Kloniranje glasa u realnom vremenu omogućava kriminalcima da unutar nekoliko sekundi replikuju glas bilo kojeg menadžera ili direktora preduzeća, prebacujući težište sajber kriminala sa digitalnih propusta direktno na ljudsku psihologiju.

Scenario iz prave prakse: Kako izgleda savremeni AI napad?

Da bismo razumjeli opasnost ove tehnologije, moramo je posmatrati kroz realističan scenario koji se sve češće dešava u poslovnom svijetu širom planete:

1. Faza pripreme (Izviđanje): Napadač targetira kompaniju i identifikuje ključne osobe – generalnog direktora (CEO) i šefa računovodstva ili finansija. Kroz javno dostupne materijale (video intervjui na YouTube-u, paneli, podcasti ili izjave za medije), napadač prikuplja svega tridesetak sekundi čistog audio materijala na kojem direktor govori.
2. Inicijalni kontakt (Mejl): Šefu računovodstva stiže email sa adrese koja izgleda gotovo identično direktorovoj: “Na veoma sam važnom i povjerljivom sastanku sa advokatima oko akvizicije nove opreme. Moramo hitno uplatiti avans od 25.000 EUR kako ugovor ne bi propao. Trenutno ne mogu da kucam, ali nazvaću te na kratko sa sastanka da potvrdim nalog.”
3. AI izvršenje (Poziv): Telefon zvoni. Sa druge strane žice čuje se prepoznatljiva boja glasa direktora, njegov specifičan akcenat, pa čak i ambijentalna buka sastanka u pozadini. Glas užurbano govori: “Da, ja sam, situacija je kritična, pusti onu uplatu o kojoj sam ti pisao u mejlu odmah, gubimo ugovor ako ne legne u narednih pola sata. Računam na tebe, žurim nazad unutra.” Veza se prekida.
4. Ishod: Žrtva, potpuno uvjerena da je razgovarala sa svojim nadređenim, unosi i autorizuje nalog. Novac odlazi na inostrani račun prevaranata, a prevara se otkriva tek na kraju radnog vremena ili tokom narednih dana kada se direktor vrati sa puta.

Tehnička pozadina: Koliko je lako klonirati nečiji glas?

Zabluda je da su za kreiranje uvjerljivog Deepfake audio snimka potrebni super-računari, skup softver i mjeseci rada. Sa tehnologijom u 2026. godini, komercijalni generativni AI modeli dostupni su na webu za svega nekoliko dolara, a njihova upotreba je zastrašujuće jednostavna.

Modernim neuronskim mrežama više nije potreban ogroman skup podataka (Dataset). Dovoljno je unijeti kratak audio uzorak (tzv. “Voice Seed”) kako bi AI u potpunosti mapirao:

• Boja i ton glasa (vokalne karakteristike).
• Brzina govora i specifični regionalni akcenat.
• Emotivni ton (užurbanost, stres, smirenost).
• Prirodne nesavršenosti poput uzdaha ili pauza između riječi.

Kada sistem jednom mapira glas, napadač u tekstualno polje jednostavno ukuca ono što želi da direktor “izgovori” (Text-to-Speech), a AI generiše audio fajl ili čak omogućava prenos glasa u realnom vremenu (Voice Changing) tokom aktivnog telefonskog poziva.

Kako se odbraniti? Praktični protokoli koji spašavaju budžet

Pošto se u ovom slučaju ne radi o propustu u kodu, zastarjelom operativnom sistemu ili loše podešenom firewall-u, klasična tehnička rješenja ovdje gube bitku. Odbrana od AI socijalnog inženjeringa leži isključivo u uvođenju i striktnom poštovanju internih bezbjednosnih procedura.

Svako preduzeće, bez obzira na veličinu, moralo bi hitno da implementira sljedeća tri pravila:

1. Uvođenje interne “Sigurnosne lozinke” (Safe Word)

Svaka vanredna, hitna ili finansijska transakcija koja prelazi određeni limit, a nalaže se putem telefona ili video poziva, mora biti potvrđena internom, tajnom lozinkom. Ovu šifru znaju isključivo članovi uprave i lica ovlašćena za izvršavanje plaćanja. Ukoliko osoba sa druge strane žice (bila ona direktor ili ne) ne može da izgovori dogovorenu lozinku, poziv se automatski prekida, a incident se prijavljuje IT sektoru.

2. Obavezni “Out-of-Band” verifikacioni protokol

Ukoliko nalog za hitno plaćanje stigne kroz jedan komunikacioni kanal (npr. email), zaposleni ima apsolutnu obavezu da izvrši verifikaciju kroz potpuno drugi, nezavisni kanal komunikacije. Na primjer, ako je uputstvo stiglo na službeni email, potvrda se vrši isključivo pozivom na privatni mobilni broj direktora, slanjem poruke kroz interni zaštićeni chat (poput Signala) ili ličnim kontaktom. Nikada se potvrda ne vrši odgovaranjem na isti email ili pozivanjem broja koji je naveden u samom sumnjivom mejlu.

3. Edukacija i promjena korporativne kulture

Najvažnija karika u lancu odbrane je čovjek. Finansijski i administrativni timovi moraju proći kroz obuku gdje će naučiti da pojmovi kao što su “HITNO”, “TAJNO” i “ODMAH” više ne predstavljaju naredbu za slijepo izvršavanje, već automatsku crvenu zastavicu (Red Flag) koja zahtijeva dodatne provjere. Direktor koji je svjestan opasnosti vještačke inteligencije nikada neće zamjeriti zaposlenom što je stopirao hitnu uplatu radi bezbjednosne provjere – naprotiv.

