кстати, про virtualbox //Re: dependency hell

Eugene Grosbein написал(а) к Alex Korchmar в Jan 18 17:38:24 по местному времени:

26 янв. 2018, пятница, в 11:42 NOVT, Alex Korchmar написал(а):

AK>>> географически никуда не разнесенной сети в одном крошечном офисе.
AK>>> для винды при этом решение понятное, а для хрюникса только в теории и
AK>>> как обычно, через задницу.
EG>> Вообще никаких проблем. В крошечном офисе подымается PPPoE-сервер
AK> и храним все пароли плейнтекстом в удободоступном файлике в /etc, коноплев,
AK> садись, пять.

Хочешь плейнтекстом - храни плейнтекстом. Хочешь сертификатами/ключевыми
парами - храни сертификаты. mpd5 всё это умеет, в том числе общаться
с радиус-сервером на предмет сертификатов.

AK> ну и я буду чиста поржать через твой pppoe сервер какую-нибудь копию баз 1C на
AK> соседнюю машинку переливать часа два.

Да прям. В случае mpd5 трафик PPPoE роутится внутри ядра, не выходя на
уровень userland и роутится весьма эффективно, два гигабита крупными
пакетами отроутить на стареньком сервере восьмилетней давности -
как два пальца, лишь бы сетевые были не Realtek, а хотя бы древние Intel,
умеющие группировку прерываний.

AK> Отдельная история - чего и сколько обломится о неработу pmtud.

С добрым утром. Существует как минимум три способа не иметь проблем с pmtud
на PPPoE, и все работают с mpd5: TCP mssfix (но только для TCP-трафика),
либо mtu=1500 на ng0 за счёт PPP Multilink/MRRU, либо mtu=1500 за счёт RFC 4638,
когда свичи пропускают пакеты с payload >= 1504.

AK>>> да и не-сотрудникам проще найти подход либо к ним, либо к твоему офису.
EG>> Кто б ещё пускал не-сотрудников в помещение с такого сорта требованиями
EG>> к информационной безопасности.
AK> какого "такого"? Банальная контора по торговлишке красками, имеющая пару не
AK> шибко разборчивых в средствах конкурентов, и все три барахтаются на грани
AK> ниасилить выплатить очередной товарный кредитец.

Для таких нешифрованный трафик в локалке - проблема десятого плана.

Eugene
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Victor Sudakov в Jan 18 17:40:37 по местному времени:

26 янв. 2018, пятница, в 09:14 NOVT, Victor Sudakov написал(а):

EG>>>> Так как тебе нужно именно туннелировать всё, включая STP BPDU,
EG>>>> то тебе как раз может и подойдет с недавних пор доступный на фре
EG>>>> vxlan(4).
VS>>> Если мне с физического интерфейса надо принять эти BPDU и
VS>>> передать дальше поверх IP, то чем мне vxlan облегчит задачу?
EG>> vxlan же как раз и туннелирует ethernet-фреймы, принятые с физического
EG>> интерфейса.
VS> Это каким образом с физического, я не понимаю? Это же логический туннель
VS> наподобие gif(4) или gre(4), только с поддержкой Ethernet-овских топологий (в
VS> смысле эмулирует не point-to-point канал, а широковещательный сегмент).

В логический туннель уходят данные, полученные из физического линка же.
Оттуда и STP BPDU приходят.

Eugene
--
А ученый уподобляется обученному слону, которого погонщик поставил перед
преградой. Он пользуется силой разума, как слон --- силой мышц, подчиняясь
приказу. Это необычайно удобно: ученый отныне готов на все, так как ни за
что уже не отвечает.
--- slrn/1.0.2 (FreeBSD)

Victor Sudakov написал(а) к Eugene Grosbein в Jan 18 21:45:28 по местному времени:

