[thodin]

Закрыт простите как? ACL? Или же выключен полностью?

ACL на интерфейсе во внешний мир.

[myst]

Закрыт простите как? ACL? Или же выключен полностью?

ACL на интерфейсе во внешний мир.

Ну ок, аналогичная ситуация как вы привели, инженер находится в командировке/отпуске, ему звонят и кричат аларм-авария, под руками есть только недоверенный комп.

Настраивать VPN, экспортировать сертификат на недоверенном компе с неизвестным уровнем прав пользователя и прочим это тоже самое что и "пролюбить пароль". 1 в 1.

Никакой безопасности не добавляет.

 

К тому же, в случае ACL для SSH не забываем про mitm. Если будет цель и где вклиниться, то я вам любой "доверенный" src подставлю как два пальца.

 

Это я к чему, ВПН вещь хорошая, но в данном случае безопасности оно не особо добавляет. А вот гимору может принести изрядно. К примеру если запрещен GRE или сетевик в недоверенной сети из-за кривого провайдерского ната. Ну или на локальном компе просто прав нету на создание впн подключения.

А SSH будет работать везде.

[nuclearcat]

Не совсем понятна цель такой схемы, если честно. Свитч, который валит трафик на кучу боксов, не зная, живы они или нет?

Все next-hop безусловно живы, ибо VRRP.

 

Э.. Мне теперь покупать STP за миллионы баксов? :) Я же говорю - это все для простых задач. Или я как-то должен запириться с десятком компаний в Голландии, чтобы понять, как будет BGP жить в такой ситуации? :) Найти какой-нибудь Alcatel неведомый, чтобы проверить, как с ним mpls поднимется? :)

Еще чаще бывает, что конечная конфигурация складывается уже после установки железки на место - ибо всего заранее не предусмотришь..

Если цена сбоя при запуске этой задачи выше чем цена тестового комплекта - да, покупать, и естественно искать минимальные по стоимости,для данной задачи, тестовые наборы.

Как будет BGP жить предсказать полностью сложно, ибо могут вылезти vendor specific bugs, но например инжект нужного количества роутов с нужного количества пиров, просимулировать например обрыв каналов и поведение оборудования в данном случае - несложно.

Опять же, если вероятный сбой не приведет к ощутимым последствиям - можно и тестировать по минимуму.

[thodin]

Ну ок, аналогичная ситуация как вы привели, инженер находится в командировке/отпуске, ему звонят и кричат аларм-авария, под руками есть только недоверенный комп.

Поднять VPN с сертификатом (его еще взять надо где-то) на левом компе без админских прав - это уже совсем другой расклад. Мы в данном случае не от злоумышленника защищаемся, а от лени и безалаберности своих же сотрудников.

Надо создать максимальное количество проблем на пути к неправильным действиям.

 

К тому же, в случае ACL для SSH не забываем про mitm. Если будет цель и где вклиниться, то я вам любой "доверенный" src подставлю как два пальца.

Нее.. Не подставите ;)

 

Это я к чему, ВПН вещь хорошая, но в данном случае безопасности оно не особо добавляет. А вот гимору может принести изрядно. К примеру если запрещен GRE или сетевик в недоверенной сети из-за кривого провайдерского ната.

Эх, ну честное слово - давно уже все ходят на VPN по 443 порту. Какой GRE??

Куча мест, где кроме 80 и 443 порта ничего не работает. И ssh тоже..

[thodin]

Все next-hop безусловно живы, ибо VRRP.

Так живы ip или HTTP? Cloudflare работает не так ;)

 

Если цена сбоя при запуске этой задачи выше чем цена тестового комплекта - да, покупать, и естественно искать минимальные по стоимости,для данной задачи, тестовые наборы.

А если цена тестового комплекта выше? Так почти всегда и бывает.

Вот узнал я внезапно, что с той стороны extreme x460 (в пятницу узнал) - мне его надо срочно купить, чтобы потестироваться?

Во вторник тены туда должны уже жить.

 

Как будет BGP жить предсказать полностью сложно, ибо могут вылезти vendor specific bugs, но например инжект нужного количества роутов с нужного количества пиров, просимулировать например обрыв каналов и поведение оборудования в данном случае - несложно.