Završna riječ: Živimo u eri u kojoj digitalni identitet može biti repliciran za nekoliko sekundi. U svijetu gdje oči i uši mogu biti prevareni tehnologijom, jedina prava linija odbrane postaju jasne procedure, skepticizam i nulta tolerancija na preskakanje bezbjednosnih koraka unutar poslovnog okruženja.

The post Nova era CEO prevara: Kada vas “direktor” pozove glasom koji je generisao AI first appeared on .

Korak 1: Instalacija i priprema WSL2 okruženja

Prije podizanja samog modela, potrebno je da osigurate da Windows podloga ima omogućen podsistem za Linux sa ispravnom verzijom kernela koja podržava GPU passthrough (prosljeđivanje grafičke karte).

1. 1. Otvorite PowerShell kao Administrator na Windows domaćinu i izvršite komandu za instalaciju WSL-a i podrazumijevane Ubuntu distribucije:

      wsl --install

   2. Ako je WSL već instaliran, izvršite ažuriranje Linux kernela na najnoviju stabilnu verziju:

      wsl --update

<

1. Restartujte računar ukoliko sistem to zahtijeva, a zatim kroz Windows Terminal, CMD ili PowerShell samo ukucajte komandu:

   wsl

   i inicijalizujte Ubuntu distribuciju, kreirajte korisnički nalog i lozinku.

Korak 2: Inspekcija početnog stanja i verifikacija hardvera

Prije nego što započne instalacija Ollame, unutar pokrenutog Ubuntu terminala vrši se analiza mrežnog i hardverskog sloja kako bi se potvrdila ispravnost CUDA drajvera i mapiranje resursa.

1. Provjera GPU Passthrough statusa i VRAM resursa

Pokretanjem NVIDIA System Management Interface alata unutar WSL-a provjeravate da li Linux pravilno vidi grafički podsistem Windows domaćina:

nvidia-smi

U izlazu sistema vidjećete potpunu tabelu i potvrđeno stanje vašeg hardvera (npr. NVIDIA GeForce RTX 5070 Ti sa oko 16 GB VRAM-a i podrškom za CUDA API).

Sistemska bilješka: Maksimalna veličina LLM modela koji se može u potpunosti učitati u brzu grafičku memoriju (bez pada performansi usljed prelivanja u obični RAM) iznosi oko 12–13 GB, čime se ostavlja prostor za kontekstni prozor (Context Window) i prateće sistemske procese.

2. Skeniranje postojećih servisa i otvorenih portova

Uvjerite se da na sistemu nema tragova ranijih instalacija koje bi mogle napraviti mrežni konflikt:

# Provjera Ollama binarne datoteke
ollama --version

# Provjera Docker engine-a
docker --version

Ukoliko komande vrate not found, sistem je čist. Provjerite stanje mrežnih soketa i osluškivanja (listening ports) kako biste bili sigurni da su portovi 11434 (Ollama) i 8080 (WebUI) slobodni:

ss -tuln

3. Ažuriranje indeksa paketa

Pripremite Ubuntu okruženje za povlačenje potrebnih zavisnosti i paketa:

sudo apt update

Korak 3: Instalacija Ollama Engine-a na Linux podsistem

Zvanična i preporučena metoda za instalaciju Ollame na Linux koja automatski konfiguriše sistemske servise i mapira CUDA drajvere jeste izvršavanje instalacione skripte.

Pokrenite instalaciju komandom:

curl -fsSL https://ollama.com/install.sh | sh

Napomena: Ukoliko sistem vrati grešku za "zstd", instalirajte ga ručno preko

sudo apt-get install zstd -y 

pa ponovite gornju komandu:

curl -fsSL https://ollama.com/install.sh | sh

Nakon završetka, potvrdite uspješnu instalaciju provjerom trenutne verzije:

ollama --version

Korak 4: Konfiguracija mrežnog pristupa za Ollamu

Po podrazumijevanim podešavanjima, Ollama se vezuje isključivo za lokalnu adresu 127.0.0.1. Da bi eksterne aplikacije i web interfejsi mogli nesmetano komunicirati sa njom kroz mrežu, konfiguraciju vršimo direktnim kreiranjem override.conf datoteke:

1. Kreirajte namjenski direktorijum za modifikaciju servisa i upišite environment varijablu za mrežni host:

   sudo mkdir -p /etc/systemd/system/ollama.service.d
   echo -e "[Service]\nEnvironment=\"OLLAMA_HOST=0.0.0.0\"" | sudo tee /etc/systemd/system/ollama.service.d/override.conf

2. Osvježite systemd menadžer konfiguraciju kako bi sistem registrovao izmjene:

   sudo systemctl daemon-reload

3. Restartujte Ollama servis da bi se primijenile nove mrežne postavke:

   sudo systemctl restart ollama

4. Verifikujte da servis sada ispravno sluša na svim mrežnim interfejsima:

   ss -tuln | grep 11434

   Znak * (ili 0.0.0.0) u izlazu potvrđuje da je port otvoren i spreman za prijem upita sa eksternih adresa.

   

Korak 5: Strategija izbora modela i proračun VRAM memorije

Prilikom odabira lokalnog LLM-a, ključno pravilo je da cijeli model mora stati u VRAM grafičke karte. Ako model pređe kapacitet grafičke memorije, performanse drastično opadaju (i do 10–20 puta) jer sistem prelazi na spori CPU i obični RAM.

Za proračun koristite formulu:
Potreban VRAM = Veličina modela na disku + VRAM za Context Window (3–4 GB)

• Pokretanje modela za širu publiku (Llama 3 8B):

  ollama run llama3

• Pokretanje naprednog modela (Gemma 2 9B):

  ollama run gemma2:9b

Za izlazak iz interaktivnog chata u terminalu unesite: /exit

Korak 6: Monitoring resursa tokom rada

Kako biste se uvjerili da model radi isključivo unutar grafičke karte, otvorite novi Ubuntu terminal dok model generiše odgovor i pokrenite komandu za praćenje u realnom vremenu:

watch -n 1 nvidia-smi

(Iz monitoringa izlazite kombinacijom tastera Ctrl + C)

Pratite sekciju Memory-Usage (potrošnja ne smije da prelazi granice vašeg VRAM-a) i GPU-Util (opterećenje jezgra koje skače na 90-100%), što je direktan dokaz da grafički procesor obavlja sav posao.

Korak 7: Instalacija Open WebUI interfejsa (Preko Python-a)

Kako bismo izbjegli glomazne Docker pakete i dodatno rasteretili resurse, Open WebUI podižemo direktno unutar Ubuntu okruženja koristeći Python virtuelno okruženje (venv).

1. Instalirajte Python 3 i potreban menadžer paketa:

   sudo apt install python3-pip python3-venv -y

2. Kreirajte namjenski direktorijum za web interfejs i aktivirajte izolovano okruženje:

   mkdir open-webui-app && cd open-webui-app
   python3 -m venv venv
   source venv/bin/activate

   Vidjećete oznaku (venv) na početku linije u terminalu, što znači da je okruženje uspješno aktivirano.

3. Instalirajte Open WebUI alat i prateće zavisnosti:

   pip install open-webui

Korak 8: Pokretanje i pristup mrežnom interfejsu

Pošto WSL2 radi unutar svoje izolovane mreže, prvo je potrebno da saznate trenutnu IP adresu vašeg Linux podsistema kako bi Windows mogao da locira interfejs.

1. Unesite komandu za prikaz mrežne IP adrese:

   ip addr show eth0 | grep inet

   U izlazu ćete vidjeti adresu podsistema (na primjer: 172.21.4.22).

   

2. Pokrenite servis tako što ćete varijablu HOST=x.x.x.x vezati za vašu specifičnu IP adresu podsistema:

   HOST=172.21.4.22 PORT=8080 OLLAMA_BASE_URL=http://127.0.0.1:11434 open-webui serve

Važna napomena tokom pokretanja: Nakon što unesete ovu komandu, sistem će izgledati kao da je privremeno zaustavio rad na stavkama Downloading... ili Download complete: 100%. Nemojte prekidati proces! Open WebUI u pozadini preuzima svoje interne embedding biblioteke za pretragu i rad sa dokumentima. Kada se proces završi, server postaje potpuno aktivan.

Pristup chatu:

Otvorite bilo koji browser na Windows hostu (domaćinu) i unesite dobijenu adresu i port:
http://172.21.4.22:8080

Prilikom prvog pristupa, sistem će od vas tražiti da kreirate novi Admin nalog. Pošto je sistem potpuno lokalnog karaktera, ovi podaci ostaju isključivo u lokalnoj bazi vašeg računara. U gornjem lijevom uglu izaberite učitani model i vaš lokalni ChatGPT je spreman za upotrebu.

Korak 9: Automatizacija i otvaranje sistema za lokalnu mrežu (LAN)

Kako ne biste morali ručno da aktivirate virtuelno okruženje i kucate dugačke komande nakon svakog restarta, kreiraćemo pozadinski systemd servis koji će automatski podizati Open WebUI čim se WSL startuje/pokrene.

1. Prekinite trenutni ručni proces u terminalu pritiskom na kombinaciju tastera Ctrl + C.
2. Otvorite novi konfiguracioni fajl kroz sistemski tekstualni editor:

   sudo nano /etc/systemd/system/open-webui.service

3. Unesite sljedeću konfiguraciju (prilagodite parametar HOST vašoj IP adresi podsistema):

   [Unit]
   Description=Open WebUI Service
   After=network.target ollama.service
   Requires=ollama.service
   
   [Service]
   Type=simple
   User=freedole
   WorkingDirectory=/home/freedole/open-webui-app
   ExecStart=/home/freedole/open-webui-app/venv/bin/open-webui serve
   Environment="HOST=172.21.4.22"
   Environment="PORT=8080"
   Environment="OLLAMA_BASE_URL=http://127.0.0.1:11434"
   Restart=always
   RestartSec=3
   
   [Install]
   WantedBy=multi-user.target

   (Sačuvajte izmjene sa Ctrl + O, potvrdite sa Enter, pa izađite iz editora sa Ctrl + X)

4. Aktiviraćete i pokrenuti kreirani servis u pozadini sljedećim komandama:

   sudo systemctl daemon-reload
   sudo systemctl enable open-webui.service
   sudo systemctl start open-webui.service

Prosljeđivanje portova za pristup iz LAN mreže

Pošto WSL2 radi iza NAT-a, vaše kolege ili drugi uređaji iz lokalne mreže ne mogu direktno vidjeti internu 172.x.x.x adresu. Da biste omogućili pristup preko prave IP adrese vašeg glavnog Windows računara (npr. 192.168.1.X), otvorite Windows PowerShell kao Administrator i unesite sljedeće pravilo za portproxy (connectaddress=172.21.4.22 zamijenite svojom adresom):

netsh interface portproxy add v4tov4 listenport=8080 listenaddress=0.0.0.0 connectport=8080 connectaddress=172.21.4.22

Ovom administrativnom komandom Windows preuzima saobraćaj sa glavne LAN mreže na portu 8080 i automatski ga prosljeđuje unutar Linux podsistema. Vaš lokalni AI server je sada u potpunosti autonoman, zaštićen i spreman za timski rad!

The post Kako instalirati lokalni AI na svoj računar: WSL2 + Ollama + NVIDIA first appeared on .

Korak 1: Odluka o implementaciji AdGuard Home-a

AdGuard Home možete implementirati na različite načine. Možete ga pokrenuti na raznim platformama poput Windows-a, Linux-a, Docker-a, ili ga ugraditi u mrežne uređaje poput firewall-ova i rutera. Ako već koristite OPNsense, možete ugraditi AdGuard Home direktno u firewall, čime ćete izbjeći dodatne tačke kvara u vašoj mreži.

Ako preferirate pokretanje AdGuard Home-a na zasebnom uređaju, to je takođe moguće. U tom slučaju, morat ćete konfigurirati DHCP opcije na vašim klijentima da koriste interne DNS servere.

Napomena: AdGuard Home filtrira DNS zahtjeve na osnovu imena domena, ali ne može spriječiti uređaje da se direktno povezuju na javne IP adrese.

Korak 2: Topologija AdGuard Home + OPNsense

U klasičnom scenariju, vaš računar koristi eksterne DNS servere koje dobija putem DHCP-a i šalje zahtjeve preko firewall-a na javne DNS servere. Nakon što implementirate AdGuard Home, on će služiti kao posrednik između vaših klijenata i javnih DNS servera, filtrirajući neželjene zahtjeve i povećavajući sigurnost.

Ovako se obrađuje klasični DNS zahtjev:

Korak 3: Dodavanje Community Repository-ja na OPNsense

AdGuard Home nije uključen u standardnu listu dostupnih plugina na OPNsense-u. Da biste proširili listu dostupnih plugina, potrebno je dodati Community Repository koji sadrži dodatne pakete.

Prije nego što instalirate AdGuard Home plugin, morate omogućiti SSH pristup vašem OPNsense uređaju:

1. Idite na System > Settings > Administration.
2. Skrolajte do sekcije Secure Shell.
3. Omogućite Enable Secure Shell i Permit Password Login. Ako koristite root korisnika, omogućite i Permit root user login.
4. Sačuvajte postavke.

Nakon toga, spojite se na OPNsense koristeći SSH klijent (npr. PuTTY). Nakon što se spojite, koristite sljedeće dvije naredbe za dodavanje Community Repository-ja:

fetch -o /usr/local/etc/pkg/repos/mimugmail.conf https://www.routerperformance.net/mimugmail.conf

pkg update

Nakon što se repository uspješno doda, možete zatvoriti SSH pristup.

Korak 4: Instalacija AdGuard Home paketa

Sada možete instalirati AdGuard Home plugin preko OPNsense web interfejsa:

1. Idite na System > Firmware > Plugins.
2. Pronađite AdGuard Home u listi plugina.
3. Kliknite na ikonu plus za instalaciju.

Nakon što se plugin instalira, osvježite stranicu i idite na Services > Adguardhome > General. Omogućite plugin označavanjem Enable i sačuvajte postavke.

Korak 5: Početna konfiguracija AdGuard Home-a

AdGuard Home web interfejs podrazumijevano radi na portu 3000 i nije omogućen HTTPS. Ako je vaš OPNsense dostupan na https://192.168.1.1, spojite se na http://192.168.1.1:3000.

Nakon što se uspješno spojite, pojavit će vam se početni setup prozor. Kliknite na Get Started i slijedite upute za konfiguraciju:

1. Postavite Listen Interface na LAN mreže.
2. Postavite DNS port na 53 (prethodno na Unbound DNS servisu promijeniti port na 5353).
3. Kreirajte administratorsko korisničko ime i lozinku.

Nakon završetka setup-a, možete se prijaviti na AdGuard Home dashboard.

Korak 6: Dodatna konfiguracija AdGuard Home-a

Nakon prijave, prvo što ćete vidjeti je prazan dashboard. Kako još niste konfigurirali klijente, nema podataka za prikaz. Ako je dostupna ažurirana verzija, preporučujemo da je prvo preuzmete.

Konfiguracija AdGuard Home-a za korištenje Unbound DNS-a

1. Idite na Settings > DNS settings.
2. U sekciji Upstream DNS servers, unesite Unbound server koji ste prethodno konfigurisali u OPNsense-u, na primjer 192.168.1.1:5353.

Ako koristite domensko ime za razrješavanje lokalnih hostova, možda ćete morati prilagoditi i to u AdGuard Home-u.

Korak 7: Konfiguracija Unbound DNS-a za korištenje DNS-over-TLS

U OPNsense-u idite na Services > Unbound DNS > DNS over TLS. Ovdje možete dodati javne DNS servere koji podržavaju DNS-over-TLS, poput Cloudflare-a i Quad9.

Na primjer, za Cloudflare dodajte sljedeće:

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 1.1.1.1
• Server port: 853
• Verify CN: cloudflare-dns.com

Ponovite isti postupak za dodatne DNS servere, poput Quad9:

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 1.1.1.3
• Server port: 853
• Verify CN: cloudflare-dns.com

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 149.112.112.112
• Server port: 853
• Veify CN: dns.quad9.net

• Enabled: Čekirano/Omogućeno
• Domain: (ostavite prazno)
• Server IP: 9.9.9.9
• Server port: 853
• Veify CN: dns.quad9.net

Korak 8: Postavljanje AdGuard Home-a kao podrazumijevanog DNS resolvera

U OPNsense-u idite na System > Settings > General i ostavite polje za DNS servere prazno. Tako će se koristiti samo AdGuard Home.

Takođe, provjerite da je opcija Allow DNS server list to be overridden by DHCP/PPP on WAN onemogućena.

Korak 9: Konfiguracija DHCP-a za korištenje AdGuard Home-a

Idite na Services > DHCPv4 > [LAN] i provjerite da je polje za DNS servere prazno. Nakon ovih promjena, svi DNS zahtjevi s vaših klijenata će ići preko AdGuard Home-a.

