Похоже на digest аутентификацию, где в качестве nonces — время. Только nonces еще надо перехватить, этому может препятствовать защищенное соединение. А время — оно всем известно. Это к тому, что если будет перехвачено множество атунтификаций для анализа, одна из составляющих — время, будет известно.
В одной очень не маленькой сети одного очень не маленького холдинга на inspect так обожглись, что больше не страдают этой фигней. Оно красиво… в теории. Раз прикладной протокол «порвало» этим инспектом, два, три… на четвертый это людям надоело.
В случае, когда вместе с секретом используется последовательный номер звонка (пример из статьи) — этот номер не известен никому, кроме Боба и Алисы. Когда мы эту неизвестную заменяем временем, причем синхронизированным с общедоступным и точным источником, у нас одна из составляющих становится известной, причем в любой момент времени? Или я чего-то не понимаю. Если мы каким-то образом узнали секрет, какие проблемы будут со временем, тем более с точным, а не каким-то нашим, экслюзивно-неточным, но общим для Боба и Алисы (сервера и клиента).
Кроме log есть еще log-input, когда асл один на многих интерфейсах, что бы понимать, на каком интерфейсе правило сработало. Еще можно метить произвольным текстом
WORD User defined cookie (max of 64 char)
Облегчает парсинг, что бы регекспом не выбирать по сложному условию на коллекторе логов (а правило может быть достаточно широким), можно искать по ключевому слову, которым метится строка правила.
Провел эксперимент (что называется на коленке), в котором роль посредника (хоста3) взял на себя, т. е. по указанному алгоритму «подглядел» снифером нужные величины и вбил их в соотв. скрипты. Первый «пробой» симметричного НАТ-а (в сторону оператора мобильной связи) произошел через 8 часов после начала перебора (скорость перебора со сменой порта источника за НАТ устройством была обеспечена в 5 пакетов в секунду с помощью специфичных настроек UDP-генератора). Факт пробоя зафиксировался на сером ип хоста с 3G модемом. С наступлением ночи пробои участились, следующий был через 3 часа, еще два с разницей в час.
Про слакваритс-кувалдист vs «изучил инструкцию-наладил связь с техподдержкой-правильно разруливаю стрелки-умею заставить выпустить официальный патч производителя».
Я вот тоже задавался вопросом целесообразности. Ну ладно там — миграция на время обслуживания гипервизоров или еще там какие подобные вещи. Но ЦОДы разделенные WAN или чем-то похожим — это как правило катастрофоустойчивость, по логике. Пожар там, терракт, обрушение здания. Там мигрировать будет поздно. Значит нужен другой подход, постоянная готовность в ЦОДе 2 и изначальный дизайн всех систем, на это рассчитанный. Другой вопрос, что не для всех сервисов все так просто. Но с другой стороны. Если реально происходит катастрофа уровня «ЦОД погребен под обломками» нереальными понтами выглядит ситуация, что кто-то, начиная от юзеров и кончая вип-руководством останется недоволен, что переход произошел не совсем бесшовно. Типа там сеессия отвалилась, из приложения ненадолго выкинуло. Да даже если админу вручную придется стартовать виртуалки (при улосвии актуальных за счет постоянной синхронизации данных на СХД).
В конце доклада есть про VXLAN. В этом, имхо, у автора статьи, дискутирующего с вами так рьяно или непонимание или целенаправленное забалтывание вопроса. В каком-то смысле его возглас "чего стоит одна только фантасмагория об отказе с помощью vxlan, stt и uRPF от L2 в ЦОД!" оправдан, если смотреть на вопрос совсем уж общё (но вы этого смысла и не вкладывали, что он, возможно честно, не понимает). А если по существу — то весь вопрос в границе L2. В презенташке видно, что граница по Nexus 1000V проходит. Значит L2 не выходит за границы логических/программных сетей VM. Конечно, раз всяким там vMotion L2 надо, совсем не быть его не может, но в данном случае он (L2) виртуализуется.
Правильно ли я понял, что VXLAN — это тунель, точка терминации которого — гипервизор и/или его виртуальная инфраструктура, что позволяет на реальном сетевом железе ЦОДа минимизировать L2, другие же варианты — тоже тунели, но от границ реальной сети ЦОДа, которая при этом вынуждена быть L2?
А можно глупый вопрос. Не холивара ради, а для прояснения.
Вы вот говорили, что L2 через тунели не суть, главное что это L2 и для упрощения картинки это можно представить просто 802.1Q транком или QinQ на худой конец для большей приближенности к реалиям операторского эзернета в масштабах города, например.
Это понятно.
А почему VXLAN чем-то выделяется из этих способов, ведь это просто один из вариантов тунеля, виртуальный патчкорт будет сделан немного по-другому, но это будет все тот же L2, просто по-другому обернутый. Или я что-то недопонимаю?
Надо делать так, как гласит корпоративная политика. Если ее нет — предложить написать и высказать свои соображения. Там где я работаю, политика есть и очень жесткая. Создана не на уровне филиала, где тружусь, а на уровне холдинга. По ней лучше вообще от инета на рабочем месте отказаться. Есть ли технические меры для ее блюдения? В разных филиалах по-разному, чаще нет, чем есть. Соблюдается ли по факту? Почти нигде. Зато, если к челу появляются претензии (любые), берется стата его трафика, открыается нужный пункт политики, человека спрашивают, подписывал? А не исполняешь почему? Да еще злостно? Хороший инструмент прихватить кого угодно.
1. Человек — это звучит. Просто звучит. Поэтому, имхо, в отношении к работе надо разделять лове и лайк. Когда к работе лове — это слишком. У человека опасная шкала жизненных ценностей, в разведку с ним идти не стоит. «Персональное технобожество» может захотеть жертв (в самом широком смысле слова). И скорей всего захочет, уж поверьте. Это как с ружьем на сцене, когда-нибудь обязательно выстрелит.
Когда лайк — это нормально.
2. Человек существо изменчивое. Сегодня не может — завтра сможет. Сегодня не способен — завтра способен. И наоборот. Почему я отдал предпочтение в посте выше другому типу работников? Они умеют базировать свои поступки на чем-то, что они ставят выше себя, упомянул чувтсво долга, трудовую этику. Вопрос не во вдохновении, они вообще могут разлюбить свою спецуху и разочароваться во многом по жизни, но эти парни считают, что если им платят деньги, это их к чему-то да обязывает. Они может и не гении и может не все на своем месте, как влитые, зато они надежней, на них легче положиться. Задумайтесь. Все эти — да я просто уже не могу иначе, это у меня в крови и прочее — результат того, что человек себя самого ставит мерилом и точкой отсчета. Попрочный круг. Завтра у вас просто может голова будет раскалываться или в жизни что-случится (не дай Бог). И вы пошлете все лесом, а человек с более высокой мотивацией (потому что она вне его), превозможет обстоятельства и сделает, что считает должным. Может быть, он даже потом скажет в супер-мега-гипер шикбокм интервью, немного робея — да я че, я просто отрабатывал свой хлеб, че такого я сделал…
WORD User defined cookie (max of 64 char)
Облегчает парсинг, что бы регекспом не выбирать по сложному условию на коллекторе логов (а правило может быть достаточно широким), можно искать по ключевому слову, которым метится строка правила.
yourcmc.ru/wiki/%D0%9F%D1%80%D0%B5%D0%BE%D0%B4%D0%BE%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%B1%D0%B0%D1%80%D1%8C%D0%B5%D1%80%D0%B0_%D0%B8%D0%B7_%D0%B4%D0%B2%D1%83%D1%85_%D1%81%D0%B8%D0%BC%D0%BC%D0%B5%D1%82%D1%80%D0%B8%D1%87%D0%BD%D1%8B%D1%85_NAT
Про слакваритс-кувалдист vs «изучил инструкцию-наладил связь с техподдержкой-правильно разруливаю стрелки-умею заставить выпустить официальный патч производителя».
www.cisco.com/web/UA/virtualization/downloads/1-2_Virtual_Network_vForum_2012_vpodkory.pdf
В конце доклада есть про VXLAN. В этом, имхо, у автора статьи, дискутирующего с вами так рьяно или непонимание или целенаправленное забалтывание вопроса. В каком-то смысле его возглас "чего стоит одна только фантасмагория об отказе с помощью vxlan, stt и uRPF от L2 в ЦОД!" оправдан, если смотреть на вопрос совсем уж общё (но вы этого смысла и не вкладывали, что он, возможно честно, не понимает). А если по существу — то весь вопрос в границе L2. В презенташке видно, что граница по Nexus 1000V проходит. Значит L2 не выходит за границы логических/программных сетей VM. Конечно, раз всяким там vMotion L2 надо, совсем не быть его не может, но в данном случае он (L2) виртуализуется.
Пепельняк, это который автор вот этой презенташки (на обсуждаемую тему, кстать)
ripe64.ripe.net/presentations/20-Cloud_Networking_%E2%80%93_From_Theory_to_Practice_%28RIPE%29.pdf
Вы вот говорили, что L2 через тунели не суть, главное что это L2 и для упрощения картинки это можно представить просто 802.1Q транком или QinQ на худой конец для большей приближенности к реалиям операторского эзернета в масштабах города, например.
Это понятно.
А почему VXLAN чем-то выделяется из этих способов, ведь это просто один из вариантов тунеля, виртуальный патчкорт будет сделан немного по-другому, но это будет все тот же L2, просто по-другому обернутый. Или я что-то недопонимаю?
Навроде вот этого www.opennet.ru/base/cisco/catalyst_ip_unnumber.txt.html
Когда лайк — это нормально.
2. Человек существо изменчивое. Сегодня не может — завтра сможет. Сегодня не способен — завтра способен. И наоборот. Почему я отдал предпочтение в посте выше другому типу работников? Они умеют базировать свои поступки на чем-то, что они ставят выше себя, упомянул чувтсво долга, трудовую этику. Вопрос не во вдохновении, они вообще могут разлюбить свою спецуху и разочароваться во многом по жизни, но эти парни считают, что если им платят деньги, это их к чему-то да обязывает. Они может и не гении и может не все на своем месте, как влитые, зато они надежней, на них легче положиться. Задумайтесь. Все эти — да я просто уже не могу иначе, это у меня в крови и прочее — результат того, что человек себя самого ставит мерилом и точкой отсчета. Попрочный круг. Завтра у вас просто может голова будет раскалываться или в жизни что-случится (не дай Бог). И вы пошлете все лесом, а человек с более высокой мотивацией (потому что она вне его), превозможет обстоятельства и сделает, что считает должным. Может быть, он даже потом скажет в супер-мега-гипер шикбокм интервью, немного робея — да я че, я просто отрабатывал свой хлеб, че такого я сделал…