1
Hardware / Re:Akcelerace SSL - Intel QuickAssist - QAT
« Poslední příspěvek od vcunat kdy Dnes v 17:32:05 »Za mě v takové situaci je efektivnější tu práci už udělat celou.
Poslední příspěvky
2
Hardware / Re:Akcelerace SSL - Intel QuickAssist - QAT
« Poslední příspěvek od Aleš Rygl kdy Dnes v 17:13:17 »Z toho co jsem viděl, cena u rozumné implementace bude převážně za handshaky, tak hlavně aby daná akcelerační technologie akcelerovala je. Takže například obvykle hraje velkou roli to, zda je certifikát RSA nebo ECC, atd.Vidite, vliv typy certifikatu me nenapadl. Diky.
Jinak, vzhledem k tomu, že (de)šifrování zabírá většinu výkonu obvyklého DoT, osobně z architektonického hlediska nechápu, proč by "load-balancer" měl dešifrovat a tím sám odvést většinu práce. Možná jen nevhodnost názvu, no. Nakonec, ať si každý vybere jaké řešení chce
Ono to ma i sve vyhody; pokud LB desifruje a je dost chytry, muze sam pracovat s DNS provozem a aplikovat lokalni cache (vyborna vec), ruzne DDoS politiky a limitace atd.
3
Sítě / Re:MikroTik mDNS: nefunguje video napříč VLAN
« Poslední příspěvek od googler2 kdy Dnes v 16:48:35 »tak mal si pravdu, ked som povolil obojsmernu komunikaciu medzi tv vlan a pc vlan, tak uz funguje v podstate vsetko okrem castingu priamo cez Windows, ten stale TV nevyhlada ako zariadenie dostupne na castovanie, ale ako tu uz niekto spomenul, ten problem asi nebude vo VLAN (MDNS).
Dost mi ale vadi, ze aby bol chromecast plne funkcny, tak musi byt povolena obojsmerna komunikacia, to potom pouzitie VLAN straca zmysel, no myslim si, ze z bezpecnostneho hladiska je dobre mat srandicky typu smart TV a ine multimedia boxy izolovane od zbytku siete. Takze asi budem musiet ozeliet funkciu castingu v prospech bezpecnosti.
PS: Vobec nerozumiem tomu preco by mala TV ako receiver spatne komunikovat so sender zariadenim. Ved sender posiela video do TV, ktora ho uz nema posielat spet do siete sendera, ale ma ho len zobrazit.
Dost mi ale vadi, ze aby bol chromecast plne funkcny, tak musi byt povolena obojsmerna komunikacia, to potom pouzitie VLAN straca zmysel, no myslim si, ze z bezpecnostneho hladiska je dobre mat srandicky typu smart TV a ine multimedia boxy izolovane od zbytku siete. Takze asi budem musiet ozeliet funkciu castingu v prospech bezpecnosti.
PS: Vobec nerozumiem tomu preco by mala TV ako receiver spatne komunikovat so sender zariadenim. Ved sender posiela video do TV, ktora ho uz nema posielat spet do siete sendera, ale ma ho len zobrazit.
4
Hardware / Re:Akcelerace SSL - Intel QuickAssist - QAT
« Poslední příspěvek od vcunat kdy Dnes v 16:47:56 »Z toho co jsem viděl, cena u rozumné implementace bude převážně za handshaky, tak hlavně aby daná akcelerační technologie akcelerovala je. Takže například obvykle hraje velkou roli to, zda je certifikát RSA nebo ECC, atd.
Mimochodem, CZ.NIC není ISP, ale na našich řešeních se DoT dělá napřímo, balancing jen s SO_REUSEPORT v rámci jednoho serveru a k tomu případně anycast přes ECMP a BGP. Někdy tedy slyším o dnsdist, což používá třeba Quad9.net. Když občas něco zaslechnu o F5 DNS balancerech, tak hlavně problémy s rozbíjením v různých okrajovějších situacích (dobře, u autoritativních serverů).
