forum.opennet.ru

Составление сообщения

Исходное сообщение

"В ядро DragonFly BSD добавлена поддержка VPN WireGuard "
Отправлено User, 14-Фев-24 07:18

> Если коротко, то да. Когда циски и цитриксы своё добро клепали, никто
> толком не знал как оно вообще должно быть, и куда всё
> движется. Сделали то, что нужно было рынку сегодня. А дальше как
> и с любым продуктом — любое развитие возможно только если не
> шатать всё текущим клиентам. Но и эти постепенно их клиенты придут
> к тому, что ВПН это одно, а комплаенс — другое и не
> надо их смешивать.
Ну вот в жизни вышло строго наоборот. Вот прям на 180. К защищенной сети подключаются с устройств разных вендоров и сваливать все задачи на групповые политики от MS - как-то даже и смешно, да? А проверку соответствия требованиям - делать надо. И вот MS о каком-то "хренберри" может знать примерно "ничего", а производитель VPN-клиента для "хренберри" - определенно что-то да знает.
Опять же милые проблемы - чтобы получить данные этих самых групповых политик, описывающих требования к настройке надо - внезапно - подключиться до этого самого DC (Причем сильно не по одному порту\протоколу - тут тебе и лдапс, и керберос, и днс, и даже цифс - и все это потенциально ненадежному участнику коммуникации, ага). Тут конечно можно скрафтить какой RODC в DMZ к которому цепляемся через AO\SBL vpn (И так, в общем-то делают) - но то такоЭ, проще держать эти compliance policy на собственно VPN-сервере к которому ты один хрен, должен подключиться (или не подключаться - если не соответствуешь).
Ergo?
>[оверквотинг удален]
> Так не накренили же ведь. Потыкались в случайное ненужно и ушли не
> солоно хлебавши. И таки ты прав, SMB до лампочки что там
> в Окте произошло. Мне один бывший клиент отфорвардил то, что ему
> Окта прислала, я провёл все необходимые манипуляции, на следующий день счёт
> уже был оплачен. Вот и вся драма. Мой знакомый на зарплате
> у «большого энтерпрайза» сказал, что их этот инцидент аж на четыре
> дня затормозил, но у них и аккаунты тысячами исчисляются. Неприятно, конечно
> и убытки прямые (четыре дня люди с фонариками бегают и плесневелые
> токены ищут!), на то и щука в реке, чтобы карась не
> дремал. Заодно инвентаризацию провели, говорит.
Ну да - два уровня безопасности - "high" и "нехай..." - тут и VPN-то по большому счету хрен пойми зачем.

Исходное сообщение
"В ядро DragonFly BSD добавлена поддержка VPN WireGuard " Отправлено User, 14-Фев-24 07:18
> Если коротко, то да. Когда циски и цитриксы своё добро клепали, никто > толком не знал как оно вообще должно быть, и куда всё > движется. Сделали то, что нужно было рынку сегодня. А дальше как > и с любым продуктом — любое развитие возможно только если не > шатать всё текущим клиентам. Но и эти постепенно их клиенты придут > к тому, что ВПН это одно, а комплаенс — другое и не > надо их смешивать. Ну вот в жизни вышло строго наоборот. Вот прям на 180. К защищенной сети подключаются с устройств разных вендоров и сваливать все задачи на групповые политики от MS - как-то даже и смешно, да? А проверку соответствия требованиям - делать надо. И вот MS о каком-то "хренберри" может знать примерно "ничего", а производитель VPN-клиента для "хренберри" - определенно что-то да знает. Опять же милые проблемы - чтобы получить данные этих самых групповых политик, описывающих требования к настройке надо - внезапно - подключиться до этого самого DC (Причем сильно не по одному порту\протоколу - тут тебе и лдапс, и керберос, и днс, и даже цифс - и все это потенциально ненадежному участнику коммуникации, ага). Тут конечно можно скрафтить какой RODC в DMZ к которому цепляемся через AO\SBL vpn (И так, в общем-то делают) - но то такоЭ, проще держать эти compliance policy на собственно VPN-сервере к которому ты один хрен, должен подключиться (или не подключаться - если не соответствуешь). Ergo? >[оверквотинг удален] > Так не накренили же ведь. Потыкались в случайное ненужно и ушли не > солоно хлебавши. И таки ты прав, SMB до лампочки что там > в Окте произошло. Мне один бывший клиент отфорвардил то, что ему > Окта прислала, я провёл все необходимые манипуляции, на следующий день счёт > уже был оплачен. Вот и вся драма. Мой знакомый на зарплате > у «большого энтерпрайза» сказал, что их этот инцидент аж на четыре > дня затормозил, но у них и аккаунты тысячами исчисляются. Неприятно, конечно > и убытки прямые (четыре дня люди с фонариками бегают и плесневелые > токены ищут!), на то и щука в реке, чтобы карась не > дремал. Заодно инвентаризацию провели, говорит. Ну да - два уровня безопасности - "high" и "нехай..." - тут и VPN-то по большому счету хрен пойми зачем.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру