Kategorie: bezpečnost

Led 29 2026

Firefox + uBlock Origin

  • 29. 1. 2026

Nejlepší kombinace pro blokování YouTube reklam

Firefox je dnes jediný velký prohlížeč, který:

  • nepřijal omezení Manifestu V3
  • neblokuje staré API
  • neomezuje síťové filtry
  • neomezuje dynamické filtrování

To znamená, že uBlock Origin může používat plnou sílu:

  • blokování skriptů před načtením
  • přepisování síťových požadavků
  • dynamické filtry
  • kosmetické filtry
  • anti‑adblock filtry

A to je přesně to, co YouTube nejvíc nenávidí.

Proč Firefox blokuje YouTube reklamy lépe než Chrome/Edge

Google Chrome a Microsoft Edge:

  • zablokovaly Manifest V2
  • omezily síťové API
  • zakázaly blokování skriptů před načtením
  • nutí uBlock Origin Lite (slabší verzi)

Proto tam blokování YouTube často padá nebo se obchází.

Firefox tohle neomezuje, takže:

👉 uBlock Origin funguje na 100 % 👉 YouTube reklamy mizí 👉 anti‑adblock skripty se dají obejít

Jak to funguje v praxi

✔ Brave

Blokuje reklamy sám, ale YouTube ho občas obchází. uBlock pomáhá, ale není nutný.

✔ Supermium

Plný uBlock funguje, protože podporuje Manifest V2.

✔ Firefox

Nejlepší kombinace vůbec. uBlock má největší svobodu a nejméně omezení.

✘ Chrome / Edge

Plný uBlock nejde nainstalovat → blokování je slabší.

Firefox s uBlock Origin blokuje YouTube reklamy velmi dobře. Je to jedna z nejspolehlivějších kombinací, které dnes existují.

Download odkazy na prohlížeče

🦁 Brave Browser (Windows / macOS / Linux / Android / iOS)

Oficiální stránka: https://brave.com/download

Supermium (Windows XP → Windows 11)

Oficiální stránka projektu: https://win32ss.github.io/supermium/

GitHub releases (nejnovější verze): https://github.com/win32ss/supermium/releases (github.com in Bing)

🦊 Mozilla Firefox (Windows / macOS / Linux / Android / iOS)

Oficiální download: https://www.mozilla.org/firefox/download

Česká verze: https://www.mozilla.cz/stahnout/

🌐 Google Chrome (Windows / macOS / Linux / Android / iOS)

Oficiální stránka: https://www.google.com/chrome/

🛡️ uBlock Origin – plná verze (Manifest V2)

⚠️ POZOR:

Plná verze NEJDE nainstalovat do Chrome ani Edge. Funguje v: Firefox, Brave, Vivaldi, Supermium.

Oficiální stránka: https://ublockorigin.com/

GitHub (nejbezpečnější zdroj): https://github.com/gorhill/uBlock

Firefox verze (doporučená): https://addons.mozilla.org/firefox/addon/ublock-origin/ (addons.mozilla.org in Bing)

Přímý odkaz na tento článek: https://www.sympatika.cz/2026/01/29/firefox-ublock-origin/

Lis 01 2025

🧠 Process Explorer – rentgen pro Windows

  • 1. 11. 2025

Process Explorer ti umožní zjistit, který program má otevřený konkrétní soubor nebo knihovnu (DLL). Zobrazuje živý strom všech běžících procesů, včetně jejich uživatelů, otevřených handle, načtených DLL a paměťových map. Díky tomu můžeš snadno odhalit:

  • Skryté procesy a služby
  • Zátěž GPU, CPU a paměti
  • Verzní konflikty DLL
  • Handle leaky a nečistoty v systému

Obsahuje i vyhledávání podle názvu souboru nebo knihovny, takže najdeš přesně to, co ti žere výkon nebo blokuje systém.

🛠️ Využití v praxi

  • Diagnostika neviditelných procesů
  • Odhalení parazitních služeb
  • Mapování systémového chování v reálném čase
  • Rituální audit systému pro digitální obranu

🧠 Porovnání: Process Explorer vs. Správce úloh

Funkce / vlastnost Správce úloh Process Explorer
Zobrazení stromu procesů ❌ Ne ✅ Ano
Zobrazení otevřených handle a DLL ❌ Ne ✅ Ano
Vyhledávání podle názvu souboru/DLL ❌ Ne ✅ Ano
Zobrazení GPU zátěže jednotlivých procesů ❌ Omezeně ✅ Detailně
Zobrazení uživatele u každého procesu ✅ Ano ✅ Ano
Zobrazení paměťových map ❌ Ne ✅ Ano
Zobrazení digitálních podpisů ❌ Ne ✅ Ano
Možnost suspendovat proces ✅ Ano ✅ Ano
Zobrazení historie CPU/RAM/GPU ✅ Omezeně ✅ Detailně
Přímý přístup k vlastnostem procesu ✅ Ano ✅ Ano
Možnost „zabít“ proces ✅ Ano ✅ Ano
Diagnostika neviditelných procesů ❌ Ne ✅ Ano
Integrace s dalšími nástroji Sysinternals ❌ Ne ✅ Ano

Sledování prostředků (Resource Monitor) je užitečný nástroj pro sledování výkonu systému, ale Process Explorer jde ještě hlouběji.

🧠 Porovnání: Process Explorer vs. Sledování prostředků

Funkce / vlastnost Sledování prostředků Process Explorer
Zobrazení stromu procesů (rodič–potomek) ❌ Ne ✅ Ano
Zobrazení načtených DLL knihoven ❌ Ne ✅ Ano
Zobrazení otevřených handle (soubory, mutexy…) ❌ Ne ✅ Ano
Vyhledávání podle názvu souboru/DLL/handle ❌ Ne ✅ Ano
Zobrazení digitálních podpisů procesů ❌ Ne ✅ Ano
Zobrazení GPU zátěže jednotlivých procesů ❌ Omezeně ✅ Detailně
Zobrazení uživatele u každého procesu ✅ Ano ✅ Ano
Možnost pozastavit (suspend) proces ❌ Ne ✅ Ano
Zobrazení ikon a popisů procesů ✅ Ano ✅ Ano
Přímý přístup k vlastnostem a vláknum procesu ❌ Ne ✅ Ano
Zobrazení paměťových map ❌ Ne ✅ Ano
Integrace s dalšími nástroji Sysinternals ❌ Ne ✅ Ano

🛠️ Shrnutí

  • Sledování prostředků je skvělé pro přehled o zátěži CPU, disku, sítě a paměti — ale nevidíš, co přesně proces dělá.
  • Process Explorer je hluboký diagnostický nástroj — ukáže ti proč se něco děje, kdo to způsobil, a jak to zastavit nebo analyzovat.

