Linux за българи: Форуми

Здравейте,
имаме 2 офиса на разстояние около половин километър един от друг. Между двата офиса има пуснато тъмно влакно.
Искам двата офиса да са в един LAN - компютрите не са кой знае колко. Обаче се чудя още как можем да защитим връзката между тях. Какво имам предвид - на 3 места влакното е препачвано и връзката е с конектори на ODF-и, което значи, че всеки който си вземе един медия конвертор и се върже към влакното може да ни види мрежта и от двете страни. Естествено ще прекъсне връзката между офисите. Не искам да правя VPN-и, а искам всичките компютри да са си в една мрежа.
Кажете някакъв начин да съм сигурен, че връзката е само между моите краища на влакното.

Предварително благодаря

И защо не искаш VPN?
Просто в единия офис сложи рутер, на който да ти държи VPN-a, във втория офис слагаш клиентски рутер и връзваш машините към него. VPN-a го пускаш да те вкарва в по-горен range на същата мрежа, а в офиса където е рутер-а с VPN-a ги връзваш директно, като DHCP-то ти дава по-нисък range ip-ta.
Така ще са си в една мрежа машините и клиентите ти няма да се занимават да се връзват ръчно към VPN-a.

Да, прав си, но не искам VPN. Има доста трафик, не искам да е криптиран, има и разни други неща, които не искам да се рутират.
Не ми е вариант VPN-а. Сега ползвам VPN, не през тъмното влакно, а през интернет.
Тъй че търся идеи за относителна надеждност на връзката. Умувам ако пусна VLAN и сменям таговете периодично, до каква степен ще е защитено. Но предпочитам нещо по-така - просто от двете страни машините да се познават и да не отговарят на нищо дето не са те.

Изобщо не си мисли, че има как да защитиш това влакно без VPN. Абсурд! Аз имам точно същата ситуация като твоята....един съвременен процесор без проблем държи гибабит++ криптиране на такава връзка. Само ще ти кажа за една случка отпреди половин година. Даркфайбъра между два офиса изчезна мистериозно сутринта между 9 и 9:30. "Самооправи се". Проверих с очите си в момента на проблема, че не е виновно активното оборудване от двете страни, просто линка изчезна за 30 мин и се появи сам. Скъсах телефона и мейла с доставчика да получа обяснение как изчезва даркфайбър и още повече държах да разбера как се самооправя. Те твърдяха, че не знаят нищо по въпроса. Накарах ги да проверат дали са имали техници в този момент и дали са ни пипали линка - провериха и казаха, че не са имали техници в района. И съпорта и търговеца отговарящ за нас не може да ми отговори на въпроса как един даркфайбър се прекъсва за 30 мин и се появява пак. Щото единствения вариант, който се сещам е някой багер да е скъсал кабела и после докато е заривал дупката отзад на лопатата на багера е имало сплайсер, който е оправил проблема автоматично при зариването на дупката. Имам само едно обяснение  - ДОТО.
Оптиката се подслушва всячески, тъмна, светла подслушва се елементарно. Дори без да се прекъсва! Изобщо не си помисляй, че можеш да я опазиш без VPN.

Няма как да стане без криптиране на връзката. Няма сигурност без това. А и самото VPN колко е сигурно.... Ма това е друга тема. По-добре с него, отколкото без.

Елементарното обяснение е че някъде по трасето има конвертер, който е имал временни проблеми със захранването. В смисъл тапването на влакното от някой слухтящ не е невъзможно, но е статистически по-невероятното събитие. Плюс това не знам да има лесен начин да се мониторират конвертерите дали са живи - те са тъпи устройства.

Но пък важен трафик между два офиса наистина не си заслужава да минава некриптиран по трасе дето е тотално извън контрол.

Не съм много съгласен.

Има медия конвертори с ip management :)

Не съм много съгласен.

Има медия конвертори с ip management :)

Значи още едно ниво на сигурност е излишно?

Елементарното обяснение е че някъде по трасето има конвертер, който е имал временни проблеми със захранването. В смисъл тапването на влакното от някой слухтящ не е невъзможно, но е статистически по-невероятното събитие. Плюс това не знам да има лесен начин да се мониторират конвертерите дали са живи - те са тъпи устройства.

Говорим за DarkFiber, за какви тоци става въпрос? Имаме договор, констативен протокол, замервания на заглъхвания и т.н и т.н за такова. Като тъмно влакно между двата му края не трябва да има каквото и да е било оборудване работещо с ток. Проблема беше в самата преносна среда, а не в двата конвертора в двата му края, които многократно проверявах/рестартирах докато траеше този блекаут (те отгоре на всичкото и са на онлайн UPS). След телефонните разговори попитах писмено по мейл  търговеца, отговарящ за нас как си обяснява нещата..поне един вариант да ми даде как технически може да се случи това, защото за мен обясненията (след като техници не са били в района) са само две:
- Или това не е ДаркФайбър  изобщо ами е псевдотакъв с разни активни у-ва по пътя (което още повече влошава положението с евентуално подслушване)
- Вече не сме сами.

Отговор не получих. Никакъв. Мълчание.
Не знам кое от двете е (било),  обяснението ми на нещата  с ДОТО и на мен си ми звучеше доста "ельоменатно" обаче ако се поинтересувате сред тия среди ще видите че са имали много голяма активност през 2014г.

@MiCRo Щом така мислиш и трасето ти е 500 м, защо не огледаш трасето за странни "изкопи"? Дори наистина да има държавна намеса, 100% Бай Иван работника си е оставил ръцете при копането и ще има "видими следи".

п.с. Щом си вкарваш такива паранои е още по-голям признак, че трябва да ползваш някакво криптиране  :)

Цитат на: 10101 в May 12, 2015, 11:48

Не съм много съгласен.

Има медия конвертори с ip management :)

Значи още едно ниво на сигурност е излишно?

:))
 Не твърдя,че е излишно,само коментирах възможностите наустройството медия конвертор,

Някакви идеи за нещо опростено по темата VPLS?

@MiCRo Щом така мислиш и трасето ти е 500 м, защо не огледаш трасето за странни "изкопи"? Дори наистина да има държавна намеса, 100% Бай Иван работника си е оставил ръцете при копането и ще има "видими следи".

Е, те тия неща не се правят с лопата и бай Иван. Правят се на по-културни места/точки, които не са окоп насред улицата.
Иначе трасето по е поне километър или два тъй като не се прави канал по булеварда по най-прекия път между офисите а се минава по изградени трасета и шахти ;-)

п.с. Щом си вкарваш такива паранои е още по-голям признак, че трябва да ползваш някакво криптиране  :)

То си се криптира още отпреди да минава през DarkFiber, просто се включих по темата защото за мен е абсурдно да не се криптира кабел от вътрешна мрежа (за която ти пука изобщо де), която напуска помещения, до които можеш да осигуриш физически контрол.
Иначе относно параноята е казано 'Just because you're paranoid doesn't mean they aren't after you"  ;D
А поводи има... ;-) Всичко трябва да е с мярка... [_]3

Решението е просто и сравнително евтино. За какъв трафик иде реч? Ако не е много сериозен - два микротика от двете страни, IPSec тунел между двата и вътре в него EoIP тунел бриджнат на вторите портове. По този начин между порт2 на единия и порт2 на другия микротик ще имаш прозрачна L2 връзка, но всъщност трафика ще бъде криптиран по правилата. Единственото, което е нужно за конкретно предложение за модел на устройствата е очаквания трафик. Също така може да се направят нещата с рутинг и отново IPSec.

Всякакви решения различни от VPN са 100% подслушваеми и то без да е необходимо специално оборудване, а в някои случаи без да е нужно дори прекъсване на оптиката. Също така PPTP (което е VPN) не е решение поради вече описаните причини.

.. изтрито от автора ..

BRADATA, от два дни и аз на нещо такова се чудя, но не знам дали Микротиците ще издържат. Благодаря много.

Всъщност имам и 2 Junipera дето може да им освободя по 2 порта.

+1 Juniper-a,
Ако не го правиш по някаква причина с jun-a, за микротик ти трябва точния микротик с hardware за да криптира ...иначе не ми изглежда надеждно.
Може да сложиш две PC-та с БСД, или pfsense или подобни.
Някой ще каже ама защо не микротик и pc, ами няма нужда от лиценз за микротик и pc, като има алтернативи.

BRADATA, от два дни и аз на нещо такова се чудя, но не знам дали Микротиците ще издържат. Благодаря много.

Кажи за какъв трафик иде реч. Постоянен и пиков.

