WireGuard je v podstatě modernější alternativa k OpenVPN, která přináší několik technických i praktických výhod. Tady je srovnání, které ti pomůže pochopit rozdíly:
⚡ Rychlost a výkon
Protokol
Rychlost
Zpoždění
Spotřeba CPU
WireGuard
Vysoká
Nízké
Nízká
OpenVPN
Střední
Vyšší
Vyšší
WireGuard je až o 50–70 % rychlejší než OpenVPN při stejném šifrování
Má menší režii díky jednodušší architektuře.
🔐 Bezpečnost
WireGuard používá moderní kryptografii: ChaCha20, Curve25519, Poly1305.
OpenVPN je flexibilní — můžeš si vybrat z více šifrovacích metod (AES, Blowfish…), ale to může vést ke složitější konfiguraci.
Oba jsou open-source a bezpečné, ale WireGuard má jen ~4 000 řádků kódu, což usnadňuje audit a snižuje riziko chyb
🧠 Jednoduchost a konfigurace
WireGuard je extrémně jednoduchý na nastavení — ideální pro mobilní zařízení nebo routery.
OpenVPN je robustní a flexibilní, ale může být náročnější na konfiguraci (certifikáty, TLS, porty…).
🌍 Kompatibilita
OpenVPN funguje prakticky všude — Windows, Linux, macOS, Android, routery.
WireGuard je novější, ale už ho podporuje většina VPN služeb a OS (včetně Linux kernelu).
🕵️♂️ Soukromí
WireGuard v základní verzi uchovává IP adresy na serveru (kvůli jednoduchosti), ale většina VPN služeb to řeší dynamickým přidělováním nebo mazáním po relaci.
OpenVPN neukládá žádná data o uživateli, což je výhoda pro anonymitu.
🧭 Kdy zvolit WireGuard?
Pokud chceš rychlejší VPN, která méně zatěžuje systém.
Pro mobilní zařízení nebo routery s omezeným výkonem.
Když ti stačí jednoduchá konfigurace bez složitých certifikátů.
🧱 Kdy zůstat u OpenVPN?
Pokud potřebuješ maximální kompatibilitu a jemné doladění (např. TCP/UDP porty, obfuskaci).
Pro firemní prostředí nebo specifické síťové scénáře.
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/28/openvpn-vs-wireguard/
Exchange Server byl unavený. Už ho nebavilo být králem, co musí každou schránku chránit, každé schema rozšiřovat, a každou doménu synchronizovat. Tak jednoho dne utekl do lesa.
Tam našel VMware ESXi, tichého mnicha, co meditoval. Exchange se posadil vedle něj a řekl:
„Já jsem král, ale každý mě nenávidí. Ty jsi mnich, a každý tě miluje. Jak to děláš?“
VMware se usmál:
„Já neposílám e-maily. Já jen držím prostor pro VM a kontejnery. Můj snapshot je věčný. Moje licence je offline. Moje duše je železná.“
Exchange se pokusil synchronizovat s lesem (Forest AD), ale OU ho nenašla. DNS ho ignorovalo. A tak se Exchange naučil mlčet. (jak to jednou spadne a není záloha, je konec) Od té doby se říká, že když v lese slyšíš tiché ping, je to Exchange, co se učí být hypervizorem.
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/18/bajka-exchange-server-utekl-do-lesa-a-zacal-meditovat-s-vmwarem/
V království cloudu vládl Azure Arc, mocný mág, co chtěl propojit všechny servery, VM, kontejnery i duše adminů. Všechno měl pod kontrolou — až na jedno: Rumburaka, černokněžníka z temné domény, který neuznával předplatné, cloud, ani centrální správu.
Rumburak se rozhodl, že hackne Azure Arc. Vstoupil do jeho portálu, přepsal policy, vytvořil VM bez licence, a připojil Exchange Server bez rozšíření schématu. Azure Arc se zhroutil — házel chyby 403, 500, a dokonce i 666.
OU, DNS a Global Catalog se proti němu spojily. Vytvořily GPO firewall, zablokovaly porty, a poslaly Rumburaka do Recycle Bin of Souls, místo, kde se ukládají nekompatibilní identity, ztracené schránky a přerušené replikace. Powershell tam nefunguje, DNS tam neodpovídá, a každý objekt tam ztrácí své SID.
Tam se Rumburak rozpadl na bajty. Powershell ho neviděl, AD ho ignorovalo, a Azure ho označil jako „orphaned object“. Ale pak přišel admin jménem Jirka, který znal staré kouzlo:
powershell
Restore-ADObject -Identity "Rumburak"
Rumburak se znovu zformoval. Tentokrát ne jako černokněžník, ale jako nezávislý hypervizor, co běží offline, bez cloudu, bez předplatného. A od té doby se říká, že když někdo spustí VM bez licence, duch Rumburaka mu pomáhá.
