MA
Как говорил один умный человек. This is not a race it is a journey 😊
Size: a a a
2021 February 09
AB
пск это такой же театр безопасности, как досмотр на вокзалах.
AB
это безусловно секурнее открытого 3389, но не секурнее открытого 3389 за порткнокингом.
AB
это как корпоративный вайфай на wpa2-psk
AB
когда пароль передаётся на бумажках и регулярно меняется после увольнения отдельных сотрудников
MA
Корпорация может состоять из 3 сотрудников. То что хорошо для большого бизнеса, может быть убийственно для малого.
AB
безусловно.
иногда даже из одного.
но бога ради, не называйте это промышленным решением. Сохо, смб, тдтдп.
У меня дома точно так же стоит обычный впа2-пск, я радиус на домашнем роутере не поднимал)
иногда даже из одного.
но бога ради, не называйте это промышленным решением. Сохо, смб, тдтдп.
У меня дома точно так же стоит обычный впа2-пск, я радиус на домашнем роутере не поднимал)
AB
вот для таких штук вайргард очень даже.
AB
и это не плохо ведь совсем. просто в итоге сравнение получается мягкого с тёплым.
AB
все такие ооо, вайргард, пять строк исходников, две строки конфига, секуурити.
AB
а оно как бы процесс не обеспечивает этой самой безопасности.
AB
потому и пять строк исходников.
AB
а вот представьте себе необходимость внедрения PKI (мне сложно представить себе корпоративную среду на общих ключах)
и вот сразу нужно либо с поларссл линковаться, либо с опенссл. а они оба юзерспейс, а нам надобно криптуху в ядро тащить. Или вайргард в юзерспейс.
В первом случае кодовая база вырастет до неприличных размеров + появится ещё одна PKI-криптолиба без внятного аудита проведенного кем-либо.
Во втором случае нам придётся крутить TUN\TAP и в конечном итоге мы ничем не будем отличаться от опенвпн.
Поэтому у вайргарда нет шансов отрастить корпоративные когти. Ну это имхо, конечно.
и вот сразу нужно либо с поларссл линковаться, либо с опенссл. а они оба юзерспейс, а нам надобно криптуху в ядро тащить. Или вайргард в юзерспейс.
В первом случае кодовая база вырастет до неприличных размеров + появится ещё одна PKI-криптолиба без внятного аудита проведенного кем-либо.
Во втором случае нам придётся крутить TUN\TAP и в конечном итоге мы ничем не будем отличаться от опенвпн.
Поэтому у вайргарда нет шансов отрастить корпоративные когти. Ну это имхо, конечно.
A1
он же одноядерный или что там?
AB
с появлением AVX это не то, чтобы сложность.
AB
10г на одного клиента не отдаст, да. Но тебе точно это нужно?)
AB
а гигабит легко не напрягаясь, даже на стареньких железяках
AB
я про х86 естесно. на роутерос openvpn ужасен.
A1
эм, пки этж про управление сертами? из ком строки же можно генерить в опенвпн разные
AB
ну я ж всё-таки про более интегрированную среду.
где серты прилетают сами на компы и рефрешатся сами например из виндового PKI
а опенвпн использует их для поднятия инфраструктурного туннеля
а юзерский туннель подымается отдельно при логоне, и использует закешированные креды пользака. И вот у нас двухфакторка уже появляется.
где серты прилетают сами на компы и рефрешатся сами например из виндового PKI
а опенвпн использует их для поднятия инфраструктурного туннеля
а юзерский туннель подымается отдельно при логоне, и использует закешированные креды пользака. И вот у нас двухфакторка уже появляется.