Pokrewne
menu      kilka serwerow w ovh, komunikacja miedzy nimi
menu      wielkosc bazy danych i kilka innych pytan
menu      O redaktorach słów kilka (PCArena, GameArena, SoftArena)
menu      Konfiguracja FTP i kilka innych pytań
menu      Kilka pytan nt. wyboru panelu
menu      Kilka pytań do klientów OVH i obsługi
menu      Odświeżanie forum - kilka postów na raz
menu      Gigabyte K8N800Pro- czy warto + kilka pytan
menu      Smart Card - SLE4442 - kilka pytan.
menu      kilka pytan do specow od telewizji satelitarnej
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • ponland.htw.pl

    • Polityka bezpieczeństwa: kilka prac w trakcie




    oles@ovh.net - 24-06-2009 18:16
    Polityka bezpieczeństwa: kilka prac w trakcie
      Witam,
    Zbliżamy się do 60 000 serwerów: dzieki temu, że zamawiacie
    coraz więcej serwerów do wirtualizacji, dzięki naszym dystrybucjom
    przygotowanym do użycia, IP fail-over, IP loadbalancing i pozostałym
    usługom, które proponujemy (vKVM, KVM...), ale przede wszystkim
    dzięki temu, że jest zapotrzebowanie na rynku. Technicznie rzecz
    ujmując, musieliśmy zaadaptować naszą infrastrukturę, aby Wam
    umożliwć wirtualizację, ale nie jesteśmy zadowoleni z tego, co
    możemy Wam zaoferować. Można przygotować lepszą ofertę i
    będziemy przygotowywać lepszą ofertę.

    Przykład tego, co nie jest zadowalające i jak temu zardzimy:
    - Maszyna wirtualna działająca na serwerze wykonuje ataki, spoofuje
    sieć, itd. Aktualnie wykrywamy, że problemem jest maszyna fizyczna
    i blokujemy cały serwer, zamiast zablokować maszynę wirtualną.
    - Sieć jest chroniona przed serwerami, które wykradają MAC. Po wykryciu
    takiego działania, port serwera jest blokowany automatycznie (cisco humain
    network, ja nic nie robię). Sieć izoluje problem, odcinając serwer i działa
    dalej bez przeszkód. To nie jest korzystne rozwiązanie dla serwera. W
    wirtualizacji można "routować" pakiety lub imitować MAC. Chcemy
    zaproponowac to drugie.

    Będziemy zatem zmieniać kilka reguł bezpieczeństwa w sieci, aby dać
    mozliwośc wykorzystania tego, co teraz jest na poziomie bezpieczeństwa
    "paranoik". Będziemy wymieniać 30% naszych switchy w szafach (ponad
    400...), aby dać naszym Klientom jeszcze większe możliwości wykorzystania
    wirtualizacji (tak by byli zadowoleni) i aby uniknąć tego, że zadowoleni
    Klienci robią dziwne rzeczy innym Klientom (którzy też są zadowolnie
    korzystając z usług OVH, ale nie do tego stopnia, jak Ci, którzy korzystają
    z wirtualizacji...).

    Reasumując, comunikacja pomiędzy serwerem i "całą resztą" (inne serwery,
    routery, Internet) będzie ekranowana i zabezpieczona tunelem, aby pozwolić
    tym maszynom działać, bez wpływu na inne serwery, routery i Internet.

    Ale co to oznacza? Zapraszam do zapoznania się z taskiem, w którym
    będziemy wyjaśniać wszystkie czynności. Potrzeba 4 stron, aby to wyjaśnić.

    http://prace.ovh.pl/?do=details&id=11222

    Oczywiście dla 99.9% naszych Klientów nic się nie zmienia. Zmiana dotknie
    2-4 Klientów, którzy robili rzeczy na granicy tego, co wolno. To wszystko.

    Pozostałym zmiany będą sie podobać, ponieważ pozwolą na więcej, będą
    mieli sieć ekranowaną i nie powinni narzekać (albo dużo mniej, ale nie za
    dużo).