Korak 10: Testiranje klijenata

Nakon konfiguracije, vaši klijenti možda neće odmah prepoznati promjene zbog DHCP keširanja. Možete ponovo pokrenuti mrežne adaptere na klijentima kako bi primijenili nove postavke.

Na Windows uređajima, provjerite da je opcija Obtain DNS server address automatically omogućena.

Možete testirati DNS razrješavanje koristeći nslookup ili posjetom na neki od blokiranih domena, poput: 

• adblock-one-protection.com
• uvsvlisbartwq.com
• wooden-comfort.com

Korak 11: DNS leak test

Kako bismo provjerili da li naši DNS zahtjevi idu preko DNS-over-TLS-a, možemo posjetiti stranice poput DNSLeakTest. Ako ne vidite svoju javnu IP adresu ili Hostname u rezultatima, to znači da je enkripcija uspješno konfigurisana:

• https://www.dnsleaktest.com/

Korak 12: Konfiguracija blocklist-a u AdGuard Home-u

U AdGuard Home-u možete dodati dodatne blocklist-e za blokiranje reklama, trackera i drugih nepoželjnih sadržaja. Idite na Filters > DNS blocklists i dodajte željene liste. Također, možete konfigurisati custom filtere za dopuštanje ili blokiranje specifičnih domena.

UPDATE (2026): Napomene za stabilnost i održavanje sistema

Nakon godinu dana produkcionog rada ove kombinacije, evo nekoliko ključnih inženjerskih zapažanja za OPNsense sisteme:

1. Automatsko ažuriranje mimugmail repozitorijuma: OPNsense je u novijim verzijama promijenio način rukovanja eksternim paketima. Ako primijetite da AdGuard ne dobija ažuriranja kroz interfejs, provjerite status mimugmail ključa jer se URL-ovi repozitorijuma povremeno mijenjaju radi optimizacije performansi.
   
2. Quad9 TLS CN ispravka: U Koraku 7, prilikom unosa Quad9 servera sa IP adresom 149.112.112.112, u polje Verify CN obavezno unesite dns.quad9.net (u prvobitnom setupu je greškom ostao prepisan Cloudflare CN). Ako se CN (Common Name) ne poklapa sa sertifikatom, Unbound će blokirati TLS rukovanje iz bezbjednosnih razloga.
   
3. Rezervni DNS (Failover): Ako se AdGuard servis iz bilo kog razloga sruši (npr. uslijed korupcije baze upita kod naglog nestanka struje), čitava mreža gubi internet. Preporuka je da se na nivou OPNsense-a podesi virtuelni IP ili skripta koja u slučaju pada AdGuard-a privremeno preusmjerava port 53 direktno na Unbound (5353) kako mreža ne bi ostala u mraku.

The post Kako instalirati AdGuard Home sa Unbound DNS na OPNsense first appeared on .

U današnjem digitalnom dobu, privatnost i sigurnost podataka su od suštinskog značaja. DNS over TLS (DoT) predstavlja ključni korak ka osiguravanju bezbjedne i privatne DNS komunikacije. Na OPNsense platformi, implementacija DoT-a putem Unbound DNS-a omogućava korisnicima da zaštite svoje mreže od neovlašćenih pristupa i potencijalnih napada.

DNS over TLS (DoT) je standard za enkripciju DNS upita kako bi se očuvala njihova sigurnost i privatnost, a na OPNsense platformi standardni DNS servis je Unbound i automatski je omogućen po instalaciji sistema.

Unbound je validirajući, rekurzivni i keširajući DNS resolver. Brz je i efikasan, a koristi moderne funkcionalnosti zasnovane na otvorenim standardima.

Evo kako funkcioniše i koje su njegove prednosti:

1. Šta je DNS?
   • DNS (Domain Name System) je “telefonski imenik” interneta. On prevodi ljudima čitljive domenske nazive u mašinski čitljive IP adrese.
   • Podrazumijevano, DNS upiti i odgovori se šalju kao čisti tekst (preko UDP protokola), što znači da ih mogu čitati mreže, provajderi ili bilo ko ko može pratiti komunikaciju.
   • Čak i ako web sajt koristi HTTPS, DNS upit potreban za pristup tom sajtu ostaje nezaštićen.
2. Šta je DNS over TLS (DoT)?
   • DoT koristi isti sigurnosni protokol (TLS – Transport Layer Security) koji koriste HTTPS sajtovi za enkripciju i autentifikaciju komunikacije.
   • DoT dodaje TLS enkripciju na UDP protokol, koji se koristi za DNS upite.
   • Takođe, DoT osigurava da DNS upiti i odgovori nisu izmjenjeni ili falsifikovani putem napada na putanji.
3. Prednosti DNS over TLS:
   • Privatnost: Enkripcija DoT-a sprečava da bilo ko drugi osim DNS servera vidi vaše upite.
   • Sigurnost: DoT štiti od napadača koji bi mogli da lažiraju ili izmjene DNS saobraćaj.
   • Sloboda od cenzure: Kada su upiti enkriptovani, teže je da vam cenzurišu internet.
   • Zaštita privatnosti korisnika: Kada korisnici koriste DoT, njihova online aktivnost je bolje zaštićena.

Ukratko, DoT omogućava da se DNS upiti “stave u kovertu” kako bi ostali bezbjedni i privatni dok putuju kroz mrežu.

