freebsdML napsal/wrote, On 04/09/07 05:45:
> Mno a ted neco z realu a bez servitek:) ...
No, ja bych se o podobne veci tady nerad hadal dele nez jen zcel
aminimalne, ale v zasade s tebou prevazne nesouhlasim.
> 1. Cpat jakykoliv sitovej hw kamkoliv, kde neni pod zamkem nebo jinak
> nedostupny je dilem silence nebo ignoranta
Kdyz jsem studoval sitovou bezpecnost, ucili jsme se, ze cena
ochrannych opatreni musi byt posuzovana v konextu pravdepodobnosti a
vyse skod, kterym zabrani.
A, samozrejme, zvoleno ma byt to opatreni, ktere usetri ve vysledku
nejvice. A jako priklad byla ochrana proti skodam zpusobenym chybou
zamestnance. Takovych opatreni existuje milion, jenze pomerne zahy se
dostanete do stavu, kdy stale slozitejsimi a nakladnejsimi opatrenimi
snizite riziko, ktere je stale pomerne velke, uz jen minimalne. Ukazuje
se, ze od urciteho bodu je uz proste neefektivni se proti takovym skodam
jakkoliv branit - ve vysledku je lepsi proste uzavrit pojisteni ...
Nevim, jaka je presne situace v siti tazatele, nevim, jake naklady by
prineslo "zvyseni zabezpeceni proti kradezi", a jake uspory by to
prineslo, ale dovedu si predstavit, ze naklady mohou prevysit uspory.
Ani nevis, jestli to uz v plechovych bednach nahodou nemaji. Je rozdil
mit v prokopnutelne plechove bedne specialni zarizeni kabelove site,
ktere obecne v celku na nic, nebo tam mit veci, ktere lze celkem bezne
pouzit doma. Switch nebo AP jsou vseobecne uzitecne veci. V prvnim
pripade ti to obcas prokopne vandal nebo zvedavec, v druhem ti do takove
bedny budou chodit jak do samoobsluhy a instalace prokopnutelnych beden
tak vyjde jako vyhozena investice. A neprokopnutelne budou zase drazsi ...
Nechci ale diskutovat o konkretnich moznostech. Jednak sem tato diskuse
tak uplne nepatri, jednak na diskusi o tomto konkretnim pripadu nemame
dost informaci.
S tim pomerne malym mnozstvim informaci, ktere o dotcene siti mas je
silene a ignoratske vynaset rychle soudy a predpokladat, ze tam u nich
nikdo trivialni kalkulaci nezvlada (i kdyz pravda to byt muze).
> tehle cinosti patricne zavirovanej komp. Tohle byva nejcastejsi
> pricina napr. v siti netbox.cz, kde maj soudruzi uz na prvnim hopu
> hodne slusny cisco, ktery dokaze detekovat a vyhodnotit urcity datovy
Existuje klientela, ktera bude se svym spojenim za necele tri stovky
mesicne zcela spokojena a nebude ji vadit to, ze ji to nekolikrat denne
na par minut zcela vypadne a dvakrat-trikrat do tydne to vypadne hned na
celou hodinu a realna rychlost v nekterych obdobich vyrazne zaostava za
rychlosti nominalni. Ty te s nabidkou, ze vymenis technologii, ktera
vypadky zasadne omezi, nebo zvysi realnou rychlost, jenze ta technologie
je drazsi a proto bude potreba zvysit mesicni cenu o 10% (pitomejch
30Kc) poslou k sipku.
A ze neni dovoleno si doma tisknout penize a tak se drazsi technologie
nutne musi projevit zdrazenim sluzeb (pokud se to nevyresi snizenim
neprimereneho zisku na primereny nebo, hure, snizenim primereneho zisku
na neprimereny) snad neni predmetem debat.
Samozrejme, ze muzes stat na svem, ze zadnou "srackovitou" sit stavet
nebudes, protoze nejsi silenec a ignorant. Ty nabizis jedine spolehlive
sluzby. Samozrejme, za cenu odpovidajici nakladum. Jenze, nutit
zaklaznikum neco, co tak uplne nechteji si muzes dovolit prave jen v
pripade, ze "to" potrebuji a konkurence, ktera by jim to nabidla za
podminek, ktere jim vyhovuji vice je v nedohlednu ...
