klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Немного IPSec-боли и про рынок труда

... Удалось вызвать на ринг конф-колл сетевика одного из крупных операторов связи. В числе прочего я ему задал вопрос, хули они все так яростно сопротивляются широким криптодоменам в IPSec-политиках второй фазы типа "192.168.0.0/16" или там вообще "0.0.0.0/0". Ответ меня несколько шокировал. Видите ли, "им так проще диагностировать". Ну конечно, заводить полноценные снифферы им лениво. Поэтому они просто глядят на счетчики трафика по интерфейсу / политике и смотрят "есть трафик — нет трафика". Ну зашибись! Второй аргумент: они перекладывают функции фильтрации (firewall) на security associations. То бишь, если политики такой нет, то и враг к нам не пройдёт. Искренне верят, что такой подход как-то повышает безопасность.

Для меня же это сплошная головная боль. По целому ряду причин.


  1. Конфиг Juniper-а распухает до внушительных размеров и становится ни разу не удобочитаемым.

  2. Если какие-то из тоннелей "залипают", то приходится прибивать подвисшие политики второй фазы по одной. То ещё развлечение, когда их штук 20 на одного контрагента.

  3. Когда мониторинг показывает, что какие-то из вражеских хостов периодически пропадают со связи, совершенно непонятно на что грешить: то ли на сам тоннель, то ли на  какие-то обстоятельства по ту сторону тоннеля.

  4. В Juniper-е есть баг, который мешает нормальной работе IKEv2 в случае наличия более одного криптодомена. Часто приходится отказываться от IKEv2 только по этой причине.

  5. Нужно подвешивать на мониторинг каждую такую политику по отдельности. Доставляет.

  6. Какие-либо изменения приходится согласовывать с кучей разных людей и проводить их одновременно с двух сторон.

  7. Циска по умолчанию гасит тоннель / политику если в течение 30 минут через неё не прошло никакого трафика. Соответственно, логи просто пестрят сообщениями типа "tunnel up, tunnel down".

В общем, если хотите понять насколько вменяемый сетевой инженегр — попросите его построить IPSec-тоннель и посмотрите как он это будет делать. Если начнет прописывать в криптодомен отдельные хосты — лучше гоните взашей сразу.

... Ровно два года тому назад я мучительно пытался найти себе работу. На рынке труда был какой-то полнейший голяк. Дошло до того, что после нескольких собеседований некоторым козлам удалось сбить мою самооценку до такой степени, что я согласился на трудоустройство в прасти хоспади одну из дочек Сбера на какие-то совсем смешные деньги.

Смотрю сейчас и не понимаю. Технарей не хватает. Тех что есть, расхватывают как горячие пирожки. Мне постоянно пишут какие-то хеарщицы в LinkedIn, приглашают на работу. Там же, в LinkedIn-е куча вакансий на сисадминские должности. Даже объявление от той же "Бадушки" (Badoo) уже очень давно висит. Хотя кто-кто, а они со своими понтами всегда могли себе позволить устраивать конкурсы из серии "20 человек на место". Да и наша организация уже полгода минимум не может найти ещё одного сисадмина нам в команду (мне в помощники). Тупо никого нет.

Я вот не понимаю: а таки что случилось? Животворящая ковидла так действует? Все переключились на удаленную работу на американского дядю? Последствия демографической ямы 90-х? Админы поумирали? Свалили за бугор? Экономика типа "восстановилась", бизнес расцвёл? В чём принципиальная разница между этим годом и позапрошлым? Есть идеи?

Ну ладно Javaписьцы, их всегда не хватало. Но линуксоиды-то?

Tags: ненависть, размышления, сети, трудовыебудни
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments