YakovlevAndrey 28 мар 2024 в 15:58

Построение полносвязной сети с применением ГОСТового шифрования, или как скрестить Cisco и Континент

Средний

22 мин

8.4K

Информационная безопасность*Cisco*Сетевые технологии*

Кейс

Комментарии 20

Shaman_RSHU 28 мар 2024 в 20:53

И установит какой-нибудь нерадивый админ (или по злому умыслу) неправильный приоритет в одной из точек, схема развалится и долго будут искать причину :)

YakovlevAndrey 28 мар 2024 в 21:09

Я, честно говоря, не понял. Неправильный приоритет чего? Можно как-то пояснить?

Shaman_RSHU 28 мар 2024 в 21:15

Для выбора выбора DR и BDR

YakovlevAndrey 28 мар 2024 в 21:37

И почему же? Ну, пройдут выборы, выберут другой DR.

Shaman_RSHU 29 мар 2024 в 00:34

Какой-то один маршрутизатор будет получать всю маршрутную информацию и его ресурсы могут быть перегружены. При этом неправильно настроить LSAPDU, то маршрутизаторы могут потерять возможность обмениваться данными

YakovlevAndrey 29 мар 2024 в 08:20

Да, Вы правы. Если на споке выставить приоритет побольше, то DR переползёт туда.

Но, точно так же настраивается классический DMVPN, он тоже подвержен этой проблеме. Поэтому моя схема в этом плане не хуже.

И всё таки проблема мне кажется надуманной. У злобного администратора масса возможностей уронить сеть. В этом плане хуже сетевика только электрик.
В конце концов можно ввести команды
format flash:
erase nvram:
reload at

Нужно вести стороннее логирование входов и ввода любых команд.

Shaman_RSHU 29 мар 2024 в 20:45

Если есть необходимость просто уронить сеть, то можно и нулевой провод перерубить :) Тут вопрос в том, чтобы сделать все так умышленно, чтобы другие очень долго разбирались что не так, т.к. вроде бы всё нормально настроено и работает.

YakovlevAndrey 29 мар 2024 в 20:47

Ну, как я уже писал, тут только логирование поможет.

Кстати, спасибо. Ваш ранний коммент натолкнул меня на мысль.

Поскольку трафик в опорной сети не шифруется, а только завернут в GRE, то возможна атака на протокол маршрутизации извне.

Прямо, хоть бери и ещё раз шифруй. :)

YakovlevAndrey 28 мар 2024 в 21:18

Dimon41 29 мар 2024 в 08:20

Не дай бог придти туда работать или уволится тот кто знает как это работает.

YakovlevAndrey 29 мар 2024 в 08:20

Что актуально для любой большой и сложной сети.

eZis_ul 29 мар 2024 в 08:22

192.168.0.0/16... дальше читать бессмысленно....

YakovlevAndrey 29 мар 2024 в 08:26

Вы что сказать то хотели?

Abcde123 5 апр 2024 в 18:37

DMVPN - помню, это был тренд в 2000-х годах. Относительно недавно на Хабре даже писали про использование X.25 среди энтузиастов.

YakovlevAndrey 7 апр 2024 в 16:51

Действительно. Зачем, только, C-Terra презентовала в 2017 году нативную поддержку DMVPN в своих криптошлюзах? Наверное, за невостребованностью.

fixxxer86 16 апр 2024 в 08:43

А где автор на Континенте 3.9 нашел поддержку VRF`ов ?

Если верить телеграмм-каналу "кода безопасности" vrf они хотят как новинку ввести только с 4.1.9.

Вообще другая ветка.

YakovlevAndrey 16 апр 2024 в 10:04

А где читатель нашел в статье использование VRF на криптошлюзах? В данной топологии VRF используются только на маршрутизаторах.

fixxxer86 17 апр 2024 в 06:24

У вас на главной картинке - каждый криптошлюз (КШ) пересечен овалов определяющим VRF(internal/external), более того , отдельный овал захватывает отдельный интерфейс - будто определенный сетевой интерфейс относится к своему VRF.

Не путайте людей. И не вводите в заблуждение, так как фичи vrf не было и нет на 3.9 ветке.

YakovlevAndrey 17 апр 2024 в 08:18

Спасибо за замечание. Учту.

vshorikov 29 апр в 14:13

Приятно, когда у людей безлимитный бюджет на то что-бы все эти "луковицы" городить и континенты покупать.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий