если вы внимательнее посмотрите на современный WiFi, то с удивлением заметите, что он все ближе и ближе к операторским технологиям. А микро и фемто соты LTE-A все ближе и ближе к WiFi :). Все на IP, все в софте, с ядром на стандартном х86 с переделанным линуксом :)
ну и рекламная модель монетизации далеко не единственная, поверьте мне )
зачем в принципе на стадионе WiFi — читайте в следующей части :).
использование 4G вместо WiFi не вариант, т.к., во-первых, с радиочастью будут похожие проблемы, законы физики и интерференцию никто не отменял, во-вторых, если сетью будет владеть оператор, то деньги от сетевых сервисов потекут мимо владельца стадиона, а вариантов построить маленькую, частную 4G сеть пока нет (если не рассматривать всерьез историю с виртуальным оператором или получением стадионом частот/лицензий на сотовую связь).
да, так часто бывает и дело не только в антенне на клиентском устройстве, радиочасть на клиенте чаще всего сегодня — это 1х1:1 HT20, со всеми вытекающими… в этом и сложность, если бы все клиенты держали ac wave 2, то проблем было на порядок меньше
На Linux сегодня можно собрать почти любое решение, но это не делает его решением корпоративного уровня по производительности, отказоустойчивости, сервисам и т.д.
Основная идея статьи была не в том, чтобы показать суперсовременную атаку, а в том, чтобы показать пример, как настраивается NGFW. По этой же причине не собирали стенд с нагрузочным тестированием.
Как я отписал в предыдущем комментарии, основная цель этой статью — показать настройки NGFW на конкретном примере, а не соревноваться в этом виде программы с конкурентами.
Как вы понимаете, организовать в лабе настоящий DDoS достаточно не просто, но атака шла с нескольких разных хостов, хотя в статье об этом, согласен, не написано
За комментарий спасибо, на счет более сложных вариантов обязательно подумаем
Я вам на это так скажу: для меня главный критерий правильно/не правильно — это практика. И практика показывает, что на реальных тестах, в очень больших компаниях, с очень сложными профайлами трафика и тестами прониктовения наш IPS показывает себя лучшим образом. Позиция, которую он занимает на рынке, это доказывает. И, конечно, система предварительно настраивается перед тем, как встать в реальную сеть на тесты.
А если правда ситуация такая уникальная и правда нужно написать кастомные фильтры, то для этого есть интерфейс, пожалуйста, можно упражняться. Единственно, нужно помнить про производительность, так как кастомные фильтры — они, как правило, не оптимизированы и если их много и они сложные, могут подсадить performance.
Если за фильты говорить, то алгоритмы, что делать с трафиком, вы сами можете формировать; FW трафик ловит, а дальше вы с ним делаете то, что вам нужно ( фильтруете, пропускаете молча, пропускаете и нотифицируете, например, можно открыть Yahoo Finance, а Yahoo Mail запретить и нотифицировать, и т.д.)
Если за IPS, то там правил оч. много и они разные — проверка по сигнатурам, статистический анализ, ZDI фильтры, и др.
Список протоколов в DPI, которые FW умеет разбирать до последнего бита, тоже достаточно большой и постоянно обновляется.
Некоторые технические подробности про то, как работает SDN, описаны в статье «Программно определяемые сети (Software Defined Networks): настоящее и будущее», некоторые моменты устарели и контроллеры там показаны не НР, но, в целом, базовые подходы сохранились. Если есть какой-то конкретный вопрос — готовы помочь :)
Конечно, всегда есть выбор. Если смертельно ненавидеть L2, то с позиции, «все что угодно, только не L2 DCI», почти всегда можно придумать выход и сделать как-то без L2.
Мой опыт говорит, что L2 в ряде случаев оказывается самым простым и надежным вариантом, а все остальные попадают в разряд «левой рукой почесать правое ухо» :).
Вообще, мне кажется, надо как-то терпимее относится к тому, что лично вам кажется неправильным. А то у вас две градации — «либо не L2, либо вы идиоты» :)
чувствую, опять поднимается старая тема — L2 DCI или не L2 DCI :)
уважаемый JDima, мир он цветной, а не черно белый и обзывать идиотами всех, кому L2 DCI удобен/привычен/подходит под задачи и т.д., как минимум, по моему скромному мнению, некорректно :)
по LACPам в направлениях вверх-вниз не бегают BPDU, посмотрите на картинку внимательнее, схема линейная — стэк агрегатом соединяется со стэком, или это вы LACP DU с BPDU попутали?
Вы правы, многие детали действительно не раскрыты, но данная статья носит общий характер и ее формат не предполагал улубления в детали;
есть планы написать серию статей про ЦОД, если сообщество проявит интерес — там подробнее рассмотрим вопросы конвергенции, безопасности и т.д.
ну помимо бессодержательности и банальности, да и черт с ним
законы мерфи в ИТ, безусловно, очень интересное и содержательное чтиво :)))
И по всем внутренним интерфейсам фабрики BPDU будут бегать
что вы, JDima, какие BPDU по внутренним интерфейсам фабрики, на картинке irf-стэк, там все чуть иначе, чем вам представляется :) и для петель на доступе совсем не обязательно поднимать stp
STP, как написал автор, не единственный и не лучший сегодня вариант для кольца. У меня дома тоже лежит витая пара от кольца домовых свичей. За три года чтобы не было доступа в Инет не замечал ни разу. Иногда есть проблемы, некоторые сайты буржуйские не всегдя работают, но это уже проблемы другого рода…
на счет у всех 2.4 и так будет долго, думаю, вы ошибаетесь. 5 практически во всех современных смартфонах есть, а срок жизни телефона сейчас 1-2 года )
если вы внимательнее посмотрите на современный WiFi, то с удивлением заметите, что он все ближе и ближе к операторским технологиям. А микро и фемто соты LTE-A все ближе и ближе к WiFi :). Все на IP, все в софте, с ядром на стандартном х86 с переделанным линуксом :)
ну и рекламная модель монетизации далеко не единственная, поверьте мне )
использование 4G вместо WiFi не вариант, т.к., во-первых, с радиочастью будут похожие проблемы, законы физики и интерференцию никто не отменял, во-вторых, если сетью будет владеть оператор, то деньги от сетевых сервисов потекут мимо владельца стадиона, а вариантов построить маленькую, частную 4G сеть пока нет (если не рассматривать всерьез историю с виртуальным оператором или получением стадионом частот/лицензий на сотовую связь).
Основная идея статьи была не в том, чтобы показать суперсовременную атаку, а в том, чтобы показать пример, как настраивается NGFW. По этой же причине не собирали стенд с нагрузочным тестированием.
Как вы понимаете, организовать в лабе настоящий DDoS достаточно не просто, но атака шла с нескольких разных хостов, хотя в статье об этом, согласен, не написано
За комментарий спасибо, на счет более сложных вариантов обязательно подумаем
А если правда ситуация такая уникальная и правда нужно написать кастомные фильтры, то для этого есть интерфейс, пожалуйста, можно упражняться. Единственно, нужно помнить про производительность, так как кастомные фильтры — они, как правило, не оптимизированы и если их много и они сложные, могут подсадить performance.
Если за IPS, то там правил оч. много и они разные — проверка по сигнатурам, статистический анализ, ZDI фильтры, и др.
Список протоколов в DPI, которые FW умеет разбирать до последнего бита, тоже достаточно большой и постоянно обновляется.
Мой опыт говорит, что L2 в ряде случаев оказывается самым простым и надежным вариантом, а все остальные попадают в разряд «левой рукой почесать правое ухо» :).
Вообще, мне кажется, надо как-то терпимее относится к тому, что лично вам кажется неправильным. А то у вас две градации — «либо не L2, либо вы идиоты» :)
уважаемый JDima, мир он цветной, а не черно белый и обзывать идиотами всех, кому L2 DCI удобен/привычен/подходит под задачи и т.д., как минимум, по моему скромному мнению, некорректно :)
есть планы написать серию статей про ЦОД, если сообщество проявит интерес — там подробнее рассмотрим вопросы конвергенции, безопасности и т.д.
что вы, JDima, какие BPDU по внутренним интерфейсам фабрики, на картинке irf-стэк, там все чуть иначе, чем вам представляется :) и для петель на доступе совсем не обязательно поднимать stp