cat_mucius: (Default)
Накатал в технобложик о своих приключениях с load balancer'ом в FortiGate - авось другим бедолагам пригодится.

Кроме того, вопрос назрел. Допустим, есть у нас куча файерволлов, между собой соединённых, каждый защищает свой участок сети. Допустим, один или несколько из них служат также VPN-гейтом - что позволяет в качестве источника указывать не IP-адреса и порты, а личности подключённых по VPN юзеров, или группы к которым те принадлежат (насколько я знаю, первой такой рецепт придумала израильская CheckPoint). Но вот что обидно - после VPN-гейта эта информация теряется. К IP-пакету информация, что за юзер его послал, не пришпандорена - и следующий файерволл, что будет его обрабатывать, уже не будет знать ни юзерскую личность, ни группы, ни nesting группы, а будет видеть лишь IP-адрес источника - адрес, выданный клиенту VPN-гейтом.

Что ведёт к неприятному следствию - если мы хотим учитывать группы в правилах доступа (чего очень бы хотелось), то приходится либо:
- Концентрировать все такие правила на VPN-гейте. Что просто не масштабируется и неудобно: надо, чтобы этот гейт знал все объекты в сети, к которым VPN-клиентам потребуется доступ. Во-первых, их может быть очень много, а во-вторых, это мешает нормальному распределению ответственности - вместо того, чтобы админ какого-то отдельного сегмента задавал правила на своём файерволле по своему разумению, он должен добиваться, чтобы их задал админ VPN-гейта. Хорошо, если это один и тот же чувак, а если разные?
- Искать пути обхода - например, настроить гейт так, чтобы разным группам клиентов выдавались адреса из разных пулов. Тогда на дальнейших файерволлах можно эти пулы использовать как заменители групп. Что тоже не фонтан - не факт, что гейт такую возможность вообще поддерживает, да и опять таки излишняя зависимость между админами и неудобняк. А если группы между собой ещё и частично пересекаются?

Хотелось бы иметь технологию, позволяющую разным файерволлам (в идеале - ещё и от разных производителей) распространять соседям информацию о подключённых VPN-клиентах, чтобы те могла строить свою политику о группах самостоятельно. Кто-нибудь знает о чём-то подобном? Вроде бы у Cisco есть что-то под названием TrustSec, но с их оборудованием мне работать как раз не доводилось. Интересно, есть ли такое у других вендоров? Какой-нибудь open-source проект?
cat_mucius: (Default)
Про сны:
1. То, что один сон является продолжением другого - редко, но бывает. Но, по-моему, гораздо реже бывает, что один сон вспоминается в другом именно в качестве сна. А мне тут такое и приключилось: в одном встретился некий давно не виденный товарищ. В другом он не только появился, но и был встречен словами "надо же! как раз снился ты мне вчера", и я даже чётко помню удивление от того, насколько образ из сна-1 расходился с "реальным" из сна-2, причём расходился настолько, насколько в снах обычно и бывает.
Интересно, до какого уровня вложенности можно тут дойти.

2. Задремал тут над статьёй про микрософтовский DirectAccess (хорошая статья, кстати), приснилось, что я обсуждаю с Финродом Фелагундом подробности защиты компьютерной сети Нарготронда. ФФФ был очень толков и благожелателен.


P.S. Кто-нибудь из сетевиков-линуксоидов меня не читает случаем? Вопрос тут возник.
cat_mucius: (Default)
Ого. Вот это штука поистине революционная: cloudpaging. Молодцы.

Правда, любителям взломанного софта типа меня жизнь усложнит неимоверно. :-)

P.S. А доводилось ли вам когда-нибудь ставить дорогущий 10-гигабитовый свитч в серверную стойку при помощи автомобильного домкрата?

Profile

cat_mucius: (Default)
cat_mucius

July 2017

S M T W T F S
      1
2345678
9101112131415
16171819 202122
23242526272829
3031     

Syndicate

RSS Atom

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 27th, 2017 08:42 am
Powered by Dreamwidth Studios