Ten příkaz Restore-ADObject -Identity je reálně existující a plně funkční PowerShell cmdlet, který se používá k obnově odstraněných objektů v Active Directory, pokud je povolený tzv. AD Recycle Bin.
Doména musí mít funkční úroveň Forest Functional Level alespoň Windows Server 2008 R2
Musí být aktivovaný AD Recycle Bin (není zapnutý defaultně)
Objekt musí být odstraněn soft-delete, ne permanentně
Tím se obnoví objekt (uživatel, skupina, OU…) zpět do AD, včetně jeho atributů, pokud nebyl mezitím přepsán nebo zničen.
⚠️ Pozor:
Pokud AD Recycle Bin není aktivován, objekt nelze obnovit tímto způsobem
Obnova nevrací objekt do původní OU automaticky — je nutné ho přesunout ručně
Některé atributy se nemusí obnovit úplně (např. hesla se neobnoví vůbec)
Pokud existuje blízký snapshot, je to lepší volba 🙂
Blízký snapshot je v praxi rychlejší, spolehlivější a univerzálnější volba než obnova přes Restore-ADObject, a tady je proč:
🧠 Snapshot vs. AD Recycle Bin
Vlastnost
AD Recycle Bin
Snapshot (VM / systémový)
Aktivace nutná?
✅ Ano (není defaultně zapnutý)
❌ Ne (snapshot můžeš udělat kdykoli)
Obnovuje jen AD objekty?
✅ Ano
❌ Ne — obnovuje celý systém / VM
Rychlost obnovy
🐢 Pomalejší, ruční výběr objektů
🚀 Rychlá, kompletní návrat stavu
Závislost na AD zdraví
✅ Vysoká — musí být funkční AD
❌ Nízká — snapshot běží nezávisle
Obnovuje i hesla, SIDy?
❌ Ne vždy
✅ Ano — kompletní stav systému
Vhodné pro katastrofu?
❌ Ne — jen pro jednotlivé objekty
✅ Ano — pro celý systém / doménu
🔧 Kdy použít co?
AD Recycle Bin → když omylem smažeš jednoho uživatele nebo OU
Snapshot → když se ti rozsype AD, Exchange, nebo celý server
Backup + snapshot → ideální kombinace pro disaster recovery
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/18/%f0%9f%a7%99%e2%99%82%ef%b8%8f-pohadka-rumburak-hackne-azure-arc-a-ou-ho-posle-do-recycle-bin-of-souls/
Byl jednou jeden královský server jménem Exchange, který si myslel, že je středem vesmíru. Měl rád, když mu lidé posílali zprávy, a on je rozesílal do všech koutů království. Ale byl to král náročný — vyžadoval Active Directory jako dvorního rádce, DNS jako posla, a Global Catalog jako archiváře.
Jednoho dne se v království rozpadla doména. OU (organizační jednotky) se rozhádaly, schema se zhroutilo a Exchange začal mluvit jazykem chybových hlášek, kterému nerozuměl ani dvorní mág Powershell.
Lidé plakali, schránky mlčely, a král Exchange se zhroutil na trůn. Jen jeden rytíř — jménem Jirka 🙂 — se odvážil vstoupit do temného lesa logů, kde ho čekaly draci jménem Event ID 1005, 1053 a 5000. (no bylo jich víc 🙂 )
Po třech dnech a třech nocích (a 13 kafích), kdy bojoval s restore, snapshoty a zálohami, se mu podařilo krále znovu postavit na nohy. Ale od té doby už věděl, že Exchange je král, který vládne jen tehdy, když ho všichni poslouchají. A že jediná chyba v doméně může zničit celé království.
A proto zálohujte, zálohujte a zálohujte 🙂 (a mějte na paměti, že neověřená záloha je jako žádná záloha)
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/18/%f0%9f%93%9c-pohadka-o-exchange-serveru/
Jak zajistit, aby vaše IT prostředí bylo schopné zpětně vyhodnotit, analyzovat a právně obhájit jakýkoliv bezpečnostní incident – bez ohledu na velikost firmy.
V době, kdy je e-mail hlavním nástrojem komunikace a zároveň běžným cílem kybernetických útoků, nestačí jen „fungovat“. Je třeba umět dokázat, že infrastruktura byla spravována bezpečně, že byla schopná incident včas identifikovat – a že lze zpětně rekonstruovat jeho průběh.