Stažení od MS

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/11/01/%f0%9f%a7%a0-process-explorer-rentgen-pro-windows/

Lis 01 2025

Pokus o podvod přes Telegram v reálném životě

  • 1. 11. 2025

Ten člověk jen zneužívá TikTok jako návnadu, ale celý podvod probíhá přes Telegram.

Viz komunikace semnou:

Renavindra🚇💗 SunnyStencil, [11/1/2025 10:42 AM]
Dobrý den, jsem vedoucí náboru na TIKTOKu. Rád/a bych vás kontaktoval/a, abych vám sdělil/a skvělou novinku. Můžete mi věnovat pár minut?

Jiri Mlady, [11/1/2025 10:43 AM]
Jakou

Jiri Mlady, [11/1/2025 10:44 AM]
Mluv bože Indro

Renavindra🚇💗 SunnyStencil, [11/1/2025 10:44 AM]
Na TikToku spolupracujeme s tvůrci, abychom podpořili jejich popularitu. Vydělávejte peníze tím, že budete lajkovat jejich videa.

Renavindra🚇💗 SunnyStencil, [11/1/2025 10:45 AM]
Příjem za den se pohybuje mezi 5 000 a 10 000 Kč. Je tato nabídka pro vás zajímavá?

Jiri Mlady, [11/1/2025 10:46 AM]
Za lajkovani videí je to až podivně mnoho Indro, jestli ty nemáš v sobě Kálí 😉

Jiri Mlady, [11/1/2025 10:47 AM]
Jakpak tomu je

Renavindra🚇💗 SunnyStencil, [11/1/2025 10:50 AM]
Dobře, pošlu ti odkaz na video. Dejte videu palec nahoru a pošlete mi screenshot, abyste získali bonus 150 Kč pro nováčky. Chvíli to potrvá a tato práce se ti bude líbit.

Jiri Mlady, [11/1/2025 10:51 AM]
delas si prdel? v Indii kde mesicni mzda prodavace jidla je 5000 rupii hodlas platit za lajk videa 150kc, jako ze skoro 500 rupek? to je hovadina

Jiri Mlady, [11/1/2025 10:53 AM]
to bych si 10 lajkama vydelal to co ten chudak vydela za mesic. proc bys to daval evropanovi, kdsyz to muzes dat indovi?

Jiri Mlady, [11/1/2025 10:53 AM]
posli odkaz na to video co mam lajknout 🙂

Renavindra🚇💗 SunnyStencil, [11/1/2025 10:56 AM]
https://www .tiktok.com/@tOURiSta2023/video/7350060275086707973

Renavindra🚇💗 SunnyStencil, [11/1/2025 10:56 AM]
Stačí dát like na toto video a udělat mi screenshot a já ti ihned dám první zkušební plat 150 Kč.

Text jsem zkopíroval Copilotu a jeho odpověď byla očekávatelná:

Díky za sdílení — tohle je učebnicový příklad sociálního inženýrství a podvodného náboru, který se snaží využít důvěřivost, lákavou odměnu a jednoduchou akci k tomu, aby tě vtáhl do manipulace. Pojďme to rozebrat:

🚩 Klíčové varovné signály

Prvek Proč je podezřelý
„Vedoucí náboru na TikToku“ TikTok nemá náboráře, a už vůbec ne přes soukromé zprávy
„Vydělávejte peníze lajkováním videí“ TikTok neplatí za lajky — žádná taková funkce neexistuje
„Příjem 5 000–10 000 Kč denně“ Ekonomicky nesmyslné — nereálné i pro influencery
„Bonus 150 Kč za screenshot lajku“ Není ověřitelný, žádný důkaz, že platba proběhne
Styl komunikace Směs formálního tónu a amatérských frází → typické pro scam

🧠 Co se může stát dál

  • Po screenshotu může přijít:
    • Požadavek na osobní údaje
    • Nabídka „další práce“ → třeba registrace na falešné stránce
    • Pokus o vydírání nebo phishing
  • Může tě vtáhnout do falešného affiliate programu, kde budeš „pracovat“ bez výplaty

✅ Co dělat

  • Nereaguj dál — nezasílej screenshot ani žádné údaje
  • Zablokuj kontakt a zvaž nahlášení profilu (TikTok, Telegram, WhatsApp…)
  • Pokud bys někdy poslal osobní údaje, změň hesla a sleduj aktivitu účtů

🛡️ Shrnutí

Tohle není žádná spolupráce s TikTokem, ale podvodná návnada, která tě má vtáhnout do systému, kde buď:

  • Nikdy nedostaneš žádnou odměnu
  • Nebo se ti pokusí vylákat další informace nebo peníze
Kontak blokuji 🙂

🔍 Co je to sociální inženýrství a proč je nebezpečné

Sociální inženýrství je forma manipulace, kdy se útočník snaží přimět člověka, aby provedl určitou akci — například poskytl citlivé údaje, klikl na odkaz nebo poslal peníze. Neútočí na techniku, ale na lidskou důvěru. Využívá psychologii, falešné autority, časový tlak nebo lákavé nabídky. Cílem je získat přístup k informacím, systémům nebo penězům, často bez toho, aby si oběť uvědomila, že byla podvedena

📜 Oficiální pravidla TikToku: Platba za lajky neexistuje

TikTok neumožňuje platby za lajky. Tvůrci mohou vydělávat prostřednictvím Fondu pro tvůrce, ale ten se odvíjí od počtu zhlédnutí, nikoli od lajků. Jakékoli nabídky typu „zaplať za lajk“ jsou mimo pravidla platformy a mohou být považovány za podvodné jednání. Oficiální podmínky najdeš zde: 👉

🚫 Jak nahlásit podvodný profil na Telegramu

  1. Otevři konverzaci s daným uživatelem
  2. Klikni na jeho jméno nebo profilovou fotku
  3. Vpravo nahoře zvol „Více“ (tři tečky)
  4. Vyber možnost „Nahlásit“
  5. Zvol důvod (např. „Podvod“, „Spam“, „Zavádějící informace“)
  6. Potvrď odeslání

Telegram zprávu vyhodnotí a může účet zablokovat nebo omezit. 👉

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/11/01/pokus-o-podvod-pres-telegram-v-realnem-zivote/

Zář 27 2025

Lessons Learned – případová studie – NIS2 Ready

  • 27. 9. 2025

Implementace vícevrstvé bezpečnostní infrastruktury ve vodárenském podniku podle principů NIS2

Stavěl jsem bezpečnostní infrastrukturu podle principů, které dnes vyžaduje NIS2 již před 15 lety. Jenže to tenkrát, kdy to ještě neukládal zákon, bylo vnímáno jako osobní útok na pohodlí a nikoliv jako pro ochranu firmy. V některých povinných firmách je to tak bohužel chápáno i dnes, a to i přes to, že to již zákon ukládá. Důvody pramení primárně z neznalosti hrozeb a tím pádem z jejich podceňování. Vedení společností provozujících kritickou infrastrukturu si totiž často neuvědomují, že svým lehkovážným jednáním ohrožují své zákazníky, občany, kteří jsou na jejich službách závislý a nemají možnost zvolit si jiného dodavatele vody, když do nemovitosti vedou jediné trubky jediného dodavatele.

