Да — это инженеры сетевого отдела (какое-нибудь подразденелие FW и т.п.). Они отвечают за настройку и отладку этих устройств и протоколов. А менеджеры отдела безопасности отвечают за политики безопасности и актуальность всего этим политикам — от софта и багов на нем, до решеток на окнах.
Вы сейчас безопасников оскорбили статусом CCIE Security. Они вообще знают про безопасность, а не про сети. :)
Хоть это и нелепо звучит, но это именно так.
Я бы не сказал что круче… Cisco в промышленных масштабах скупает компании и привлекает на себя все больше технологий, но качество их конечно оставляет желать лучшего :(
BYOD еще не окрепло как понятие, как уже появился Cisco ISE. Чем проще, тем мне кажется надежнее.
При том, что «планово и с головой» как раз и предполагает то, что уже есть картина сети и ее можно просмотреть как в реальном времени, так и историю за некоторое время. Исходя из истории поведения на сети можно уже предполагать замены и т.п. В противном случае лучше и вправду ен трогать.
Я вас уверяю, что на точке обмена трафиком MSK IX стоят далеко не самые актуальные прошивки софта. И не потому, что кому-то лень, а потому, что не всегда знаешь — что произойдет в слачае обновления. Насколько может быть факап по времени. Где взять аналогичное оборудование для тестов, если оно все в продакшене?
Реальная ситуация не всегда позволяет быть с актуальным софтом и сетевым оборудованием.
Ошибаетесь — там опять же ip адреса.
Архитектура построена так: на домен контроллер или компьютер в домене ставиться агент, который смотрит логи сервера AD на предмет логина. В логах пишется примерно так «user test1 logged on computer testcomp1» после этого агент по DNS смотрит ip адрес testcomp и скидывает инфу о соответствии логина ip адресу на ASA.
Итого АСА, принимая первый пакет от пользователя, сверяет его с имеющейся в ней базе login-ip и пускает или не пускает.
Иметь план при аварии разом выложить все 20 штук баксов, потому что сегодняшнее используемое в продакшен оборудование уже EOS и заменить таким же или починить не представляется реальным?
Поддерживаю всех выше высказавшихся. Просвятите — это где откровенно мало 100 мегабит на access?
В голову приходит только варианты iSCSI загрузки системы у всех пользователей или Vmware thin client — он в первых версиях забивал полосу под 60 mbps хотя сейчас вроде поуменьшили аппетит.
А вы не пробовали просто настроить грамотный мониторинг на все случаи жизни — чтобы смс присылало если чего не так.
Повторяю — грамотный, который позволяет не только факапы увидеть, но и общую текущую картину. По такому мониторингу можно посмотреть загрузки аплинков, спрогнозировать когда и где трафик упрется в аплинк и надо расширятся… Так же можно мониторить нестандартные поведения трафика и реагировать на них практически сразу.
Хабик под столом тоже не проблема — если свичи управляемые, то на порту, с подключенным хабом устанавливается ограничение на кол-во мак адресов на порту и правило, которое первым n мак адресам разрешает работать, а остальных просто откидывает. Естественно правила типа «Каждый компьютер должен быть подключен в свой порт коммутатора, допускается подключение ip телефона и компьютера в один порт» должен быть прописан в политике компании по безопасности. Иначе настучат по голове за самоуправство.
PCI DCC совсем не страшен — я его проходил несколько раз :)
Есть стандартные гайды по приведению оборудования к стандартам безопасности. Но тут тоже не стоит перегибать. Проже всего настроить авторизацию по 802.1X — тогда vlan будет динамически приезжать на порт пользователя. А ежели комп гостевой, то ему отдельный изолированный vlan вообще.
Очень удобно.
Сетевики о логинах ничего не слышали и слышать не желают.
Но вообще доступ в интернет закрывается не адресами, а действительно проксей с AD аутентификацией.
Хоть это и нелепо звучит, но это именно так.
BYOD еще не окрепло как понятие, как уже появился Cisco ISE. Чем проще, тем мне кажется надежнее.
Я вас уверяю, что на точке обмена трафиком MSK IX стоят далеко не самые актуальные прошивки софта. И не потому, что кому-то лень, а потому, что не всегда знаешь — что произойдет в слачае обновления. Насколько может быть факап по времени. Где взять аналогичное оборудование для тестов, если оно все в продакшене?
Реальная ситуация не всегда позволяет быть с актуальным софтом и сетевым оборудованием.
Архитектура построена так: на домен контроллер или компьютер в домене ставиться агент, который смотрит логи сервера AD на предмет логина. В логах пишется примерно так «user test1 logged on computer testcomp1» после этого агент по DNS смотрит ip адрес testcomp и скидывает инфу о соответствии логина ip адресу на ASA.
Итого АСА, принимая первый пакет от пользователя, сверяет его с имеющейся в ней базе login-ip и пускает или не пускает.
В голову приходит только варианты iSCSI загрузки системы у всех пользователей или Vmware thin client — он в первых версиях забивал полосу под 60 mbps хотя сейчас вроде поуменьшили аппетит.
Повторяю — грамотный, который позволяет не только факапы увидеть, но и общую текущую картину. По такому мониторингу можно посмотреть загрузки аплинков, спрогнозировать когда и где трафик упрется в аплинк и надо расширятся… Так же можно мониторить нестандартные поведения трафика и реагировать на них практически сразу.
Есть стандартные гайды по приведению оборудования к стандартам безопасности. Но тут тоже не стоит перегибать. Проже всего настроить авторизацию по 802.1X — тогда vlan будет динамически приезжать на порт пользователя. А ежели комп гостевой, то ему отдельный изолированный vlan вообще.
Очень удобно.
Но вообще доступ в интернет закрывается не адресами, а действительно проксей с AD аутентификацией.