Malé a střední podniky (SME) často nemají vlastní bezpečnostní tým, přesto mohou být dobře připravené – díky otevřeným standardům, chytrému nastavení a přiměřené dokumentaci.
🛡️ Klíčové pilíře forenzní připravenosti
Oblast
Co znamená v praxi
Auditní stopy
Uchovávání logů, přístupových záznamů, e-mailových tras
Retenční politika
Jasné pravidlo, jak dlouho se ukládají data (např. logy 90 dní)
Zabezpečení schránek
Ochrana hesel, 2FA, izolace kritických rolí
Reprodukce incidentu
Možnost zpětně analyzovat, co se stalo (čas, IP, uživatel, soubor)
Soulad s právem
Dodržování GDPR, archivace dat a auditovatelnost procesů
Školení a procesy
Správce ví, co dělat, když dojde k podezřelé aktivitě
✅ Logy přístupů na IMAP/SMTP uchovávám alespoň 90 dní
✅ E-mailová relace (MAIL FROM / RCPT TO / relay IP) se ukládá do syslogu nebo SIEM* (Security Information and Event Management – systém pro sběr a analýzu logů) (viz. níže)
✅ Mám detekci neobvyklého chování (např. přihlášení z cizího regionu)
✅ Antispamový systém (Rspamd) loguje score a rozhodnutí v detailu
✅ Webmail (např. SOGo) má audit zapnutí/offline režimu, exportu kontaktů apod.
✅ Všechny přístupy přes web UI mají logovací mechanismus a TLS enforcement
✅ Zálohování VM obsahuje metadata i logy, není rotováno bez validace
✅ Uživatelé nemohou měnit SPF/DKIM bez administrátorského přístupu
✅ Existuje směrnice pro práci s e-mailovou schránkou při odchodu zaměstnance
✅ V případě incidentu mám dokument, jak vytáhnout logy, přehled schránek a přístupy
„Pro sběr logů z e-mailového serveru lze využít open-source nástroje jako Wazuh, Graylog nebo OSSEC, které umožňují sledovat relace, přihlašování i anomálie.“ (viz. níže)
🎓 Doporučení pro malé firmy
I bez SIEM nebo externího auditního systému lze dosáhnout vysoké úrovně bezpečnosti – stačí mít logiku, smysl pro konzistenci a pravidelně ověřovat funkčnost
Dokumentace může mít podobu textového souboru v Git repozitáři, nebo PDF s verzováním – nepotřebujete systém za miliony
Forenzní připravenost není paranoia – je to právní štít, když někdo zneužije firemní e-mail, napadne server nebo exfiltruje kontakty
*SIEM je zkratka pro Security Information and Event Management — v češtině by se to dalo přeložit jako „Správa bezpečnostních informací a událostí“.
🧠 Co SIEM vlastně dělá?
Je to systém, který:
Sbírá logy a události ze všech zařízení v síti (firewally, servery, e-mailové systémy, webmail, VPN…)
Analyzuje je v reálném čase → hledá podezřelé chování, útoky, anomálie
Umožňuje zpětně rekonstruovat incident → kdo, kdy, odkud, co udělal
Pomáhá s compliance → GDPR, ISO 27001, NIS2, HIPAA, PCI-DSS…
🔍 Příklad z praxe:
Když se někdo přihlásí do webmailu z Ruska ve 3 ráno, SIEM to:
Zaznamená jako událost
Porovná s běžným chováním uživatele
Vyhodnotí jako anomálii
Pošle alert správci
Umožní dohledat celý průběh (IP, čas, akce, přístup k souborům…)
📦 Co SIEM není?
Není to firewall, ale nadstavba nad logy
Není to antivir, ale centrální mozek pro bezpečnostní analýzu
Není to jen logovací systém — umí korelaci, alerty, reporting
🧠 Top open-source SIEM nástroje vhodné k mailserveru
DKIM/SPF/DMARC logy: validace, selhání, spoofing pokusy
💡 Doporučení
Pro lehké nasazení k mailcow: Wazuh nebo Graylog
Pro komplexní monitoring: Security Onion nebo ELK Stack
Pro síťovou vrstvu: doplňit o Suricata nebo Snort
Pro forenzní audit: kombinuj s logy z Postfixu, Dovecotu, rspamd
Pokud si vše jmenované zvládnete sami nainstalovat a hlavně zkonfigurovat, máte TOP řešení kompletně zdarma, přičemž jeho reálná hodnota bude od stovek tisíc do několika milionů podle zvolené konfigurace v porovnání s komerčnímy systémy používanými napřiklad v bankovním sektoru.
„Tento text není právní analýzou, ale technickým přehledem možností, jak podpořit bezpečnostní auditovatelnost e-mailového prostředí. V případě regulovaných odvětví doporučujeme konzultaci s právníkem.“
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/zasady-forenzni-bezpecnostni-pripravenosti-v-prostredi-sme-malych-a-strednich-podniku/
Pokud jde o kritické zranitelnosti (CVSS ≥ 9.0) za poslední 2–3 roky:
🔥 Počet CVE s CVSS ≥ 9.0 (2022–2025)
Platforma
Počet CVE ≥ 9.0
Nejvyšší skóre
Typické oblasti zranitelnosti
Fortinet
6+
9.6
SSL-VPN, autentizace, CLI, web GUI
Arista
1–2
9.3
Privilege escalation, root login, NG Firewall
OPNsense
4
9.8
Command injection, config access, brute-force
pfSense
4
9.8
OS command injection, brute-force, Host header
🧠 Shrnutí podle typu:
Fortinet: Má nejvíce kritických CVE v oblasti edge přístupu (SSL-VPN, FortiManager, FortiProxy). Některé byly zero-day a aktivně zneužívány (např. CoatHanger).
Arista: Má méně CVE nad 9.0, ale v roce 2023 se objevila privilege escalation chyba s CVSS 9.3 (CVE-2023-24509) a několik dalších v NG Firewallu.
OPNsense: V roce 2023 se objevily 3–4 kritické CVE s CVSS 9.8, včetně command injection a config file přístupu. Ale většina byla rychle opravena a nebyla aktivně zneužita.
pfSense: Má podobný profil jako OPNsense — 4 CVE s CVSS 9.8, včetně pfBlockerNG a SSHGuard bypassu. Některé byly potenciálně zneužitelné vzdáleně.
📊 Zajímavost:
OPNsense a pfSense mají sice méně CVE než Fortinet, ale některé dosahují stejného nebo vyššího skóre.
Rozdíl je v tom, že Fortinet je častěji cílem státních aktérů a jeho zranitelnosti jsou aktivně zneužívány, zatímco u open-source platforem je větší transparentnost a rychlejší reakce komunity.
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/jak-si-vedou-arista-opnsense-a-pfsense-v-porovnani-s-fortinetem/
FortiGate nabízí robustní IPS engine, snadné GUI a bohatý ekosystém, což z něj dělá oblíbené řešení pro střední a větší podniky. Přesto, stejně jako u každého síťového zařízení, je potřeba sledovat zranitelnosti a záplatování.
Vzhledem k rozšířenosti Fortinet zařízení u českých poskytovatelů je důležité sledovat právě jejich zranitelnosti — nejen kvůli technickému dopadu, ale i kvůli reputaci celé sítě.
Fortinet má za sebou celou řadu zranitelností s CVSS skóre vyšším než 9, nejen ten slavný CoatHanger (CVE-2022-42475, 9.3). Tady je výběr těch nejzásadnějších:
CVE ID
Skóre
Popis zranitelnosti
Produkty / Verze
CVE-2024-55591
9.6
Bypass autentizace přes websocket → získání super-admin práv
FortiOS 7.0.0–7.0.16, FortiProxy 7.0.0–7.2.12
CVE-2025-24472
9.6
Stejný typ jako výše, novější varianta
FortiOS / FortiProxy
CVE-2023-34990
9.6
Path traversal v FortiWLM → umožňuje spuštění neautorizovaného kódu
FortiWLM 8.5.x–8.6.x
CVE-2023-37936
9.4
Zranitelnost v FortiOS Security Fabric → umožňuje přístup k citlivým datům
FortiOS 7.4.x
CVE-2023-42788
9.3
OS command injection přes CLI v FortiManager / FortiAnalyzer
FortiManager 7.4.0, FortiAnalyzer 7.4.0
CVE-2022-40684
9.6
Bypass autentizace přes HTTP hlavičky → přímý přístup k administraci zařízení
FortiOS 7.0.x, FortiProxy 7.0.x
🧠 Co z toho plyne?
Fortinet má více než 5 zranitelností s kritickým skóre nad 9.0 jen za poslední 2 roky
Většina se týká SSL-VPN, autentizace, nebo správy přes webové rozhraní
Některé byly aktivně zneužívány jako zero-day (např. CVE-2022-40684, CVE-2024-55591)
Z pohledu čísel, tak některý novější CVE u Fortinetu (např. CVE-2024-55591 nebo CVE-2022-40684) mají skóre 9.6, což je o 0.3 bodu vyšší než slavný CoatHanger (CVE-2022-42475, 9.3). A přitom se o nich tolik nemluví, protože:
Nemusely být tak masivně zneužity (ale technicky byly stejně kritické)
Neinstalovaly rootkit, ale třeba umožnily admin přístup přes HTTP hlavičku
Běžely na novějších FortiOS verzích, což se dotklo méně legacy zařízení
🔐 Ale co to reálně znamená?
