Kérdések

Még mindig a tegnapi vizsgához kapcsolódóan. (Valójában ezt is abba az írásba terveztem, de annyira hosszú lett volna, hogy inkább különszedtem.)

Írtam tegnap olyat, hogy “kifinomultan aljas kérdések’. Igen. Az MS vizsgák leginkább erről híresek.
Nyilván a vizsgák előtt aláíratnak az emberrel egy papírt, miszerint a kérdéseket nem publikálhatja. Én viszont szeretném bemutatni a stílust, szóval csak fogok írni valamit, legfeljebb egy kicsit átfogalmazom a kérdéseket.

Itt van egy tipikus példány.

Gondoltam egy számra 1 és 10 között. Melyik az?
A: -1
B: 12
C: 6000
D: 16+2i

A helyes válasz az A. A feltételeknek ugyan nem felel meg, de még az van legközelebb a megoldáshoz. Igaz, a 12 is jó lehetne, hiszen az is két egységre van a zónától, de egy eldugott KB cikkben leírták, hogy szerintük a nulla nem szám, így a -1 csak egy egységnyire van.

Még egy.

Be kell verni egy százas szöget a betonfalba. Melyik eszközt használod?
(Mindenki tudja, hogy a hétköznapi életben ehhez kell egy cseszett erős ütvefúró, a lyukba tiplit teszünk és utána csavart. De a vizsga fényévekre lakozik a valóságtól.)
A: Libatoll.
B: Egy csomag vaj.
C: Kismacska.
D: Cipőfűző.
A helyes válasz a B, mert ha -200 fokra fagyasztom, akkor kitartó munkával 350 év alatt bele lehet ütni vele a szöget a betonba.
(És ehhez feltételezni kellett azt is, hogy a kérdést figyelmetlenségből elgépelték, mert a case study szerint a cégnél csak Szaratov hűtőszekrény van, az meg nem tud -200 fokot. Valójában a Szaratov Grandmaster 9000 készülékre gondolhattak, amelyik már igen.)

Ez már nem is deep dive, ez már az Endogén Expedíció.

Na jó, legyen egy olyan, amelyiknek a szakmai tartalmát valamilyen formában megtartottam. Igen, mert kifejezetten teteszett és szvsz nem baj, ha tanulunk is valamit.

Szép hosszú kérdésről van szó. A kérdésbe a biztonság kedvéért beledolgozták a Genezist is a Bibliából, hogy teljesen képben legyünk a viszonyokkal, azaz rögzítsük, miszerint a Föld nevű bolygón vagyunk. Mert máshol nem biztos, hogy ugyanaz a powershell parancs szintaktikája.
Aztán a lényeg.
Mi az Egyik cégnél dolgozunk. Van egy partnerünk, a Másik cég. A két cég között ún. partner konnektor van. Ez gyakorlatilag egy kölcsönösen TLS-sel titkosított smtp kapcsolatot jelent.
A cégünknél a konnektor elérése szabályozva van: csoporttagság, illetve levelezési tartalom alapján.

Az onpremben szocializálódott olvasóknak itt valószínűleg égbe szökött a szemöldökük. A send konnektor objektumnak egyszerűen nincs olyan attributuma, mely alapján ilyen szinten lehetne szabályozni a hozzáférést. Valójában az EXO-ban sincs, de ott kibővítették az outbound konnektort egy olyan lehetőséggel, hogy csak akkor engedjen át levelet, ha azt egy transport rule irányította a konnektorra. A transport szabályban meg már bármi is lehet. Ez egy annyira, de annyira hasznos dolog, hogy el sem hiszed. A Microsoft egyik nagy szégyene, hogy ezt nem implementálták az onpremise Exchange-ben. Csak hát, az üzlet az üzlet.

Szóval a környezet így néz ki:
– Van egy eszméletlenül agyonbonyolított transport rule, figyeli a csoporttagságot és figyeli a levelek tartalmát. Az akciója az, hogy a levelet beküldi a kimenő partner konnektorba.
– Van a kimenő partner konnektor, mely átdobja a levelet a Másik céghez.