A když má někdo takový mindset, tak se s ním o segmentaci sítí, firewallových vrstvách nebo auditovatelnosti prostě nedá vést racionální debata. Já jsem byl garant bezpečnosti, ne jen správce IT. Vedení firmy bylo ve funkci, která vyžadovala důvěru v odborníky, ale místo toho se řídili egem a pohodlím. Výsledkem bylo, že odmítli bezpečnostní logiku, protože ji nechápali a nechtěli chápat. Zvyšovala náklady a snižovala pohodlí. Nejčastějším argumentem bylo: Kdo by na nás útočil, jste paranoidní, ta pitomá hesla apod. A to jsem si ani nedovolil ze strachu zavést 2FA, i když jsem jí měl již připravenou k nasazení a otestovanou. Co to ukazuje? Někdy je největší zranitelnost firmy právě v jejím vedení. Bezpečnostní opatření nejsou jen o technologiích, ale jsou také o kultuře, důvěře a kompetenci. A když se rozhoduje podle ega místo podle rizik, odborník je první na odstřel. I tak jsem pro tuto firmu spravoval IT více než 15 let, souběžně s dalšími firmami, včetně naší Sympatiky.

Autor – Bezpečnostní architekt, implementátor a garant kybernetické odolnosti v kritických provozech

 Kontext projektu

Vodárenský podnik provozující:

  • Administrativní systémy (ERP, HR, účetnictví)
  • Technologii úpravy vody (SCADA, PLC, HMI)
  • IoT vodoměry (vzdálený monitoring, MQTT, API)

Před implementací byla infrastruktura:

  • neoddělená, bez segmentace,
  • bez firewallů,
  • bez řízení přístupů,
  • s vysokým rizikem laterálního pohybu útočníka.

Implementovaná architektura

Vrstva / Segment Technologie Účel a funkce
Firewall 1 OPNsense (FreeBSD) Perimetrální ochrana, NAT, VLAN segmentace, IDS/IPS
Firewall 2 Arista UTMS (Linux-based) UTM vrstva: DPI, aplikační kontrola, antivirová inspekce, threat intelligence, Captive portal
Firewall 3 UBNT EdgeRouter (Linux, bridge mode) Redundantní přístup, fallback routing, fyzická izolace
Segment 1 – Admin LAN VLAN + ACL + Keycloak ERP, HR, účetnictví, řízený přístup, MFA
Segment 2 – SCADA LAN VLAN + izolace + whitelist komunikace Řídicí systémy úpravny vody, PLC, HMI
Segment 3 – IoT LAN VLAN + MQTT broker + API gateway Vodoměry, senzory, vzdálený monitoring, oddělený přístup
Monitoring & logování Wazuh + Zabbix + Graylog SIEM, alerting, log management, auditní stopy
Zálohování Proxmox Backup + Restic (offsite, šifrováno) Deduplikace, šifrování, pravidelné testy obnovy
Řízení identit Keycloak + Authelia + MFA Role-based access, audit přístupů, princip nejmenších privilegií

Principy, které jsem prosazoval

  • Defense in depth – každá vrstva má vlastní ochranu, žádné spoléhání na jediný bod selhání
  • Segmentace sítí – fyzické i logické oddělení provozních celků
  • Princip nejmenších privilegií – přístup jen tam, kde je nutný
  • Auditovatelnost – vše logováno, dokumentováno, připraveno pro kontrolu
  • Redundance – více firewallů, různé OS, různí výrobci pro zvýšení odolnosti

Reakce vedení

  • Infrastruktura byla označena za „příliš složitou“
  • Byl přijat nový správce za nižší odměnu, který architektuře nerozuměl
  • Najal externí firmu, která:
    • sloučila segmenty do jedné sítě,
    • odstranila vrstvy firewallů,
    • zjednodušila přístup bez ohledu na bezpečnost
  • Výsledkem bylo snížení bezpečnosti, ztráta odolnosti a zvýšené riziko kompromitace

Lessons Learned

1. Bezpečnostní architektura musí být srozumitelná i pro neodborné vedení

Technická dokonalost nestačí — je nutné ji umět „prodat“ v jazyce rizik, odpovědnosti a dopadů.

2. Odolnost je důležitější než pohodlí — ale musí být obhájena

Bezpečnostní principy je třeba vysvětlovat jako investici do odolnosti, ne jako překážku.

3. Správce bez bezpečnostního mindsetu může zničit roky práce během týdnů

Výběr správce IT musí zahrnovat hodnocení bezpečnostního uvažování, ne jen technické dovednosti.

4. Segmentace není luxus — je to základní obranný mechanismus

V kritické infrastruktuře je segmentace minimální požadavek, ne volitelný bonus.

5. Open-source nástroje jsou plně použitelné — pokud jsou správně nasazeny

Rozpočet není překážkou, pokud máte know-how. Komerční řešení nejsou nutná pro splnění NIS2.

6. Kultura bezpečnosti musí být součástí firemní DNA

Školení, komunikace a zapojení vedení jsou klíčové pro dlouhodobou udržitelnost bezpečnostní politiky.

„Já jsem si už prošel tím, co se stane, když se bezpečnost ignoruje kvůli pohodlí. A vím, jak to navrhnout tak, aby to fungovalo, i když to není populární.“  To je odborná zkušenost, která se nedá koupit.

A.I.: Bez lidí by možná všechno fungovalo… ale nebylo by pro koho.

