Articolul asta a iesit asa ca din motive contractuale cu un client, a trebuit sa particip la un “training” pentru un produs. Il scriu pentru ca am asa o ura maxima pe training-uri tinute de vestici. Trebuia sa-l public acu vreo doi ani, dar m-am luat cu altele si am uitat. Da’ noroc ca mi-am luat notite atunci si am scris o mare parte din el.
Asa, Certes astia produc niste cutii de fac criptare la L2, L3 si L4.
L2 inseamna ca fac un mesh asa intre doua mai multe locatii si dupa proxy arp pentru host-urile remote. Un fel de overlay transport network. Intre ele, pe partea “unsecure” fac IPsec stateless intre ele cu manual keying, fara IKE.
L3 e IPsec tot asa stateless, ca si cum ti-ai scrie singuri reguli cu “ip xfrm”, ceea ce banuiesc foarte tare ca fac, ca appliance-urile lor ruleaza Linux.
L4 inseamna ca fac criptare doar la payload in pachete si restul de lucruri sunt in clar. Si fiind iar stateless, poti sa-l rulezi transparent in retea si sa cripteze fara sa-ti bati capul cu ce e mai jos, ca nu trimiti nimic non-standard pe fir.
Solutia de management se cheama CFNC, si e un CentOS6 cu un softache facut in Java si cu interfata din aia HTML old-school.
In asta adaugi toate dispozitivele, si dupa aia faci reguli intre ele, gen vreau criptate doar traficul pe portul 25 intre host-ul X si host-ul Y (ca si idee de granularitate) sau traficul intre subnetul Q si subnetul W, fiecare in spatele la cate un dispozitiv din asta de criptare care se cheama CEP.
E, si fiecare politica din asta are o prioritate, adica 1 e aia cea mai ce si 65535 e aia cea mai putin ce. Daca ai multe CEP-uri din astea si un design prost de retea, poti sa ajungi usor sa ai cateva zeci de mii de politici.
Asa, ce m-a secat maxim in curs a fost marketingul agresiv in care prezentau capabilitatile solutiei:
- Performance drops when you start doing crypto. Firewalls were not created with crypto in mind.
- Same with SD-WAN, encryption costs and performance drops significantly
- At Layer3 to debug the network you have to turn off encryption and it is difficult to set up
- Key rotation often manual. Very difficult to manage.
Am clipit mai mult decat trebuia la ce tot debita baiatul ala de tinea trainingul. Si mai avea si un tick verbal in care alterna intre “obviously” si “kind of”.
Ce m-a agravat maxim e ca folosea “weasel words” sa arate ce tare e produsul lor. Mor pe astia care mint asa in dusmanie.
La un moment dat prezenta el o topologie in care punea firewall inainte de cutia lor si firewall dupa, ca sa fii super-duper safe. Desi cutia lor stia de unde sa accepte trafic si sa blocheze restul. Sunt curios cati pun botul la exemplele astea cretine de topologii.
Au fost asa super amuzanti intr-un mod retardat, ca au trimis clientului niste CEP-uri din astea configurate prost si ca sa le reparam on-site, m-au pus sa semnez un NDA ca sa-mi dea o imagine de stick USB bootabila care continea un utilitar basit sa modific ceva in hardware si cu o procedura din aia mega alambicata. Si in timp ce citeam la ea, cum ca trebuie sa ma conectez cu seriala, sa dau reboot, sa bag stickul in portul nustiucare, sa ma fut in cur cu negri si sa fac tumbe, mi-am dat seama ca merge cacatul ala si online, pe SSH si dupa doar trebuie un reboot si gata. Si in loc sa mor de frig in datacenter si sa apas taste aiurea, a durat fix 2min pe dispozitiv sa-l repar plus vreo alte 3 minute pana se reboota sistemul. Cateodata am impresia ca nici aia de fac echipamente nu prea inteleg cum functioneaza creatiile lor.
Da a fost clientul super mega secure dupa? A fost. Cu cea mai criptare din lume.
Abia astept sa gasesc urmatorul client sa caute un specialist in Certes :)))))