Dear Eugene,

26 Jan 18 17:40, you wrote to me:

EG>>>>> Так как тебе нужно именно туннелировать всё, включая STP BPDU,
EG>>>>> то тебе как раз может и подойдет с недавних пор доступный на
EG>>>>> фре vxlan(4).
VS>>>> Если мне с физического интерфейса надо принять эти BPDU и
VS>>>> передать дальше поверх IP, то чем мне vxlan облегчит задачу?
EG>>> vxlan же как раз и туннелирует ethernet-фреймы, принятые с
EG>>> физического интерфейса.
VS>> Это каким образом с физического, я не понимаю? Это же логический
VS>> туннель наподобие gif(4) или gre(4), только с поддержкой
VS>> Ethernet-овских топологий (в смысле эмулирует не point-to-point
VS>> канал, а широковещательный сегмент).

EG> В логический туннель уходят данные, полученные из физического линка
EG> же.

Через IP маршрутизацию между физической сетевухой и виртуальным интерфейсом. Потому что как еще?

EG> Оттуда и STP BPDU приходят.


Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Victor Sudakov написал(а) к Alex Korchmar в Jan 18 22:35:46 по местному времени:

Dear Alex,

26 Jan 18 09:03, Alex Korchmar wrote to me:

AK>>> затем, что если у тебя на самом деле есть что шифровать, чаще
AK>>> всего наиболее интересно оно твоим собственным сотрудникам, да и
AK>>> не-сотрудникам проще найти подход либо к ним, либо к твоему
AK>>> офису.
VS>> Но при этом атака вряд ли будет заключаться в перехвате трафика
VS>> локалки.
AK> почему же нет? Подбросить тебе в розетку за столом мелкую платку, хер
AK> ты ее найдешь.

По-моему это какой-то movie-plot threat, как выразился бы Шнайер. Т.е. в шпионском фильме выглядит мощно, а на практике встречается ли?

VS>> как ты справедливо заметил, найти подход к сотрудникам и компам,
AK> к сотрудникам опасно - могут сдать или сами засыпаться, если на
AK> самом деле разводить их на кражу данных, а вот напроситься на чай -
AK> вполне, к компам не на один раз - тут у всех в общем есть всякие
AK> автоматические средства контроля. А вот автоматических средств
AK> контроля сетевой инфраструктуры (чтоб поднять истошный вой если
AK> внезапно в розетку воткнули что-то лишнее) нет почти ни у кого.

Видимо потому что реально оценивают риски. Вот в случае Wifi риск несанкционированного подключения к сети реальный, так и отношение другое.

VS>> Судя по тому, что а) тотальный transport-mode IPSec в виндовых
VS>> локальных сетях включают нечасто, а б) VPN между удалёнными
VS>> офисами шифровать обычно принято и описано в многочисленных
VS>> учебниках,
AK> можно сделать только один вывод - дерьмо эти учебники.

AK> собственно, "учебник" "cisco trusted security" издан в 2010м году,
AK> только это a) не учебник, а методичка страниц так на 500 b) не
AK> работает без жесткой связки it с безопасниками и сетевым
AK> подразделением (а там, где это вообще можно сделать, это разные
AK> подразделения) с) там длинный печальный список багов и глюков в разных
AK> ios, лишь частично побежденный еще через год, более современного
AK> статуса я просто не знаю.

"Но других ведь нет"

VS>> представленная тобой модель угроз если не
VS>> спорная, то как минимум не единственная.
AK> угу, угу - инженер какого-нибудь ростелекома (на заметку: на все что
AK> на север и на запад от СПБ - такой инженер один. Как думаешь,
AK> дорожит он своей работой?) спит и видит, как спереть и подороже
AK> продать траффик конторки по торговле скрепками ее конкуренту.

VS>> Шифровать свой внешний трафик даже хотя бы слабым,
VS>> оппортунистическим шифрованием IMНO уже полезно, от всяких
VS>> транзитных любителей понарушать сетевой нейтралитет или что-нибудь
VS>> пофильтровать.
AK> не поможет, а то и помешает.
AK> То есть он непонятный ему мусор как раз и опустит в конец очереди.
AK> Говнопровайдер с перегруженным каналом борется за сиськи и котиков,
AK> вот им и даст приоритет.

