cat_mucius: (Default)
Проделал небольшой экспериментик - при установке очередного Windows-домена проинтегрировал его в общий DNS. Обычно админы такого не делают - и из нежелания, чтобы их внутренние DNS-записи мог запрашивать любой желающий, и чтобы домен-контроллеры наружу не открывать или отдельные сервера под это дело не городить.

Но поскольку сеточка тестовая, то секретность ейной внутренней структуры мне пофигу, а вот выигрыш от открытости есть: какие бы DNS-сервера не были прописаны у юзеров, каким бы методом они не подключались - по личному VPN, по site-to-site VPN из другой сети, да хоть напрямую - записи будут им доступны. Поскольку вечные приколы VPN с сетевыми настройками задрали уже давно, универсальности хочется.

Что до домен-контроллеров, то открывать их во всеобщий доступ и мне не хотелось, по двум соображениям:
  • Чтобы не подставлять их под DoS или ещё какую пакость,
  • Чтобы не отключать на них рекурсию. Я хочу, чтобы они предоставляли внешнему миру информацию лишь о моём домене, а не о любом в мире. Можно, конечно, отключить, но тогда для машин во внутренней сети надо дополнительно что-то городить - лишнее усложнение.

    Read more... )
  • cat_mucius: (Default)
    Накатал в технобложик о своих приключениях с load balancer'ом в FortiGate - авось другим бедолагам пригодится.

    Кроме того, вопрос назрел. Допустим, есть у нас куча файерволлов, между собой соединённых, каждый защищает свой участок сети. Допустим, один или несколько из них служат также VPN-гейтом - что позволяет в качестве источника указывать не IP-адреса и порты, а личности подключённых по VPN юзеров, или группы к которым те принадлежат (насколько я знаю, первой такой рецепт придумала израильская CheckPoint). Но вот что обидно - после VPN-гейта эта информация теряется. К IP-пакету информация, что за юзер его послал, не пришпандорена - и следующий файерволл, что будет его обрабатывать, уже не будет знать ни юзерскую личность, ни группы, ни nesting группы, а будет видеть лишь IP-адрес источника - адрес, выданный клиенту VPN-гейтом.

    Что ведёт к неприятному следствию - если мы хотим учитывать группы в правилах доступа (чего очень бы хотелось), то приходится либо:
    - Концентрировать все такие правила на VPN-гейте. Что просто не масштабируется и неудобно: надо, чтобы этот гейт знал все объекты в сети, к которым VPN-клиентам потребуется доступ. Во-первых, их может быть очень много, а во-вторых, это мешает нормальному распределению ответственности - вместо того, чтобы админ какого-то отдельного сегмента задавал правила на своём файерволле по своему разумению, он должен добиваться, чтобы их задал админ VPN-гейта. Хорошо, если это один и тот же чувак, а если разные?
    - Искать пути обхода - например, настроить гейт так, чтобы разным группам клиентов выдавались адреса из разных пулов. Тогда на дальнейших файерволлах можно эти пулы использовать как заменители групп. Что тоже не фонтан - не факт, что гейт такую возможность вообще поддерживает, да и опять таки излишняя зависимость между админами и неудобняк. А если группы между собой ещё и частично пересекаются?

    Хотелось бы иметь технологию, позволяющую разным файерволлам (в идеале - ещё и от разных производителей) распространять соседям информацию о подключённых VPN-клиентах, чтобы те могла строить свою политику о группах самостоятельно. Кто-нибудь знает о чём-то подобном? Вроде бы у Cisco есть что-то под названием TrustSec, но с их оборудованием мне работать как раз не доводилось. Интересно, есть ли такое у других вендоров? Какой-нибудь open-source проект?
    cat_mucius: (Default)
    Про сны:
    1. То, что один сон является продолжением другого - редко, но бывает. Но, по-моему, гораздо реже бывает, что один сон вспоминается в другом именно в качестве сна. А мне тут такое и приключилось: в одном встретился некий давно не виденный товарищ. В другом он не только появился, но и был встречен словами "надо же! как раз снился ты мне вчера", и я даже чётко помню удивление от того, насколько образ из сна-1 расходился с "реальным" из сна-2, причём расходился настолько, насколько в снах обычно и бывает.
    Интересно, до какого уровня вложенности можно тут дойти.

    2. Задремал тут над статьёй про микрософтовский DirectAccess (хорошая статья, кстати), приснилось, что я обсуждаю с Финродом Фелагундом подробности защиты компьютерной сети Нарготронда. ФФФ был очень толков и благожелателен.


    P.S. Кто-нибудь из сетевиков-линуксоидов меня не читает случаем? Вопрос тут возник.
    cat_mucius: (Default)
    Ого. Вот это штука поистине революционная: cloudpaging. Молодцы.

    Правда, любителям взломанного софта типа меня жизнь усложнит неимоверно. :-)

    P.S. А доводилось ли вам когда-нибудь ставить дорогущий 10-гигабитовый свитч в серверную стойку при помощи автомобильного домкрата?

    Profile

    cat_mucius: (Default)
    cat_mucius

    August 2017

    S M T W T F S
      1234 5
    678 9101112
    131415161718 19
    202122232425 26
    27282930 31  

    Syndicate

    RSS Atom

    Most Popular Tags

    Style Credit

    Expand Cut Tags

    No cut tags
    Page generated Sep. 26th, 2017 06:04 pm
    Powered by Dreamwidth Studios