Konfiguracija DNS over TLS (DoT):

1. Pristup stranici za DNS over TLS:
   • Prijavite se na web interfejs OPNsense platforme.
   • Kliknite na opciju “Services” u glavnom meniju.
   • Izaberite “Unbound DNS” opciju iz padajućeg menija.
2. Dodavanje DNS servera:
   • Kliknite na tab “DNS over TLS” unutar Unbound DNS postavki.
   • Na praznoj stranici kliknite na dugme/taster “+” za dodavanje novog DNS over TLS servera.
3. Unos podataka za Cloudflare server:
   • U polje “Server IP” unesite IP adresu DNS servera (npr. 1.1.1.1).
   • U polje “Server Port” unesite broj porta DNS servera (npr. 853).
   • Opciono, označite “Verify CN” kako biste validirali ime na DoT serverovom certifikatu (preporučeno).
4. Dodavanje sekundarnog DNS servera:
   • U istom prozoru dodajte i sekundarnu DNS adresu (npr. 1.0.0.1) na isti način kao i primarni server.
5. Konfiguracija IPv6 DNS servera:
   • Ako koristite IPv6, unesite i IPv6 adrese DNS servera (npr. 2606:4700:4700::1111).
   • Ponovite postupak za dodavanje sekundarnih DNS adresa i za IPv6 DNS servere.

Zaključak:

Uvođenje DNS over TLS (DoT) predstavlja ključni korak ka očuvanju privatnosti i sigurnosti podataka na vašoj mreži. Enkripcija DNS upita kroz TLS protokol osigurava da vaše aktivnosti na internetu ostanu privatne i zaštićene od potencijalnih napada ili špijuniranja. Ova dodatna sigurnosna mjera omogućava vam da “stavite u kovertu” vaše DNS zahtjeve, čineći ih nevidljivim za neovlašćene osobe koje bi mogle pratiti komunikaciju. Takođe, DoT pruža zaštitu od potencijalnih preusmjeravanja ili falsifikacija DNS saobraćaja, što dodatno pojačava sigurnost vaše mreže.

Podstičemo vas da istražite dodatne opcije za poboljšanje sigurnosti vaše mreže. Pored primjene DNS over TLS-a, možete istražiti i druge alate i tehnike koje doprinose zaštiti vaših podataka i privatnosti na internetu. Edukacija o sigurnosnim praksama i redovno ažuriranje sigurnosnih sistema su ključni koraci ka izgradnji sigurne i pouzdane mreže.

The post Korak Po Korak – Uvod u DNS over TLS (DoT) na OPNsense first appeared on .

Osnovne Karakteristike:

• OpenZFS: Srce TrueNAS-a čini samopopravljajući fajl sistem OpenZFS (self-healing), koji je ranije bio dostupan samo na najskupljim korporativnim skladišnim sistemima.
• Unified Storage: TrueNAS nudi više od tradicionalnog “Network Attached Storage” koncepta. Integracija sa različitim pristupnim protokolima za fajlove, blokove ili objekte omogućava fleksibilnost i univerzalnu upotrebu.
• Plugin-ovi: Korisnici mogu prilagoditi funkcionalnost sistema putem besplatnih plugin-ova, uključujući popularne alate kao što su Plex Media Server, NextCloud, Zoneminder i mnogi drugi.

Upravljanje Podacima:

• Snapshots i Replications: Neograničeni broj snepšotova, kloniranja i replikacija pružaju dodatne slojeve zaštite podataka od ljudskih grešaka ili spoljnih prijetnji, kao što je ransomware.
• Performanse: Dodavanjem sistemske memorije (DRAM) mogu se značajno poboljšati performanse sistema. Ugrađena kompresija podataka omogućava maksimiziranje dostupnog prostora.
• Upravljanje: Svim funkcijama sistema se upravlja putem intuitivnog korisničkog web interfejsa (user frendly).

Zahtjevi za Hardver:

• CPU i RAM: Preporučuje se 64-bitni CPU sa najmanje 8 GB RAM-a (16 GB preporučeno).
• Boot Drive: SSD boot drajv od 16 GB se preporučuje radi boljih performansi.
• Diskovi: Minimalno jedan priključeni disk je neophodan za Pool. Hardverski RAID nije preporučljiv.
• Mrežni Port: Minimalno jedna LAN kartica je potrebna, sa mogućnošću agregacije linkova (kada ima više LAN kartica).

TrueNAS Core se može koristiti u kućnom okruženju, u preduzećima i velikim centrima za skladištenje podataka. Raznovrsni korisnici, kao što su IT profesionalci, fotografi, dizajneri, audio/video producenti, programeri i drugi, mogu iskoristiti njegove mogućnosti za ozbiljno skladištenje i zaštitu velike količine podataka.

The post TrueNAS Core – Siguran Backup i Pouzdan Sistem za Skladištenje first appeared on .

IPsec se tradicionalno koristi za site-to-site veze između različitih lokacija firmi, dok je OpenVPN često izbor za korisnike koji se povezuju sa udaljenih lokacija (road warriors), poput terenskih radnika. Međutim, sa pojavom WireGuard VPN tehnologije, otvara se nova era u oblasti VPN-a. WireGuard donosi jednostavnost konfiguracije, visoku sigurnost i izuzetnu brzinu, čineći ga atraktivnim izborom kako za site-to-site, tako i za udaljene korisnike.

OPNsense platforma, kao vodeći firewall sistem, pruža korisnicima detaljnu tehničku specifikaciju i jednostavno uputstvo za implementaciju VPN-a, uključujući i WireGuard. Ipak, kao i kod mnogih tehnoloških izazova, postoje prepreke koje treba prevazići, uključujući problematične rutere koje isporučuju internet provajderi (ISP).

Važno je istaći da OPNsense platforma, iako besplatna, pruža napredne mogućnosti koje prevazilaze mnoge komercijalne firewall sisteme. Osim toga, u kontekstu bezbjednosti, komercijalni firewall-i nisu uvjek garancija zaštite, što se često pokazuje kroz otkrivene sigurnosne propuste. Osim što su finansijski zahtjevni, komercijalni firewall-i mogu imati i skrivene troškove, kao što su licence i održavanje, što ih čini manje atraktivnim izborom za mnoge organizacije.