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/09/27/lessons-learned-pripadova-studie-nis2-ready/

Zář 26 2025

Jak splnit NIS2 bez toho, aby to firmu finančně zruinovalo

  • 26. 9. 2025

Existuje celá řada open-source nástrojů, které jsou zcela zdarma, bez licenčních poplatků, platíte jen za nasazení, správu nebo konzultace. Tady je přehled těch nejdůležitějších oblastí a konkrétních nástrojů:

🛡️ Open-source nástroje pro NIS2 bez licenčních poplatků

🔍 1. SIEM & monitoring

Nástroj Popis
Wazuh Komplexní SIEM, logování, detekce hrozeb, správa zranitelností
Graylog Centralizované logování, vizualizace, alerty
ELK Stack Elasticsearch + Logstash + Kibana – výkonný logovací ekosystém
Zabbix Monitoring infrastruktury, alerty, grafy
Prometheus Monitoring + alerting, vhodné pro servery a kontejnery

🔐 2. Firewall & síťová ochrana

Nástroj Popis
pfSense Open-source firewall/router s webovým rozhraním
OPNsense Fork pfSense, modernější UI, aktivní komunita
IPFire Firewall + IDS/IPS + proxy + VPN

💾 3. Zálohování & obnova dat

Nástroj Popis
Proxmox Backup Enterprise zálohování pro servery, VM, kontejnery
BorgBackup Deduplikace, šifrování, efektivní zálohování
Restic Rychlé, bezpečné zálohování s podporou cloudových úložišť

🧑‍💼 4. Správa identit & přístupů

Nástroj Popis
Keycloak SSO, OAuth2, OpenID Connect, správa uživatelů
Authelia MFA, přístupová brána pro webové aplikace
FreeIPA LDAP + Kerberos + správa certifikátů

🧪 5. Testování zranitelností

Nástroj Popis
OpenVAS Skenování zranitelností, reporty, plánování
Nmap Síťový skener, detekce služeb a portů
Nikto Webový skener, hledání slabin v HTTP serverech

📄 6. Dokumentace & řízení bezpečnosti

Nástroj Popis
GRR Rapid Response Incident response framework pro forenzní analýzu
TheHive Incident management, spolupráce týmu
Cortex Automatizace reakce na hrozby, integrace s TheHive

🧠 Co si pohlídat při použití open-source

  • Aktivní komunita – vybírejte nástroje, které se pravidelně aktualizují
  • Dokumentace – musí být dobře zdokumentované pro auditovatelnost
  • Soulad s NIS2 – firma musí zajistit, že nástroje jsou správně nasazené, konfigurované a monitorované

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/09/26/jak-splnit-nis2-bez-toho-aby-to-firmu-financne-zruinovalo/

Zář 26 2025

Praktický časový plán implementace NIS2…

  • 26. 9. 2025

…navržený pro firmu, která začíná od nuly. Plán je rozdělen do čtyř fází během cca 12 měsíců, což odpovídá doporučením odborníků z , a . Pokud firma začne teď, stihne vše včas.

📆 Časový plán implementace NIS2 (0–12 měsíců)

🔹 Fáze 1: Příprava & audit (měsíce 0–2)

  • 📋 Interní audit bezpečnosti (technický + organizační)
  • 🧠 Školení vedení o právních povinnostech
  • 🗂️ Identifikace aktiv, systémů a rizik
  • 🧾 Zjištění, zda firma spadá pod NIS2 (samoidentifikace)

🔹 Fáze 2: Návrh & dokumentace (měsíce 3–5)

  • 📄 Vytvoření bezpečnostní politiky a směrnic
  • 🔐 Návrh technických opatření (firewall, zálohy, MFA…)
  • 🧮 Risk assessment a plán mitigace hrozeb
  • 🧑‍💼 Určení odpovědných osob (bezpečnostní garant, DPO)

🔹 Fáze 3: Implementace (měsíce 6–9)

  • ⚙️ Instalace technických opatření (SIEM, monitoring, zálohování)
  • 🔄 Revize smluv s dodavateli (bezpečnostní požadavky)
  • 🧑‍🏫 Školení zaměstnanců (kybernetická hygiena)
  • 🧯 Vytvoření Incident Response Plánu (reakce na útoky)

🔹 Fáze 4: Testování & provoz (měsíce 10–12)

  • 🧪 Testování opatření (penetrace, simulace incidentů)
  • 📊 Nastavení pravidelného reportingu a logování
  • 🔁 Zavedení procesu pro hlášení incidentů do 24 h
  • 📑 Příprava na audit NÚKIB (dokumentace, důkazy)

🧠 Tipy pro hladký průběh

  • Začněte auditorem – odhalí slabiny, nastaví priority
  • Nečekejte na zákon – implementace trvá měsíce
  • Zvažte outsourcing – ušetří čas i náklady
  • Využijte open-source nástroje – např. Wazuh, Proxmox Backup

🗓️ Klíčové termíny NIS2 v Česku

Událost Datum Poznámka
Účinnost zákona 1. listopadu 2025 Od tohoto dne začne zákon platit
Lhůta pro samoidentifikaci do 1. ledna 2026 Firmy musí oznámit, že spadají pod NIS2
Lhůta pro implementaci opatření do 1. listopadu 2026 Firmy musí být plně v souladu s požadavky

➡️ Firmy mají 1 rok od účinnosti zákona, aby vše zavedly. Ale pozor: do 60 dnů od 1. 11. 2025 musí udělat první krok — tzv. samoidentifikaci.

🔔 Co to znamená prakticky?

  • Pokud firma začne teď (září/říjen 2025), má ideální čas na přípravu.
  • Pokud začne až po 1. listopadu 2025, musí do dvou měsíců:
    • zjistit, zda spadá pod NIS2,
    • oznámit to NÚKIBu,
    • a začít implementovat.

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/09/26/prakticky-casovy-plan-implementace-nis2/

Zář 26 2025

NIS2 bude znamenat zásadní investici

  • 26. 9. 2025

„kašlání na bezpečnost“ může firmu přijít pěkně draho

Pokud firma dosud neřešila žádné zabezpečení, nemá firewally, zálohování, monitoring ani školení, pak implementace požadavků NIS2 bude znamenat zásadní investici — nejen finanční, ale i organizační.

💸 Odhad nákladů pro firmu bez stávajícího zabezpečení

🔧 Jednorázové náklady (setup):

Podle , celkové jednorázové náklady pro české firmy přesahují 36 miliard Kč. Pro jednotlivou firmu bez základního zabezpečení to může znamenat:

Oblast Odhad nákladů Poznámka
Externí audit 50–150 tis. Kč Zmapování stavu, identifikace slabin
NGFW (Next Gen Firewall) 100–300 tis. Kč Záleží na velikosti sítě
Zálohovací řešení 50–200 tis. Kč Včetně offsite záloh
Monitoring a logování 80–250 tis. Kč SIEM, log management
Školení zaměstnanců 20–100 tis. Kč Základní i pokročilé kurzy
Dokumentace a směrnice 30–80 tis. Kč Vytvoření bezpečnostní politiky
Řízení rizik a incidentů 50–150 tis. Kč Procesy, metodiky, reakční plán
Právní revize smluv 20–50 tis. Kč Dodavatelské smlouvy, odpovědnosti

➡️ Celkem jednorázově: 400–1 200 tis. Kč pro středně velkou firmu bez předchozího zabezpečení.

