шифрование сетевого трафика, проходящего через «ненадежный» сегмент кабеля Ethernet
скажем, у меня есть два офисных помещения в мультитенантном здании. Арендодатель был достаточно любезен, чтобы предоставить мне медный кабель категории 6, соединяющий оба непересекающихся пространства.
Я мог просто подключить сетевые коммутаторы на обоих концах и создать плоскую сеть L2. но я хотел бы быть уверен, что другие арендаторы не смогут легко подключиться к кабелю и подслушать трафик, проходящий между двумя моими офисами.
какое решение вы бы здесь предложили? в идеале он должен обеспечивать прозрачное соединение L2 и обрабатывать несколько сотен Мбит / с. Я бы предпочел готовые устройства, которые можно легко заменить.
с зашифрованными устройствами Home-Plug или беспроводными точками доступа, обеспечивающими wpa2-psk - похоже, что оборудование для шифрования доступно.
некоторые из моих идей:
- использовать надлежащее аппаратное устройство шифрования Ethernet, например это ; к сожалению, это кажется довольно дорогим.
- установить два Linux-сервера на обоих концах соединения и запустить на них openvpn , чтобы обеспечить прозрачный мост L2 с шифрованием трафика, проходящего через «ненадежный» сегмент
спасибо за любые предложения!
Я вижу две идеи.
Первая идея похожа на вашу идею openvpn, так как она рассматривает вашу линию как обычную wan link, и ставит туда какой-нибудь маршрутизатор, чтобы сделать vpn.
Вторая идея, никогда не использовалась, но я бы попробовал MACsec между двумя восходящими линиями коммутатора;
MACsec - это стандарт IEEE 802.1AE для аутентификации и шифрования. пакеты между двумя устройствами с поддержкой MACsec. Серия Catalyst 4500 коммутатор поддерживает шифрование по стандарту 802.1AE с включенным Соглашением о ключах MACsec (MKA) порты downlink для шифрования между коммутатором и хост-устройствами. коммутатор также поддерживает MACsec переключение между коммутаторами на канальном уровне путем используя Cisco TrustSec Контроль допуска сетевых устройств (NDAC) и Обмен ключами по протоколу Ассоциации безопасности (SAP). Безопасность на канальном уровне может включать как пакетную аутентификацию между коммутаторами, так и MACsec шифрование между коммутаторами (шифрование не обязательно).
Cisco TrustSec Switch-to-Switch Link Security Configuration Пример
В этом примере показана конфигурация, необходимая для посевного и не посевного устройства для безопасности Cisco TrustSec Switch-to-Switch. Для обеспечения безопасности соединения необходимо настроить AAA и RADIUS. В этом примере ACS-1 через ACS-3 может быть любым именем сервера, а cts-radius - сервером Cisco TrustSec.
Я бы использовал pfSense https://www.pfsense.org с обеих сторон для создания IPSec- или OpenVPN-Tunnel. pfSense - это OSS, простой в использовании, вы также можете купить специализированные устройства, профессиональную поддержку или даже использовать его в гипервизоре.
По адресу https://www.pfsense.org/products/ можно приобрести минимальное устройство с двумя Ethernet-портами по 150 US-$ каждый.
Мы используем pfSense в Гипервизоре VMWare, чтобы обеспечить кэп-портал для наших Guest-WiFi, и он работает очень хорошо.
SaPl