YuryD Опубликовано 30 апреля, 2019 · Жалоба В 29.04.2019 в 11:26, ShyLion сказал: Проблемы по сути две: Чуть больше, говнороутер с опсосовским свистком например. Типичная дурацкая идея, параноить трафик сотрудников, с целью повысить производительность. Нее, у безопасников огромный выхлоп получается только. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 30 апреля, 2019 · Жалоба 3 часа назад, dvb2000 сказал: Не ясно при чём тут AMT Он сам по себе сетевое устройство (шарит Ethernet порт матери на L1), и был не настолько гибок в настройках всяких авторизаций Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 30 апреля, 2019 · Жалоба 1 hour ago, jffulcrum said: Он сам по себе сетевое устройство (шарит Ethernet порт матери на L1), и был не настолько гибок в настройках всяких авторизаций И... какое же отношение он имеет о том что тут обсуждалось вообще или к 802.1х в частности? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 30 апреля, 2019 · Жалоба Он получает отдельный IP, свой, причем до загрузки ОС, AMT работает даже когда комп выключен. Ему тоже надо авторизоваться, но мощи мало, и движок сертификатов был один и тот же с софтом провизионинга, то есть только публичный сертификат от определенных УЦ, самописные не жевал. Пришлось заказать клиентский сертификат (к счастью, имя хоста у всех одно дефолтное) и засовывать во все устройства жуткой утилитой на Яве. Intel AMT team при этом ссала в глаза и говорила, что у нас свитчи неправильные. На предъявляемые логи и комменты инженеров HP следовал отмороз. В итоге HP подсказали, как сделать fallback вариант авторизации, и AMT авторизовывался отдельно, сам комп после загрузки - отдельно. Подозреваю, что с тех пор проблема была как-то решена, т.к. имена у хостов AMT стали рандомные, но проверять не хочется, код у Intel как писали голодные бангладешцы за доширак, так, судя по воплям ужаса в форумах AMT, и пишут до сих пор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 2 мая, 2019 · Жалоба И. On 5/1/2019 at 12:30 AM, jffulcrum said: Он получает отдельный IP, свой, причем до загрузки ОС, AMT работает даже когда комп выключен. Ему тоже надо авторизоваться, но мощи мало, и движок сертификатов был один и тот же с софтом провизионинга, то есть только публичный сертификат от определенных УЦ, самописные не жевал. Пришлось заказать клиентский сертификат (к счастью, имя хоста у всех одно дефолтное) и засовывать во все устройства жуткой утилитой на Яве. Intel AMT team при этом ссала в глаза и говорила, что у нас свитчи неправильные. На предъявляемые логи и комменты инженеров HP следовал отмороз. В итоге HP подсказали, как сделать fallback вариант авторизации, и AMT авторизовывался отдельно, сам комп после загрузки - отдельно. Подозреваю, что с тех пор проблема была как-то решена, т.к. имена у хостов AMT стали рандомные, но проверять не хочется, код у Intel как писали голодные бангладешцы за доширак, так, судя по воплям ужаса в форумах AMT, и пишут до сих пор. И... какое же отношение имеет AMT к тому что тут обсуждалось вообще в этом топике ( защита от несанкционированного подключения к корпоративной сети ) или к 802.1х в частности? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostikbel Опубликовано 2 мая, 2019 · Жалоба 7 hours ago, dvb2000 said: И... какое же отношение имеет AMT к тому что тут обсуждалось вообще в этом топике ( защита от несанкционированного подключения к корпоративной сети ) или к 802.1х в частности? vPro внешне выглядит точно так же, как IPMI с shared портом. Т.е. на сетевой карте (MAC + PHY) сидят два хоста, один это сам компьютер, второй хост - ME (Management Engine). ME имеет приоритет перед компьютером в получении трафика. Оба хоста используют один и тот же MAC адрес. Другими словами, для того, чтобы сетевые приложения vPro, включая AMT, работали, порт должен авторизовать сетевую, даже если основной компьютер выключен кнопкой, но включен в эл сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dvb2000 Опубликовано 2 мая, 2019 · Жалоба vPRO, AMT … и иже с ним, это всего лишь кастрированный IP KVM с минимальными возможностями на уровне чипсета от Intel, но даже он поддерживает 802.1x уже более десяти! лет. Так как и в других случаях всего лишь стоит заглянуть в User'S Guide. Весь документ не буду приводить, а добавлю лишь скриншот релевантной страницы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...