Jinak, vzhledem k tomu, že (de)šifrování zabírá většinu výkonu obvyklého DoT, osobně z architektonického hlediska nechápu, proč by "load-balancer" měl dešifrovat a tím sám odvést většinu práce. Možná jen nevhodnost názvu, no. Nakonec, ať si každý vybere jaké řešení chce
Mimochodem, CZ.NIC není ISP, ale na našich řešeních se DoT dělá napřímo, balancing jen s SO_REUSEPORT v rámci jednoho serveru a k tomu případně anycast přes ECMP a BGP. Někdy tedy slyším o dnsdist, což používá třeba Quad9.net. Když občas něco zaslechnu o F5 DNS balancerech, tak hlavně problémy s rozbíjením v různých okrajovějších situacích (dobře, u autoritativních serverů).
Jinak, vzhledem k tomu, že (de)šifrování zabírá většinu výkonu obvyklého DoT, osobně z architektonického hlediska nechápu, proč by "load-balancer" měl dešifrovat a tím sám odvést většinu práce. Možná jen nevhodnost názvu, no. Nakonec, ať si každý vybere jaké řešení chce
5
Hardware / Re:Firemní počítač na soukromé použití
« Poslední příspěvek od Petr Branik kdy Dnes v 15:37:02 »Ono je to vícesečné. U nás se teď zhlídli v nasazování CIS benchmarků a já tomu říkám instantní zlo na pochodu. Na jednu stranu to chápu, an druhou stranu se mi podařilo vydyndat si mírnější restrikce, protože když vám přestane chodít ve Windows i iSCSI initiator, protože se někdo rozhodl, že to není bezpečné, tak už prostě vypěníte, o nemožnosti efektivně rozchodit virtualbox kvůli izolaci jádra ani nemluvě. Automatické odhlašování vzdálených přihlášení po nečinnosti je taky něco, co mi krutě pije krev, nedává to žádný smysl a jen to člověka obtěžuje (smysl má nanejvýš automatické zamykání fyzické plochy a i tomu se mi naštěstí podařilo zabránit).On ti nekdo zakazuje jit nekam jinam kde to zabezpeceni maji horsi a v nejhorsim pripade nedostanes mesic vyplatu protoze firma bude napadena ransomware? Nejsi bezpecak, myslis si jak tomu rozumis ale evidentne tomu nerozumis. Pozic kde clovek potrebuje mit na svem desktopu virtualizaci je minimum, v dnesni dobe ti naprosta vetsina firem vyhradi nejaky virtual nekde na serveru protoze je to efektivnejsi z pohledu penez, bezpecnosti i administrace. Iscsi initiator na desktopu? To delate neco hodne spatne na infrastrukture stejne jako virtualbix na desktopu. Ze mate debilni infrastrukturu neznamena ze jsou vsichni bezpecaci idioti. Klidne muzes nesouhlasit a jit o dum dal, firem ktere na zabezpeceni serou je bambilion.
Na firemních notebookách není problém zablokovat bootování z čehokoli jiného než z vnitřního úložiště, to, že to někde nedělají, je buď neschopnost, dobrá vůle, nebo záměr. Ale v těch větších korporátech se šrouby utahují čím dál víc a mně už to přestává bavit v tom dělat, protože když si navzájem hážeme klacky pod nohy a vydáváme to za pozitivum, tak jsem si asi špatně zvolil obor. A pak přijde testovací phishing mail a stejně vám někdo opakovaně vyplní přihlašovací údaje, tak si pak říkáte, že to veškeré zabezpečení je stejně k ničemu, protože pořád je nejslabším článkem lidská blbost. Ale odsíráme to kvůli ní my, co bychom rádi efektivně pracovali, ale nemůžeme, protože každá blbá VPNka odřízne přístup k jiné síti (proto si děláme na každý kravský projekt extra virtuálku), pomalu do těch vzdálených ploch nesmíte protlačit ani clipboard (což je při práci s příkazovou řádkou a skripty fakt mňamka) a úplně nejlepší jsou projekty, kde když zákazník po vás něco chce, tak vy musíte jeho bezpečáka ponížene poprosit o přístup a on vám ho milostivě na hodinu povolí - tak na takových projektech jsem odmítl dělat s tím, že mám svou čest a že ať si to dělá někdo, kdo nakoupil kýbl nervů ve slevě.
6
Hardware / Re:Firemní počítač na soukromé použití
« Poslední příspěvek od brk kdy Dnes v 15:26:13 »a na pochybné stránky z firemního počítače snad málokoho zde napadne tam léztZažil jsem člověka, který zdůrazňoval, že potřebuje dobře zabezpečit firemní notebook, tablet, telefon, ať to nijak neohrozí firmu, protože z toho všeho pravidelně navštěvuje pornoweby.
