Днешният ден беше така да се каже академичен. Имахме по-сериозна аудиторна заетост поради естеството на упражнението. Беше даден case study, в който са дефинирани различни изисквания за мрежова инфраструктура и сигурност на дадена компания, а от нас се изисква да имплементираме подходяща мрежова топология съгласно дадените изисквания, т.е. възможно най-добра свързаност при възможно най-голяма сигурност така, че да съвпада с нуждите на бизнеса.
Изглежда странният факт, че имахме неограничен бюджет (защото целта беше да се наблегне на сигурността и да се види технически как биха могли да изглеждат нещата, избягвайки въпроса дали решението е ценово ефективно), ни затрудни, понеже доста време го разисквахме. Не е лесно за малко време да се състави такава топология. Особено когато има 15 човека и всеки е с виждания, които се отличават в някаква степен от тези на останалите. Всеки има някакви идеи и представа за даден аспект. Направи ми впечатление, че нашата група наблегна повече на сигурността на мрежово и по-ниско (network level) ниво, което обхващаше главно сегментиране по VLANs. Аз опитах няколко пъти да подметна, че VLANs трябва да има, но по-сериозната сигурност трябва да бъде на application level, което значи използване на централизирана директорийна услуга, удостоверяване със сертификати и смарт карти, създаване на security groups, RADIUS, VPNs, SSL и така нататък. Според мен загубихме време в разискване на излишни неща, примерно как да бъде логването на потребителите, пък как да бъде със споделянето на файловете, с NFS ли, с FTP ли, с SMB ли... не разбрах защо подлежеше на разискване, след като това нещо го получаваме директно от директорийната услуга и е ясно, че логично би трябвало да бъде SMB. След дълги параноични разисквания се стигна до решение с SMB over SSH с изграждане на SSH сесията с bat файл при стартиране на компютъра, нещо, което не съм правил никога и не знам доколко е възможно и подлежащо на управление. В крайна сметка ми се струва, че дори и да е сигурна направената топология, тя ще е доста трудна за администрация, защото малки промени в топологията ще са свързани с моментална необходима намеса на администратора. За малки мрежи – добре, но иначе – не особено. Както и да е, днес презентира друга група, ние ще сме май другата седмица на различна тема.
Изглежда странният факт, че имахме неограничен бюджет (защото целта беше да се наблегне на сигурността и да се види технически как биха могли да изглеждат нещата, избягвайки въпроса дали решението е ценово ефективно), ни затрудни, понеже доста време го разисквахме. Не е лесно за малко време да се състави такава топология. Особено когато има 15 човека и всеки е с виждания, които се отличават в някаква степен от тези на останалите. Всеки има някакви идеи и представа за даден аспект. Направи ми впечатление, че нашата група наблегна повече на сигурността на мрежово и по-ниско (network level) ниво, което обхващаше главно сегментиране по VLANs. Аз опитах няколко пъти да подметна, че VLANs трябва да има, но по-сериозната сигурност трябва да бъде на application level, което значи използване на централизирана директорийна услуга, удостоверяване със сертификати и смарт карти, създаване на security groups, RADIUS, VPNs, SSL и така нататък. Според мен загубихме време в разискване на излишни неща, примерно как да бъде логването на потребителите, пък как да бъде със споделянето на файловете, с NFS ли, с FTP ли, с SMB ли... не разбрах защо подлежеше на разискване, след като това нещо го получаваме директно от директорийната услуга и е ясно, че логично би трябвало да бъде SMB. След дълги параноични разисквания се стигна до решение с SMB over SSH с изграждане на SSH сесията с bat файл при стартиране на компютъра, нещо, което не съм правил никога и не знам доколко е възможно и подлежащо на управление. В крайна сметка ми се струва, че дори и да е сигурна направената топология, тя ще е доста трудна за администрация, защото малки промени в топологията ще са свързани с моментална необходима намеса на администратора. За малки мрежи – добре, но иначе – не особено. Както и да е, днес презентира друга група, ние ще сме май другата седмица на различна тема.
Днес нямаше социална програма и след 17 часа изборът какво да правим беше оставен на нас. Обходихме един голям mall в Leppävaara, наречен Sello докато ме заболяха краката. Взех лазаня за микровълнова (вече знам какво е тортелини и лазаня и то само за 3-4 дни!) и с комбинация от шопска салата ядохме днес в стаята, така че добре се получи.
Времето тук все още е топло и човек не усеща изобщо, че е толкова на север. Всички си карат колелата по алеите, щото зимата вероятно няма как да го правят. Тук май колоездачите са пó на почит от пешеходците. Половината от тротоара е заделен за тях със специална линия и маркировка. Прелитат покрай нас без да им мигне окото.
Лекцията утре ще е на тема криптографски алгоритми. Дано не е прекалено суха с много математика, че ще си е зор. По-практическа би ни свършила повече работа.
Времето тук все още е топло и човек не усеща изобщо, че е толкова на север. Всички си карат колелата по алеите, щото зимата вероятно няма как да го правят. Тук май колоездачите са пó на почит от пешеходците. Половината от тротоара е заделен за тях със специална линия и маркировка. Прелитат покрай нас без да им мигне окото.
Лекцията утре ще е на тема криптографски алгоритми. Дано не е прекалено суха с много математика, че ще си е зор. По-практическа би ни свършила повече работа.
Ставането рано си е проблем, така че ще спирам, за да не се задълбочи последният.
Няма коментари:
Публикуване на коментар