Микросегментация рашен стайл

[elglin]

История, достойная ebanoe.it, только вот проистекшая в родной конторе.

Наши ненаглядные сетевики некоторое время назад решили сделать усе по науке, шоб все запрещено, а разрешено только то, что надо. Без фигни, правильная тема. Настрогали сеток, разгородили файром, наделали правил.
Только вот я спрашивал их еще тогда: "Мужики, а вы управитесь с тыщей правил?" Мне бодро отвечали, что управятся, и вообще шел бы я отсюда, у меня даже CCNA нету, а рид-онли логин на файр плебсу не положен.
Только вот файр у них не то, чтобы без нормального API, а у него даже CLI нету. В итоге 1800 правил. В гуй-интерфейсе. Без экспорта и импорта.
Они тут давеча их переносили со старого файра на новый. Руками. 1800 правил.
Ну есессно не все заработало, чего ожидали-то? А я говорил же: "Ребята, даже при 1% брака у вас будет два десятка битых правил, а каждое битое правило есть какой-то убитый кусок функционала" - но нет, у нас же один человек перебивает, второй проверяет, ошибок быть не может. Ну да, три недели они с этим трахались в четыре пары рук и глаз - а толку?
Тьюринга с его невычислимостью останова на них нет.

Comments

[scif_yar]

>>Только вот файр у них не то, чтобы без нормального API, а у него даже CLI нету. В итоге 1800 правил. В гуй-интерфейсе. Без экспорта и импорта.
-
Что за феерическое говно???
Как зовут такой кусок???
-
Что касается 1800 правил (и кстати порядка их применения. Тут ведь в сиське как - если правило разрешает, то пакет просто валится дальше по каскаду, а если нет - то дропается и привет котенку).
И почему не ASAv или еще что софтовое.
ладно, FW
5 минут на правило, 12 правил в час минус контроль и прочее. 10 правил в час, 80 в день, 400 в неделю. МЕСЯЦ работы в никуда.

[grey_and_furry]

какая-то феерия, где они откопали это gui-чудо и как оно называется?

[scif_yar]

есть вариант что CLI есть, но ниасилили.

[elglin]

> Что за феерическое говно???
> Как зовут такой кусок???
Checkpoint это. Причем версии до 80.10, в которой запилили REST API.

> есть вариант что CLI есть, но ниасилили.
По-моему, именно так и есть. Но после нескольких жестких разговоров, когда на меня давили аргументами: "не лезьте в сеть, это не ваше дело", я забил нести разумное, доброе и вечное в ту группу людей - тем паче, что у меня своих авгиевых конюшен хватает.
К примеру, я недавно им объяснял, что keep-alive HTTP-сервера надо делать либо TCP SYN 80, либо (что правильнее) HTTP HEAD, но никак не ICMP PING - но мне не поверили...

> и кстати порядка их применения
Насколько я знаю, там сделано просто - если попал по правилу, то Allow или Drop, смотря какой правило - если не попал никуда, то Drop.

> МЕСЯЦ работы в никуда.
Именно, минхерц, именно. Причем безблагодатнейшим способом.

[elglin]

Checkpoint - по иронии судьбы, последняя версия, в которой еще нет REST API.

Удивлённо

[malobukov]

Чем корячиться месяц, можно было бы за неделю написать робота, чтоб в GUI кнопки нажимал.

Re: Удивлённо

[elglin]

Для этого нужен человек, умеющий писать таких роботов. Вот я, к примеру, пусть сносно пишу на скриптовых языках и могу тряхнуть стариной в голой сишке, ни в зуб ногой ни в win32 api, ни в mfc/.net или в чем там сейчас модно гуй под виндой писать. Qt и GTK+ я тоже никогда не трогал - не надо было.
А наши сетевики, за вычетом полутора, суть рафинированные админы, в программирование не умеющие, да и помянутые полтора писали и пишут только на скриптовых языках.
По-хорошему, мне кажется, что там можно было извратиться доставанием правил через голую ssh-сессию после перехода в expert, когда у тебя почти весь линукс-арсенал есть, но с линухом там все печально - там не могут нормально прочитать man по tcpdump.

[scif_yar]

>>Насколько я знаю, там сделано просто - если попал по правилу, то Allow или Drop, смотря какой правило - если не попал никуда, то Drop.
-
нене.
я к тому, что если у тебя allow почему-то после deny, то пакет будет дропаться, хотя не должен, и наоборот.
а про каскад - это в асе, там есть встроенный packet-tracer для отладки сложных случаев когда у тебя впн, роуты, и правила всякие.

а кмд есть
https://sc1.checkpoint.com/documents/R76/CP_R76_Gaia_WebAdmin/75697.htm

Re: Удивлённо

[scif_yar]

>> суть рафинированные админы, в программирование не умеющие
-
это какая то лажа. средства автоматизации как раз суть админства, с самого его начала. Кривые конечно, если смотреть там на времена cmd-bat, но потом пошел vbs, а на нем уже совсем нормально

[pan_2]

>>шел бы я отсюда, у меня даже CCNA нету
Да-да, знакомо.

>>что keep-alive HTTP-сервера
И это знакомо.

Собственно в сетевики идут (или становятся?) люди совершенно определённого склада характера.

Re: Удивлённо

[pan_2]

>>А наши сетевики, за вычетом полутора, суть рафинированные админы
Нет, это просто недоразвитые мышиклики, чудом (читай - дампами) сдавшие экзамен на сертификат. Что хотеть от людей, на третьем-четвёртом десятке лет не понимающим разницу между ICMP и TCP.

Re: Удивлённо

[elglin]

Со стороны ОС (любой ОС) это так. А вот в IOS с автоматизацией было туговато, а если ты рафинированный кошковод, то это деформирует мозг. Я, кажется, как-то говорил, что обычных админов у нас к сетке не подпускают, а для сетки есть отдельные специально обученные люди (калька с головной конторы, в которой эта схема работает не лучше).

Re: Удивлённо

[scif_yar]

>>А вот в IOS с автоматизацией было туговато,
-
штоа?
Cisco CNS Configuration Engine 1.2 (IE 2110) September 2002
https://www.cisco.com/c/en/us/products/cloud-systems-management/configuration-engine/versions-comparison.html

в циске внутре есть аж толи два, толи три скриптовых планировщика, и 2/3 софта для автоконфига сетики выросло из их всяких тем.

Re: Удивлённо

[elglin]

Это доказывает две вещи:
1) Я реально не рублю в кошках... таки mea culpa.
2) Ну... наши орлы такие орлы...

Re: Удивлённо

[scif_yar]

ну слу :) кошки изначально конфигурировались telnet/ssh, что значит был бы текстовый конфиг и подключение, дальше уже вопрос техники