Кот Муций (cat_mucius) wrote,
Кот Муций
cat_mucius

  • Music:
Накатал в технобложик о своих приключениях с load balancer'ом в FortiGate - авось другим бедолагам пригодится.

Кроме того, вопрос назрел. Допустим, есть у нас куча файерволлов, между собой соединённых, каждый защищает свой участок сети. Допустим, один или несколько из них служат также VPN-гейтом - что позволяет в качестве источника указывать не IP-адреса и порты, а личности подключённых по VPN юзеров, или группы к которым те принадлежат (насколько я знаю, первой такой рецепт придумала израильская CheckPoint). Но вот что обидно - после VPN-гейта эта информация теряется. К IP-пакету информация, что за юзер его послал, не пришпандорена - и следующий файерволл, что будет его обрабатывать, уже не будет знать ни юзерскую личность, ни группы, ни nesting группы, а будет видеть лишь IP-адрес источника - адрес, выданный клиенту VPN-гейтом.

Что ведёт к неприятному следствию - если мы хотим учитывать группы в правилах доступа (чего очень бы хотелось), то приходится либо:
- Концентрировать все такие правила на VPN-гейте. Что просто не масштабируется и неудобно: надо, чтобы этот гейт знал все объекты в сети, к которым VPN-клиентам потребуется доступ. Во-первых, их может быть очень много, а во-вторых, это мешает нормальному распределению ответственности - вместо того, чтобы админ какого-то отдельного сегмента задавал правила на своём файерволле по своему разумению, он должен добиваться, чтобы их задал админ VPN-гейта. Хорошо, если это один и тот же чувак, а если разные?
- Искать пути обхода - например, настроить гейт так, чтобы разным группам клиентов выдавались адреса из разных пулов. Тогда на дальнейших файерволлах можно эти пулы использовать как заменители групп. Что тоже не фонтан - не факт, что гейт такую возможность вообще поддерживает, да и опять таки излишняя зависимость между админами и неудобняк. А если группы между собой ещё и частично пересекаются?

Хотелось бы иметь технологию, позволяющую разным файерволлам (в идеале - ещё и от разных производителей) распространять соседям информацию о подключённых VPN-клиентах, чтобы те могла строить свою политику о группах самостоятельно. Кто-нибудь знает о чём-то подобном? Вроде бы у Cisco есть что-то под названием TrustSec, но с их оборудованием мне работать как раз не доводилось. Интересно, есть ли такое у других вендоров? Какой-нибудь open-source проект?
Tags: networking, security
Subscribe

  • (no subject)

    В фейсбучных комментариях к этому посту Дмитрий Аксельрод привёл интересный документ - доклад товарища по имени Эммануэль Навон ( Israeli…

  • (no subject)

    Разоблачал сегодня конспирологические мифы. Побеседовал тут с одним дядечкой, которого знаю как классического параноика - не до такой степени, как…

  • (no subject)

    Френд d_ohrenelli подкинул интересный материал - статью " Sanctions on South Africa: what did they do?", утверждающую, что международные…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments