Чуть не соглашусь с последним абзацем про «Дикую розу».
«Розой» зовут её «они». Полагаю, это следователи и общественность.
То есть она — единственная из жертв с розой. У остальных были какие-то другие признаки. :)
Дмитрий, подскажите, пожалуйста, как реализовать кейс с гибким назначением прав подключающимся пользователям.
Например, у нас есть набор разных сервисов и групп в AD, регламентирующих сетевой доступ к ним.
Механизм SGT или авторизация в ISE позволяют задать пользователю ровно один профиль или одну метку. То есть если у меня есть много разных сервисов, я обязан создать по профилю/метке под все возможные их комбинации (Разрешить А, Разрешить Б, Разрешить С, Разрешить А+Б, Разрешить Б+С, Разрешить A+С, Разрешить А+Б+С — уже 7 вариантов, а это всего 3 сервиса! А если их 50?).
На оборудовании конкурентов я бы просто писал в политике безопасности то же самое, что и в проводном варианте, только source ip указывал из пула VPN.
А как сделать на Cisco?
Я как-то внедрял 802.1х для одной компании. Сетевым админам, с которыми мы проводили работы, каждые 15 минут стабильно прилетала заявка сбросить порт, потому что юзер переехал. Они были счастливы, что это, наконец, прекратится.
Port security в сети, где пользователи часто перемещаются, — кошмар администраторов.
DHCP используют практически везде.
Если статические IP, то можно банально посниффить трафик и посмотреть на прилетающие широковещательные ARP-запросы, по ним можно понять адресацию в сегменте.
А вот внедрение систем контроля доступа к сети по 802.1х (типа ISE) — это хорошо и правильно.
Убедитесь, что traffic selector`ы зеркальные с обеих сторон.
Может быть такое, что они не зеркальные, но «совместимые», когда несовпадение в масках. Тогда туннель будет подниматься, но с регенерацией будут проблемы.
Для SD-Access нужно купить контроллер DNA-С, который стоит как самолёт (и которых нужно минимум 3 для отказоустойчивости).
SD-WAN требует лицензий, которые стоят тоже весьма некисло.
А почему вы решили использовать в качестве протокола динамической маршрутизации в туннелях OSPF? Это же вагон лишних LSA, их обновления раз в полчаса и невозможность суммировать маршруты внутри зоны. Обычно используют BGP.
Каким образом вы сделали full mesh? В статье описано создание туннеля точка-точка, а у вас 8 шлюзов. Это 56 туннелей надо настроить. А если будет 100 шлюзов?
Меня в мои 30 тоже не увлекает, поэтому ГТА 1-4 никогда ни привлекали.
А вот 5 часть прошёл на одном дыхании. Огромное количество юмора. Дичаший угар и чад кутежа в каждой миссии.
Может он просто подзабыл то, что было на 3 курсе, университет этому неплохо способствует.
Согласитесь, было бы странно, если бы, например, человек с дипломом математика не собеседовании не смог решить квадратное уравнение, потому что «подзабыл, это проходили давно».
Если вы идёте собеседоваться на сетевого инженера или линукс-админа, обучившись на программиста и ничего по теме не прочитав, то конец немного предсказуем.
Ещё раньше ботоводы научились пользоваться багом на форс-дисконнект. Теперь при угрозе жизни бот просто выкидывал себя из игры, персонаж при этом исчезал. В нормальных условиях персонаж не исчезал до окончания боя, но баг позволял это обойти.
Ну погнали.
Не упомянутые игры от From Software: Sekiro, Bloodborne
Игры от Deck13: Lords of the fallen, Surge 2 части
Игры от Team Ninja: Nioh 2 части, Stranger of paradise, Wo Long
Прочие, вид сзади: Sinner, Mortal shell, Remnant 2 части, Thymesia, Steelrising, Lies of P, Star Wars Jedi 2 части, Code vein
2d вид сбоку: Salt and sanctuary, Salt and sacrifice, Dark devotion, Death`s gambit, Tails of iron, Blasphemous 2 части
2d вид сверху: Hyper light drifter, Death`s door
«Розой» зовут её «они». Полагаю, это следователи и общественность.
То есть она — единственная из жертв с розой. У остальных были какие-то другие признаки. :)
Как она? :)
Например, у нас есть набор разных сервисов и групп в AD, регламентирующих сетевой доступ к ним.
Механизм SGT или авторизация в ISE позволяют задать пользователю ровно один профиль или одну метку. То есть если у меня есть много разных сервисов, я обязан создать по профилю/метке под все возможные их комбинации (Разрешить А, Разрешить Б, Разрешить С, Разрешить А+Б, Разрешить Б+С, Разрешить A+С, Разрешить А+Б+С — уже 7 вариантов, а это всего 3 сервиса! А если их 50?).
На оборудовании конкурентов я бы просто писал в политике безопасности то же самое, что и в проводном варианте, только source ip указывал из пула VPN.
А как сделать на Cisco?
DHCP используют практически везде.
Если статические IP, то можно банально посниффить трафик и посмотреть на прилетающие широковещательные ARP-запросы, по ним можно понять адресацию в сегменте.
А вот внедрение систем контроля доступа к сети по 802.1х (типа ISE) — это хорошо и правильно.
Может быть такое, что они не зеркальные, но «совместимые», когда несовпадение в масках. Тогда туннель будет подниматься, но с регенерацией будут проблемы.
SD-WAN требует лицензий, которые стоят тоже весьма некисло.
Каким образом вы сделали full mesh? В статье описано создание туннеля точка-точка, а у вас 8 шлюзов. Это 56 туннелей надо настроить. А если будет 100 шлюзов?
Покурите для самоапгрейта ман на cron.
А вот 5 часть прошёл на одном дыхании. Огромное количество юмора. Дичаший угар и чад кутежа в каждой миссии.
Были сложности с написанием QoS политик для трафика Spoke-spoke.
ip access-list standard Prov2
10 permit host <Router_IP_address_ISP2>
route-map MakeProv2Alive
match ip address Prov2
set ip next-hop <ISP2_gateway>
ip local route-map MakeProv2Alive
Тогда пакеты, которые роутер захочет отправить от source IP, принадлежащего 2 провайдеру, будут завёрнуты на соответствующий шлюз.
Согласитесь, было бы странно, если бы, например, человек с дипломом математика не собеседовании не смог решить квадратное уравнение, потому что «подзабыл, это проходили давно».
Если вы идёте собеседоваться на сетевого инженера или линукс-админа, обучившись на программиста и ничего по теме не прочитав, то конец немного предсказуем.
Начиная с 00:51 как раз начинаются лучи.