четверг, 1 ноября 2018 г.

Зоопарк неукротим или Хабр давно уже не тот

   Как-то раз сидел я в очередной командировке на очередном промышленном объекте, на котором выполнял работы по обеспечению защиты очередных АСУ ТП и КИИ от различного вида угроз, а параллельно участвовал в строительстве сетевой инфраструктуры заказчика. И вот после трудового дня решил почитать habr.com. А там замечательная статья под названием "Зоопарк на нефтебуровой: наводим порядок". У меня опыт работы в области безопасности промышленных сетей и систем небольшой - всего 6 лет (нефтепровод, протяженностью более 1000 км, добывающая промышленность, химпром, электроэнергетика). Поэтому тема интересная, решил ознакомиться, узнать что-то новое... После прочтения же мне захотелось написать очень большой комментарий, но, к сожалению, не хватает прав.
   С этого я и хотел бы начать новую рубрику, которую назову мягко - "Критика". Собственно, здесь будет много критики.
   Почему пост сильно зацепил? Дело в том, что в статье мало комментариев, однако, среди имеющихся больше половины довольно адекватные. И комментаторы указываю автору на фактические недочеты и ошибки. Странно, что комментариев настолько мало, ведь статья плоха и даже вредна. Если бы такая статья вышла по программированию, её бы утопили в минусах. 
   Я же в свою очередь не хотел бы, чтобы в следующий раз очередной заказчик или подрядчик ссылался на такую статью в корпоративном блоге одного из крупнейших российских интеграторов и говорил: "Ну вот же ж! Они же строят так! Значит, нормально!"
   В этом разборе постараемся не вырывать слова из контекста, опираться только на то, что написал сам автор, т.е. будем делать прямые цитаты. Кроме того, мы не будем додумывать за автора, а понимать то, что он написал, буквально. Это тоже важно.
   Итак, поехали.

суббота, 1 сентября 2018 г.

Способ удаленного сбора копии трафика (SPAN) в случае, когда обычными методами это сделать сложно

   Имеется следующая задача. Собрана схема, показанная на рисунке ниже.
   Трафик передается между PC1 и PC2 через коммутатор SW1. Между коммутаторами SW2 и SW1 настроен транк. К коммутатору SW2 подключен сервер с софтом для сбора трафика (например, Wireshark). Мы хотим собрать копию трафика, идущего от PC1 к PC2 и обратно.
   Если на месте коммутаторов стоят довольно таки умные устройства с расширенным фунционалом (например, Cisco 2960x или что-то иное), то можно было бы просто настроить Remote SPAN (RSPAN). Но у нас здесь коммутаторы Natex 3424GW v1 или иные, которые: 1) не умеют работать с RSPAN, 2) могут снимать SPAN только с физических интерфейсов.
   Как решить такую задачу, если мы не можем протянуть дополнительные физические линии, не можем изменить коммутацию между коммутаторами, но при этом можем настраивать интерфейсы на коммутаторах так, как нам захочется? Правильно! "По-колхозному"!

суббота, 25 августа 2018 г.

Использование приватных виртуальных локальных сетей (Private VLAN)

   Все знают про возможность разграничивать доступ с помощью спиcков контроля доступа (Access Control Lists, ACL). Списки контроля доступа есть практически на любом устройстве и в любой системе в том или ином виде.
   Однако, иногда в реальной жизни могут возникнуть ситуации, когда доступ разграничить нужно, но ACL тут не подходит. Например, когда нужно сделать так, чтобы два устройства, находящихся в одном широковещательном домене, не могли видеть друг друга. Проблема с ACL в этом случае в том, что они работают на уровне 3 модели OSI, а мы находимся в одном адресном пространстве, и нам нужно сделать какое-либо разделение на втором уровне. Для решения такой проблемы можно использовать приватные виртуальные локальные сети (Privat VLAN, PVLAN).

пятница, 8 июня 2018 г.

Лабораторная №1 - Катастрофа в маленьком офисе

   Решил освоить новый вид творчества: лабораторные работы собственного производства для отработки навыков, полученных в ходе обучения на курсах подготовки к CCNA. Посмотрим, что из этого выйдет. А пока ловите первую лабу. Она довольно проста. Сделал её скорее даже не для тех, для кого она предназначалась, а для себя, чтобы понять, насколько сложно пользоваться Cisco Packet Tracer для создания лабораторных работ с системой проверки. Оказалось, что с непривычки довольно не просто. Но я все равно победил.
   

понедельник, 4 июня 2018 г.

Специалисту тут работы на 15 минут!

   Последнее время сталкиваюсь с такими смешными до слез постановками задач: "Я тут кое-что уже настроил, но оно не работает. Нужен человек, который имеет огромный опыт в решении подобных задач. Специалисту (иногда как вариант - разбирающемуся человеку) тут работы на 15 минут (5 минут, полчаса - не суть)."
   Меня такие выпады смешат и печалят одновременно. Такой посыл можно расшифровать так:"Я не шарю. Попытался сделать - не получилось. Но платить много не хочу, потому что уверен, что затык в чем-то мелком, или вовсе не хочу, потому что хочу дешево и качественно. Чтоб опыта работы было 40 лет, и чтоб руки из золота, но чтоб за 3 рубля." Человек, говорящий так, обычно обладает нулевыми знаниями в предмете, и, что логично, не способен трезво оценить сложность работы, но делает это, намекая тем самым, что платить тут особо не за что - работы-то на 15 минут для специалиста. А не уложился - не специалист. Что тоже смешно, ведь каждый, кто хоть раз копался в настройках чего угодно, знает, что там споткнуться можно как на собственной невнимательности, пропустив в тонне настроек какую-нибудь галочку, так и вовсе столкнуться с багом, на решение которого может уйти не один час, а то и день.
   Поэтому вывод простой. Есть проблема? Не пытайтесь её решать сами, обратитесь за консультацией к специалисту. И терпеливо ждите оценки по времени и деньгам. Обратитесь к нескольким, получите три разные оценки, сравните, выберите. Хотите сэкономить - настраивайте сами от и до, не впутывайте в это посторонних. Не разбираетесь? Не пытайтесь оценивать трудозатраты на то, в чем не разбираетесь. Или учитесь и начинайте разбираться, чтобы не стать жертвой недобросовестных исполнителей.
   Кстати, про попытки незнающего самостоятельно настроить что-либо - процитирую блуждающую по  интернету картинку: "Починить что-то - 100 рублей. Починить что-то после того, как пытались починить самостоятельно - 10 000 рублей." Этот мем родился тоже неспроста. Задумайтесь об этом.