Ну и зачем подобными тестами заниматься - если это студенческие задачи, которые уже для используемого железа кучу раз проходили? Это можно попробовать сделать для неведомой зверушки, но для знакомой 76й то зачем их гонять?

 

Опять же, если вероятный сбой не приведет к ощутимым последствиям - можно и тестировать по минимуму.

Да некогда тестироваться - работать надо. Азиатский рынок - у кучи народа стоят какие-то хуавеи с zte. С ними тоже тестироваться в лабе?

Пока эту лабу собирать будем - конкуренты все съедят.

[myst]

Поднять VPN с сертификатом (его еще взять надо где-то) на левом компе без админских прав - это уже совсем другой расклад. Мы в данном случае не от злоумышленника защищаемся, а от лени и безалаберности своих же сотрудников.

Надо создать максимальное количество проблем на пути к неправильным действиям.

Это я к тому что это вполне равноценно "пролюбить пароль от ssh"

Нее.. Не подставите ;)

 

да ладно, это ещё почему?

Эх, ну честное слово - давно уже все ходят на VPN по 443 порту. Какой GRE??

Куча мест, где кроме 80 и 443 порта ничего не работает. И ssh тоже..

pptp/l2tp и прочие? Даладно. Прелесть данных протоколов в том что они работают везде (на любом устройстве). А вот любые anyconnect, ssl vpn уже под вопросом.

[thodin]

Это я к тому что это вполне равноценно "пролюбить пароль от ssh"

Украденные пароли от ssh я видел и не раз. Так что для меня это совсем не равноценно..

 

да ладно, это ещё почему?

Потому что это будет сразу же замечено.

 

pptp/l2tp и прочие? Даладно. Прелесть данных протоколов в том что они работают везде (на любом устройстве). А вот любые anyconnect, ssl vpn уже под вопросом.

anyconnect работает на android,ios,blackberry,mac,windows.. что еще надо?

[myst]

anyconnect работает на android,ios,blackberry,mac,windows.. что еще надо?

У меня старенький HTC One S. На нем эниконнект НЕ работает. Это так, к слову.

На домашнем роутере каком-нибудь типа кинетика эниконнект тоже не поднимешь.

Вот просто на вскидку.

 

Потому что это будет сразу же замечено.

 

Каким образом?

[thodin]

У меня старенький HTC One S. На нем эниконнект НЕ работает. Это так, к слову.

Значит надо его выкинуть и купить телефон, на котором все работает. Впрочем, я не думаю, что Вы с этого телефона будете что-то конфигурировать..

А на любом ноутбуке anyconnect работает.

 

На домашнем роутере каком-нибудь типа кинетика эниконнект тоже не поднимешь.

И не надо. Зачем еще?

 

Каким образом?

Если раз в год мне вдруг понадобится зайти на роутер не через туннель, а напрямую по ssh и я увижу, что мне подсовывают левые ключи - то я всерьез задумаюсь над происходящим.

[myst]

Значит надо его выкинуть и купить телефон, на котором все работает. Впрочем, я не думаю, что Вы с этого телефона будете что-то конфигурировать..

Отличный подход. С учетом того что доступ нужен большому количеству сотрудников, с самым разными девайсами, то выкинуть надо будет кучу девайсов.

Это не правильно. Правильно - использовать стандартный не вендро-лок протокол.

 

И не надо. Зачем еще?

 

Как зачем, что бы не плодить сущности.

 

 

Если раз в год мне вдруг понадобится зайти на роутер не через туннель, а напрямую по ssh и я увижу, что мне подсовывают левые ключи - то я всерьез задумаюсь над происходящим.

 

А причем тут левые ключи вообще? Для вас конкретно все это будет выглядеть как легетимная ssh сессия.

[thodin]

Отличный подход. С учетом того что доступ нужен большому количеству сотрудников, с самым разными девайсами, то выкинуть надо будет кучу девайсов.

Зачем большому количеству сотрудников ходить в корпоративную сеть с древних телефонов, многие из которых похаканы и заражены, ибо апдейты для них не выпускаются уже давным давно? Если на телефоне даже anyconnect не работает - иди, дорогой, купи новый телефон - вот тебе денег.

 

Это не правильно. Правильно - использовать стандартный не вендро-лок протокол.

Который не работает в куче мест (я постоянно сталкиваюсь с этим в том же Шереметьево). GRE для сотрудников не нужен.

Вендор он лок или не вендор - пофиг, надо ехать, а не шашечки. Вендор - он друг, а не враг.

 

Как зачем, что бы не плодить сущности.

Вот именно - подключайтесь с нотубука, а не раздавайте всему миру доступ в корпоративную сеть.

 

А причем тут левые ключи вообще? Для вас конкретно все это будет выглядеть как легетимная ssh сессия.

mitm для ssh2 не бывает. Если Вы сядите посредине - я получу алерт и игнорировать его я не буду.

[myst]

Зачем большому количеству сотрудников ходить в корпоративную сеть с древних телефонов, многие из которых похаканы и заражены, ибо апдейты для них не выпускаются уже давным давно? Если на телефоне даже anyconnect не работает - иди, дорогой, купи новый телефон - вот тебе денег.

Зачем менять кучу девайсов которые устраивают когда есть стандартизированные протоколы? Эниконнект точно так же не поможет от хаканых телефонов.

 

 

Вот именно - подключайтесь с нотубука, а не раздавайте всему миру доступ в корпоративную сеть.

Не всему миру, а IT персоналу.

 

mitm для ssh2 не бывает. Если Вы сядите посредине - я получу алерт и игнорировать его я не буду.

В данном случае mitm это подмена адреса на легетимный в acl. Никаким образом из этого алерт не родится.

 

Вот именно - подключайтесь с нотубука, а не раздавайте всему миру доступ в корпоративную сеть.

Чуть выше вы же сами заговорили про левые компы...

[thodin]

Зачем менять кучу девайсов которые устраивают когда есть стандартизированные протоколы? Эниконнект точно так же не поможет от хаканых телефонов.

Затем, что такие требования в компании. Хочешь ходить с телефона в корпоративную сеть - имей не совсем уже древний телефон. Уж 100 баксов на телефон сотруднику компания может себе позволить потратить, если он такой бедный.

 

Не всему миру, а IT персоналу.

Зачем IT персоналу киннетик? Они поставят роутер (да хоть микротик) и поднимут ipsec до сети.

 

В данном случае mitm это подмена адреса на легетимный в acl. Никаким образом из этого алерт не родится.

Так Вы объясните толком, что Вы имеете в виду? MITM - это когда Алисе с Бобом мешают общаться.

Вы спуфить source ip адрес для tcp сессии хотите? Это не сработает.

 

Чуть выше вы же сами заговорили про левые компы...

Уже начался какой-то левый флейм. Появились убогие роутеры от зухеля (откуда и зачем?!), телефоны с помойки, какая-то бедность и нищета.

Что за IT персонал, которому надо ходить по SSH и обязательно через anyconnect подключение с зухеля?!

[myst]

Затем, что такие требования в компании. Хочешь ходить с телефона в корпоративную сеть - имей не совсем уже древний телефон. Уж 100 баксов на телефон сотруднику компания может себе позволить потратить, если он такой бедный.

Причем тут бедность? Ещё раз, есть подозрение что я получаю сильно больше вашего, но вот телефон менять не хочу, он работает, меня устраивает. Стандартный pptp/l2tp там тоже работает. Я не вижу ни одной причины менять тип доступа на вендор-лок.

Бо никакой дополнительной защиты это не принесет.

Зачем IT персоналу киннетик? Они поставят роутер (да хоть микротик) и поднимут ipsec до сети.

Выше я описывал зачем.

Так Вы объясните толком, что Вы имеете в виду? MITM - это когда Алисе с Бобом мешают общаться.

Вы спуфить source ip адрес для tcp сессии хотите? Это не сработает.

Так написал же, да, подмена IP очень даже сработает. Не вижу причин не работать.

 

Уже начался какой-то левый флейм. Появились убогие роутеры от зухеля (откуда и зачем?!), телефоны с помойки, какая-то бедность и нищета.

Что за IT персонал, которому надо ходить по SSH и обязательно через anyconnect подключение с зухеля?!