Сиськи и котики нынче все передаются внутри https, внутрь особо не заглянешь, разве что приоритизировать по IP серверов ютюба и порнхаба, если сможешь.

AK> А твой udp отправит туда, к торрентам, в
AK> random drop prob 90% - "еще никто не пожаловался". Причем и
AK> нешифрованный тоже.

Конечно никто и не пожаловался, просто ногами проголосуют от такого говнопровайдера, у которого плохо качаются торренты и лагают онлайн-игрушки и скайп, потому что говнопровайдер отправил в random drop prob 90% всё кроме того, что показалось ему котиками.

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Alex Korchmar написал(а) к Eugene Grosbein в Jan 18 19:14:35 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG> Да прям. В случае mpd5 трафик PPPoE роутится внутри ядра, не выходя на
EG> уровень userland и роутится весьма эффективно, два гигабита крупными
EG> пакетами отроутить на стареньком сервере восьмилетней давности -
EG> как два пальца, лишь бы сетевые были не Realtek, а хотя бы древние Intel,
я вот больше верю в сервер поновее, чем в то что там будет что-то лучшее
реалтеков. Особенно нонеча, когда купить недревний интел не на все деньги
не так уж и просто.

AK>> Отдельная история - чего и сколько обломится о неработу pmtud.
EG> С добрым утром. Существует как минимум три способа не иметь проблем с pmtud
и все они кривые. угу.

EG> Для таких нешифрованный трафик в локалке - проблема десятого плана.
но как и предыдущие девять - вполне может в одночасье закончить их
бренное существование. Решать ее твоим методом - ставить
специально-сервер, бороться за mtu, производительность, сам этот
отдельно-сервер обслуживать (а если еще его связку с радиусом, да с
авторизацией через, хотя бы, AD) - действительно, слишком дорогое
для них удовольствие.
Один раз силами приходящего админа наладить тотальный ipsec (при условии что
это винда и не надо бегать по всем рабочим местам) - вполне себе простое
действие. И защищает довольно от многого, в том числе и при росте конторы
экстенсивным путем.


> Alex

--- ifmail v.2.15dev5.4

Alex Korchmar написал(а) к Victor Sudakov в Jan 18 20:00:37 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:

AK>> почему же нет? Подбросить тебе в розетку за столом мелкую платку, хер
AK>> ты ее найдешь.
VS> По-моему это какой-то movie-plot threat, как выразился бы Шнайер. Т.е. в
я тебе такое сделаю за пятнадцать минут. Ок, еще две недели на заказать на али
и довезти сюда.

VS> Видимо потому что реально оценивают риски. Вот в случае Wifi риск
VS> несанкционированного подключения к сети реальный, так и отношение другое.
там не отношение другое, отношение то же самое, там клавиатурные привычки
горе-админов другие, потому что начитались детских страшилок. До взрослых,
кстати, не дочитали, а там все в общем совсем плохо - женина идея
с ppp (только уже pptp) не выглядит в данном случае совсем уж неправильной.

Про собственные проводные сети их просто забыли в детстве напугать. Зато вот
только что мы тут видели панического бояку злого и страшного провайдера.
(я, кстати, затрахаюсь у себя что-то тырить. Допуск на объекты есть только
у людей, которые в силу специфических талантов ничего стырить не могут, у меня
нету. Пробросить span через всю сеть куда-то где можно его ныкать это такое
палево, что из трех разных мест спросят, не о...ел ли я, случайно. И в
свободные порты, в отличие от айтишных, хоть обвтыкайся.)

VS> "Но других ведь нет"
я же сказал, есть. Работает, по крайней мере, в небольших сетках. В больших
не пробовал, поскольку не я там рулил.
Наверное, в какой-то момент охренеет от числа возможных ключевых пар, но
это хорошо бы видеть глазами.

