[YuryD]

В 29.04.2019 в 11:26, ShyLion сказал:

Проблемы по сути две:

 

 Чуть больше, говнороутер с опсосовским свистком например. Типичная дурацкая идея, параноить трафик сотрудников, с целью повысить производительность. Нее, у безопасников огромный выхлоп получается только.

[jffulcrum]

3 часа назад, dvb2000 сказал:

Не ясно при чём тут AMT

Он сам по себе сетевое устройство (шарит Ethernet порт матери на L1), и был не настолько гибок в настройках всяких авторизаций

[dvb2000]

1 hour ago, jffulcrum said:

Он сам по себе сетевое устройство (шарит Ethernet порт матери на L1), и был не настолько гибок в настройках всяких авторизаций

И... какое же отношение он имеет о том что тут обсуждалось вообще или к 802.1х в частности?

[jffulcrum]

Он получает отдельный IP, свой, причем до загрузки ОС, AMT работает даже когда комп выключен. Ему тоже надо авторизоваться, но мощи мало, и движок сертификатов был один и тот же с софтом провизионинга, то есть только публичный сертификат от определенных УЦ, самописные не жевал. Пришлось заказать клиентский сертификат (к счастью, имя хоста у всех одно дефолтное) и засовывать во все устройства жуткой утилитой на Яве. Intel AMT team при этом ссала в глаза и говорила, что у нас свитчи неправильные. На предъявляемые логи и комменты инженеров HP следовал отмороз. В итоге HP подсказали, как сделать fallback вариант авторизации, и AMT авторизовывался отдельно, сам комп после загрузки - отдельно. Подозреваю, что с тех пор проблема была как-то решена, т.к. имена у хостов AMT стали рандомные, но проверять не хочется, код у Intel как писали голодные бангладешцы за доширак, так, судя по воплям ужаса в форумах AMT, и пишут до сих пор.

[dvb2000]

И. 

On 5/1/2019 at 12:30 AM, jffulcrum said:

Он получает отдельный IP, свой, причем до загрузки ОС, AMT работает даже когда комп выключен. Ему тоже надо авторизоваться, но мощи мало, и движок сертификатов был один и тот же с софтом провизионинга, то есть только публичный сертификат от определенных УЦ, самописные не жевал. Пришлось заказать клиентский сертификат (к счастью, имя хоста у всех одно дефолтное) и засовывать во все устройства жуткой утилитой на Яве. Intel AMT team при этом ссала в глаза и говорила, что у нас свитчи неправильные. На предъявляемые логи и комменты инженеров HP следовал отмороз. В итоге HP подсказали, как сделать fallback вариант авторизации, и AMT авторизовывался отдельно, сам комп после загрузки - отдельно. Подозреваю, что с тех пор проблема была как-то решена, т.к. имена у хостов AMT стали рандомные, но проверять не хочется, код у Intel как писали голодные бангладешцы за доширак, так, судя по воплям ужаса в форумах AMT, и пишут до сих пор.

И... какое же отношение имеет AMT  к тому что тут обсуждалось вообще в этом топике ( защита от несанкционированного подключения к корпоративной сети ) или к 802.1х в частности? 

[kostikbel]

7 hours ago, dvb2000 said:

И... какое же отношение имеет AMT  к тому что тут обсуждалось вообще в этом топике ( защита от несанкционированного подключения к корпоративной сети ) или к 802.1х в частности? 

vPro внешне выглядит точно так же, как IPMI с shared портом.  Т.е. на сетевой карте (MAC + PHY) сидят два хоста, один это сам компьютер, второй хост - ME (Management Engine).  ME имеет приоритет перед компьютером в получении трафика.  Оба хоста используют один и тот же MAC адрес.

 

Другими словами, для того, чтобы сетевые приложения vPro, включая AMT, работали, порт должен авторизовать сетевую, даже если основной компьютер выключен кнопкой, но включен в эл сеть.

[dvb2000]

vPRO, AMT … и иже с ним, это всего лишь кастрированный IP KVM с минимальными возможностями на уровне чипсета от Intel, но даже он поддерживает 802.1x уже более десяти! лет. Так как и в других случаях всего лишь стоит заглянуть в User'S Guide. Весь документ не буду приводить, а добавлю лишь скриншот релевантной страницы.