Это не бедность и нищета никоим образом. Это просто понимание принципа бритвы окамма. В данном случае любой вендро-лок протокол - совершенно не нужная сущность которая не привносит дополнительную безопасность зато очень даже привносит проблем.

[shodan_x]

Флудерасты ***.... и этот ресурс засрали...

[thodin]

Причем тут бедность? Ещё раз, есть подозрение что я получаю сильно больше вашего, но вот телефон менять не хочу

Типа - при зарплате в полмиллиона Вы принципиально ходите с htc one s? Абсурд.

 

он работает, меня устраивает. Стандартный pptp/l2tp там тоже работает. Я не вижу ни одной причины менять тип доступа на вендор-лок.

Бо никакой дополнительной защиты это не принесет.

Зарезаны все порты, кроме 80 и 443 - Ваши действия?

 

Выше я описывал зачем.

Значит не будет проблем процитировать. Уважайте собеседника - копи-паст не стоит денег.

 

Так написал же, да, подмена IP очень даже сработает. Не вижу причин не работать.

Давайте проведем эксперимент? :) Я называю ip, на котором есть ssh, а Вы пытаетесь туда подключиться. Получится - я лично куплю Вам новый телефон ;) Походу только такие аргументы подойдут!

 

Это не бедность и нищета никоим образом. Это просто понимание принципа бритвы окамма. В данном случае любой вендро-лок протокол - совершенно не нужная сущность которая не привносит дополнительную безопасность зато очень даже привносит проблем.

Какие именно проблемы это приносит?

[nuclearcat]

Значит надо его выкинуть и купить телефон, на котором все работает. Впрочем, я не думаю, что Вы с этого телефона будете что-то конфигурировать..

А на любом ноутбуке anyconnect работает.

А теперь расскажите нам, каким боком вы поставите anyconnect на микротике. Хоть серверную часть, хоть клиентскую. Если вот в целях удешевления, ибо он весь такой маленький MPLS умеет, а SRX расово неправильный. Наверное циску перед ним поставите? :)))

[thodin]

А теперь расскажите нам, каким боком вы поставите anyconnect на микротике. Хоть серверную часть, хоть клиентскую. Если вот в целях удешевления, ибо он весь такой маленький MPLS умеет, а SRX расово неправильный. Наверное циску перед ним поставите? :)))

А зачем мне ставить anyconnect на микротике? Никакой необходимости сделать именно на нем нет.

Хотя можно, почему нет? Openconnect на x86 и вперед. Лицензия на ROS 30 баксов стоит, всего то:)

[nuclearcat]

Ну и куда вы его поставите на MIPS роутербоард за <$100?

[thodin]

Ну и куда вы его поставите на MIPS роутербоард за <$100?

На ближайший x86 сервер?

[myst]

Типа - при зарплате в полмиллиона Вы принципиально ходите с htc one s? Абсурд.

Я принципиально хожу с тем что меня устраивает и мне лично удобно. Не все занимаются дрочью на новые гаджеты.

Вы я так понимаю из тех кто очередь за новым йафон за неделю занимаете в палатке?

 

Давайте проведем эксперимент? :) Я называю ip, на котором есть ssh, а Вы пытаетесь туда подключиться. Получится - я лично куплю Вам новый телефон ;) Походу только такие аргументы подойдут!

 

А давайте, при соблюдении определенных условий например.

 

Какие именно проблемы это приносит?

Снова по второму кругу - нет спасибо. Выше все есть.

[nuclearcat]

LOL. Ага, значит уже нужен x86 сервер. На который еще и софт левый поставить нужно. А зачем тут вообще микротик?

 

В случае задач как у myst, может быть филиал где например стоят компы сотрудников и роутер. Роутер - микротик. Никаких x86 серверов и близко не имеется.

А часто если и имеется, он должен быть прикрыт нормальным SOHO firewall и выполняет свои задачи, а не выставлен мордой наружу и захламлен софтом для VPN. Вот админ DBA , например, обрадуется перспективам стабильности и безопасности, если ему скажут, что через сервер за который он отвечает по VPN ходить будут.