Направихме го днес с два микротика и работи. Пробвахме да пуснем IPSec и eoip тунел, ама нещо не се получи, понеже интерфейсите се виждат всякак и eoip-а не вървеше криптиран. Та пуснахме L2TP с IPSec, а eoip-a ползва адресите, които се вдигат след осъществяване на L2TP връзката и така хвръкна.

Обаче микротиците са смотанички и много забавят трафика. Максималната скорост на трансфер, която постигнахме беше под 20 Mb/s на гигабитова връзка, като единия микротик (по-смотания) си е на 100 процента постоянно.
Отказах се да се мъчим с Juniper-ите, понеже са BGP рутери и не им трябва още мъка на плещите. Заради това поръчах 2 ето такива Микротика

http://routerboard.com/CCR1009-8G-1S-1SplusPC ($2)

1U rackmount, 8x Gigabit Ethernet, 1xSFP cage, 1xSFP+ cage, 9 cores x 1.2GHz CPU, 2GB RAM, LCD panel, Dual Power supplies, SmartCard slot, RouterOS L6

По принцип не се очаква някакъв огромен трафик по влакното в работно време, но мисля да си пусна бекъпи да вървят през нощта, а те са около 10 GB. Пък и тия Микротици ще ми свършат работа за други неща, тъй че ще ги видя.

Благодаря още веднъж на всички и особено на BRADATA.

Без VPN, така http://www.cisco.com/c/en/us/products/collateral/optical-networking/ons-15454-series-multiservice-transport-platforms/datasheet-c78-729795.pdf ($2)

Без VPN, така http://www.cisco.com/c/en/us/products/collateral/optical-networking/ons-15454-series-multiservice-transport-platforms/datasheet-c78-729795.pdf ($2)

Това решение е $100К+.... Плюс това е ограничено до тъмно влакно. Т.е. не можеш да смениш доставчика например, ако новия предлага VLAN.

Всякакви решения различни от VPN са 100% подслушваеми и то без да е необходимо специално оборудване, а в някои случаи без да е нужно дори прекъсване на оптиката. Също така PPTP (което е VPN) не е решение поради вече описаните причини.

??? :o ???  :D

Tова за сега като гледам е eдинствено предложение за решаване на проблема  без VPN. Наистина доста скъпо излиза, но никаде не видях <>= $100К. Ама така е колеги сигурността е скъпа. Особено, ако имаш претенции относно това как е реализирана.

А защо просто не си разпишеш един VLAN и дори някой да си вкл. медиа конвертор на тъмното влакно, ако не е част от VLAN-а няма да може да слухти.

Tова за сега като гледам е eдинствено предложение за решаване на проблема  без VPN. Наистина доста скъпо излиза, но никаде не видях <>= $100К. Ама така е колеги сигурността е скъпа. Особено, ако имаш претенции относно това как е реализирана.

15454-M-WSE-K9= $75000.00 Full Feature Wire Speed Encryption Unit

Това е само цената на картата. Шасито е от порядъка на $15000 без никакви лицензи и т.н. И като плати шипинг и ДДС ще чукне като нищо $100К.

На тема сигурност - IPSec с подходящи настройки на подходящо желязо му върши достатъчно добре работа за много по-малко пари. Т.е. за около 1/100 от парите. Например RB1100AHx2 може преспокойно да криптира 500Мбита трафик.

А защо просто не си разпишеш един VLAN и дори някой да си вкл. медиа конвертор на тъмното влакно, ако не е част от VLAN-а няма да може да слухти.

Данаиле, ако не знаеш VLAN е просто една стойност в хедъра на пакета. Всеки, който има физически достъп до оптиката може да слухти какво минава през нея без значение колко VLAN-а си и натресъл. Т.е. без криптиране на данните няма спасение.

Цитат на: danaildr в May 15, 2015, 13:43

А защо просто не си разпишеш един VLAN и дори някой да си вкл. медиа конвертор на тъмното влакно, ако не е част от VLAN-а няма да може да слухти.

Данаиле, ако не знаеш VLAN е просто една стойност в хедъра на пакета. Всеки, който има физически достъп до оптиката може да слухти какво минава през нея без значение колко VLAN-а си и натресъл. Т.е. без криптиране на данните няма спасение.

Абе усетих се , ама го бях написал вече и не вървеше да трия ....
Пък и така вече се вижда  "едно грешно решение" на проблема.