?

Log in

No account? Create an account
 
 
30 December 2018 @ 04:42 am
Контроль-фричество на марше  
В продолжение этой темы: если бы мне нужно было сдизайнить сеть типичной компании с нуля, то, думаю, у меня вообще не было бы понятия "корпоративный LAN / вайфай". Был бы Private VLAN, из которого доступ был бы исключительно на VPN gateway (ну или ещё на Интернет, если мы хотим принимать гостей). Любой доступ к внутренним серверам компании - через VPN.

(Что куда лучше 802.1x, который предоставляет аутентификацию, но не защищает от перехвата трафика, его подделки, replay attacks).

Таким образом и любой трафик за пределами серверной комнаты защищён шифрованием, и правила доступа полностью привязаны к юзерской identity и её принадлежностям к разным группам, и user experience одинаковый, где бы юзер не находился - на работе, дома, в кафешке.

А если при этом для аутентификации использовать ключи в чипе TPM, то можно опознавать не только юзера, но и девайс, с которого он подключается, и строить политики по обоим этим критериям. Если какой-то станции нужен доступ для процессов, не связанных с конкретным юзером (скажем, Windows service) - никаких проблем, вводим правило лишь по девайсу. Опять же, ключ неизвлекаемый - им не поделишься, как паролем, его не потеряешь, как смарткарту (только вместе с устройством).

В общем, ye olde plain IP - лишь до VPN-гейта, а поверх - туннель, и между файерволлами - туннели, туннели, сорок тысяч одних туннелей.

Да, и каждый сервер - в собственный VLAN. Чтобы любой трафик через файерволлы тёк.
 
 
Current Music: The Sidh - Iridium (https://www.youtube.com/watch?v=amJ_WLmOKS0)
 
 
 
Кот Муцийcat_mucius on December 30th, 2018 09:43 am (UTC)
Вот клянусь, два раза подряд прочла "требует определенных вожжей"!
И так тоже верно. :-)

Им, конечно, не травма, а условный рефлекс - щелканье по иконке ассоциируется с Аромой, запахом свежемолотого кофе, выпечкой (оф отставить), а тут щелканье есть, а остального нема! Возникает когнитивный диссонанс.
:-))))