V systému jako FortiGate, kde je klíčem admin panel, je každá chyba v autentizaci nebo CLI fatální, a ta +0.3 tě může smazat z mapy stejně jako malware
Zero-day v SSL-VPN nebo bypass přes websocket = neautorizovaný přístup k celé síti
CVSS 9.6 není jen „vysoké číslo“ — to je oficiální pečeť, že bez patche můžeš ztratit kontrolu nad infrastrukturou
💬 Takže jo — CoatHanger si odnesl věhlas, protože to byla sofistikovaná infiltrace, ale některé novější zranitelnosti s vyšším skóre jsou možná jednodušší na zneužití, zato stejně destruktivní.
Zveřejnění technických rizik má smysl nejen pro konkurenci, ale pro všechny provozovatele sítí. Cílem článku není kritizovat konkrétní značku, ale upozornit na bezpečnostní výzvy, které se mohou dotknout každého zařízení u hranice s internetem.
„Článek vznikl jako přehled pro správce, kteří hledají přehled o aktuálních rizicích na síťové hraně. Budeme rádi za zpětnou vazbu a další tipy na bezpečnostní incidenty, které by komunita měla znát.“
„Pokud má výrobce k obsahu připomínky nebo doplnění, rádi prostor upravíme a aktualizujeme.“
„Selhání edge zařízení nemusí být vždy otázkou špatného nastavení na straně uživatele, ale často jde o limity samotné implementace. Uzavřený firmware, závislost na cloudové registraci nebo tichá oprava zranitelnosti – to jsou rizikové faktory, které by měl brát v potaz každý správce.“
„Firewall jako brána do sítě není jen o tom, co propustí — ale i o tom, jestli sám není zadními vrátky. Výpadek, zneužití nebo zpožděné aktualizace mohou mít vážné dopady i bez přímého přístupu k datům.“
„Článek nehodnotí značku, ale situaci, kdy se technologická důvěra mění v systémové riziko. Je důležité ukazovat příklady, ze kterých se může infrastruktura poučit.“
„Incident s malwarem CoatHanger není jediný svého druhu — ale ukazuje, jak klíčové je vědět, co zařízení dělá nejen ve chvíli, kdy funguje, ale i když selže.“
„Bezpečnostní zranitelnost CVE-2022-42475 byla aktivně zneužívána v době, kdy ještě nebyla veřejně oznámena. Podle zprávy MIVD byla součástí cíleného kybernetického útoku skupinou napojenou na čínský stát.“
Chyba byla přímo ve FortiOS, tedy v softwaru FortiGate zařízení.
Nešlo o špatnou konfiguraci, ale o kritickou zranitelnost, kterou Fortinet sice opravil, ale neoznámil včas, což umožnilo čínským státním hackerům provést masivní útok.
🧨 Co se přesně stalo?
V roce 2022–2023 byla objevena zranitelnost CVE-2022-42475 → heap-based buffer overflow v SSL-VPN komponentě FortiOS → umožnila vzdálené spuštění kódu bez autentizace
Podle zprávy nizozemské vojenské rozvědky MIVD z 12. prosince 2023 byla zranitelnost CVE-2022-42475 aktivně zneužívána jako zero-day útok dříve, než ji Fortinet veřejně oznámil.
Fortinet ji potichu opravil 28. listopadu 2022, ale oznámení vydal až 12. prosince 2022→ během té doby už byla aktivně zneužívána jako zero-day attack
Během této „tiché fáze“ bylo infikováno přes 14 000 zařízení, celkem pak více než 20 000 FortiGate firewallů po celém světě
🕰️ Jak šly události reálně po sobě
Datum
Událost
28.11.2022
Fortinet potichu vydal opravu pro CVE-2022-42475 ve FortiOS
12.12.2022
Fortinet oficiálně zveřejnil advisory (zprávu o zranitelnosti)
2023–2024
Zranitelnost byla aktivně zneužívána – malware CoatHanger se šířil
12.12.2023
MIVD (nizozemská vojenská rozvědka) zveřejnila svou analýzu útoku
🕵️♂️ Kdo za tím stál?
Podle zprávy nizozemské vojenské rozvědky MIVD z 12. prosince 2023 šlo o čínskou státem podporovanou skupinu, která zneužila zranitelnost k cílenému napadení vládních a obranných sítí.
