Jan. 25th, 2017

scif_yar: (Default)
[personal profile] scif_yar
Опять меня удручает хабр, в том числе и комменты.
Толи все толковые специалисты уехали на реддит, толи на стокэксчейндж (ну, потому что на технете точно наши люди(ТМ) с полезными советами
https://social.technet.microsoft.com/Forums/ru-RU/ff98382c-60ca-44e0-ab88-d06a6643a1bd/-exchangestoredb-250-139-118-165-exchange-2013?forum=exchange2013ru

Так вот.Читаю я вот эту
https://habrahabr.ru/post/320374/

статью и мягко говоря очень удивлен.
Для начала, авторы использования IEE1394
забывают про следующее:
https://ru.wikipedia.org/wiki/IEEE_1394
скорость передачи данных — 100, 200 и 400 Мбит/с в стандарте IEEE 1394/1394a

200-400 мбит наружу - ну, как бы конечно да, но однако это не гигабит и не два.
Если почитать обзор 2012 года
http://www.remoteshaman.com/news/security/obzor-reshenij-klassa-ngfw-mezhsetevye-monitory-brandmauery-novogo-pokoleniya

то скорость NGFW уже тогда была в 10-20 гбит /сек.
Решение на 1394, мягко говоря, не укладывается в такую скорость.

Стоит подумать и о горячо любимой latency в такой схеме. Как мне кажется, она возрастет.

Ровно так же не ясно, как эта схема спасет от стандартной крипты, которая не обнаруживается антивирусом. если есть http - то ключ уйдет злоумышленнику по обычной схеме.

Возникает и вопрос с промежуточным межсетевым взаимодействием. Если это устройство работает прозрачно для всей сети, то это NAT, где трансляция внешние/внутренние осуществляется не через одну таблицу NAT, а через две, с двух сторон такого канала.
Однако в случае любого соединения, где IP адрес отправителя фигурирует не только в сетевом пакете, а и в собственно данных (например, заголовок e-mail) - такая схема бесполезна.

Может, я еще что забыл?

p.s. А где тут кнопка "авторепостить в ЖЖ из коммуночки" ?
scif_yar: (Default)
[personal profile] scif_yar
Есть такая полезная штука в ITIL
Service Asset and Configuration Management
http://wiki.en.it-processmaps.com/index.php/Service_Asset_and_Configuration_Management

Есть тонны всякого софта, в том числе и по менеджменту, и по хранению паролей, и по вообще.

Вопросы:
1. Кто какой сервис хранения и делегирования хранимых паролей внедрял?
Ну т.е. оно конечно понятно, что

aaa-server ** protocol tacacs/radius/ldap

и дальше AD, но оно не всегда, и не везде, ну и мало ли что. Вдруг что полезное.
Хочется чтоб сервис был с подтягиванием групп из AD, само собой мониторингом/аудитом - кто когда и откуда лазал за паролем, и может что еще.

2. Хочется не просто сервер мониторинга типа Nagios/Zabbix/Prtg/прочая, и не syslog, и не 1с в чистом виде, а гибрид 1-с ной базы (железка, когда куплена, запущена, инвентарный и серийный номер), истории железки (где стояла, куда ездила), размещение с точностью до юнита, фоточку неплохо бы приделать, ну и очевидное - с чем и как зацеплена, куда у железки смотрит оптика (если это СХД - то в какой коммутатор SAN каким портом), вот что-то такое.
Понятно, что запуск этого всего потащит за собой "некий функционал",
http://oldmann.livejournal.com/21012.html
но хотелось бы обзорно, кто что чего и у кого. И как это в работе.

Profile

Сисадмины всех кофеварок, соединяйтесь!

September 2017

S M T W T F S
     12
3456789
1011121314 1516
17181920212223
24252627282930

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Sep. 21st, 2017 03:26 am
Powered by Dreamwidth Studios