1 votes

pQd avatar

chiffrer le trafic réseau passant par un segment "non fiable" du câble Ethernet

Demandé el 28 de Septembre, 2016
Quand la question a-t-elle été
916 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Disons que j'ai deux bureaux dans un immeuble à locataires multiples. le propriétaire a eu la gentillesse de me fournir un câble en cuivre de type cat 6 reliant les deux espaces disjoints.

Je pourrais simplement connecter des commutateurs réseau aux deux extrémités et créer un réseau L2 plat. Mais je voudrais être sûr que les autres locataires ne peuvent pas facilement se brancher sur le câble et écouter le trafic qui passe entre deux de mes bureaux.

quelle solution proposeriez-vous ici ? idéalement, elle devrait fournir une connectivité L2 transparente et gérer quelques centaines de mbit/s. je préférerais des dispositifs prêts à l'emploi qui peuvent être facilement remplacés.

avec du matériel de branchement domestique crypté ou des points d'accès sans fil fournissant wpa2-psk - il semble que le matériel de cryptage soit disponible.

certaines de mes idées :

  • utiliser un dispositif matériel de cryptage ethernet approprié comme este Malheureusement, ils semblent être assez chers.
  • mettez deux serveurs linux aux deux extrémités de la connexion et exécutez openvpn pour qu'ils fournissent un pont l2 transparent avec cryptage du trafic traversant le segment "non fiable".

Merci pour toute suggestion !

Demandé el 28 de Septembre, 2016 par pQd

Réponses

Trop de publicités?

2voto

yagmoth555 avatar
yagmoth555 Points 15629

Je vois deux idées.

  • La première est comme l'idée de votre openvpn, traiter votre ligne comme un lien wan normal, et mettre un routeur là pour faire un site-to-site vpn.

  • Deuxième idée, je ne l'ai jamais utilisée, mais j'essaierais. MACsec entre les deux commutateurs de liaison montante ;

MACsec est la norme IEEE 802.1AE pour authentifier et crypter les paquets entre deux MAC. paquets entre deux périphériques compatibles MACsec. Le commutateur Catalyst 4500 series Catalyst 4500 prend en charge le cryptage 802.1AE avec MACsec Key Agreement (MKA) sur des ports de liaison descendante pour le chiffrement entre le commutateur et les périphériques hôtes. Le commutateur Le commutateur prend également en charge la sécurité de couche de liaison MACsec entre commutateurs en utilisant en utilisant Cisco TrustSec Network Device Admission Control (NDAC) et le protocole d'échange de Security Association Protocol (SAP). La sécurité de la couche de liaison peut inclure à la fois l'authentification des paquets entre commutateurs et le chiffrement MACsec entre les commutateurs (le chiffrement est facultatif).

Exemple de configuration de la sécurité des liaisons de commutateur à commutateur Cisco TrustSec

Cet exemple montre la configuration nécessaire pour un dispositif d'amorçage et de non-amorçage pour la sécurité de commutateur à commutateur Cisco TrustSec. Vous devez configurer l'AAA et le RADIUS pour la sécurité des liens. Dans cet exemple, ACS-1 à ACS-3 peuvent être des noms de serveurs quelconques et cts-radius est le serveur Cisco TrustSec.

Répondu el 28 de Septembre, 2016 par yagmoth555 (15629 Points )

0 votes

Avatar de pQd

MACsec ressemble exactement à ce que je recherche. Dommage que je n'aie pas d'appareils compatibles des deux côtés pour l'instant.

Commenté el 28 de Septembre, 2016 par pQd

0voto

sapl avatar
sapl Points 161

J'utiliserais pfSense https://www.pfsense.org des deux côtés pour établir un tunnel IPSec ou OpenVPN. pfSense est un logiciel libre, facile à utiliser, et vous pouvez également acheter des dispositifs spécialisés, une assistance professionnelle ou même l'utiliser dans un hyperviseur.

Un dispositif très minimal est disponible à https://www.pfsense.org/products/ avec deux ports Ethernet pour 150 US-$ chacun.

Nous utilisons pfSense dans un hyperviseur VMWare pour fournir un portail captif pour notre Wi-Fi invité et cela fonctionne très bien.

SaPl

Répondu el 28 de Septembre, 2016 par sapl (161 Points )

1 votes

Avatar de Jojje

Les RouterBoards les moins chères (comme les celui-ci ) offrirait également la même fonctionnalité, pour la moitié du prix. En prime, il est possible de l'alimenter par PoE, il dispose de plus de ports et d'un point d'accès WiFi. Si cela peut vous être utile.

Commenté el 28 de Septembre, 2016 par Jojje

0 votes

Avatar de pQd

@GregL - quelles performances la RouterBoard pourrait-elle offrir ? à ma connaissance, mikrotik a toujours openvpn avec seulement le transport tcp - ce qui le rend pratiquement inutilisable ; y a-t-il d'autres mécanismes de cryptage qu'ils offrent ? serait-il capable de transporter des vlans taggés ?

Commenté el 28 de Septembre, 2016 par pQd

1 votes

Avatar de Jojje

L'un d'entre eux prétend pouvoir saturer une liaison de 1 Gbps avec des trames complètes, mais il est évident que l'ajout d'un cryptage sur cette liaison réduira le débit. En plus d'OpenVPN, il gère une multitude d'autres protocoles d'ouverture de tunnel/de chiffrement, dont au moins un est spécifique à Mikrotik. La liste complète est la suivante aquí sur le côté gauche avec toutes les autres interface sous-commandes.

Commenté el 28 de Septembre, 2016 par Jojje
Afficher 1 autres commentaires

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X