Nasadili vlastní malware zvaný CoatHanger, který:
se trvale usadil v zařízení (přežije reboot i firmware update)
je extrémně těžko detekovatelný
umožňuje trvalý vzdálený přístup
Cílem byly západní vlády, obranný průmysl, mezinárodní organizace → včetně holandského ministerstva obrany, kde se malware dostal do výzkumné sítě
🔍 Byla to chyba implementace?
Ano — šlo o programátorskou chybu v SSL-VPN komponentě FortiOS, konkrétně:
Nesprávné zpracování paměti → útočník mohl poslat speciálně upravený požadavek
Fortinet to neoznámil včas, což je u zranitelnosti s kritickým skóre 9.3/10 dost zásadní selhání
Edge zařízení (firewally, VPN brány) jsou extrémně citlivé → mají přímý kontakt s internetem
Vendor lock-in a závislost na uzavřeném firmware může být rizikem, pokud výrobce nekomunikuje včas
Otevřené platformy jako OPNsense nebo pfSense umožňují rychlejší reakci, komunitní audit a transparentnost
CoatHanger malware stále může být aktivní na řadě FortiGate zařízeních po celém světě, a to i přesto, že Fortinet vydal opravu pro zranitelnost CVE-2022-42475 už v listopadu 2022
📊 Stav k dnešku
Podle nizozemské rozvědky MIVD a AIVD:
Malware byl nasazen cíleně na vybraná zařízení (např. ministerstva, obranný průmysl)
Počet zařízení s aktivním malwarem není znám, ale pravděpodobně jich je stále mnoho
Útočníci si mohou rozšířit přístup kdykoli, protože malware zůstává aktivní
🛡️ Co s tím?
Pokud máš FortiGate zařízení, které běželo na zranitelných verzích FortiOS (např. 7.0.x, 7.2.x), je nutné:
Provést forenzní analýzu – hledat známky kompromitace (např. soubory jako libips.bak, libgif.so, .sslvpnconfigbk)
Zvážit úplné přeinstalování zařízení (totální formát všech partitions)
Segmentovat síť, aby se malware nemohl šířit dál
odkaz na oficiální advisory:
🧨 Proč se ho nelze snadno zbavit?
Malware přežívá reboot i firmware upgrade → je navržen tak, aby se „zabydlel“ v systému a zůstal i po aktualizaci
Nejde ho detekovat běžnými CLI příkazy → maskuje se, manipuluje logy, dokonce umí upravit IPS engine knihovny
Fortinet sám přiznal, že jediný známý způsob odstranění je:
„Jediný známý způsob odstranění malwaru CoatHanger je kompletní vymazání zařízení a znovuinstalace s čistou konfigurací.“
🛠️ Jak se dá CoatHanger odstranit?
🔥 Formátování storage – ne jen reset, ale totální zápis přes všechna oddílová data
🧠 Vyčištění konfiguračních souborů – malware se může schovávat i v záložních config verzích
🛡️ Manuální re-konfigurace – nepoužívat staré exporty, které by mohly obsahovat kompromitované části
A ano, i po aktualizaci firmware a restartu zůstal malware aktivní, protože si vytvořil systémově integrované hooky, které upravují vnitřní knihovny FortiOS.
„Zveřejnění technických incidentů je součástí bezpečnostní kultury. Přehledné informování o rizicích a chybách není útokem na výrobce, ale ochranou komunitního prostoru, kde záleží na transparentnosti víc než na image.“
„Každý firewall se může stát slabinou — rozdíl je v tom, jak se k tomu výrobce postaví, a jak rychle umožní správcům reagovat.“
Tento článek slouží jako technické shrnutí bezpečnostních událostí souvisejících s firewally Fortinet. Informace vycházejí z veřejně dostupných zdrojů (např. CVE databáze, bezpečnostní analýzy, zprávy vládních agentur) a mají za cíl informovat odbornou komunitu o rizicích spojených s provozem edge zařízení. Nejedná se o hodnocení značky Fortinet, ale o popis incidentu a jeho technických aspektů. Uvítáme případné upřesnění nebo doplnění od čtenářů či výrobce.
ℹ️ Zdroje: MIVD – Zpráva o zahraničních kybernetických hrozbách, 12. 12. 2023: „Čínská skupina využila zero-day zranitelnost ve FortiOS k trvalému napadení západních sítí.“
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/14/coathanger/
Tento dokument slouží jako technické srovnání firewallových řešení, založené na veřejně dostupných informacích, zkušenostech s reálným nasazením a popisem funkcí jednotlivých produktů. Cílem je poskytnout přehled možností, výhod a rozdílů mezi uzavřenými komerčními systémy (např. FortiGate) a otevřenými platformami (např. OPNsense) tak, aby si zákazník mohl zvolit nejvhodnější variantu pro svou síťovou infrastrukturu.
Nejedná se o marketingové hodnocení ani recenzi, ale o faktické shrnutí funkcionalit, přístupů k správě, možností rozšíření, a nákladových aspektů.
Veškeré informace jsou uvedeny s maximální snahou o přesnost – pokud byste v obsahu našli chybu či neaktuální údaj, budeme rádi za zpětnou vazbu.
FortiGate / FortiClient + FortiCloud:
Nové zařízení se musí připojit přes WAN → jinak se neaktivuje ani nenastaví
Připojení do Vašeho Fortinet účtu na jejich cloudovém portálu → FortiCloud provisioning
Nastavení probíhá z jejich GUI (FortiManager / FortiCloud), ne lokálně
Bez internetu: 💥 game over → nepřihlásíte se, nezměníte nic, ani základní policy
➡️ To všechno je vendor lock-in + cloud závislost.
Funguje to hladce, dokud je inet a Fortinet nejede údržbu.
Připojíš přes LAN → máš okamžitý přístup k lokálnímu GUI
WAN nastavuješ až po tom, co všechno připravíš → plná kontrola
Když se rozbije net nebo DNS, můžeš firewall normálně dál spravovat
Nečekáš na žádnou synchronizaci, FortiToken, FortiCloud nebo zamčené firmware
💡 Prostě stará škola, která nechce cloudem řídit tvou bránu do světa.
🤬 Srovnání: FortiGate vs open-source filozofie
Vlastnost
FortiGate
OPNsense / pfSense
Prvotní nastavení
Musí mít WAN + inet
Lokální přes LAN (bez inetu)
Závislost na cloudu
FortiCloud + účet
žádná
Offline správa
velmi omezená
plná
Konfigurační přístup
Web GUI přes cloud
Lokální GUI
Rychlá obnova z backupu
Ano, ale přes FortiManager
stačí ZIP, bez licence
Transparentnost
uzavřený firmware
otevřené, zdokumentované
Nervy při výpadku inetu
😱
😎
💬 To je ta digitální pravda: Fortinet je smooth operátor, ale když chceš nezávislost, rychlý zásah a vlastní železo, open-source věci jako OPNsense / pfSense / Proxmox s OPNSense VM jsou bez nervů.
„FortiOS podle analýzy firmware běží na upraveném Linux kernelu. Fortinet veřejně neposkytuje kompletní technickou dokumentaci.“
„Toto porovnání slouží jako technické shrnutí pro zákazníky, kteří hledají vhodné řešení pro svou síťovou infrastrukturu. Uváděné informace vycházejí z veřejně dostupné dokumentace a zkušeností s danými technologiemi.“
„Tento článek nemá za cíl znevažovat žádnou ze značek, ale nabídnout srovnání technických přístupů s důrazem na otevřenost a možnosti přizpůsobení.“
Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/14/%f0%9f%a7%a0fortigate-vs-open-source-filozofie-technicke-srovnani/
🌐 HyperNet – Internet bez starostí: jede, chrání, neotravuje…
Zapomeňte na kompromisy. HyperNet je internet nové generace, který prostě funguje. Rychlý, stabilní, bezpečný – a hlavně bez toho, abyste museli cokoliv řešit.
Neomezená rychlost i data – žádné limity, žádné zpomalování
Maximální bezpečnost – chráníme vás před viry, útoky i šmírováním
Žádné starosti – žádné nastavování, žádné složitosti, prostě to jede
Vhodné pro domácnosti i náročné uživatele – streamujte, hrajte, pracujte, tvořte
Internet, který vás neotravuje. Jen běží. A chrání.
…same way as the Möbius strip is… same way are these Questions for You, which are bringing the main answers on the Question of the Universe, Live by itself, and the whole happening. ?
?
Is the free will that, if we are able to accept, that, that what is happening to us is just to us or for us?
?
Everyone is unique because his brain is connected on the base of his soul? Why we are boxing then people like things?
?
When everything under the 11 is already created and over (meaning as above) is only in the concept, how significant is the meaning of the number 11 as that?
?
LILA is the God’s game (meant as play), is the acronym for Lost in the Last Avatar? To whom this Avatar belongs to? (hint: beware of what is avatar in fact?)
?
What is Oneness, when there is nothing except the quantum field of particles creating everything around us?
(erosthe w/o energy 10on-32cm3, erosthe with maximum of 10on93cm3 energy is creating what we call as Ether)
?