U zaključku, implementacija VPN-a na OPNsense platformi predstavlja pouzdano i ekonomično rešenje za organizacije koje žele da obezbjede siguran pristup svojim resursima. Kroz kombinaciju visoke sigurnosti, fleksibilnosti i ekonomičnosti, OPNsense postaje neizostavni alat u arsenalu svakog sistem administratora koji teži efikasnom upravljanju mrežnom infrastrukturom.

The post Stručno Mišljenje o VPN-u i Firewall-u na OPNsense Platformi first appeared on .

Mrežna arhitektura i transparentni mod

Glavna prednost Artica platforme je mogućnost rada u transparentnom režimu. Za razliku od eksplicitnog proksija, transparentni mod ne zahtijeva nikakvu konfiguraciju na klijentskim radnim stanicama. Saobraćaj se presreće na nivou rutera ili firewall-a (koristeći metode poput Policy Routing-a ili WCCP protokola) i prosljeđuje Artica serveru na obradu.

Ključni stubovi platforme obuhvataju:

• Bezbjednost i inspekcija saobraćaja: Automatizovano filtriranje veba sa bazom od preko 30 miliona kategorisanih sajtova. Sistem integriše filtriranje DNS zahtjeva, automatsko ažuriranje antivirusnih/antispam definicija, kao i mehanizme za SSL/TLS inspekciju (pomoću uvoza internog CA sertifikata) kako bi se omogućila vidljivost unutar enkriptovanog saobraćaja.
• Mrežna optimizacija i keširanje: Napredni Squid engine omogućava keširanje statičkog sadržaja na brzim lokalnim skladištima (Community verzija ima limit do 2GB keša). Pored Forward Proxy uloge, Artica može raditi i kao Reverse Proxy za balansiranje opterećenja i zaštitu internih web servera.
• Analitika i inspekcija (Log Engine): Integrisani statistički engine pretvara sirove Squid logove u interaktivne izvještaje, prikazujući top destruktivne domene, mrežne trendove i anomalije u saobraćaju u realnom vremenu.
• Integracija sa Active Directory (AD): Artica podržava autentifikaciju korisnika kroz AD (dostupno 30 dana u Community verziji). Napomena: Pošto čisti transparentni mod ne podržava nativnu proksijsku autentifikaciju (jer pretraživač klijenta nije svjestan proksija), integracija sa AD u ovom režimu zahtijeva implementaciju Captive Portala ili prelazak na eksplicitan režim putem WPAD protokola.

Arhitektura i Dostupnost (Originalna verzija)

Artica V4 je inicijalno razvijena na stabilnoj Debian 10 (Buster) distribuciji, što joj osigurava visok nivo stabilnosti u produkcionim okruženjima. Platforma je visoko optimizovana za virtuelizaciju i isporučuje se kao spreman virtuelni uređaj (Appliance) kompatibilan sa:

• VMware ESXi / Workstation
• Microsoft Hyper-V
• Proxmox VE i Citrix XenServer

UPDATE: Tranzicija na Debian 12 (Bookworm) i tehnološki skok

Sa novijim verzijama, Artica prelazi na Debian 12 (Bookworm) bazu. Za sistemske administratore i security inženjere, ova migracija donosi ključne arhitektonske i bezbjednosne razlike u odnosu na staru Debian 10 verziju:

1. Moderni Linux Kernel i Hardverska kompatibilnost: Prelazak sa kernela 4.19 (Debian 10) na kernel 6.1 (Debian 12) donosi drastično bolji menadžment resursa, napredniji mrežni stack i stabilniji rad NVMe drajvova visoke klase koji se intenzivno koriste za keširanje.
2. Unaprijeđen TLS 1.3 i Kriptografija: Debian 12 donosi OpenSSL 3.0. Ovo omogućava bržu i bezbjedniju SSL/TLS inspekciju (MITM) sa nativnom podrškom za TLS 1.3 protokole, smanjujući CPU opterećenje servera prilikom dekripcije i ponovne enkripcije saobraćaja.
3. Squid 5.x/6.x stabilnost: Nova OS baza donosi novije verzije Squid proksija koje imaju znatno bolju reaktivnost mrežnih soketa i stabilnije rukovanje memorijom, eliminišući stare probleme sa “memory leak-ovima” pod velikim brojem konkurentnih sesija.
4. Bezbjednosne zakrpe (Security Baseline): Debian 10 je zvanično ušao u EOL (End of Life) fazu, dok Debian 12 donosi puni ciklus bezbjednosnih zakrpa za sve ugrađene sistemske biblioteke, što je imperativ za stabilan mrežni gateway.

The post Artica Transparent Proxy: Enterprise Arhitektura za Optimizaciju i Filtriranje Mrežnog Saobraćaja first appeared on .

Opis:

• T-Pot je multiarhitekturna platforma za Honeypot sisteme, podržavajući arhitekture amd64 i arm64.
• Ova platforma podržava više od 20 različitih Honeypot-ova, omogućavajući simulaciju raznih ranjivih servisa i sistema.

Funkcionalnosti:

• Honeypoti: T-Pot pruža podršku za različite vrste Honeypot-ova koji simuliraju ranjive servise i mrežne komponente, privlačeći potencijalne napadače.
• Vizualizacija: Koristi Elastic Stack za analizu podataka i generisanje detaljnih mrežnih mapa napada, olakšavajući praćenje i razumevanje aktivnosti napadača.
• Alati za bezbjednost: T-Pot dolazi sa bogatim setom alata za analizu i detekciju prijetnji, omogućavajući korisnicima da pravovremeno identifikuju i reaguju na potencijalne sigurnosne incidente.

