(no subject)

[arkenoi]

Одно из самых неприятных последствий профессиональной деформации Да, пожалуй, вообще, людям свойственна - привычка смотреть на задачи через узкую щель имеющихся навыков. Как в дурацкой песне про дальнобойщика, "он знает лучше всех, он может рассказать, что наша жизнь - шоссе, шоссе длиною в жизнь". Меня всегда раздражала эта песня и я, каждый раз слыша ее, думал о том, какое счастье, что лирический герой - не проктолог, например. Проблема не только в том, что человек склонен решать задачу "как умеет" - это вполне естественно, а в последующей рационализации уже принятого решения, когда он начинает доказывать себе и окружающим, что это решение и является оптимальным в глобальном масштабе.



Вот например, человек задает вроде как простой и обычный вопрос - как бы перевести локальную сеть, несколько гетерогенную, с Windows, на прозрачное шифрование всего трафика. По идее, типовая задача должна иметь типовое решение. Мне, как практикующему консультанту, было бы очень полезно его знать. Например, должен быть способ сказать всем хостам (виндовым, например): используй ipsec transport mode, сертификатам подписанным вот этим CA верить, политику брать из темплейта, с дурацкими вопросами в количестве (n**2)-n не приставать. Однако, когда у кого-нибудь об этом спрашиваешь (не только в том треде, вообще), у всех отскакивает от зубов: шифрование-VPN-туннели-концетратор. Это при том, что в сети имеются отношения any to any (не спрашивайте меня, зачем -но действительно, иногда нужно, да если и нет - все равно сводить топологию к звезде - зачастую дикость). Ну и далее - я уже обсуждал это со многими людьми - все пытаются мне доказать, что задача не типовая, потому что никому не нужно, так как (с восхитительной противоречивостью):

a) железо нынче дешевое, мощности вычислительной хватит, и да, надо делать звезду (на худой конец, дерево), VPN-концентратор и туннели до него, а если просядет, то кластер, а чтобы не single point of failure, то HA. Вместо самомасштабирующегося решения видим великолепный закат солнца вручную.

b) овес нынче дорог, нафиг это шифрование, все компы на нем проседать будут, производительность сети упадет и т д.

c) да что вы там, ядерный чемодан охраняете? не надо вам никакого шифрования, надо бдеть физическую безопасность, а где ее обеспечить невозможно, там кидать VPN-туннель. (дать бы им молотком по голове, слов нет!)

d) кстати, купите у нас высокопроизводительный VPN-концентратор (ну этих хоть понять можно).

UPDATE0: вообще говоря задача, как и следовало ожидать, все же решается стандартными методами. Микрософтовские документы курятся плохо - мало про интероперабельность и много про домены. Но есть человек, который поднял на стенде и обещал потом рассказать, как.

UPDATE1: http://slashdot.org/~cronscript/journal/131319 , решение было под носом: ссылка, стыдно сказать, из википедии.

Comments

[ringm.livejournal.com]

А зачем это напрягать извилины, если всегда есть стандартные решения? В IT, скажем, это либо yelling, либо buying some sort of software (c)...

[arkanoid.livejournal.com]

ну, если бы люди имели полезную привычку напрягать извилины и обращать внимание, сколь зачастую чудовищны и неоптимальны привычные и традиционные решения, да и вообще имели бы более открытый склад ума, мы бы таки увидели настоящий технический прогресс вместо той чудовищной эволюции костылей и подпорок, которая сейчас его олицетворяет. но глаз настолько замылен, что мало кто понимает, что что-то очень серьезно не так.

[arkanoid.livejournal.com]

кстати, в случае с безопасностью эти методы просто не работают. хуже того, приводят к полному.. как это по-русски.. clusterfuck?

[tanner-of-kha.livejournal.com]

Вопрос был задан некорректно. IPSec в режиме транспорта ведь не шифрует весь траффик, а только данные -- заголовки пакетов остаются голыми. Для тотального шифрования, чтобы было непонятно не только что идет, но и от кого и куда, надо применять туннель.

[arkanoid.livejournal.com]

transport практичнее, о чем и речь. от кого и куда - пес то с ним на данном этапе.

[gadm.livejournal.com]

Заголовки каких пакетов остаются голыми? Пакетов протокола номер 6 или номер 50?

[ex-ivlad.livejournal.com]

ну, да, красноглазость и ограниченность цыцководов заебывает не меньше, чем красноглазость и ограниченность любых других специалистов.

ты ответ уже нашел, в смысле винды, а "вообще" есть такое вот дело: http://www.sandelman.ca/SSW/freeswan/oeid/draft-richardson-ipsec-opportunistic.html

[gadm.livejournal.com]

красноглазость и ограниченность цыцководов
Вы не тех цыцководов курите. :) Сися знает не только VPDN. :)

[arkanoid.livejournal.com]

Ну под юниксами как это сделать - как-то знание более очевидное..

[gadm.livejournal.com]

О. «Раз пошла такая пьянка...» Арк, я когда-то что-то где-то читал про Trusted Solaris и Trusted Networking в этом Trusted Solaris'е. И сложилось у меня такое ощущение происходящего, что там в NIC'и встроена какая-то криптография (IPSec плох, если у тебя что-то, отличное от IP). Ты можешь это как-нибудь прокомментировать (желательно со сцылками на ХардТваре)?

[arkanoid.livejournal.com]

Нет, это тоже только IP. Я сам никогда толком не щупал, но теперь это все есть в Solaris 10 и можно поиграться. Так как все это придумано во времена Калесса Незабвенного, то кроме generic DES accelerators вряд ли можно было что-то ожидать. О том, как там все устроено у меня представление достаточно смутное, а местами и вовсе неправильное - до сегодняшнего для я вообще думал, что это BSO (rfc1108) или ESO (егойное расширение), ан нет, там CIPSO, несколько другая штука. Это labeling, а собственно криптография там по-моему уже давно ipsec, кажется была какая-то своя во время оно - тогда чего только не было, SKIP там всякий и прочее, канувшее в Лету.. Надо бы пробел в образовании заполнить, да.

[arkanoid.livejournal.com]

Надо бы с HP-UX Security Conatinment поиграться.

[ex-ex-aim11.livejournal.com]

надо всё-таки стенд поднять да сделать. уже просто из спортивного интернета (потому как если есть доступ в сеть вся эта схема разваливается из-за возможности схлопотать вирусню, которой пофигу что там у тебя - она уже поверх будет работать и тырить инфу. ;-)

ну я твоей ситуации не знаю

[arkanoid.livejournal.com]

надо выяснять, кому надо ходить в интернет и зачем и придумывать комплекс административно-технических мер. вплоть до opera в vmware, если так уж приспичило с того же компа ;-) (тоже проламывается, но видали ли такой вирус?)

[ignik.livejournal.com]

http://slashdot.org/~cronscript/journal/131319 в виде "Optional in Windows is defined as: Attempt an IPsec connection, if it is unsuccessful then use plaintext." плох. Ибо у aim возможна подставка mac адреса. Ну и будет оно к кракеру бегать как plaintext.

Об этом я уже подумал, конечно

[arkanoid.livejournal.com]

что в opportunistic mode одна из основных задач - аутентикация хоста - не решается. Но по крайней мере, примерно понятно, куда копать, назначить маску для enforced ipsec где-то там наверняка можно.

[msh.livejournal.com]

А есть ли какие-нибудь стандартные (или широко распространенные) способоы делать mesh в IPSec без необходимости постоянно держать валидные SA каждого на каждого? Ну или хотя бы без необходимости постоянного IKE каждого с каждым?

[arkanoid.livejournal.com]

a) agressive mode IKE это быстро
b) PSK? ;-)))

[semenyaka.livejournal.com]

Вот несколько дней с твоего поста прошло, и я что-то начал себя ловить на том, что я начал обращать внимания на одну и ту же картинку. Человек что-то спрашивает - неважно, что. Чаще всего, вполне толково спрашивает. И получает ворох ответов:

1) Это можно сделать, только совсем не так, у тебя задача не такая, вот если задачу поменять, то всё легко делается!
2) Дурацкий вопрос. Подобные вещи вообще никому не нужны!
3) Автор, ты ещё читаешь? Я тебе повторяю: вали отсюда, то, что ты хочешь, никому не нужно, и вообще неправильно.
4) А под линуксом можно это написать за день! Наверное.
и т.д.

Достало - страсть... С другой стороны, понял, почему я интуитивно редко иду в публичные места за советами.

[arkanoid.livejournal.com]

Ну люди , с другой стороны, действительно очень часто ставят задачу неверно.

[semenyaka.livejournal.com]

Кстати, раз уж ты в Мск, ты б у Lleo нашёлся, наконец?

[arkanoid.livejournal.com]

Дойду на днях - есть специальные пожелания по поводу даты?

[bluxer.livejournal.com]

он может раз сказать, он может два сказать...
действительно, запредельно идиотская песня.

[http://users.livejournal.com/_slw/]

меня гложут сомнения:

1) что стек/подсистему IPsec в винде тестировали на сотнях-тысячах туннеелей
2) что удастся внятно описать политику шифрования (с учетом наличия адресатов за пределами LAN)

Я далек от того чтобы хорошо думать про MS

[arkanoid.livejournal.com]

но думаю что они не такие идиоты, чтобы с этим возникали серьезные проблемы. то есть в общем случае если сервер тянет 1.5K одновременных соединений без ipsec, 1K с ipsec скорее всего тоже потянет - ну так, грубые прикидки из общих соображений.

provides access

[(Anonymous)]

very use full information. thank you.