Problem s broadcasty

Dan Lukes dan at obluda.cz
Mon Apr 9 11:50:21 CEST 2007
Previous message: Problem s broadcasty
Next message: Problem s broadcasty
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
freebsdML napsal/wrote, On 04/09/07 05:45:
> Mno a ted neco z realu a bez servitek:) ...

	No, ja bych se o podobne veci tady nerad hadal dele nez jen zcel 
aminimalne, ale v zasade s tebou prevazne nesouhlasim.

> 1. Cpat jakykoliv sitovej hw kamkoliv, kde neni pod zamkem nebo jinak
> nedostupny je dilem silence nebo ignoranta

	Kdyz jsem studoval sitovou bezpecnost, ucili jsme se, ze cena 
ochrannych opatreni musi byt posuzovana v konextu pravdepodobnosti a 
vyse skod, kterym zabrani.

	A, samozrejme, zvoleno ma byt to opatreni, ktere usetri ve vysledku 
nejvice. A jako priklad byla ochrana proti skodam zpusobenym chybou 
zamestnance. Takovych opatreni existuje milion, jenze pomerne zahy se 
dostanete do stavu, kdy stale slozitejsimi a nakladnejsimi opatrenimi 
snizite riziko, ktere je stale pomerne velke, uz jen minimalne. Ukazuje 
se, ze od urciteho bodu je uz proste neefektivni se proti takovym skodam 
jakkoliv branit - ve vysledku je lepsi proste uzavrit pojisteni ...

	Nevim, jaka je presne situace v siti tazatele, nevim, jake naklady by 
prineslo "zvyseni zabezpeceni proti kradezi", a jake uspory by to 
prineslo, ale dovedu si predstavit, ze naklady mohou prevysit uspory.

	Ani nevis, jestli to uz v plechovych bednach nahodou nemaji. Je rozdil 
mit v prokopnutelne plechove bedne specialni zarizeni kabelove site, 
ktere obecne v celku na nic, nebo tam mit veci, ktere lze celkem bezne 
pouzit doma. Switch nebo AP jsou vseobecne uzitecne veci. V prvnim 
pripade ti to obcas prokopne vandal nebo zvedavec, v druhem ti do takove 
bedny budou chodit jak do samoobsluhy a instalace prokopnutelnych beden 
tak vyjde jako vyhozena investice. A neprokopnutelne budou zase drazsi ...

	Nechci ale diskutovat o konkretnich moznostech. Jednak sem tato diskuse 
tak uplne nepatri, jednak na diskusi o tomto konkretnim pripadu nemame 
dost informaci.

	S tim pomerne malym mnozstvim informaci, ktere o dotcene siti mas je 
silene a ignoratske vynaset rychle soudy a predpokladat, ze tam u nich 
nikdo trivialni kalkulaci nezvlada (i kdyz pravda to byt muze).

> tehle cinosti patricne zavirovanej komp. Tohle byva nejcastejsi
> pricina napr. v siti netbox.cz, kde maj soudruzi uz na prvnim hopu
> hodne slusny cisco, ktery dokaze detekovat a vyhodnotit urcity datovy

	Existuje klientela, ktera bude se svym spojenim za necele tri stovky 
mesicne zcela spokojena a nebude ji vadit to, ze ji to nekolikrat denne 
na par minut zcela vypadne a dvakrat-trikrat do tydne to vypadne hned na 
celou hodinu a realna rychlost v nekterych obdobich vyrazne zaostava za 
rychlosti nominalni. Ty te s nabidkou, ze vymenis technologii, ktera 
vypadky zasadne omezi, nebo zvysi realnou rychlost, jenze ta technologie 
je drazsi a proto bude potreba zvysit mesicni cenu o 10% (pitomejch 
30Kc) poslou k sipku.

	A ze neni dovoleno si doma tisknout penize a tak se drazsi technologie 
nutne musi projevit zdrazenim sluzeb (pokud se to nevyresi snizenim 
neprimereneho zisku na primereny nebo, hure, snizenim primereneho zisku 
na neprimereny) snad neni predmetem debat.

	Samozrejme, ze muzes stat na svem, ze zadnou "srackovitou" sit stavet 
nebudes, protoze nejsi silenec a ignorant. Ty nabizis jedine spolehlive 
sluzby. Samozrejme, za cenu odpovidajici nakladum. Jenze, nutit 
zaklaznikum neco, co tak uplne nechteji si muzes dovolit prave jen v 
pripade, ze "to" potrebuji a konkurence, ktera by jim to nabidla za 
podminek, ktere jim vyhovuji vice je v nedohlednu ...