    Pozdrawiam,
    Octave



    tenior - 24-06-2009 18:38
    Cytat:
    Bonjour,
    Nous nous approchons de 60'000 serveurs, grâce notamment au fait que
    vous ętes de plus en plus nombreux ŕ faire de la virtualisation sur les
    serveurs chez Ovh. C'est en partie dű ŕ nos distributions prętes ŕ
    l'emploi, les IP fail-over, les IP loadbalancing et tous les services
    qu'on propose en plus (le vKVM, le KVM, le firewall), mais surtout parce
    qu'il y a de la demande sur ce marché lŕ (c'est bien de faire les
    économies). Techniquement parlant, nous avons dű adapter notre infrastructure
    technique pour vous proposer de la virtualisation mais aujourd'hui nous
    ne sommes plus satisfaits de ce qu'on vous propose. On peut faire mieux et
    on va faire mieux. Parce que ... parce que je le vaux bien ! :)

    Exemples de ce qu'on fait encore mal et comment on va faire bien:
    - Une machine virtuelle, qui fonctionne sur un serveur, se faire hacker
    et lance une attaque, spoof le réseau, etc. Actuellement, nous détectons
    que le problčme vient du serveur physique et on bloque tout le serveur
    au lieu de bloquer juste la machine virtuelle.
    - Le réseau se protčge contre les serveurs qui jouent avec les MAC sur
    notre réseau. Dés qu'on le détecte, le port du serveur s'autobloque
    (cisco humain network, enfin je fais rien). Le réseau a isolé le
    problčme en coupant le serveur et donc continue ŕ fonctionner sans
    aucun problčme. Ce n'est pas top pour le serveur par contre. Aussi
    dans la virtualisation on peut "router" les packets ou jouer justement
    avec les adresses MAC. On souhaite proposer les 2.

    Nous allons donc changer quelques rčgles de sécurité sur le réseau afin
    de permettre ces nouvelles utilisations tout en maintenant un niveau de
    sécurité en mode "parano" (car celui qui n'est pas parano sur le net
    a une espérance de vie trčs limitée). Aussi, nous allons devoir changer
    30% de nos switchs de baie (plus de 400 pičces ... aie ! ça fait moins
    rire d'un coup, mais bon on ne fait pas des sushis sans le riz ni du
    bifteck sans viande ni de l'omelette sans les oeufs, ... !?) pour permettre
    ŕ nos clients de la virtualisation d'ętre encore plus heureux chez Ovh tout
    en évitant que ces clients heureux fassent de bętises aux autres clients
    (qui sont eux aussi heureux chez Ovh mais peut ętre pas autant que ceux de
    la virtualisation, pas maintenant, sous peu ...).

    Pour résumer techniquement l'évolution, les communications entre le serveur
    et "le reste" (les autres serveurs, les routeurs, l'internet) vont ętre blindées
    et sécurisées dans un espčce de tunnel afin de permettre ŕ ces machines
    d'annoncer dans cet espčce de tunnel du "bruit" et "des trucs louches" sans
    que ce "bruit" lŕ ne puisse nuire aux autres serveurs, aux routeurs et ŕ l'internet.

    Mais qu'est-ce qu'il dit ? Donc trčs techniquement parlant, ... je vais vous
    inviter ŕ consulter le task de travaux dans lequel on va expliquer ce
    qu'on fait. Techniquement parlant c'est une prise de tęte, et il faut
    4 pages pour l'expliquer.

    http://travaux.ovh.com/?do=details&id=3187

    Bien sűr, rien ne change pour 99.99% de nos clients. Ça risque de changer
    pour 2-4 clients qui ont peut ętre fait de trucs border line. C'est tout.

    Tous les autres clients vont adorer car on va permettre plus de choses,
    on va avoir un réseau blindé en béton armé et sans qu'ils râlent (beaucoup
    un peu quand męme, mais pas trop, on a entendu le message).

    Voilŕ :)

    Amicalement
    Octave     tlumacz ktos


    dzimi - 24-06-2009 18:47
    Cytat:
    tlumacz ktos chodzi o bezpieczeństwo serwerów virtualnych, uruchamianych na serwerach dedykowanych, o poprawę bezpieczeństwa serwerów dedykowanych, wymianie switchy, itp.
    Jak o czymś zapomniałem, no cóż.. mi nie płacą za tłumaczenia :P
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • konstruktor.keep.pl

    • Design by flankerds.com