?

Log in

No account? Create an account

производственно-провокационное - Оживший юзерпик

Aug. 9th, 2006

09:55 pm - производственно-провокационное

Previous Entry Share Next Entry

Есть у нас неплохой firewall + VPN. И куда его развивать?

(Вопрос не коллегам по работе :)

Current Mood: задумчивое эдак

Comments:

From:(Anonymous)
Date:August 9th, 2006 06:05 pm (UTC)
(Link)
знаешь притчу о хорошем коте?
У фермера крысы-мыши подъедали урожай, он нашел кота, закрыл в амбаре и за ночь кот переловил всех грызунов. фермер, поняв, что его припасам ничего не угрожает, выкинул теперь уже бесполезного кота на улицу.
Намек ясен? :)
(Reply) (Thread)
[User Picture]
From:tobotras
Date:August 9th, 2006 06:45 pm (UTC)
(Link)
Не, выкинуть-то никогда не поздно. Вопрос не об этом.
(Reply) (Parent) (Thread)
From:dado
Date:August 9th, 2006 06:07 pm (UTC)
(Link)
в фаервол+пппое :) в фаерволе есть layer2? :)
(Reply) (Thread)
[User Picture]
From:tobotras
Date:August 9th, 2006 06:46 pm (UTC)
(Link)
Это что, с ZyXEL конкурировать? :)
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:weissmann
Date:August 9th, 2006 06:11 pm (UTC)
(Link)
Каким образом ты определяешь, что он "неплохой"? Что касается направлений развития, то для нас в любом VPN самая большая головная боль - это местные параноидальние админы, у которых открыты только те протоколы, про которые они слышали. Поэтому самое актуальное - это VPN over everything. VPN over HTTP (не HTTPS) рулило бы рулём. VPN over DNS вообще вне конкуренции, только перформанс жидковат.
(Reply) (Thread)
[User Picture]
From:tobotras
Date:August 9th, 2006 06:48 pm (UTC)
(Link)
> Каким образом ты определяешь, что он
> "неплохой"?

Ну, продается, скажем.

> Что касается направлений развития, то для нас в любом VPN самая большая головная боль - это местные параноидальние админы, у которых открыты только те протоколы, про которые они слышали. Поэтому самое актуальное - это VPN over everything. VPN over HTTP (не HTTPS) рулило бы рулём. VPN over DNS вообще вне конкуренции, только перформанс жидковат.

Вот черт его знает. Сколько ставили по крупным лавкам -- нигде такой проблемы не было. Максимум -- НАТ по дороге, ну, на это есть VPN over UDP. А кто будет заказчиком VPN -- end user, что ли, если он не может со своим админом справиться?..
(Reply) (Parent) (Thread) (Expand)
(no subject) - (Anonymous) (Expand)
From:(Anonymous)
Date:August 9th, 2006 06:38 pm (UTC)
(Link)
Работает на слишком дешевом железе тоже?
(Reply) (Thread)
[User Picture]
From:tobotras
Date:August 9th, 2006 06:49 pm (UTC)
(Link)
Не понял про "слишком". Работает на Solaris/x86, то есть, почти на любом писюке.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:k001
Date:August 9th, 2006 07:14 pm (UTC)
(Link)
Это для корпоративных "экстранетов" в основном?

Трудно ответить. Разве что в порядке мозгового штурма... Скрестите его с IDS (если ещё не). Прикрутите к нему GUI. SMTP-агента сделайте, и модуль для OpenView (и Tivoli не-помню-как-там). Layer 7 switch туда добавить, правда, это будет уже совсем не для того.
(Reply) (Thread)
[User Picture]
From:tobotras
Date:August 9th, 2006 07:21 pm (UTC)
(Link)
IDS уже да (ну, насколько SNORT -- IDS). GUI давно есть. Агент есть, но неясно, что отдавать -- никто его не использовал реально. Начнут -- добавим счетчиков-ручек-кнопок, не вопрос. Насчет Layer 7 не знаю, неясно, кому это...
(Reply) (Parent) (Thread)
[User Picture]
From:mbravo
Date:August 9th, 2006 07:17 pm (UTC)
(Link)
развивайте в части максимально idiot-proof deployment & configuration и пиарьте как средство виртуализации работы всяких аутсорсеров и прочих мелкосредних виртуальных лавок. в качестве модного трендоносителя киберпанк какой-нибудь притяните за уши.
(Reply) (Thread)
[User Picture]
From:tobotras
Date:August 9th, 2006 07:22 pm (UTC)
(Link)
Уже -- он есть в металле, PnP. Каких лавок -- IT-безопасников? А они есть?

Последнюю фразу перечитал трижды, понял только предлоги :)
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:oldmann
Date:August 9th, 2006 07:36 pm (UTC)
(Link)
заплатить денег Darren Reed, чтобы он продолжил его развивать? :)

Борис, скажи мне, как художник художнику - вы хоть копейку Даррену выплатили за использование его продукта?
(Reply) (Thread)
[User Picture]
From:poige
Date:August 10th, 2006 01:18 am (UTC)

У них там код ipfilter?

