= Сообщение: 6394 из 10757 ===================================== RU.UNIX.BSD = От : Alex Korchmar 2:5020/400 26 Jan 18 09:03:42 Кому : Victor Sudakov 26 Jan 18 09:03:42 Тема : Re: кстати, про virtualbox //Re: dependency hell FGHI : area://RU.UNIX.BSD?msgid=<1187508876@ddt.demos.su>+8fbef4fb На : area://RU.UNIX.BSD?msgid=2:5005/49+5a6a8eee = Кодировка сообщения определена как: IBM866 ================================= Ответ: area://RU.UNIX.BSD?msgid=2:5005/49+5a6b4ddb ============================================================================== From: Alex Korchmar <noreply@linux.e-moe.ru>
Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:
AK>> затем, что если у тебя на самом деле есть что шифровать, чаще всего AK>> наиболее интересно оно твоим собственным сотрудникам, да и AK>> не-сотрудникам проще найти подход либо к ним, либо к твоему офису. VS> Hо при этом атака вряд ли будет заключаться в перехвате трафика локалки. почему же нет? Подбросить тебе в розетку за столом мелкую платку, хер ты ее найдешь.
VS> как ты справедливо заметил, найти подход к сотрудникам и компам, к сотрудникам опасно - могут сдать или сами засыпаться, если на самом деле разводить их на кражу данных, а вот напроситься на чай - вполне, к компам не на один раз - тут у всех в общем есть всякие автоматические средства контроля. А вот автоматических средств контроля сетевой инфраструктуры (чтоб поднять истошный вой если внезапно в розетку воткнули что-то лишнее) нет почти ни у кого.
VS> Судя по тому, что а) тотальный transport-mode IPSec в виндовых локальных VS> сетях включают нечасто, а б) VPN между удалёнными офисами шифровать обычно VS> принято и описано в многочисленных учебниках, можно сделать только один вывод - дерьмо эти учебники.
собственно, "учебник" "cisco trusted security" издан в 2010м году, только это a) не учебник, а методичка страниц так на 500 b) не работает без жесткой связки it с безопасниками и сетевым подразделением (а там, где это вообще можно сделать, это разные подразделения) с) там длинный печальный список багов и глюков в разных ios, лишь частично побежденный еще через год, более современного статуса я просто не знаю.
VS> представленная тобой модель угроз если не VS> спорная, то как минимум не единственная. угу, угу - инженер какого-нибудь ростелекома (на заметку: на все что на север и на запад от СПБ - такой инженер _один_. Как думаешь, дорожит он своей работой?) спит и видит, как спереть и подороже продать траффик конторки по торговле скрепками ее конкуренту.
VS> Шифровать свой внешний трафик даже хотя бы слабым, оппортунистическим VS> шифрованием IMHO уже полезно, от всяких транзитных любителей понарушать VS> сетевой нейтралитет или что-нибудь пофильтровать. не поможет, а то и помешает. То есть он непонятный ему мусор как раз и опустит в конец очереди. Говнопровайдер с перегруженным каналом борется за сиськи и котиков, вот им и даст приоритет. А твой udp отправит туда, к торрентам, в random drop prob 90% - "еще никто не пожаловался". Причем и нешифрованный тоже.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)