Is it possible to become enlightened by fury taking over a day and directed in a right way against ignorance?
?
The answer to the biggest Question of life by itself, Universe and everything is 42, because of septillion of synaptic’s in the age of 2?
?
Why to the interconnection of the mind and the consciousness is needed the soul as the filter in between of Oneness? ?
…citelně lepší bezpečnost (zabezpečení), která je na Internetu v poslední době důležitější než cokoli jiného, je pro nás posláním. Zabezpečení sítě bereme více než vážně, proto také, když nás občas některý klient podlehnuvší nabídce (na papíře jenž snese všechno) opustí, se nestačí divit, co útoků mu najednou jeho „antivirus*“ hlásí. Skutečně se nejedná o útok na něj z naší strany jako mstu, za to že nás opustil. Často ani nevíme ke komu odešel, ale faktem zůstává, že dvouúrovňovou ochranu na vstupu sítě kterou disponujeme, mají jen skutečně kvalitní datová centra, minimum i velkých podniků a organizací včetně těch státních. Pokračovat ve čtení
Přímý odkaz na tento článek: https://www.sympatika.cz/2018/11/15/cim-jsme-jini/
…ten (rozuměj konkurence), jemuž ležíme v žaludku a objednal na nás masivní DDoS útok, a neuspěl s ním (odešel jeden zákazník), zkouší nové metody. Včera jsme byli svědky toho, jak lze hacknout mikrotik ikdyž je na něm firmware řady Bugfix only.
DDOS byl eliminován. Útok sice nadále probíhá, ale jeho dopad již není fatální. Komunikace je procesována standardním způsobem a probíhající útok tak již zaznamenáte pouze pohledem na graf 🙂 Pokud máte také problémy s tímto typem útoků a potřebujete kvalitní antiddos ochranu, tak jsme jednu právě vytvořili a nyní probíhá její testování v ostrém provozu. Není od Barracuda systems a nestojí statisíce v základu, nicméně funguje téměř stejně.
Přímý odkaz na tento článek: https://www.sympatika.cz/2018/06/07/ddos-eliminovan/
Tímto Vás informujeme, že naše stránky využívají pro svoji činnost tzv. cookies. Sobory cookies jsou drobné textové soubory, které naše servery posílají Vašemu počítači a umožňují lepší využití našich serverů a přizpůsobení jejich obsahu Vašim potřebám a preferencím. Cookies přitom používá téměř každá internetová stránka na světě. Cookies jsou obecně užitečné, protože zvyšují uživatelskou přívětivost opakovaně navštívené internetové stránky. Pokud pro návštěvu našich internetových stránek použijete stejný počítač a stejný internetový prohlížeč, cookies pomohou Vašemu počítači zapamatovat si navštívené stránky a Vaše preferované nastavení jednotlivých stránek. Cookies jsou Technické a Statistické viz tlačítko Zobrazit nastavení...
Technické a tedy nezbytné cookies
Vždy aktivní
Technické cookies, které jsou nutné pro přístup k datům tohoto webu, jsou nezbytně nutné pro legitimní účel umožnění použití konkrétní služby, kterou si účastník nebo uživatel výslovně vyžádal, nebo pouze pro účely provedení přenosu sdělení prostřednictvím sítě elektronických komunikací. Jsou tedy nutnou podmínkou pro fungování našeho webu. Díky nim procházíte jednotlivými stránkami, vyhledáváte na nich nebo se k nim přihlašujete.
Předvolby
Technické uložení nebo přístup je nezbytný pro legitimní účel ukládání preferencí, které nejsou požadovány odběratelem nebo uživatelem.
Statistické a tedy volitelné cookies
Statistické cookies, kterých se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace uložené nebo získané pouze pro tento účel obvykle použít k vaší identifikaci. Díky těmto cookies víme, které dokumenty jsou u nás navštěvované. Součástí jsou i cookies třetích stran, jejichž vydavatelem je např. Google. Tyto lze volitelně zapnout. Ve výchozím nastavení jsou vypnuty.Technické uložení nebo přístup, který se používá výhradně pro anonymní statistické účely. Bez předvolání, dobrovolného plnění ze strany vašeho Poskytovatele internetových služeb nebo dalších záznamů od třetí strany nelze informace, uložené nebo získané pouze pro tento účel, obvykle použít k vaší identifikaci.
Marketing
Technické uložení nebo přístup je nutný k vytvoření uživatelských profilů za účelem zasílání reklamy nebo sledování uživatele na webových stránkách nebo několika webových stránkách pro podobné marketingové účely.
