Misak
а теперь представь, что такого трафика 40Г
Tema
ииии?)
Tema
про агрегейт это так
Tema
статик причем?
Tema
статик не посылает icmp )
Tema
с discard в конце
Evgeniy
чтобы сдохло и все
Misak
смысл же статика тоже в том, чтобы дискард был
Tema
да
Tema
40г прилетает с аплинка? куда? на какой-то несуществующий адрес? mx его тихо дропнет
Tema
хоть 40 хоть 100
Misak
я написал, что у меня не дискард а дженерейт и врф, Паша Лунин написал, что так нехорошо, сделай статик
ewcha
Или ты не из-за этого?
Misak
40г прилетает с аплинка? куда? на какой-то несуществующий адрес? mx его тихо дропнет
а почему только с аплинка то? откуда хочешь может
Misak
Ну елы палы, ты чо, с ума сошел?
Tema
а почему только с аплинка то? откуда хочешь может
а вот это другое, ты про то если прилетит 40г на границе и эти 40г дойдут до asbr и только там дропнутся
Misak
Так что, дети, пишите первым делом routing-options static route 0/0 discard preference 9999
Misak
ну если у тебя дефолт дискард есть, то нет
Tema
если специфик этой сети будет в таблице?
Misak
у меня по периметру везде конечно uRPF тоже включен в врф
TT
вопрос по сегментации сервисов. Планируется три сегмента, пользовательский сегмент, серверный сегмент и DMZ
в каком сегменте разместить DNS (bind9) сервер? DNS будет использоваться серверами и пользователями
в каком сегменте разместить сервер времени NTP (Linux) сервер? NTP будет использоваться серверами и пользователями
в каком сегменте разместить Radius сервер (Linux) сервер? Radius будет использоваться для авторизации на серверах которые находятся в серверном сегменте и DMZ
active directory в сети не планируется
Misak
потом, что ты можешь сделать, если тебе легитимно рут по ебгп прилетел?
Tema
не понял ну ладно))
Tema
пора собираться
Misak
вопрос по сегментации сервисов. Планируется три сегмента, пользовательский сегмент, серверный сегмент и DMZ
в каком сегменте разместить DNS (bind9) сервер? DNS будет использоваться серверами и пользователями
в каком сегменте разместить сервер времени NTP (Linux) сервер? NTP будет использоваться серверами и пользователями
в каком сегменте разместить Radius сервер (Linux) сервер? Radius будет использоваться для авторизации на серверах которые находятся в серверном сегменте и DMZ
active directory в сети не планируется
DMZ наверное, все что смотрит наружу и/или предоставляет сервисы наружу наверное в DMZ
Misak
бест пруктис будем обсуждать
Ilya
вопрос по сегментации сервисов. Планируется три сегмента, пользовательский сегмент, серверный сегмент и DMZ
в каком сегменте разместить DNS (bind9) сервер? DNS будет использоваться серверами и пользователями
в каком сегменте разместить сервер времени NTP (Linux) сервер? NTP будет использоваться серверами и пользователями
в каком сегменте разместить Radius сервер (Linux) сервер? Radius будет использоваться для авторизации на серверах которые находятся в серверном сегменте и DMZ
active directory в сети не планируется
Я бы разделил сервера на пользовательские и для инфраструктуры
Ilya
DNS в сегменте серверов, логично же, просто придется красиво рисовать доступ, если обычная сетка
Misak
с двумя поправками
Misak
если клиент бжп то луз
TT
DNS в сегменте серверов, логично же, просто придется красиво рисовать доступ, если обычная сетка
так будет же хождение трафика в серверный сегмент
Misak
и forwarding-table {
unicast-reverse-path feasible-paths;
TT
мне pci dss делать
TT
есть чаты хорошие по ИБ?
Илья
ewcha
:)
Max
мне pci dss делать
2 недели назад получили ачивку, погиб в поисках нормальной информации, в итоге собрались в комитет и читали материалы, сами писали и т.д
Max
Проходили в US, как это в РФ проходит не очень в курсе
Max
вопрос по сегментации сервисов. Планируется три сегмента, пользовательский сегмент, серверный сегмент и DMZ
в каком сегменте разместить DNS (bind9) сервер? DNS будет использоваться серверами и пользователями
в каком сегменте разместить сервер времени NTP (Linux) сервер? NTP будет использоваться серверами и пользователями
в каком сегменте разместить Radius сервер (Linux) сервер? Radius будет использоваться для авторизации на серверах которые находятся в серверном сегменте и DMZ
active directory в сети не планируется
Если прям по жёсткому, то отдельный dns в dmz external, если она у вас выраженная, отдельно в dns внутренняя, тоже самое с радиусом и ntp, между ними синхронизация, таким образом количество потенциальных дыр сокращается. По поводу pcidss старайтесь минимизировать область относящуюся к аудиту, так будет гораздо легче
Evgeniy
зачем радиус в дмз ?
Max
Если у него есть авторизация какая-то специальная из серверов dmz
Max
Чтобы как можно меньше правил и взаимодействий между двумя сегментами
Max
Опять же конфиг менеджмент для серверов упрощается
Anton
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180129-asa1
TT
Если прям по жёсткому, то отдельный dns в dmz external, если она у вас выраженная, отдельно в dns внутренняя, тоже самое с радиусом и ntp, между ними синхронизация, таким образом количество потенциальных дыр сокращается. По поводу pcidss старайтесь минимизировать область относящуюся к аудиту, так будет гораздо легче
Внутреннею dns в каком сегменте расположить?
Max
В серверном, пользовательский сегмент вообще желательно исключать из проверки
TT
Не хочется хождения лишнего трафика в серверный сегмент
Damir
кто нибудь получал акамай кэши?
Anonymous
воинское счастье в сегменте isp:
инженерам в одном маленьком, но гордом isp, что-то приспичило ночью полезть к 7606s, дёрнули оттуда плату (хз какую), вставили обратно, она не заработала снова, но и при этом есть подозрение, что ещё две других платы за собой утянула (возможно, их души уже распивают эль в Вальгалле). делали всё "на горячую". итого бордер у этого провайдера в раскоряку, мы уже заказали камаз попкорна, ждём развития событий.
Damir
2 Ciara 1x8-X7 Server {DC}
что за серваки?
TT
Ведь active directory c dns, правильно размещать в пользовательском сегменте. Я ad не буду использовать, это я для примера привел
Max
С AD другой разговор
Max
Его всегда относят к пользовательскому сегменту
Max
Или офисных серверов, у всех по разному называется
Jevgeni
воинское счастье в сегменте isp:
инженерам в одном маленьком, но гордом isp, что-то приспичило ночью полезть к 7606s, дёрнули оттуда плату (хз какую), вставили обратно, она не заработала снова, но и при этом есть подозрение, что ещё две других платы за собой утянула (возможно, их души уже распивают эль в Вальгалле). делали всё "на горячую". итого бордер у этого провайдера в раскоряку, мы уже заказали камаз попкорна, ждём развития событий.
Вот эту эпопею напомнило:
https://m.habrahabr.ru/post/211685/
Pavel
а чем хуже
generate route 0.0.0.0/0 discard
?
Тем, например, что это жрет цпу ре как хрен знает что, если у тетя там фулвью, и, соответственно, 700к генерирующих маршрутов
Pavel
Плюс тем, что динамичность такого дженерейта мнимая. Он всегда есть, так же как и статик, потому что хоть один маршрут на роутере всегда есть
Pavel
Плюс generate/agregate это не просто новый маршрут. Ты на AS-PATH его посмотри
Stanislav
да динамичность и не нужна. будем переделывать наверн на статик)
Ilya
Просто звучит то как
Stanislav
а зачем тебе динамичность дефолта?
Pavel
а что такого то? клиентам дефолт то надо отдавать?
Не, что у тебя дефолт есть, это ок. Дженерейт не надо
Tema
Тем, например, что это жрет цпу ре как хрен знает что, если у тетя там фулвью, и, соответственно, 700к генерирующих маршрутов
он же от contribute роутов ещё зависит
Tema
можно не то в полиси добавить и привет
Misak
так, а про то, что надо везде это писать что скажешь?