7
Sítě / Re:Metronet končí, ke komu přejít?
« Poslední příspěvek od pedro42 kdy Dnes v 13:03:54 »Napsal jsem Jonovi dlouhý mail, tázal jsem se na všeljaká blokování, fixlování a IP adresy. Jejich odpověď byla velmi uspokojivá, v podstatě všechny ty "klepy" se týkaly jejich bezdrátu, nikoli Cetin přípojek (včetně nevyžádané Jon secure). Jinak už jsou na seznamu Cetin partnerů https://www.cetin.cz/domacnosti/seznam-poskytovatelu , tak snad vše dobře dopadne.
8
Hardware / Re:Firemní počítač na soukromé použití
« Poslední příspěvek od 🇺🇦 GPU kdy Dnes v 12:28:31 »Tak to, že hraje youtube neznamená, že nepracuji. U nás se svého času youtube a další podobné platformy blokovaly, protože to prostě přetěžovalo linku. Lidi to často používají pro přehrávání hudby na pozadí při práci, nikolik na sledování minecraft videí místo práce. Jenže pak lidi začnou lézt na stále pochybnější weby, nosit si obsah z domova na externích discích, připojují k počítači mobily, používají proxy servery, VPN, tor,... a bezpečnost jde velice rychle do kopru.
9
Hardware / Re:Firemní počítač na soukromé použití
« Poslední příspěvek od Longin kdy Dnes v 11:04:00 »Z SSL inspection se dají vytáhnout nějaké soukromé věci? Asi ne, když se nejedná o specifické man-in-middle-attack
a na pochybné stránky z firemního počítače snad málokoho zde napadne tam lézt, tak co se potom řeší, že IT oddělení ví, že koukáte na youtube, reddit atd. Jestli se tam ale počítají nějaké statistiky aka "čas nevěnovaný práci" nebo "nedělá na kompu dokud nepadla", i když plníte tasky v termínu a pak to bonzuje vedení, tak to je blblý no...otázka je, jestli se tenhle trend někdy dostane sem ve větším rozsahu.
a na pochybné stránky z firemního počítače snad málokoho zde napadne tam lézt, tak co se potom řeší, že IT oddělení ví, že koukáte na youtube, reddit atd. Jestli se tam ale počítají nějaké statistiky aka "čas nevěnovaný práci" nebo "nedělá na kompu dokud nepadla", i když plníte tasky v termínu a pak to bonzuje vedení, tak to je blblý no...otázka je, jestli se tenhle trend někdy dostane sem ve větším rozsahu.
10
Hardware / Re:Akcelerace SSL - Intel QuickAssist - QAT
« Poslední příspěvek od Aleš Rygl kdy Dnes v 10:52:50 »Omlouvam se, ale nemohu jit uplne do detailu.
Nicmene reseni je jak prisete. DNS balancer, ktery ma experimentalni podporu QAT. A hledam HW, ktery by ho umel. Co se tyce sizingu, bavime se o desitkach tisic soucasnych TLS spojeni, kolem 10k novych TLS spojeni/s. Balancer podporuje TSL resumptions, ale i tak je tech nove vytvarenych spojeni hodne. S tim, ze to vse bude jen rust,
Jeste je tu takovy problem, ze, TLS 3.x ma vuci 1.x znacny propad ve multithread vykonu, https://github.com/openssl/openssl/issues/17064, ktery ani v poslednich verzich neni zcela vyresen.
Vymena HW je zde realna, tak jsem rikal, ze by HW akcelerace mohla byt resenim.
Nicmene reseni je jak prisete. DNS balancer, ktery ma experimentalni podporu QAT. A hledam HW, ktery by ho umel. Co se tyce sizingu, bavime se o desitkach tisic soucasnych TLS spojeni, kolem 10k novych TLS spojeni/s. Balancer podporuje TSL resumptions, ale i tak je tech nove vytvarenych spojeni hodne. S tim, ze to vse bude jen rust,
Jeste je tu takovy problem, ze, TLS 3.x ma vuci 1.x znacny propad ve multithread vykonu, https://github.com/openssl/openssl/issues/17064, ktery ani v poslednich verzich neni zcela vyresen.
Vymena HW je zde realna, tak jsem rikal, ze by HW akcelerace mohla byt resenim.