> Mno a na zaver pratele a soudruzi, jak vidno i v tomto pripade, ma
> snaha o usetreni penizku naprosto opacny efekt, a spise nakonec vse
> jeste prodrazi.

	Jak kdy. V ruznych podminkach prave vypocet - "kolik nas bude stat 
uspora" vychazi ruzne. Jasne, ze uspora neco stoji. Otazka je kolik. 
Chceme jakykoliv kladny vysledek ...

	Mame sit s tisicem uzivatelu, kde mame na prvnim HOPu switch, kde cena 
jednoho portu presahuje tisicovku. A to nejde ani o gigabit. Jo, tyhle 
zarizeni hlidaji packet stormy, uzivatele autentizuji pomoci 802.1x, 
takze se "nacerno" nepripojis ani kdyz si na karte zmenis MAC a piches 
se do stejen zasuvky jako "legalni" pocitac. Ohlidaji i to, ze si na 
svem lokalnim pocitaci nemuzes spustit vlastni DHCP server a tim 
efektivne celou sit rozhasit (pridelovanim nesmyslnych adres ostatnim). 
Aktivaci konkretni zasuvky, po pripojeni konkretniho pocitace, schvaluje 
centralni radius. Podle toho, jake zarizeni je do konkretni zasuvky 
skutecne pripojeno se tato konkretni zasuvka zaradi do VLANu, do ktereho 
dany pocitac patri. V teto siti je obtizne poslat paket tak, aby se 
nepodarilo dohledat konkretni pocitac, ze ktereho byl odeslan. A je to 
potreba, protoze pocitace maji verejne adresy a prakticky neomezenou IP 
konektivitu (firewall je minimalni). Mimochodem, zarizeni jsou v sachte 
na chodbe, za papundeklovejma dverma se zamkem, ktery behem par minut 
otevre sponkou a sroubovakem kazdy, kdo nekdy cetl Feynmanovo "To snad 
nemyslite vazne" a za deset let se zadne neztratilo (pravda, tyhle uz 
spadaji do kategorie tezko prodejnych a doma pouzitelnych zarizeni).

	Pak castecne spolupracuju s provozovatelem "mestske" site s podnikovou 
klientelou (tedy nejen domacnosti). Tam jsou zarizeni trochu jine 
kategorie, ale stale nejde o "low-end". Podnikova klientela hledi na 
spolehlivost vic nez domacnosti a na cenu neni tak citliva. Nechrani se 
proti vsem rizikum co sit nahore a nektera proste trpi - nevyplatilo by 
se jim to.

	A pak se par pribuznejm staram opocitace v ruznych "vesnickych" sitich, 
ktere jsou postaveny na technologiich o dva rady lacinejsich nez je 
prvne zminene Cisco. Cele pripojeni sakuprask stoji jen o trochu vic nez 
zaplatim na DPH za pripojeni v Praze. Vypadky nejsou zcela vyjimecne, a 
kdyz jsou, nikdo neceka reseni v horizontu desitek minut. Na nas pocitac 
bezne utoci viry z pocitace souseda odvedle. A soused o dva baraky dal 
ma zas anonymne vysdileny cely C disk na zapis (ne pro cely svet, jen 
pro vsechny ve stejne siti za prekladem). Existuje desitka zpusobu, 
kterym celou tu sit muze rozhodit kazdy z uzivatelu aniz by bylo realne 
mozne zjistit, kdo to byl. Vsem to tak vyhovuje. Zmenu by akceptovali 
(ani nerikam privitali) jen pokud to nehne s cenou nahoru - a nebo 
tehdy, az bude sit rozborena tak casto, ze jim to zacne lezt na nervy. 
Coz zatim neni. A stejne nejdriv zkusi prejit ke konkurenci, ktera tam 
vetsinou je - a jejich sit je uplne stejna. Ale zkusi to.

	Ktery z provozovatelu techto siti je silenec a ignorant ?

	Silenec neni ten, kdo nabidne sluzbu s low-end cenami i parametry. 
Silenec je ten, kdo to neudela (treba proto, ze si mysli, ze je reditel 
zemekoule) a misto toho vybuduje sit, pro kterou pak nema v danych 
podminkach dostatecnou klientelu - protoze klienty, kterym to za tu cenu 
nestoji, mu prebrala konkurencni low-end sit.

	Tak snad bychom tady nemuseli napriste resit, kdo je silenec a ignorant 
a kdo neni.

						Dan



-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
Previous message: Problem s broadcasty
Next message: Problem s broadcasty
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
More information about the Users-l mailing list