A feladat pedig így:
– Vannak userek. (Mert ezek már csak ilyenek. Mindig vannak.) Ezek a userek különböző csoportokba lettek berakva.
– A userek mindenféle leveleket küldenek a Másik cégnek.
– A kérdés az, hogy ezek közül a levelek közül melyek mennek át titkosítva?

Egy átlagos felkészültségű rendszergazda felgyűri az ingujját, végigmazsolázza az egyes leveleknél a szabály feltételrendszerét, majd bepippantja azokat a leveleket, melyeket a szabály a konnektorba hajigál.
Az átlagos felkészültségű rendszergazda meg szokott bukni.

Már ott gyanút foghatott volna, hogy az egyes kérdések között volt egy apró, mondhatni nüansznyi különbség. Az egyik helyen azt kérdezték, hogy a konkrét levél titkosítva megy-e át, a másik kérdésnél meg azt, hogy a levél a partner konnektoron keresztül megy-e ki. Mivel a levél csak a konnektoron keresztül titkosódhat be, az ember hajlamos elsiklani e fölött az apróság fölött. Hiba.

Létezik ugyanis olyan, hogy opportunista TLS. Nem, ez nem azt jelenti, hogy vissza kell neki csorgatni 20%-ot a vételárból. Az EXO alapértelmezésben úgy működik, hogy ha kifelé küldünk levelet, akkor _mindig_ megnézi, hogy a túloldali levelezőszerver ismeri-e a starttls kibővített smtp parancsot, majd megpróbálkozik TLS csatorna kiépítésével. Ha sikerül, akkor titkosítva küldi ki a levelet, még akkor is, ha a feladónak ez eszében sem volt.

Nézzük a példánkat. A Másik cégnél ki van építve a TLS csatornához szükséges infrastruktúra, hiszen van is oda TLS konnektorunk. Azaz az EXO-ból azok a levelek is titkosítva fognak kimenni a Másik céghez, melyek nem a konnektoron keresztül mentek ki.
Finom.
Azaz végeredményben minden levél titkosítva fog kimenni a Másik cég felé. Az már más kérdés, hogy ezek közül melyik megy keresztül a konnektoron és melyik oson el mellette.
Éppen ezért kell érzékelni, hogy pontosan mi is a kérdés: titkosítás, vagy konnektorhasználat?

Mondhatnád, hogy kapják be. (Nyugodtan mondhatod, én is sokszor mondtam.) Meg hogy ez a konfiguráció mennyire el van már szakadva a valóságtól.
Nos, ez most kivételesen nem igaz.

Mert például mondhatnánk, hogy itt van ez a frankó opportunista TLS, ez mindenkinél titkosít. Akkor kell a francnak a konnektor.
Igen ám, de amióta Murphy törvényben írta elő, hogy ami elromolhat, annak el is kell, azóta tudjuk, hogy semmi sem tart örökké. A Másik cégnél bármikor elromolhat a TLS fogadásának képessége. Mondjuk lejár az SMTP tanúsítványuk és nem veszik észre. Mi történik? A levelek innentől mennek titkosítatlanul. Jó ez nekünk? Nem! Hiszen az egész kérdésből kiolvasható a szándék, hogy bizonyos részlegekből bizonyos kifejezéseket tartalmazó leveleknek mindenképpen titkosítva kell kimenniük. Azaz ha összerakjuk a fenti konnektort és az a túloldal hibája miatt elszakad, akkor azon keresztül nem megy ki levél. Visszapattan. És ez így van jól, mert ha nincs titkosítás, akkor ezek a levelek inkább ne is menjenek ki. Miközben minden más levél persze kimegy, immár titkosítatlanul, de ez senkit nem érdekel.

És ez csak egy kérdés volt a 64-ből. Igen, a könnyű kérdések szekcióban.

4 Comments

  1. Én már többször vizsgáztam az IBM-nél, de ott sohasem voltak ilyen típusú kérdések. Egy válasz mindig helyes volt, vagy jobb mint a többi.

  2. Living legend vagy, de ezt a kommentet ne approve-old

Leave a Reply

Your email address will not be published.