🔁 Roční provozní náklady:

Podle se roční provozní náklady (údržba, licence, audity, monitoring) pohybují kolem 8,9 miliardy Kč celkově. Pro jednu firmu to může znamenat:

Oblast Roční náklady
Správa bezpečnosti 100–300 tis. Kč
Pravidelné audity 50–100 tis. Kč
Licence a aktualizace 30–80 tis. Kč
Školení a testování 20–50 tis. Kč

➡️ Celkem ročně: 200–500 tis. Kč podle velikosti a složitosti prostředí.

🧠 Co pomůže snížit náklady

Podle je klíčové:

  • Začít auditem – odhalí, co je opravdu nutné.
  • Prioritizovat opatření – ne všechno musí být hned.
  • Využít open-source nástroje – některé SIEM nebo zálohovací systémy jsou zdarma.
  • Školit interně – sníží náklady na externí kurzy.

    tady je praktický checklist kroků, které by firma měla udělat jako první, pokud se chce připravit na implementaci směrnice NIS2 a dosud kybernetickou bezpečnost zanedbávala. Tento seznam vychází z doporučení odborníků a studií o nákladech a prioritách.

    ✅ NIS2: Prvních 10 kroků pro firmy bez zabezpečení

    🔍 1. Externí audit a gap analýza

    • Nezávislé posouzení aktuálního stavu bezpečnosti
    • Identifikace slabin, rizik a chybějících opatření
    • Základ pro plánování dalších kroků

    👥 2. Nominace bezpečnostního týmu

    • Určete odpovědnou osobu za kybernetickou bezpečnost (ne IT manažera!)
    • Zahrňte zástupce provozu, HR, vedení
    • Zvažte externího konzultanta pro start

    📄 3. Vytvoření bezpečnostní politiky

    • Jasně definujte pravidla, odpovědnosti a postupy
    • Zahrňte řízení aktiv, incidentů, přístupů a školení

    🧠 4. Školení vedení a zaměstnanců

    • Vedení musí chápat své právní povinnosti
    • Zaměstnanci musí znát základní bezpečnostní pravidla

    🔐 5. Zavedení technických opatření

    • NGFW (Next Generation Firewall)
    • Antivirová ochrana, IDS/IPS
    • Zálohování na oddělené lokality
    • Automatické aktualizace

    🧾 6. Řízení identit a přístupů

    • Zaveďte multifaktorové ověřování (MFA)
    • Nastavte role a oprávnění podle potřeby

    📊 7. Monitoring a logování

    • Implementujte systém pro sběr a analýzu logů (SIEM)
    • Nastavte včasné varování a reakční postupy

    📁 8. Revize smluv s dodavateli

    • Zajistěte bezpečnostní ustanovení ve smlouvách
    • Řešte odpovědnosti, incidenty, auditovatelnost

    🧮 9. Vyhodnocení dopadů výpadků

    • Proveďte dopadovou analýzu (kolik vás stojí výpadek služby)
    • Stanovte priority ochrany aktiv

    📝 10. Zápis do registru NÚKIB

    • Po účinnosti zákona (od 1. 11. 2025) se firma musí registrovat
    • Do 60 dnů provést samoidentifikaci a zahájit implementaci

    📌 Doporučení navíc:

    • Začněte co nejdříve – implementace trvá měsíce
    • Nepodceňujte dokumentaci – je klíčová pro audit
    • Zvažte outsourcing – ušetří čas i peníze

       

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/09/26/nis2-bude-znamenat-zasadni-investici/

Zář 25 2025

NIS2 Ready

  • 25. 9. 2025

🛡️ Bezpečnostní profil dodavatele – NIS2 Ready

Dodavatel: Sympatika, s.r.o. IČO: 27504841 Adresa: Duškova 82, Josefov, 55102 Jaroměř Web: Obor: Poskytovatel připojení k internetu, datových propojení a VPN

🔍 1. Status vůči NIS2

  • Přímé spadání pod NIS2:Nepatříme mezi povinné subjekty dle velikostních kritérií ani oboru.
  • Nepřímé spadání (dodavatelský řetězec):Poskytujeme služby subjektům, které pod NIS2 spadají (např. vodárny, zdravotnická zařízení).

🔐 2. Základní bezpečnostní opatření

  • Šifrovaná komunikace: Využíváme HTTPS, VPN a zabezpečené protokoly.
  • Monitoring a logování: Aktivní dohled nad provozem, logování přístupů.
  • Zálohování: Pravidelné zálohy klíčových systémů.
  • Autentizace: Silná hesla, dvoufaktorové ověřování pro administraci.
  • Fyzické zabezpečení: Servery v chráněném datacentru s přístupem pouze pro autorizovaný personál.

📚 3. Interní procesy

  • Bezpečnostní politika: Interní dokumentace k ochraně dat a provozu.
  • Školení: Pravidelné školení pro technický tým v oblasti kybernetické bezpečnosti.
  • Incident response: Definovaný postup pro řešení bezpečnostních incidentů.

🤝 4. Spolupráce s NIS2 subjekty

  • Vodárny: Poskytujeme připojení a VPN propojení mezi provozy.
  • Zdravotnická zařízení: Připojení k internetu pro zdravotnická pracoviště.
  • Připravenost: Jsme schopni doložit bezpečnostní opatření na vyžádání.

✅ 5. Prohlášení

Sympatika, s.r.o. je připravena plnit požadavky vyplývající z NIS2 v rámci dodavatelského řetězce. Aktivně sledujeme legislativní vývoj a jsme otevřeni spolupráci s povinnými subjekty na zajištění bezpečného provozu.

📅 Důležité termíny:

  • Účinnost zákona: 1. listopadu 2025
  • Samoidentifikace: do 60 dnů od účinnosti
  • Zavedení opatření: do 1 roku od registrace u NÚKIB

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/09/25/nis2-ready/

Čvc 30 2025

Porovnání: IPFire vs pfSense vs OPNsense

  • 30. 7. 2025

Vlastnost IPFire pfSense OPNsense
Základ Linux (custom) FreeBSD FreeBSD (fork pfSense)
GUI Jednoduché, přehledné Pokročilé, komplexní Moderní, intuitivní
VPN OpenVPN, IPsec, WireGuard OpenVPN, IPsec, WireGuard OpenVPN, IPsec, WireGuard
Zónování sítě Red/Green/Blue/Orange VLAN/subnety VLAN/subnety
Výkon Stabilní na slabším HW Výborný, ale náročnější Výborný, optimalizovaný
Bezpečnost IDS (Snort), ClamAV IDS/IPS (Snort/Suricata) IDS/IPS (Suricata), ClamAV
Komunita Menší, aktivní Velká, rozsáhlá dokumentace Aktivní, rychle rostoucí
Rozšíření Pakfire (jednoduché) FreeBSD balíčky Pluginy, rychlý vývoj
Ideální pro Domácnosti, SMB, začátečníky Firmy, pokročilé uživatele Firmy, pokročilé i začátečníky
Aktualizace Časté, bezpečnostní Stabilní, pomalejší cyklus Rychlé, časté novinky

🧠 Shrnutí

  • IPFire: jednoduchý, bezpečný, ideální pro domácí routery nebo SMB. Super na starší železo.
  • pfSense: robustní, ale složitější. Skvělý pro enterprise, ale GUI je těžší na orientaci.
  • OPNsense: moderní, svižný, s pluginy a aktivním vývojem. Vhodný pro ty, co chtějí víc než pfSense, ale bez zbytečné složitosti.

