кстати, про virtualbox //Re: dependency hell

Alex Korchmar написал(а) к Eugene Grosbein в Jan 18 14:41:05 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG> Сеть своя, шифровать не требуется. Но если бы требовалось,
EG> то IPSEC никто не отменял.
в этом случае ей и "географически разнесенной" быть незачем - кстати,
виндовая инфраструктура, как я подозреваю, вполне себе готова для работы
в сетях с тотальным ipsec все-со-всеми, с хрюниксами все как обычно.


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Alex Korchmar в Jan 18 19:50:23 по местному времени:

25 янв. 2018, четверг, в 14:41 NOVT, Alex Korchmar написал(а):

EG>> Сеть своя, шифровать не требуется. Но если бы требовалось,
EG>> то IPSEC никто не отменял.
AK> в этом случае ей и "географически разнесенной" быть незачем

Есть зачем.

AK> виндовая инфраструктура, как я подозреваю, вполне себе готова для работы
AK> в сетях с тотальным ipsec все-со-всеми, с хрюниксами все как обычно.

Зачем все-со-всеми то, достаточно шифровать только инкапсулированный трафик.

Eugene
--
http://www.grosbein.net/papirosn.mp3
http://dadv.livejournal.com/2006/03/11/
--- slrn/1.0.2 (FreeBSD)

Victor Sudakov написал(а) к Eugene Grosbein в Jan 18 00:05:12 по местному времени:

Dear Eugene,

24 Jan 18 12:01, you wrote to me:

EG>>> Нет, я имел в виду не IP-шные ethernet-фреймы специального вида,
EG>>> которые вообще не коммутируются по сети, а ходят только с порта
EG>>> на порт, как [MR]STP BPDU.
VS>> Для таких мы специальное извращение делали:
VS>> https://victor-sudakov.dreamwidth.org/330817.html
VS>> Если кто скажет, что это можно было сделать проще, с
VS>> удовольствием послушаю как именно.

EG> Так как тебе нужно именно туннелировать всё, включая STP BPDU,
EG> то тебе как раз может и подойдет с недавних пор доступный на фре
EG> vxlan(4).

Если мне с физического интерфейса надо принять эти BPDU и передать дальше поверх IP, то чем мне vxlan облегчит задачу?

EG> А мне надо не туннелировать STP BPDU, а обеспечивать нормальную работу
EG> STP в кольцах, при этом STP BPDU как раз и не должны коммутироваться
EG> по сети.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Eugene Grosbein в Jan 18 20:26:46 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG>>> Сеть своя, шифровать не требуется. Но если бы требовалось,
EG>>> то IPSEC никто не отменял.
AK>> в этом случае ей и "географически разнесенной" быть незачем
EG> Есть зачем.
речь о том, что "если бы требовалось" - вполне себе возникает прямо в
географически никуда не разнесенной сети в одном крошечном офисе.
для винды при этом решение понятное, а для хрюникса только в теории и
как обычно, через задницу.

AK>> виндовая инфраструктура, как я подозреваю, вполне себе готова для работы
AK>> в сетях с тотальным ipsec все-со-всеми, с хрюниксами все как обычно.
EG> Зачем все-со-всеми то
затем, что если у тебя на самом деле есть что шифровать, чаще всего наиболее
интересно оно твоим собственным сотрудникам, да и не-сотрудникам проще найти
подход либо к ним, либо к твоему офису.

а вот магистрали шифровать - только если ты гугль. И против тебя играет nsa,
которой не только вообще интересен именно сырой траффик (доступы и управление
все равно прикрыты), но и есть чем его переваривать в мегаколичествах,
помимо технической возможности тырить.


> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Victor Sudakov в Jan 18 04:26:11 по местному времени:

26 янв. 2018, пятница, в 00:05 NOVT, Victor Sudakov написал(а):

EG>> Так как тебе нужно именно туннелировать всё, включая STP BPDU,
EG>> то тебе как раз может и подойдет с недавних пор доступный на фре
EG>> vxlan(4).
VS> Если мне с физического интерфейса надо принять эти BPDU и передать дальше
VS> поверх IP, то чем мне vxlan облегчит задачу?

vxlan же как раз и туннелирует ethernet-фреймы, принятые с физического
интерфейса.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Alex Korchmar в Jan 18 04:33:50 по местному времени:

25 янв. 2018, четверг, в 20:26 NOVT, Alex Korchmar написал(а):

EG>> Есть зачем.
AK> речь о том, что "если бы требовалось" - вполне себе возникает прямо в
AK> географически никуда не разнесенной сети в одном крошечном офисе.
AK> для винды при этом решение понятное, а для хрюникса только в теории и
AK> как обычно, через задницу.

