Dosazitelnost BGP routeru

Dan Lukes dan at obluda.cz
Mon Feb 8 18:46:37 CET 2016


>> Je chybne sa snazit na rutri spravit dalsi interface hoci virtualny na
>> priamu konektivitu, lebo takto si sami zdegradujete bezpecnost, ktoru ste na zaciatku
>> vytvorili. Ak ruter ma IP adresu s verejnou konektivitou tak uz sa da na nu utocit.

Bezpecnost jde vzdycky proti "snadny pouzitelnosti". Kasli na upgrady a 
synchronizaci casu, to se vzdycku nejak vyresi.

Klicovou je otazka nouzove vzdalene spravy.

Zjistis, ze vnitrni sit neni ze sveta dostupna, takze se potrebujes 
pripojit a vyresit to. Skrz vnitrni sit to nepujde, protoze vnitrni site 
o konektivitu prisla.

Takze zalezi jak peclive sis zablokoval (nechal zablokovat) moznost 
pristoupit k tomu routeru "z venku".

A to je problem, kterej, na rozdil od toho prvniho, nema zadny 
univerzalni reseni. Nejdriv si musis rozmyslet co chces dosahnout.

A troufam si tvrdit, ze skoro vzdycky to bude nejaky kompromis, tedy 
urcita degradace bezpecnosti, kterou by to bez ty degradace mohlo mit.

Dan



More information about the Users-l mailing list