(Link)
=8-[ ]
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:tzirechnoy
Date:August 9th, 2006 08:21 pm (UTC)
(Link)
Софтина или комплекс с жэлезом? (Я действительно про вашу лавочку ничего не знаю).
А свитч из себя он изображать можэт (при наличие сетевух в достаточном количестве или хотя бы поддержки VLANов)? А NAT там есть? А если есть -- то роутинг на основе информацыи из conntrack (или чего у вас аналогом этого conntrack для NAT) (можэт требоваться для разделения нагрузки по каналам)? А девайсы уровня и энэргопотребления OpenWRT вы с ним поставляете? А one-click интеграцыя с авторизацыей доступа через виндовый домен есть (лучшэ -- в т.ч. без поднятия VPN, кажэтся, через IPsec это как-то можно, хотя я пока не пробовал)? В документацыи описана? А вот ограниченные логи L7 (ну, заголовков фактически. Нет в модэли OSI названия для этой части информацыи) -- так вот, многим такая вещь очень нравится. Дажэ большэ, чем фильтры на L7. А реагировать на RADIUS-запросы от WiFi-точек оно позволяет? И потом фильтровать на основе данных о клиенте (а не адресов или чего-то столь жэ непонятного)? А варианты отдачи ограниченных прав клиентам по рулению себя, любимых в разрёшённых рамках и просмотру исключительно своей статистики есть? А тожэ самое, но для тупых операторов -- чтобы мог вот зайти и красиво поправить одну конкретную табличку, из которой берётся только список соответствия адресов и назначения каких-нибудь приоритетов или роутинга для одной ограниченной сетки, например. Или вообще мог выключить и включить только одно правило. А тэстировать загрузку/пропускную способность/задержки канала и трапаться в случае чего оно можэт? А идиотов, ставящих запредельное количество сэссий в FlashGet (и способных сожрать полтора своих лимита канала на входящем в тебя траффике) вы побороли? Или shaping вообще пока не ваша стезя? А взаимодействие с netflow есть (создание и запись flows/статистика потом, для post-mortem анализов, ибо pcapом всё равно всё не запишэшь, а counterами можэт оказаться поздно пить боржоми, если мало надобавлял)? А он скорость своей работы и загрузку себя способен оцэнивать, с объяснением тупому админу, что гигабит шыфрованного траффика этот тазик не потянет никак и никогда? А самомониторилка, способная понять, что какая-то часть себя коньки отбросила, есть в комплекте? А красивые графы соединения интерфейсов и сетей, которые идут через него, их логического (заданного админом) смысла с rrd-шными графиками загрузок по ссылкам он рисует (не, ну это я ужэ губу раскатал, такое вообще долбанёшься делать, наверное, особенно приписывать правилам соответствие каким-то логическим узлам графа, да ещё через уеб-интэрфейс)? А свой конфиг цэликом сохранить/накатить/откатить? А что-то а-ля jnettop/iptraf в комплекте есть? А etherealом поковырять -- что происходит -- оно даёт? А кластерные конфигурацыи с объединением разрозненных роутеров в одну панель управления, распределение нагрузки от VPN по симметричным рядом стоящим узлам и автоматическое подцэпление дублирующим устройством функцый ёкнувшего основного?
Ладно, что-то спать хочется.
(Reply) (Thread)
[User Picture]
From:tobotras
Date:August 10th, 2006 08:29 am (UTC)
(Link)
Ух ты! Спасибо за текст, пойду обсужу с коллегами!
(Reply) (Parent) (Thread)
[User Picture]
From:ilya666
Date:August 10th, 2006 02:17 am (UTC)
(Link)
VoIP припаять? Это сейчас модно. Удаленщики смогут на офисный PBX нахаляву звонить.
(Reply) (Thread)
[User Picture]
From:tzirechnoy
Date:August 10th, 2006 08:03 am (UTC)
(Link)
Кстати да, если не полный VoIP, то хотя бы sip в список протоколов фильтрацыи МЭ хорошо бы добавить.
(Reply) (Parent) (Thread) (Expand)
[User Picture]
From:gamajun
Date:August 10th, 2006 09:26 am (UTC)
(Link)
Позиционирование вообще очень сложный вопрос :-)
(Reply) (Thread)
From:jav13
Date:September 19th, 2006 11:30 pm (UTC)

а чем оно лучше чем pix ?

(Link)
3-5 интерфейсов, VLAN-ы
Вместо диска flash.
Сертификат ФАПСи и продавать всяким госконторам.

Нашим продавать за какие-то копейки (типа base package (200$) + 3-5$ each VPN user), западные конторы не купят -- есть pix.
Многие наобщались с Symantec Firewall и послали его в далекое еротическое.

Тяжелый вопрос.
--
jav
(Reply) (Thread)
[User Picture]
From:tobotras
Date:September 20th, 2006 03:33 am (UTC)

проксями smtp, http, ftp в основном

(Link)
Чем плох symantec, кстати?
(Reply) (Parent) (Thread) (Expand)