Шифрование сетевого трафика, проходящего через "ненадежный" сегмент кабеля Ethernet

Question

Шифрование сетевого трафика, проходящего через "ненадежный" сегмент кабеля Ethernet

Скажем , у меня есть два офисных помещения в многоквартирном здании. Хозяин был достаточно любезен, чтобы предоставить мне медный кабель категории 6, соединяющий оба непересекающихся пространства.

Я мог бы просто подключить сетевые коммутаторы на обоих концах и создать плоскую сеть L2. но я хотел бы быть уверен, что другие арендаторы не могут легко подключиться к кабелю и подслушать трафик, проходящий между двумя моими офисами.

какое решение вы бы предложили здесь? в идеале он должен обеспечивать прозрачное соединение L2 и обрабатывать несколько сотен мбит / с. Я бы предпочел готовые устройства, которые можно легко заменить.

с зашифрованным домашним устройством или беспроводными точками доступа, обеспечивающими wpa2-psk - кажется, аппаратное обеспечение шифрования доступно.

некоторые из моих идей:

используйте правильное аппаратное устройство шифрования Ethernet, как это; к сожалению, те, которые кажутся довольно дорогими
установите два сервера linux на обоих концах соединения и запустите на них openvpn, чтобы обеспечить прозрачный мост l2 с шифрованием трафика, пересекающего сегмент "ненадежный"

спасибо за любые предложения!

1

security network-security

Источник

pQd 28 сен '16 в 12:23

2 ответа

Другие вопросы по тегам security network-security

yagmoth555 28 сен '16 в 12:55 2016-09-28 12:55 · Answer 1 · 2016-09-28 12:55

Я вижу две идеи.

Во-первых, это как идея вашего openvpn, так как обрабатывайте вашу линию как обычную ссылку wan и добавьте туда маршрутизатор, чтобы сделать vpn "сайт-сайт".
Вторая идея, никогда не использовал его, но я бы попробовал MACsec между двумя коммутаторами восходящей линии связи;

MACsec - это стандарт IEEE 802.1AE для аутентификации и шифрования пакетов между двумя устройствами с поддержкой MACsec. Коммутатор Catalyst серии 4500 поддерживает шифрование 802.1AE с соглашением о ключах MACsec (MKA) на портах нисходящей линии связи для шифрования между коммутатором и хост-устройствами. Коммутатор также поддерживает безопасность коммутатора коммутатора канального уровня MACsec с помощью управления доступом к сетевым устройствам Cisco TrustSec (NDAC) и обмена ключами протокола ассоциации безопасности (SAP). Безопасность канального уровня может включать как аутентификацию пакетов между коммутаторами, так и шифрование MACsec между коммутаторами (шифрование необязательно).

Пример конфигурации защиты канала коммутации Cisco TrustSec

В этом примере показана конфигурация, необходимая для начального и не начального устройства для безопасности коммутатора Cisco TrustSec. Вы должны настроить AAA и RADIUS для безопасности соединения. В этом примере от ACS-1 до ACS-3 могут быть любые имена серверов, а cts-radius является сервером Cisco TrustSec.

sapl 28 сен '16 в 14:11 2016-09-28 14:11 · Answer 2 · 2016-09-28 14:11

Я бы использовал pfSense https://www.pfsense.org/ с обеих сторон для установки IPSec- или OpenVPN-туннеля. pfSense - это OSS, он прост в использовании, вы также можете купить специализированные устройства, профессиональную поддержку или даже использовать их в гипервизоре.

На сайте https://www.pfsense.org/products/ доступно очень минимальное устройство с двумя Ethernet-портами по 150 долларов США каждый.

Мы используем pfSense в VMWare-Hypervisor для предоставления Captive-Portal для нашего гостевого WiFi, и он работает очень хорошо.

SAPL