VS> Сиськи и котики нынче все передаются внутри https, внутрь особо не
VS> заглянешь,
нынче внутрь особо глубоко и незачем заглядывать - идиоты, изобретшие
(высосавшие из пальца совершенно ненужное) SNI, позаботились свести всю
безопасность нынешнего https к х...ю.
Но даже и без этого твой udp мелкими блочками - в пролете.

VS> Конечно никто и не пожаловался, просто ногами проголосуют от такого
сказочник.


> Alex

--- ifmail v.2.15dev5.4

Andrey Ostanovsky написал(а) к Alex Korchmar в Jan 18 13:31:48 по местному времени:

Нello Alex!

24 Jan 18 23:24, you wrote to me:

AK> магистральному провайдеру нахрен не сдалось твое содержимое, у него
AK> своих бед хватает.

Фишка в том, что когда к магистралу придет письмо определенного содержания - он не будет сообщать клиенту о том, что на его канал установлена "прослушка". То есть, нужны очень хорошие связи, чтобы сообщили... А так - да, магистралу оно нафиг не надо.

AK> а шифровать собственные vpls-линки - это додуматься надо (гугль,
AK> правда, додумался, но у него ОЧЕНЬ много денег)

Гугль просто смотрит вперед дальше тебя. :)

AK> причем придумывают такую херню обычно лохи, которым ничего не стоит
AK> подбросить прямо в локальную сеть офиса троянскую машинку, которую они
AK> вообще никогда не найдут, потому что и не ищут, и не умеют.

Это - разные вещи: информация, которая ходит по каналам, далеко не всегда доступна "троянской машине" в офисе, да и для судебных разбирательств - это будут "не совсем достоверные данные", в отличие от логов провайдера.

Andrey

--- GoldED+/BSD 1.1.5-b20070503

Alex Korchmar написал(а) к Andrey Ostanovsky в Jan 18 15:27:51 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Andrey Ostanovsky <Andrey.Ostanovsky@f1957.n5030.z2.fidonet.org> wrote:

AK>> магистральному провайдеру нахрен не сдалось твое содержимое, у него
AK>> своих бед хватает.
AO> Фишка в том, что когда к магистралу придет письмо определенного
AO> содержания - он не будет сообщать клиенту о том, что на его
малыш, ты живешь в плену каких-то совершенно больных фантазий.

Письмо уже пришло. В 2002м году, за подписью одного пидора, которого недавно
в монте-карле дохлым нашли с чьим-то %$ем в жопе. Никакого другого письма не
придет.
Но если твоя контора вздумает сыграть против ФСБ - очень не хотелось
бы тебя огорчать, но первым делом они прищемят яйца дверью - тебе,
и даже не будут спрашивать (и тем более искать, хз как и где) у
какого именно из тысяч провайдеров и под каким юрлицом проходит
твой договор и где там твои линки (и настолько ли ты глуп, чтобы передавать по
ним что-то важное, хоть с шифрованием, хоть без). Они так работают.
И никаких писем - разьве что тебя самого заставят кое-что написать,
добровольно и с песней. Правда, я, честно, не знаю, каким надо быть идиотом,
чтобы в такое вляпаться. И почему тогда ты еще у них не работаешь ;-)

AO> Гугль просто смотрит вперед дальше тебя. :)
гугль просто не хочет отдавать спецслужбам информацию, которую те могли бы
у него купить.
Для него это прямая потеря денег. И да, они их клиент с далекого 2003го года,
если верить одному неудачливому шпиону. Но покупают не данные гугля, а твои.
При этом у гугля есть и деньги, и возможности - у тебя такого в помине нет.

AO> Это - разные вещи: информация, которая ходит по каналам, далеко не всегда
AO> доступна "троянской машине" в офисе,
конечно, она ж из воздуха взялась.

AO> да и для судебных разбирательств - это
AO> будут "не совсем достоверные данные", в отличие от логов провайдера.
нет у провайдера никаких логов. И они не нужны.

