cat_mucius: (Default)
[personal profile] cat_mucius
Накатал в технобложик о своих приключениях с load balancer'ом в FortiGate - авось другим бедолагам пригодится.

Кроме того, вопрос назрел. Допустим, есть у нас куча файерволлов, между собой соединённых, каждый защищает свой участок сети. Допустим, один или несколько из них служат также VPN-гейтом - что позволяет в качестве источника указывать не IP-адреса и порты, а личности подключённых по VPN юзеров, или группы к которым те принадлежат (насколько я знаю, первой такой рецепт придумала израильская CheckPoint). Но вот что обидно - после VPN-гейта эта информация теряется. К IP-пакету информация, что за юзер его послал, не пришпандорена - и следующий файерволл, что будет его обрабатывать, уже не будет знать ни юзерскую личность, ни группы, ни nesting группы, а будет видеть лишь IP-адрес источника - адрес, выданный клиенту VPN-гейтом.

Что ведёт к неприятному следствию - если мы хотим учитывать группы в правилах доступа (чего очень бы хотелось), то приходится либо:
- Концентрировать все такие правила на VPN-гейте. Что просто не масштабируется и неудобно: надо, чтобы этот гейт знал все объекты в сети, к которым VPN-клиентам потребуется доступ. Во-первых, их может быть очень много, а во-вторых, это мешает нормальному распределению ответственности - вместо того, чтобы админ какого-то отдельного сегмента задавал правила на своём файерволле по своему разумению, он должен добиваться, чтобы их задал админ VPN-гейта. Хорошо, если это один и тот же чувак, а если разные?
- Искать пути обхода - например, настроить гейт так, чтобы разным группам клиентов выдавались адреса из разных пулов. Тогда на дальнейших файерволлах можно эти пулы использовать как заменители групп. Что тоже не фонтан - не факт, что гейт такую возможность вообще поддерживает, да и опять таки излишняя зависимость между админами и неудобняк. А если группы между собой ещё и частично пересекаются?

Хотелось бы иметь технологию, позволяющую разным файерволлам (в идеале - ещё и от разных производителей) распространять соседям информацию о подключённых VPN-клиентах, чтобы те могла строить свою политику о группах самостоятельно. Кто-нибудь знает о чём-то подобном? Вроде бы у Cisco есть что-то под названием TrustSec, но с их оборудованием мне работать как раз не доводилось. Интересно, есть ли такое у других вендоров? Какой-нибудь open-source проект?
From:
Anonymous( )Anonymous You may post here only if cat_mucius has given you access; posting by non-Access List accounts has been disabled.
OpenID
Identity URL: 
User
Account name:
Password:
If you don't have an account you can create one now.
Subject:
HTML doesn't work in the subject.

Message:

 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

cat_mucius: (Default)
cat_mucius

July 2017

S M T W T F S
      1
2345678
9101112131415
16171819 202122
23242526272829
3031     

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 27th, 2017 08:47 am
Powered by Dreamwidth Studios