen jsem argumentoval cenovým srovnáním obou řešení, když jste vyzvihoval čipové karty a plýtvání penězi.

Bezpečnost myslíme velice vážně, čipové karty (samozřejmě je máme) s dalším faktorem se používají v celém datacentru i při přístupu do sálu (viz předchozí články seriálu). K tomu abyste se dostal ke klíčům v privátním sále, musíte překonat několik překážek po cestě. Řesení s keyboxem nám zcela vyhovovalo pro svoji jednoduchost a řízení přístupu do racků výhradně pro oprávněné osoby. Ke klíčům se navíc autorizovaným přístupem dostane pouze náš zaměstnanec.

Ano o keybox se musíme starat také, ale rozhodně méně, než o appliance v racku. Každý uživatel má svůj PIN (také je uvedeno v článku) a přístupy novým zaměstnancům nenastavujeme každý měsíc.

Vaše zmínka o tom, že v podstatě jakýkoliv klíč lze okopírovat či jinak zneužít je sice relevantní, ale už se trochu, nezlobte se na mě, dostáváte do paranoidních scénářů. Stejnou optikou pak můžete argumentovat, že si rack otevřete úhlovou bruskou apod. Pokud by teoreticky nastalo, že útočník projde přes všechny bezpečnostní bariéry až do sálu, bude v záznamech na několika kamerách. A pokud se bude snažit zneužívat klíče (i oprávněná osoba s vstupem do sálu), bude jeho přihlášení zalogováno v klíčovém boxu.

S pozdravem,
VS

V tom poslednom odstavci ste si vlastne strelil do nohy. Pokial nepride spravca a nestiahne data neviete co sa stalo teda element online chyba. Kopirovanie kluca = plastelina a len tam kluc natlacit mam kopiu. Celkovo zamky nie su cesta. Lockpick alebo bumpkey nie je problem. Tvrdenie ze cipove karty su narocnejsie na spravu nie je pravda! Skorej si myslim ze prave naopak. vytvorit noveho uzivatela alebo mu osekat kompetencie je vec na par klikov. Spravit to iste s tymto znamena ze musite poslat spravcu ktory vykona potrebne zmeny. Ako mne je to uplne jedno ci tam budete mat cipovekarty, skrinku na kluce alebo 24/7 sekuritaka, len poukazujem na velke nevyhody key systemu. Este by to mozno malo vyznam ak by tie kluce boly niekde na vratnici a osoba ktora pride povie jednorazovy PIN ktory len jednorazovo vyda kluc ale zasa ste offline atd atd....

ja myslim, ze ta skrinka neni prisroubovana na zdi pruchodu hlavniho nadrazi a ze k ni ma pristup clovek ktery se na vratnici prokazal obcankou, cestou k privatnimu salku potka aspon jedny dvere na kartu a je vsude na kamerach.

Tak cenu si najít umíte ale funkcionalitu už ne? To je celkem pokrytecké.

Klíče jsou bezpečně připevněny pomocí speciálních bezpečnostních kroužků.

zdroj www.traka21.cz

Nie nie je. Nastudoval som si to. Dokonca som mal moznost fyzicky osahat. A tie akoze super kruzky date vysmiato knipexamy "stipackami". Cuduj sa svete ked som to otvoril a vycvakol klucik ktory nepatril mne nic sa nestalo. Ziaden alarm ziadne warning messages nic. Problemom je ze aktivnim prvkom je len ten "bazmek" na ktorom ten kluc je. Bud je to tam alebo nie ale samotny kluc nie je naozaj problem vycvaknut von :(