> Alex

--- ifmail v.2.15dev5.4

Eugene Grosbein написал(а) к Victor Sudakov в Jan 18 21:23:48 по местному времени:

26 янв. 2018, пятница, в 21:45 NOVT, Victor Sudakov написал(а):

EG>>>>>> Так как тебе нужно именно туннелировать всё, включая STP BPDU,
EG>>>>>> то тебе как раз может и подойдет с недавних пор доступный на
EG>>>>>> фре vxlan(4).
VS>>>>> Если мне с физического интерфейса надо принять эти BPDU и
VS>>>>> передать дальше поверх IP, то чем мне vxlan облегчит задачу?
EG>>>> vxlan же как раз и туннелирует ethernet-фреймы, принятые с
EG>>>> физического интерфейса.
VS>>> Это каким образом с физического, я не понимаю? Это же логический
VS>>> туннель наподобие gif(4) или gre(4), только с поддержкой
VS>>> Ethernet-овских топологий (в смысле эмулирует не point-to-point
VS>>> канал, а широковещательный сегмент).
EG>> В логический туннель уходят данные, полученные из физического линка
EG>> же.
VS> Через IP маршрутизацию между физической сетевухой и виртуальным интерфейсом.
VS> Потому что как еще?

Можно и без маршрутизации, через if_bridge. Собственно, только так
я и тестировал и именно в этом виде сорцы нуждаются в напильнике.

Eugene
--
Сердце - малочувствительный, мускулистый, грубый и жесткий орган.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Alex Korchmar в Jan 18 21:39:28 по местному времени:

26 янв. 2018, пятница, в 19:14 NOVT, Alex Korchmar написал(а):

AK>>> Отдельная история - чего и сколько обломится о неработу pmtud.
EG>> С добрым утром. Существует как минимум три способа не иметь проблем с pmtud
AK> и все они кривые. угу.

А что у нас прямое? Работает, а больше ничего и не требуется,
и в последнюю очередь - архитектурной красоты в потоке битов.

Я, кстати, тестировал все три варианта, а постоянно и активно с PPPoE
использую первые два. Вот прям это пишу через PPPoE/ng0 с mtu=1500.

EG>> Для таких нешифрованный трафик в локалке - проблема десятого плана.
AK> но как и предыдущие девять - вполне может в одночасье закончить их
AK> бренное существование.

Что угодно может в одночасье закончить их бренное существование,
начиная с посадки или исчезновения (в Чехию в лучшем случае) хозяина.

AK> Решать ее твоим методом - ставить
AK> специально-сервер, бороться за mtu, производительность, сам этот
AK> отдельно-сервер обслуживать (а если еще его связку с радиусом, да с
AK> авторизацией через, хотя бы, AD) - действительно, слишком дорогое
AK> для них удовольствие.
AK> Один раз силами приходящего админа наладить тотальный ipsec (при условии что
AK> это винда и не надо бегать по всем рабочим местам) - вполне себе простое
AK> действие. И защищает довольно от многого, в том числе и при росте конторы
AK> экстенсивным путем.

Всё это - теория, включая "всё - винда" (и wifi в офисе нету с iOS,
и макбуков, и сетевых принтеров) и тотальный PPPoE тоже теория.

А практика это DНCP в плоской сети и никакого шифрования.

И при современных недорогих свичах и прямых руках твоя хрень с алиэкспресса
пойдет лесом, и настроить так тоже можно один раз "силами
приходящего админа", только вот квалификация у такого админа должна быть
уровня сетевого инженера некрупного оператора связи последней мили
с практикой сегментации и изоляции пользователей элементарными
(читай: недорогими) средствами, при том что с точки зрения пользовательского
железа имеется якобы просто плоская сеть /двадцатьслишним.

Eugene
--
Устав от вечных упований,
Устав от радостных пиров
--- slrn/1.0.2 (FreeBSD)