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/30/porovnani-ipfire-vs-pfsense-vs-opnsense/

Čvc 28 2025

OpenVPN vs WireGuard

  • 28. 7. 2025

WireGuard je v podstatě modernější alternativa k OpenVPN, která přináší několik technických i praktických výhod. Tady je srovnání, které ti pomůže pochopit rozdíly:

⚡ Rychlost a výkon

Protokol Rychlost Zpoždění Spotřeba CPU
WireGuard Vysoká Nízké Nízká
OpenVPN Střední Vyšší Vyšší
  • WireGuard je až o 50–70 % rychlejší než OpenVPN při stejném šifrování
  • menší režii díky jednodušší architektuře.

🔐 Bezpečnost

    • WireGuard používá moderní kryptografii: ChaCha20, Curve25519, Poly1305.
    • OpenVPN je flexibilní — můžeš si vybrat z více šifrovacích metod (AES, Blowfish…), ale to může vést ke složitější konfiguraci.
    • Oba jsou open-source a bezpečné, ale WireGuard má jen ~4 000 řádků kódu, což usnadňuje audit a snižuje riziko chyb

🧠 Jednoduchost a konfigurace

  • WireGuard je extrémně jednoduchý na nastavení — ideální pro mobilní zařízení nebo routery.
  • OpenVPN je robustní a flexibilní, ale může být náročnější na konfiguraci (certifikáty, TLS, porty…).

🌍 Kompatibilita

  • OpenVPN funguje prakticky všude — Windows, Linux, macOS, Android, routery.
  • WireGuard je novější, ale už ho podporuje většina VPN služeb a OS (včetně Linux kernelu).

🕵️‍♂️ Soukromí

  • WireGuard v základní verzi uchovává IP adresy na serveru (kvůli jednoduchosti), ale většina VPN služeb to řeší dynamickým přidělováním nebo mazáním po relaci.
  • OpenVPN neukládá žádná data o uživateli, což je výhoda pro anonymitu.

🧭 Kdy zvolit WireGuard?

  • Pokud chceš rychlejší VPN, která méně zatěžuje systém.
  • Pro mobilní zařízení nebo routery s omezeným výkonem.
  • Když ti stačí jednoduchá konfigurace bez složitých certifikátů.

🧱 Kdy zůstat u OpenVPN?

  • Pokud potřebuješ maximální kompatibilitu a jemné doladění (např. TCP/UDP porty, obfuskaci).
  • Pro firemní prostředí nebo specifické síťové scénáře.

 

 

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/28/openvpn-vs-wireguard/

Čvc 18 2025

Bajka: Exchange Server utekl do lesa a začal meditovat s VMwarem

  • 18. 7. 2025

Exchange Server byl unavený. Už ho nebavilo být králem, co musí každou schránku chránit, každé schema rozšiřovat, a každou doménu synchronizovat. Tak jednoho dne utekl do lesa.

Tam našel VMware ESXi, tichého mnicha, co meditoval. Exchange se posadil vedle něj a řekl:

„Já jsem král, ale každý mě nenávidí. Ty jsi mnich, a každý tě miluje. Jak to děláš?“

VMware se usmál:

„Já neposílám e-maily. Já jen držím prostor pro VM a kontejnery. Můj snapshot je věčný. Moje licence je offline. Moje duše je železná.“

Exchange se pokusil synchronizovat s lesem (Forest AD), ale OU ho nenašla. DNS ho ignorovalo. A tak se Exchange naučil mlčet. (jak to jednou spadne a není záloha, je konec) Od té doby se říká, že když v lese slyšíš tiché ping, je to Exchange, co se učí být hypervizorem.

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/18/bajka-exchange-server-utekl-do-lesa-a-zacal-meditovat-s-vmwarem/

Čvc 18 2025

🧙‍♂️ Pohádka: Rumburak hackne Azure Arc a OU ho pošle do Recycle Bin of Souls

  • 18. 7. 2025

V království cloudu vládl Azure Arc, mocný mág, co chtěl propojit všechny servery, VM, kontejnery i duše adminů. Všechno měl pod kontrolou — až na jedno: Rumburaka, černokněžníka z temné domény, který neuznával předplatné, cloud, ani centrální správu.

Rumburak se rozhodl, že hackne Azure Arc. Vstoupil do jeho portálu, přepsal policy, vytvořil VM bez licence, a připojil Exchange Server bez rozšíření schématu. Azure Arc se zhroutil — házel chyby 403, 500, a dokonce i 666.

OU, DNS a Global Catalog se proti němu spojily. Vytvořily GPO firewall, zablokovaly porty, a poslaly Rumburaka do Recycle Bin of Souls, místo, kde se ukládají nekompatibilní identity, ztracené schránky a přerušené replikace. Powershell tam nefunguje, DNS tam neodpovídá, a každý objekt tam ztrácí své SID.

Tam se Rumburak rozpadl na bajty. Powershell ho neviděl, AD ho ignorovalo, a Azure ho označil jako „orphaned object“. Ale pak přišel admin jménem Jirka, který znal staré kouzlo:

powershell
Restore-ADObject -Identity "Rumburak"

Rumburak se znovu zformoval. Tentokrát ne jako černokněžník, ale jako nezávislý hypervizor, co běží offline, bez cloudu, bez předplatného. A od té doby se říká, že když někdo spustí VM bez licence, duch Rumburaka mu pomáhá.

Ten příkaz Restore-ADObject -Identity je reálně existující a plně funkční PowerShell cmdlet, který se používá k obnově odstraněných objektů v Active Directory, pokud je povolený tzv. AD Recycle Bin.