[thodin]

Я принципиально хожу с тем что меня устраивает и мне лично удобно. Не все занимаются дрочью на новые гаджеты.

Т.е. Вы ходите с телефоном с security flaws, которые никогда уже не будут исправлены и гордитесь этим? Оригинально.

 

Вы я так понимаю из тех кто очередь за новым йафон за неделю занимаете в палатке?

У меня blackberry passport, ибо у него есть клавиатура. Использовать надо инструменты, которые удобны, а не заниматься принципиальным вставанием в позу.

 

А давайте, при соблюдении определенных условий например.

Отлично! Вы торгуетесь на условия :)) Т.к. я знаю, каковы эти условия - то назовите их, посмеемся вместе :)

 

Снова по второму кругу - нет спасибо. Выше все есть.

Т.е. главная проблема - клиент не работает на вашем старом телефоне? Мне вот честно интересно - как часто Вы с него настройкой занимаетесь? :)

 

LOL. Ага, значит уже нужен x86 сервер. На который еще и софт левый поставить нужно. А зачем тут вообще микротик?

Левый?! ROS продается для x86 вполне официально (я вот позавчера купил дома поиграться). Сервер в любом случае где-то есть.

 

В случае задач как у myst, может быть филиал где например стоят компы сотрудников и роутер. Роутер - микротик. Никаких x86 серверов и близко не имеется.

А зачем сетевому инженеру коннектиться VPN клиентом в филиал? Из филиала в центр поднят туннель, этого достаточно, чтобы чего-то там переконфигурить.

 

А часто если и имеется, он должен быть прикрыт нормальным SOHO firewall и выполняет свои задачи, а не выставлен мордой наружу и захламлен софтом для VPN. Вот админ DBA , например, обрадуется перспективам стабильности и безопасности, если ему скажут, что через сервер за который он отвечает по VPN ходить будут.

Как уверенно мы перескочили от открытого SSH к админу DBA! Какие еще удивительные открытия мы увидим на лекции сетестроения от nuclearcat? :)

[myst]

Т.е. Вы ходите с телефоном ы security flaws, которые никогда уже не будут исправлены и гордитесь этим? Оригинально.

Вы как придумали слово "горжусь" из моих фраз? Мне удобно, менять не вижу смысла. Он даже не рутованый.

У меня blackberry passport, ибо у него есть клавиатура. Использовать надо инструменты, которые удобны, а не заниматься принципиальным вставанием в позу.

И как это противоречит моим словам?

Отлично! Вы торгуетесь на условия :)) Т.к. я знаю, каковы эти условия - то назовите их, посмеемся вместе :)

Использование провайдера определенного например. Опять же не вижу противоречий.

Т.е. главная проблема - клиент не работает на вашем старом телефоне? Мне вот честно интересно - как часто Вы с него настройкой занимаетесь? :)

Т.е. главная проблема - отсутствие совместимости с определенным набором устройств и как следствие необходимость городить дополнительные сущности. Что не является разумным и рациональным.

[thodin]

Вы как придумали слово "горжусь" из моих фраз? Мне удобно, менять не вижу смысла. Он даже не рутованый.

Дык пофиг, что не рутованный. Дырявый - для этого рут не нужен.

Рут злоумышленники и так получат :)

Гордитесь - потому что рассказываете и не хотите менять принципиально, заявляя при этом, что у Вас какая-то огромная зарплата.

 

И как это противоречит моим словам?

Если завтра надо будет выкинуть микротики и blackberry, по каким-то принципиальным соображениям - я это сделаю. Или наоборот - куплю Apple и расставлю микротиков. Если задача требует - надо под нее подстроиться.

 

Использование провайдера определенного например. Опять же не вижу противоречий.

Какого именно? :) Хочу знать, какой провайдер пустит Вас поспуфить tcp сессии на свою сеть, при этом Вы с ним спалитесь и получите скандал.

 

Т.е. главная проблема - отсутствие совместимости с определенным набором устройств и как следствие необходимость городить дополнительные сущности. Что не является разумным и рациональным.

А зачем Вам совместимость с древними андроидами? Это требования появилось на основе каких-то жизненных ситуаций или просто потому что такой телефон у Вас?