есть способ проще (использует, например, VMware для vSphere) — PowerBroker Identity Services (PBIS)
очень удобная утилита. GSSAPI — SMB все прикручивается практически нативно…
а как решаете вопрос с требованиями PCI DSS к ДДК? правильно ли я понимаю — разработчики в любой момент времени получают доступ к расшифрованным копиям всех таблиц, всей БД? не ловили случайных блокировок на боевой копии БД(у вас RAC?) при синхронизации\выгрузке из нее в Dev среду?
это у вас еще, наверное, баз данных нет, в которых cardholder data… аудит транзакций — анализаторы логов «пухнут» от нагрузки :(
аудит аудита…
3 раза PCI DSS — ну его к монахам
если какой либо из коммутаторов выходит из строя, теряем и одного из провайдеров…
а как быть с публикациями каких-либо сервисов (NAT)? публикуете на IP ISP1 & ISP2? или у вас PI есть?
у нас безопасник настроил OSSIM (парсит логи ASA, которые ему пересылаются syslog-ом) грамотно:
On 2017-01-23 05:18:10 (UTC time) user dmitriy.budylin connected to prd environment via AnyConnect VPN from 93.хх.20.х2 as a member of GroupPolicy_AnyConnect_ADMINS access group
User: dmitriy.хххlin
Src: 93.хх.20.х2 — #внешний IP клиента
Group: GroupPolicy_AnyConnect_ADMINS
хороший пример шейпера для ISR Вы привели, а есть у кого-нибудь для Cisco ASA? и желательно для туннеля IPSec (cryptomap based VPN)?
что-то типа такого:
По поводу ICMP появилась не плохая идея. Нет ли у вас ассиметричной маршрутизации? Может быть ICMP echo отправляются в сторону LAN через один интерфейс, а возвращаются через другой?
ну я тоже так думаю (для сети 10.xx.111.0\24 настроен PAT через интерфейс ISP1), для клиентов VPN AnyConnect шлюз не подменяется, а добавляется маршрут только к сети 10.xx.111.0\24 — то есть к туннель идет не весь трафик, а только выбранный (когда весь туда льешь таких проблем нет) — но может есть решение :(?
«Используется ли у вас выделенный Management-интерфейс на ASA?» — используется для модуля FirePower
было включено inspect icmp, включил inspect icmp error
на счет sysopt connection permit-vpn — стыдно признаться, — для чего это? без нее работал AnyConnect VPN как и IPSec Site-to-Site…
10.x.181.4 это виртуальный адрес HSRP, но такие же сообщения получаем и по виртуальным IP в кластерах VRRP (Keepalived) :(
по второму вот более показательный пример:
4 Jan 19 2017 10:20:58 Denied ICMP type=0, from laddr 10.xx.111.11 on interface prod-infra to 10.11.12.7: no matching session
в данном случае сеть 10.11.12.0\24 — клиенты AnyConnect VPN, у которых шлюз остается прежним и добавляется маршрут только к сети 10.xx.111.0\24 (соотв. для этой сети адреса из 10.11.12.0\24 стучаться с внешнего интерфейса)… не работает только ICMP :(
подскажите, пожалуйста, — сильный флуд на ASA из-за VRRP (Keepalived) & HSRP, вот такого плана сообщения:
4 Jan 18 2017 18:42:18 Received ARP response collision from 10.x.181.4/70ca.xxe5.dd4a on interface VLAN6 with existing ARP entry 10.x.181.4/70ca.xxe5.d16a
как исправить? оно конечно жить особо не мешает, просто лог забивает :(
а еще если подскажите — буду очень признателен! вот такие сообщения:
4 Jan 18 2017 18:37:25 No matching connection for ICMP error message: icmp src VLAN32:10.xx.32.52 dst VLAN111:10.xx.111.15 (type 3, code 3) on VLAN32 interface. Original IP payload: udp src 10.xx.111.15/53 dst 10.xx.32.52/54874.
и как мне кажется поэтому не работает пинг из удаленных сетей через Site-toSite VPN :( (там начинается сообщение No matching session… )
очень удобная утилита. GSSAPI — SMB все прикручивается практически нативно…
аудит аудита…
3 раза PCI DSS — ну его к монахам
а как быть с публикациями каких-либо сервисов (NAT)? публикуете на IP ISP1 & ISP2? или у вас PI есть?
P.S. postfix check выдает
— простите, если туплю, но дальше то что? подготовили мы файл с конфигурацией — куда его сохранять и как, собственно, сам тест запустить?! :(
что-то типа такого:
будет работать?! где 10.30.0.0 255.255.0.0 — сети доступные через VPN Site-to-Site
«Используется ли у вас выделенный Management-интерфейс на ASA?» — используется для модуля FirePower
на счет sysopt connection permit-vpn — стыдно признаться, — для чего это? без нее работал AnyConnect VPN как и IPSec Site-to-Site…
по второму вот более показательный пример:
в данном случае сеть 10.11.12.0\24 — клиенты AnyConnect VPN, у которых шлюз остается прежним и добавляется маршрут только к сети 10.xx.111.0\24 (соотв. для этой сети адреса из 10.11.12.0\24 стучаться с внешнего интерфейса)… не работает только ICMP :(
как исправить? оно конечно жить особо не мешает, просто лог забивает :(
а еще если подскажите — буду очень признателен! вот такие сообщения:
и как мне кажется поэтому не работает пинг из удаленных сетей через Site-toSite VPN :( (там начинается сообщение No matching session… )