> Mno a na zaver pratele a soudruzi, jak vidno i v tomto pripade, ma
> snaha o usetreni penizku naprosto opacny efekt, a spise nakonec vse
> jeste prodrazi.
Jak kdy. V ruznych podminkach prave vypocet - "kolik nas bude stat
uspora" vychazi ruzne. Jasne, ze uspora neco stoji. Otazka je kolik.
Chceme jakykoliv kladny vysledek ...
Mame sit s tisicem uzivatelu, kde mame na prvnim HOPu switch, kde cena
jednoho portu presahuje tisicovku. A to nejde ani o gigabit. Jo, tyhle
zarizeni hlidaji packet stormy, uzivatele autentizuji pomoci 802.1x,
takze se "nacerno" nepripojis ani kdyz si na karte zmenis MAC a piches
se do stejen zasuvky jako "legalni" pocitac. Ohlidaji i to, ze si na
svem lokalnim pocitaci nemuzes spustit vlastni DHCP server a tim
efektivne celou sit rozhasit (pridelovanim nesmyslnych adres ostatnim).
Aktivaci konkretni zasuvky, po pripojeni konkretniho pocitace, schvaluje
centralni radius. Podle toho, jake zarizeni je do konkretni zasuvky
skutecne pripojeno se tato konkretni zasuvka zaradi do VLANu, do ktereho
dany pocitac patri. V teto siti je obtizne poslat paket tak, aby se
nepodarilo dohledat konkretni pocitac, ze ktereho byl odeslan. A je to
potreba, protoze pocitace maji verejne adresy a prakticky neomezenou IP
konektivitu (firewall je minimalni). Mimochodem, zarizeni jsou v sachte
na chodbe, za papundeklovejma dverma se zamkem, ktery behem par minut
otevre sponkou a sroubovakem kazdy, kdo nekdy cetl Feynmanovo "To snad
nemyslite vazne" a za deset let se zadne neztratilo (pravda, tyhle uz
spadaji do kategorie tezko prodejnych a doma pouzitelnych zarizeni).
Pak castecne spolupracuju s provozovatelem "mestske" site s podnikovou
klientelou (tedy nejen domacnosti). Tam jsou zarizeni trochu jine
kategorie, ale stale nejde o "low-end". Podnikova klientela hledi na
spolehlivost vic nez domacnosti a na cenu neni tak citliva. Nechrani se
proti vsem rizikum co sit nahore a nektera proste trpi - nevyplatilo by
se jim to.
A pak se par pribuznejm staram opocitace v ruznych "vesnickych" sitich,
ktere jsou postaveny na technologiich o dva rady lacinejsich nez je
prvne zminene Cisco. Cele pripojeni sakuprask stoji jen o trochu vic nez
zaplatim na DPH za pripojeni v Praze. Vypadky nejsou zcela vyjimecne, a
kdyz jsou, nikdo neceka reseni v horizontu desitek minut. Na nas pocitac
bezne utoci viry z pocitace souseda odvedle. A soused o dva baraky dal
ma zas anonymne vysdileny cely C disk na zapis (ne pro cely svet, jen
pro vsechny ve stejne siti za prekladem). Existuje desitka zpusobu,
kterym celou tu sit muze rozhodit kazdy z uzivatelu aniz by bylo realne
mozne zjistit, kdo to byl. Vsem to tak vyhovuje. Zmenu by akceptovali
(ani nerikam privitali) jen pokud to nehne s cenou nahoru - a nebo
tehdy, az bude sit rozborena tak casto, ze jim to zacne lezt na nervy.
Coz zatim neni. A stejne nejdriv zkusi prejit ke konkurenci, ktera tam
vetsinou je - a jejich sit je uplne stejna. Ale zkusi to.
Ktery z provozovatelu techto siti je silenec a ignorant ?
Silenec neni ten, kdo nabidne sluzbu s low-end cenami i parametry.
Silenec je ten, kdo to neudela (treba proto, ze si mysli, ze je reditel
zemekoule) a misto toho vybuduje sit, pro kterou pak nema v danych
podminkach dostatecnou klientelu - protoze klienty, kterym to za tu cenu
nestoji, mu prebrala konkurencni low-end sit.
Tak snad bychom tady nemuseli napriste resit, kdo je silenec a ignorant
a kdo neni.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
