О ситуации в IT Security

[arkenoi]

Читаю вот firewall-wizards за два дня в смешанных чувствах. То есть наблюдаю, как Большие Гуру (Ranum, Avolio, Robertson) n+1й раз злобно втаптывают в говно сраный Gartner. Профессионально, аргументированно и красиво. Так, что прямо и добавить нечего. И в то же время грустно - сколько человек в мире, особенно тех, кто принимает решения, знают эти имена и понимают, о чем они говорят, и сколько с восторгом тупят в идиотские Magic Quadrants?

Дайте мне другой глобус..

Comments

[ex-ivlad.livejournal.com]

тебе-то что? ;) сделай кастомайзед решение состоящее из 1U бокса с OpenBSD, грузящегося, скажем с flash, что б у него был только Ethernet на борту, но побольше. Назови IPS и готово. Кого е%ет, если "зритель хавает"?

[arkanoid.livejournal.com]

Так у меня firewall и так де факто IPS, только оно тогда еще так не называлось ;-)

[ex-ivlad.livejournal.com]

ну назови теперь иначе ;) IMHO, с точки зрения маркетинга, лучше играть с Gartner а не против них.

[arkanoid.livejournal.com]

С точки зрения маркетинга и измеряя результат вечнозелеными уями - да. С точки зрения этики, community effort и элементарного самоуважения - с self-proclaimed experts, а говоря по-русски, шарлатанами, в одном поле срать нельзя садиться. Я не согласен, что деньги не пахнут. А то и до "нейтроника" можно докатиться. Тоже прибыльное дело!

[(Anonymous)]

А в твоем "IPS" все так же используются поделки диджея бернштейна, их время от времени надо перегружать и они жутко тормозят с FTP?

Доброжелатель :)

[arkanoid.livejournal.com]

Эээ, чувак, ты странный какой-то.

Отвечаю по пунктам:

1) да, используются
2) нет, и никогда не было надо
3) какое они имеют отношение к ftp?

А ты, поди, slw, не иначе ;-)

[(Anonymous)]

Я не странный, я объективный!

1) Какой кошмар! Всё, значит тазик не жилец. Где диджей рошел -- там устойчивой работы не жди. А вот глюков огребешь в самых неожиданых местах. И море удовольствия.
2) Эти сказки ты в военкомате рассказывать будешь :Р
3) Поделки -- почти никакое. А вот "IPS" -- прямое. Таки на нем ftp тормозит и smtp тоже. И это его перегружать приходится.

Доброжелатель :)

[poul.livejournal.com]

А в соседнем окошке медленно собирался bind...

[arkanoid.livejournal.com]

Ты бы лучше диджейскую поделку поновее поставил.

ВОТ УЖ НА ХУЙ!!!!!!!

[deka.livejournal.com]

Только в обмен на бесплатный пожизненный саппорт.

В смысле

[deka.livejournal.com]

В смысле от тебя. Иди диджея, мне пофигу. Условия те же -- время реакции 15 минут, время восстановлениея -- час. Круглосуточно.

[arkanoid.livejournal.com]

Ну у всех остальных всегда устойчиво работал. На ебалтике вообще какой-то все время нетрадиционный дроч ;-) А альтернатива-то где? pdnsd?

ftp-gw заменил вообще другой codebase, а в ssmtp все починил вроде как..

Что там у "остальных" не волнует.

[deka.livejournal.com]

Здесь это -- постоянная проблема. А brief review с консультациями у пользователей диджейских поделок привели к вполне однозначному выводу -- диджей кроме как диджействовать ничего не умеет. У qmail те же самые проблемы. Вывод очевиден: любой кусок кода с подписью диджея на моих системах будет сноситься отныне и присно и во веки веков. Аминь.

[(Anonymous)]

Ну так бы и говорил сразу, что не продукт это а так, поделка для тепличных условий. Не дышать, не трогать, не напрягать, при пожаре выносить первым.

Доброжелатель :)

[arkanoid.livejournal.com]

Эээ, ну а как я должен ловить глюки, которые нигде больше не воспроизводятся? Я предложил обновить диджейскую поделку, если не поможет - будет повод задуматься об отказе от нее, но так не обновили же ;-) а чего ловить глюки в древней как говно мамонта версии?

и все-таки на балтике очевидно нездоровый дроч происходит ;-)

[(Anonymous)]

Ну что значит как?! Стендик собрать. Что у тебя дома зоопарк зря постаивает?