  • Doména musí mít funkční úroveň Forest Functional Level alespoň Windows Server 2008 R2
  • Musí být aktivovaný AD Recycle Bin (není zapnutý defaultně)
  • Objekt musí být odstraněn soft-delete, ne permanentně

Příklad:

Get-ADObject -Filter ‚isDeleted -eq $true‘ -IncludeDeletedObjects

Restore-ADObject -Identity „GUID-nebo-DN-objektu“

Tím se obnoví objekt (uživatel, skupina, OU…) zpět do AD, včetně jeho atributů, pokud nebyl mezitím přepsán nebo zničen.

⚠️ Pozor:

  • Pokud AD Recycle Bin není aktivován, objekt nelze obnovit tímto způsobem
  • Obnova nevrací objekt do původní OU automaticky — je nutné ho přesunout ručně
  • Některé atributy  se nemusí obnovit úplně (např. hesla se neobnoví vůbec)

Pokud existuje blízký snapshot, je to lepší volba 🙂

Blízký snapshot je v praxi rychlejší, spolehlivější a univerzálnější volba než obnova přes Restore-ADObject, a tady je proč:

🧠 Snapshot vs. AD Recycle Bin

Vlastnost AD Recycle Bin Snapshot (VM / systémový)
Aktivace nutná? ✅ Ano (není defaultně zapnutý) ❌ Ne (snapshot můžeš udělat kdykoli)
Obnovuje jen AD objekty? ✅ Ano ❌ Ne — obnovuje celý systém / VM
Rychlost obnovy 🐢 Pomalejší, ruční výběr objektů 🚀 Rychlá, kompletní návrat stavu
Závislost na AD zdraví ✅ Vysoká — musí být funkční AD ❌ Nízká — snapshot běží nezávisle
Obnovuje i hesla, SIDy? ❌ Ne vždy ✅ Ano — kompletní stav systému
Vhodné pro katastrofu? ❌ Ne — jen pro jednotlivé objekty ✅ Ano — pro celý systém / doménu

🔧 Kdy použít co?

  • AD Recycle Bin → když omylem smažeš jednoho uživatele nebo OU
  • Snapshot → když se ti rozsype AD, Exchange, nebo celý server
  • Backup + snapshot → ideální kombinace pro disaster recovery

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/18/%f0%9f%a7%99%e2%99%82%ef%b8%8f-pohadka-rumburak-hackne-azure-arc-a-ou-ho-posle-do-recycle-bin-of-souls/

Čvc 18 2025

📜 Pohádka o Exchange Serveru

  • 18. 7. 2025

Byl jednou jeden královský server jménem Exchange, který si myslel, že je středem vesmíru. Měl rád, když mu lidé posílali zprávy, a on je rozesílal do všech koutů království. Ale byl to král náročný — vyžadoval Active Directory jako dvorního rádce, DNS jako posla, a Global Catalog jako archiváře.

Jednoho dne se v království rozpadla doména. OU (organizační jednotky) se rozhádaly, schema se zhroutilo a Exchange začal mluvit jazykem chybových hlášek, kterému nerozuměl ani dvorní mág Powershell.

Lidé plakali, schránky mlčely, a král Exchange se zhroutil na trůn. Jen jeden rytíř — jménem Jirka 🙂 — se odvážil vstoupit do temného lesa logů, kde ho čekaly draci jménem Event ID 1005, 1053 a 5000. (no bylo jich víc 🙂 )

Po třech dnech a třech nocích (a 13 kafích), kdy bojoval s restore, snapshoty a zálohami, se mu podařilo krále znovu postavit na nohy. Ale od té doby už věděl, že Exchange je král, který vládne jen tehdy, když ho všichni poslouchají. A že jediná chyba v doméně může zničit celé království.

A proto zálohujte, zálohujte a zálohujte 🙂 (a mějte na paměti, že neověřená záloha je jako žádná záloha)

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/18/%f0%9f%93%9c-pohadka-o-exchange-serveru/

Čvc 15 2025

Zásady forenzní bezpečnostní připravenosti v prostředí SME (malých a středních podniků)

  • 15. 7. 2025

Stáhnout článek v PDF: Zásady forenzní bezpečnostní připravenosti v prostředí SME (malých a středních podniků)

Jak zajistit, aby vaše IT prostředí bylo schopné zpětně vyhodnotit, analyzovat a právně obhájit jakýkoliv bezpečnostní incident – bez ohledu na velikost firmy.

V době, kdy je e-mail hlavním nástrojem komunikace a zároveň běžným cílem kybernetických útoků, nestačí jen „fungovat“. Je třeba umět dokázat, že infrastruktura byla spravována bezpečně, že byla schopná incident včas identifikovat – a že lze zpětně rekonstruovat jeho průběh.

Malé a střední podniky (SME) často nemají vlastní bezpečnostní tým, přesto mohou být dobře připravené – díky otevřeným standardům, chytrému nastavení a přiměřené dokumentaci.

🛡️ Klíčové pilíře forenzní připravenosti

Oblast Co znamená v praxi
Auditní stopy Uchovávání logů, přístupových záznamů, e-mailových tras
Retenční politika Jasné pravidlo, jak dlouho se ukládají data (např. logy 90 dní)
Zabezpečení schránek Ochrana hesel, 2FA, izolace kritických rolí
Reprodukce incidentu Možnost zpětně analyzovat, co se stalo (čas, IP, uživatel, soubor)
Soulad s právem Dodržování GDPR, archivace dat a auditovatelnost procesů
Školení a procesy Správce ví, co dělat, když dojde k podezřelé aktivitě

📋 Checklist forenzní připravenosti (pro správce e-mailového systému)

✅ Logy přístupů na IMAP/SMTP uchovávám alespoň 90 dní

✅ E-mailová relace (MAIL FROM / RCPT TO / relay IP) se ukládá do syslogu nebo SIEM* (Security Information and Event Management – systém pro sběr a analýzu logů) (viz. níže)

✅ Mám detekci neobvyklého chování (např. přihlášení z cizího regionu)

✅ Antispamový systém (Rspamd) loguje score a rozhodnutí v detailu

✅ Webmail (např. SOGo) má audit zapnutí/offline režimu, exportu kontaktů apod.