Sistemski Zahtjevi:

• Za instalaciju T-Pot platforme potrebno je najmanje 8-16 GB RAM-a i 128 GB slobodnog prostora na disku, osiguravajući adekvatne resurse za rad platforme.
• Takođe je neophodna funkcionalna internet veza bez filtera kako bi se omogućila komunikacija sa spoljnim resursima.

Instalacija:

• Preuzmite T-Pot ISO sa GitHub-a u skladu sa vašom arhitekturom (amd64, arm64).
• Instalirajte sistem na virtuelnoj mašini ili fizičkom hardveru koji ima pristup internetu, osiguravajući da su ispunjeni svi sistemski zahtjevi.

Napomena:

• Instalacija i korišćenje T-Pot platforme je odgovornost korisnika, te se preporučuje korišćenje platforme u skladu sa lokalnim zakonima i propisima.
• Honeypot-ovi ne bi trebali sadržavati osjetljive podatke, a korisnici bi trebali biti svjesni mogućih rizika i posledica.
• Podaci generisani od strane T-Pot platforme podrazumijevano se šalju na Sicherheitstacho, online portal Njemačkog Telekoma koji pruža grafički prikaz hakerskih napada i povezane podatke.

Slike i Primjeri: Analiza Podataka prikupljenih T-Pot Platformom

Na slikama ispod prikazani su skrinšotovi T-Pot sistema, sa konkretnim podacima prikupljenim putem alata “Suricata”. Ovi podaci pružaju uvid u aktivnosti napada na mreži, a posebno je zanimljivo primjetiti da su Srbija i Bosna i Hercegovina na samom vrhu liste zemalja po broju napada. Ove informacije dodatno naglašavaju važnost efikasnih sigurnosnih mijera i upotrebu alata poput T-Pot platforme radi zaštite sistema od potencijalnih prijetnji.

Ove slike pružaju uvid u realno stanje sigurnosti na mreži i naglašavaju potrebu za efikasnim rješenjima za detekciju i zaštitu od cyber prijetnji. Kroz korišćenje T-Pot platforme i sličnih alata, organizacije i institucije mogu unaprijediti svoje sigurnosne strategije i osigurati integritet svojih sistema.

The post T-Pot – Mamac za Hakere (Honeypot) first appeared on .

Povežimo Se Sa Sigurnošću

Kao što smo već naglasili u prošlom vodiču, instalacija OPNsense-a je samo početak našeg puta ka zaštiti i optimizaciji mreže. Kroz wizard, ulazimo dublje u svijet sigurnosnih opcija i prilagođavamo ih prema specifičnim potrebama naše infrastrukture.

Upravljanje Kroz Wizard

Čarobnjak nam pruža intuitivan interfejs za podešavanje najvažnijih aspekata OPNsense-a. Od postavljanja WAN i LAN interfejsa do konfiguracije VPN i naprednih sigurnosnih funkcija, svaki korak će biti detaljno objašnjen, podržan vizuelnim ilustracijama kako bismo osigurali da ništa ne ostane nedorečeno. VPN ćemo obraditi u zasebnom postu.

Nastavak Sigurnosnog Putovanja

Započnimo zajedno ovo novo poglavlje u našem vodiču kroz OPNsense. Očekujte praktične savjete, stručne smjernice i korisne trikove koji će vam pomoći da postignete najviši nivo sigurnosti na vašoj mreži.

Sigurnost je Aktivnost, Ne Stanje

Pratite nas u ovoj sigurnosnoj avanturi jer zajedno gradimo mrežu otpornu na izazove cyber prostora.

Hvala na posvećenosti i krenimo dalje ka još jačoj sigurnosti!

Sigurno surfujući, freedole

The post OPNsense – Inicijalna Podešavanja Kroz Wizard first appeared on .

Dok tehnologija igra veliku ulogu u očuvanju sigurnosti, ne smijemo zaboraviti ni ljudski faktor.

Nudge Security koristi koncept “nudges” (podsticaja) kako bi uticao na ponašanje zaposlenih u organizaciji i podstakao ih na sigurne prakse. Ovi “nudges” su suptilni podsticaji ili podsjećanja koja podstiču ljude na određene akcije ili promjene u njihovim ponašanjima radi poboljšanja bezbjednosti.

Primjeri “nudges” u kontekstu bezbjednosti mogu uključivati:

1. Edukativne Poruke: Slanje kratkih poruka ili obavještenja koja podsjećaju zaposlene na važnost sigurnosti informacija.
2. Podsticanje Na Korake Bezbjednosti: Pružanje jednostavnih koraka koje zaposleni mogu preduzeti kako bi poboljšali bezbjednost, kao što su redovno menjanje lozinki ili prijavljivanje sumnjivih e-mailova.
3. Nagrade Za Sigurno Ponašanje: Incentiviranje sigurnog ponašanja putem priznanja ili nagrada.

Osnovna ideja je koristiti pozitivne podsticaje i podsjećanja kako bi se formirale dobre navike u vezi sa bezbjednošću informacija. Ovaj pristup uzima u obzir ljudsku psihologiju i teži stvaranju bezbjednosne kulture u organizaciji.

Zaključak

U konačnom smislu, Nudge Security predstavlja inovativan pristup unapređenju bezbjednosti informacija putem pozitivnih podsticaja. Integracija ovog koncepta ne samo da podstiče snažniju bezbjednosnu kulturu unutar organizacije, već i smanjuje rizik od bezbjednosnih incidenata. Pratite naš blog kako biste saznali više o Nudge Security i drugim strategijama koje jačaju cyber bezbjednost. Vaša bezbjednost je naš prioritet!

Podijelite svoje iskustvo sa primjenom Nudge Security u vašoj organizaciji.

The post Nudge Security: Suptilni Podsticaji za Jaču Bezbjednost first appeared on .