VirtualBox a zabezpeceni site

[Dan Lukes]

On 11/18/12 14:12, David Pasek:
>> na te urovni meho rozsahu to neresim

>> Takze u sebe bych to mozna dokazal taky nastavit nejakym ACL na switchi
>> "per port", jestli to vubec umoznuje.

No, vetsinou neumoznuje.

> Dan te chtel nasmerovat presne timto smerem. Problematika je totiz obecna a
> je jen otazkou jakym zpusobem to resit, jake mas nastroje a ceho chces
> docilit. Je to take o duvere a zodpovednostech.


Primarne ho Dan chtel dotlacit k poznani, ze kdyz tohle neresi 
technickymi prostredky na skutecne LAN, je divne, ze by to nutne 
potreboval technickymi prostredky vyresit na virtualizovane LAN.

Mozna ma Mirek ve sve LAN jen servery a i tech tak malo, ze je vsechny 
zvlada spravovat sam. A vsechny sitove zasuvky jsou v zabezpecenem 
prostredi, takze do nich nikdo nic pripojit nemuze. Pak ma ovsem proste 
stesti ;-)

V typicke siti to ale je jak pises:

> L2 ethernet segment je "by design" nedostatecne zabezpecen a spoleha se na
> duveru vsech zarizeni pripojenych do L2 site. V pripade, ze to nelze
> organizacne nebo smluvne zajistit

... pricemz dodam, ze organizacni a smluvni zajisteni je v soucasnosti 
nejbeznejsi zpusob reseni tohoto problemu.

Prave sem jsem chtel Mirka dotlacit. neznam sice jeho presnou situaci, a 
tak treba opravdu problem technicky vyresit potrebuje, soucasne je ale 
dost dobre mozne, ze se zene do zbytecne sloziteho technickeho reseni 
problemu, kdyz bezne se v podobne situaci pouziva podstatne jednodussi 
reseni administrativni.

Kazdopadne, smeruju k tomu, ze to co chce je dost specialni problem i 
pro skutecne LAN a nema zadne "normalni" softwarove reseni. Neznam 
hypervisor, ktery by mel naimplementovano reseni tohoto specialniho 
problemu (byt' je nesleduju tak detailne, aby mi to nemohlo uniknout) a 
tim se tak jako tak obloukem vracime zpet k tomu, ze mozna bude proste 
nutne sahnout k netechnickemu reseni problemu ...


Dan

P.S.:

> Moznost 2 - zavisla na moznostech switche:

Zde bych dodal, ze jde o relativne novou vec, a to i na IPv4, a uvedene 
moznosti maji jen dost nove switche, obvykle jeste navic jen s nejakym 
dostatecne soucasnym firmwarem. Pokud by totez clovek chtel i pro IPv6 
tak to uz aby clovek vhodne zarizeni opravdu spendlickem pohledal.