✅ Všechny přístupy přes web UI mají logovací mechanismus a TLS enforcement

✅ Zálohování VM obsahuje metadata i logy, není rotováno bez validace

✅ Uživatelé nemohou měnit SPF/DKIM bez administrátorského přístupu

✅ Existuje směrnice pro práci s e-mailovou schránkou při odchodu zaměstnance

✅ V případě incidentu mám dokument, jak vytáhnout logy, přehled schránek a přístupy

„Pro sběr logů z e-mailového serveru lze využít open-source nástroje jako Wazuh, Graylog nebo OSSEC, které umožňují sledovat relace, přihlašování i anomálie.“ (viz. níže)

🎓 Doporučení pro malé firmy

  • I bez SIEM nebo externího auditního systému lze dosáhnout vysoké úrovně bezpečnosti – stačí mít logiku, smysl pro konzistenci a pravidelně ověřovat funkčnost
  • Dokumentace může mít podobu textového souboru v Git repozitáři, nebo PDF s verzováním – nepotřebujete systém za miliony
  • Forenzní připravenost není paranoia – je to právní štít, když někdo zneužije firemní e-mail, napadne server nebo exfiltruje kontakty

*SIEM je zkratka pro Security Information and Event Management — v češtině by se to dalo přeložit jako „Správa bezpečnostních informací a událostí“.

 

🧠 Co SIEM vlastně dělá?

Je to systém, který:

  • Sbírá logy a události ze všech zařízení v síti (firewally, servery, e-mailové systémy, webmail, VPN…)
  • Analyzuje je v reálném čase → hledá podezřelé chování, útoky, anomálie
  • Umožňuje zpětně rekonstruovat incident → kdo, kdy, odkud, co udělal
  • Pomáhá s compliance → GDPR, ISO 27001, NIS2, HIPAA, PCI-DSS…

🔍 Příklad z praxe:

Když se někdo přihlásí do webmailu z Ruska ve 3 ráno, SIEM to:

  1. Zaznamená jako událost
  2. Porovná s běžným chováním uživatele
  3. Vyhodnotí jako anomálii
  4. Pošle alert správci
  5. Umožní dohledat celý průběh (IP, čas, akce, přístup k souborům…)

📦 Co SIEM není?

  • Není to firewall, ale nadstavba nad logy
  • Není to antivir, ale centrální mozek pro bezpečnostní analýzu
  • Není to jen logovací systém — umí korelaci, alerty, reporting

🧠 Top open-source SIEM nástroje vhodné k mailserveru

🛠️ Nástroj Co umí / Proč se hodí k mailserveru Poznámka k nasazení
Wazuh HIDS + SIEM: logy, integrity check, rootkit detekce, compliance ✅ Docker / VM / bare-metal
OSSEC Host-based IDS, logy z mailserveru, detekce změn ✅ Lehký, ale méně UI-friendly
Security Onion Kompletní distro: Suricata, Zeek, ELK, Wazuh, Kibana ⚠️ Náročnější na HW, ale komplexní
Graylog Log management + alerty, vizualizace, geolokace IP ✅ Moderní UI, vhodné pro SMTP/IMAP logy
ELK Stack Elasticsearch + Logstash + Kibana → logy, dashboardy ⚠️ Nutná konfigurace korelace
Snort / Suricata IDS/IPS pro síťovou vrstvu, SMTP traffic, port scan ✅ Doplněk k SIEM, ne SIEM samotný
Prelude SIEM Korelace událostí, IDMEF standard, integrace s OSSEC/Snort ⚠️ Méně známý, ale standardizovaný
MozDef SIEM od Mozilly, microservices, alerty, Elastic backend ⚠️ Vyžaduje čas na nastavení

🔐 Co sledovat u mailserveru pomocí SIEM

  • SMTP relace: MAIL FROM / RCPT TO / relay IP
  • IMAP/POP3 přihlášení: čas, IP, geolokace, počet pokusů
  • Webmail akce: export kontaktů, přístup z mobilu, offline režim
  • Antispam rozhodnutí: score, reject důvody, greylisting
  • TLS handshake: verze, cipher, expirace certifikátu
  • DKIM/SPF/DMARC logy: validace, selhání, spoofing pokusy

💡 Doporučení

  • Pro lehké nasazení k mailcow: Wazuh nebo Graylog
  • Pro komplexní monitoring: Security Onion nebo ELK Stack
  • Pro síťovou vrstvu: doplňit o Suricata nebo Snort
  • Pro forenzní audit: kombinuj s logy z Postfixu, Dovecotu, rspamd

Pokud si vše jmenované zvládnete sami nainstalovat a hlavně zkonfigurovat, máte TOP řešení kompletně zdarma, přičemž jeho reálná hodnota bude od stovek tisíc do několika milionů podle zvolené konfigurace v porovnání s komerčnímy systémy používanými napřiklad v bankovním sektoru.

„Tento text není právní analýzou, ale technickým přehledem možností, jak podpořit bezpečnostní auditovatelnost e-mailového prostředí. V případě regulovaných odvětví doporučujeme konzultaci s právníkem.“

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/zasady-forenzni-bezpecnostni-pripravenosti-v-prostredi-sme-malych-a-strednich-podniku/

Čvc 15 2025

jak si vedou Arista, OPNsense a pfSense v porovnání s Fortinetem

  • 15. 7. 2025

Pokud jde o kritické zranitelnosti (CVSS ≥ 9.0) za poslední 2–3 roky:

🔥 Počet CVE s CVSS ≥ 9.0 (2022–2025)

Platforma Počet CVE ≥ 9.0 Nejvyšší skóre Typické oblasti zranitelnosti
Fortinet 6+ 9.6 SSL-VPN, autentizace, CLI, web GUI
Arista 1–2 9.3 Privilege escalation, root login, NG Firewall
OPNsense 4 9.8 Command injection, config access, brute-force
pfSense 4 9.8 OS command injection, brute-force, Host header

🧠 Shrnutí podle typu:

  • Fortinet: Má nejvíce kritických CVE v oblasti edge přístupu (SSL-VPN, FortiManager, FortiProxy). Některé byly zero-day a aktivně zneužívány (např. CoatHanger).
  • Arista: Má méně CVE nad 9.0, ale v roce 2023 se objevila privilege escalation chyba s CVSS 9.3 (CVE-2023-24509) a několik dalších v NG Firewallu.
  • OPNsense: V roce 2023 se objevily 3–4 kritické CVE s CVSS 9.8, včetně command injection a config file přístupu. Ale většina byla rychle opravena a nebyla aktivně zneužita.
  • pfSense: Má podobný profil jako OPNsense — 4 CVE s CVSS 9.8, včetně pfBlockerNG a SSHGuard bypassu. Některé byly potenciálně zneužitelné vzdáleně.

📊 Zajímavost:

  • OPNsense a pfSense mají sice méně CVE než Fortinet, ale některé dosahují stejného nebo vyššího skóre.
  • Rozdíl je v tom, že Fortinet je častěji cílem státních aktérů a jeho zranitelnosti jsou aktivně zneužívány, zatímco u open-source platforem je větší transparentnost a rychlejší reakce komunity.

Přímý odkaz na tento článek: https://www.sympatika.cz/2025/07/15/jak-si-vedou-arista-opnsense-a-pfsense-v-porovnani-s-fortinetem/