[arkanoid.livejournal.com]

у вас какие-то очень уникальные глюки, люди тазик использовали со всяким инфернальным ужисом вроде интерактива и диониса, и то работало без проблем! ;-)

[(Anonymous)]

Не надо передергивать!
Не уникальные, а воспроизводимые. Например стабильно не передающийся isoшник. От FreeBSD. Я понимаю, FreeBSD -- конкурент опёнку, но не такими же методами с распространием бороться!

[arkanoid.livejournal.com]

Да я уверен практически что у меня он нормально передастся. Впрочем - выложи, попробую.

[arkanoid.livejournal.com]

впрочем, хороший стресс-тест всегда полезен, но при условии нормальной диагностики. проблему с ftp мне так и не продиагностировали, хотя я давно сказал что мне нужно чтобы знать куда копать..

[poul.livejournal.com]

Что ты мне ответил, когда я предложил тебе посмотреть ktrace.out от dnscache? А? Правильно. Ничего.
Она тебе нужна, эта диагностика?

[arkanoid.livejournal.com]

так ты отказался поставить сначала версию посвежее - зачем мне ktrace от допотопной? может там и баг, но искать его нет смысла, если есть апдейт.

[poul.livejournal.com]

Just for info.
Следующим в ведро идёт nsyslogd.
Нам нужен сислог, который не ведёт логи? Пральна.
ktrace сделать?

[arkanoid.livejournal.com]

Ну я ему делал перезапуск каждый час - за час у него колпак съехать не успевал. А багу пытались чинить и похоже она там более чем в одном месте ;-). Короче - ага, в ведро. SDSC syslog будем ставить.

Что я вижу?!!!

[deka.livejournal.com]

Никак ты согласился с объективным мнением?

Re: Что я вижу?!!!

[arkanoid.livejournal.com]

с объективным я всегда соглашаюсь ;-)

Ой да ладно...

[deka.livejournal.com]

А диджейские поделки тем не менее защищаешь, хотя они объективно -- говно.

Re: Ой да ладно...

[arkanoid.livejournal.com]

Все говно, кроме мочи.

Но все же если выбирать между странненькой но хуйдо-бедно модульной штуковиной, причем довольно параноидально до нездравости организованной в смысле security и монструозным монолитным dns сервером, я выберу скорее первое. Потому что вобщем серьезные горбухи лечатся, а крупных компонентов лучше избегать. Мало мне openssh и openssl как неизбежного зла?

У меня критерии другие.

[deka.livejournal.com]

Если программа не работает, или работает, не соблюлдая стандарты, то это плохая, негодная программа, как бы ни красив с точки зрения защищённости её код. И таких программ на вверенных мне серверах не будет.

Re: У меня критерии другие.

[arkanoid.livejournal.com]

Что не так в dnscache, если не считать этой, скорее всего давно залеченной, баги?

Re: У меня критерии другие.

[deka.livejournal.com]

Мне хватит вполне и того, что есть эта бага, и насрать, вылечена она или нет. Конечно, если диджей будет платить мне хотя бы $50/сутки пробега за тестирование -- я согласен посмотреть следующие багокомплекты. Если нет -- на хуй only.

Впрочем тот факт, что писать программы он категорически не умеет, позволяет мне обосновать необходимость сноса его поделок в любой доступной мне точке.

Re: У меня критерии другие.

[arkanoid.livejournal.com]

Не вижу логики. Вылезла одна бага за пять лет эксплуатации, тебе предлагают обновить софт, а ты впадаешь в истерику и говоришь что одной баги достаточно.

Логика проста.

[deka.livejournal.com]

Был поставлен продукт. Поставлен в режим промышленной эксплуатации. Один из основных критериев, сыгравших роль в выборе, была гарантия его надёжности, в том числе и с точки зрения стабильности. Где гарантия того, что это -- единственное нарушенное обещание? Я стар и опытен, я не верю в 70%-ную беременность.

Кстати, эта проблема присутствует до сих пор... По крайней мере в qmail. Поэтому я не вижу никакого смысла ещё раз наступать на грабли. За исключением приведённого выше варианта.

[iskatel.livejournal.com]

Хм, если уж на то пошло, то супернадежные cisco'вские пиксы и просто кошки ненадежны уже по той причине, что исходники-то - закрыты.. Это если подходить на параноидальном уровне.