Вообще никаких проблем. В крошечном офисе подымается PPPoE-сервер
с обязательным шифрованием и отменяется IPoE как класс в сегменте с сотрудниками.
Во влане с управлением коммутаторами, которые не умеют PPPoE
для менеджмента - SSН only.

EG>> Зачем все-со-всеми то
AK> затем, что если у тебя на самом деле есть что шифровать, чаще всего наиболее
AK> интересно оно твоим собственным сотрудникам,

Которые и так работают с этими данными в уже расшифрованном виде?

AK> да и не-сотрудникам проще найти подход либо к ним, либо к твоему офису.

Кто б ещё пускал не-сотрудников в помещение с такого сорта требованиями
к информационной безопасности.

Eugene
--- slrn/1.0.2 (FreeBSD)

Victor Sudakov написал(а) к Alex Korchmar в Jan 18 08:26:58 по местному времени:

Dear Alex,

25 Jan 18 20:26, Alex Korchmar wrote to Eugene Grosbein:

EG>>>> Сеть своя, шифровать не требуется. Но если бы требовалось,
EG>>>> то IPSEC никто не отменял.
AK>>> в этом случае ей и "географически разнесенной" быть незачем
EG>> Есть зачем.
AK> речь о том, что "если бы требовалось" - вполне себе возникает прямо в
AK> географически никуда не разнесенной сети в одном крошечном офисе.
AK> для винды при этом решение понятное, а для хрюникса только в теории и
AK> как обычно, через задницу.

AK>>> виндовая инфраструктура, как я подозреваю, вполне себе готова
AK>>> для работы в сетях с тотальным ipsec все-со-всеми, с хрюниксами
AK>>> все как обычно.
EG>> Зачем все-со-всеми то
AK> затем, что если у тебя на самом деле есть что шифровать, чаще всего
AK> наиболее интересно оно твоим собственным сотрудникам, да и
AK> не-сотрудникам проще найти подход либо к ним, либо к твоему офису.

Но при этом атака вряд ли будет заключаться в перехвате трафика локалки. Проще, как ты справедливо заметил, найти подход к сотрудникам и компам, у/на которых информация лежит.

Судя по тому, что а) тотальный transport-mode IPSec в виндовых локальных сетях включают нечасто, а б) VPN между удалёнными офисами шифровать обычно принято и описано в многочисленных учебниках, представленная тобой модель угроз если не спорная, то как минимум не единственная.

AK> а вот магистрали шифровать - только если ты гугль. И против тебя
AK> играет nsa, которой не только вообще интересен именно сырой траффик
AK> (доступы и управление все равно прикрыты), но и есть чем его
AK> переваривать в мегаколичествах, помимо технической возможности тырить.

Шифровать свой внешний трафик даже хотя бы слабым, оппортунистическим шифрованием IMНO уже полезно, от всяких транзитных любителей понарушать сетевой нейтралитет или что-нибудь пофильтровать. И эти любители - не обязательно ужасная NSA, а какой-нибудь говнопровайдер. Как я понимаю, общая тенденция в Интернете к тому и идёт.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Victor Sudakov написал(а) к Eugene Grosbein в Jan 18 09:14:20 по местному времени:

Dear Eugene,

26 Jan 18 04:26, you wrote to me:

EG>>> Так как тебе нужно именно туннелировать всё, включая STP BPDU,
EG>>> то тебе как раз может и подойдет с недавних пор доступный на фре
EG>>> vxlan(4).
VS>> Если мне с физического интерфейса надо принять эти BPDU и
VS>> передать дальше поверх IP, то чем мне vxlan облегчит задачу?

EG> vxlan же как раз и туннелирует ethernet-фреймы, принятые с физического
EG> интерфейса.

Это каким образом с физического, я не понимаю? Это же логический туннель наподобие gif(4) или gre(4), только с поддержкой Ethernet-овских топологий (в смысле эмулирует не point-to-point канал, а широковещательный сегмент).

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Victor Sudakov в Jan 18 09:03:42 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

AK>> затем, что если у тебя на самом деле есть что шифровать, чаще всего
AK>> наиболее интересно оно твоим собственным сотрудникам, да и
AK>> не-сотрудникам проще найти подход либо к ним, либо к твоему офису.
VS> Но при этом атака вряд ли будет заключаться в перехвате трафика локалки.
почему же нет? Подбросить тебе в розетку за столом мелкую платку, хер ты ее
найдешь.

VS> как ты справедливо заметил, найти подход к сотрудникам и компам,
к сотрудникам опасно - могут сдать или сами засыпаться, если на
самом деле разводить их на кражу данных, а вот напроситься на чай - вполне,
к компам не на один раз - тут у всех в общем есть всякие автоматические
средства контроля.
А вот автоматических средств контроля сетевой инфраструктуры (чтоб поднять
истошный вой если внезапно в розетку воткнули что-то лишнее) нет почти ни у
кого.

VS> Судя по тому, что а) тотальный transport-mode IPSec в виндовых локальных
VS> сетях включают нечасто, а б) VPN между удалёнными офисами шифровать обычно
VS> принято и описано в многочисленных учебниках,
можно сделать только один вывод - дерьмо эти учебники.

собственно, "учебник" "cisco trusted security" издан в 2010м году, только это
a) не учебник, а методичка страниц так на 500 b) не работает без жесткой связки
it с безопасниками и сетевым подразделением (а там, где это вообще можно
сделать, это разные подразделения) с) там длинный печальный список багов и
глюков в разных ios, лишь частично побежденный еще через год, более
современного статуса я просто не знаю.

VS> представленная тобой модель угроз если не
VS> спорная, то как минимум не единственная.
угу, угу - инженер какого-нибудь ростелекома (на заметку: на все что на
север и на запад от СПБ - такой инженер один. Как думаешь, дорожит он
своей работой?) спит и видит, как спереть и
подороже продать траффик конторки по торговле скрепками ее конкуренту.

VS> Шифровать свой внешний трафик даже хотя бы слабым, оппортунистическим
VS> шифрованием IMНO уже полезно, от всяких транзитных любителей понарушать
VS> сетевой нейтралитет или что-нибудь пофильтровать.
не поможет, а то и помешает.
То есть он непонятный ему мусор как раз и опустит в конец очереди.
Говнопровайдер с перегруженным каналом борется за сиськи и котиков, вот им
и даст приоритет.
А твой udp отправит туда, к торрентам, в random drop prob 90%
- "еще никто не пожаловался". Причем и нешифрованный тоже.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Eugene Grosbein в Jan 18 11:42:19 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

AK>> географически никуда не разнесенной сети в одном крошечном офисе.
AK>> для винды при этом решение понятное, а для хрюникса только в теории и
AK>> как обычно, через задницу.
EG> Вообще никаких проблем. В крошечном офисе подымается PPPoE-сервер
и храним все пароли плейнтекстом в удободоступном файлике в /etc, коноплев,
садись, пять.
При проломе вооон того пыльного ящика в углу шкафа со швабрами, по
недоразумению выполняющего роль серверной, вся секьюрить идет по женской
линии.

ну и я буду чиста поржать через твой pppoe сервер какую-нибудь копию баз 1C на
соседнюю машинку переливать часа два.
Отдельная история - чего и сколько обломится о неработу pmtud.

можно, конечно, все сделать и руками, и понадежнее, но количество траходрома и
неэффективность подобного решеньица с гонянием локального траффика через
анус скорее всего приведет к маханию на все рукой, а, хрен с ним, кому он
нужен, неуловимый джо.

EG> Которые и так работают с этими данными в уже расшифрованном виде?
эти может и не готовы разменять их на копейки левого дохода, да и знанием и
умением не обладают, а вот те, кому по должности не положено - могут и не
слишком дорожить своей работой и зарплатой.

AK>> да и не-сотрудникам проще найти подход либо к ним, либо к твоему офису.
EG> Кто б ещё пускал не-сотрудников в помещение с такого сорта требованиями
EG> к информационной безопасности.
какого "такого"? Банальная контора по торговлишке красками, имеющая пару не
шибко разборчивых в средствах конкурентов, и все три барахтаются на грани
ниасилить выплатить очередной товарный кредитец.


> Alex

--- ifmail v.2.15dev5.4