Автор Тема: Защита на тъмно влакно  (Прочетена 8079 пъти)

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Защита на тъмно влакно
« -: May 12, 2015, 08:48 »
Здравейте,
имаме 2 офиса на разстояние около половин километър един от друг. Между двата офиса има пуснато тъмно влакно.
Искам двата офиса да са в един LAN - компютрите не са кой знае колко. Обаче се чудя още как можем да защитим връзката между тях. Какво имам предвид - на 3 места влакното е препачвано и връзката е с конектори на ODF-и, което значи, че всеки който си вземе един медия конвертор и се върже към влакното може да ни види мрежта и от двете страни. Естествено ще прекъсне връзката между офисите. Не искам да правя VPN-и, а искам всичките компютри да са си в една мрежа.
Кажете някакъв начин да съм сигурен, че връзката е само между моите краища на влакното.

Предварително благодаря
Активен

Face Your FreeBSD at http://ipolit.hit.bg

borovaka

  • Напреднали
  • *****
  • Публикации: 1331
  • Distribution: Каквото дойде
  • Window Manager: Gnome / KDE
    • Профил
Re: Защита на тъмно влакно
« Отговор #1 -: May 12, 2015, 09:34 »
И защо не искаш VPN?
Просто в единия офис сложи рутер, на който да ти държи VPN-a, във втория офис слагаш клиентски рутер и връзваш машините към него. VPN-a го пускаш да те вкарва в по-горен range на същата мрежа, а в офиса където е рутер-а с VPN-a ги връзваш директно, като DHCP-то ти дава по-нисък range ip-ta.
Така ще са си в една мрежа машините и клиентите ти няма да се занимават да се връзват ръчно към VPN-a.
Активен

Та извода е прост: "Колкото по-големи ла*ната - толкова по-малка щетата! ... моралната де, не материалната"

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Защита на тъмно влакно
« Отговор #2 -: May 12, 2015, 09:57 »
Да, прав си, но не искам VPN. Има доста трафик, не искам да е криптиран, има и разни други неща, които не искам да се рутират.
Не ми е вариант VPN-а. Сега ползвам VPN, не през тъмното влакно, а през интернет.
Тъй че търся идеи за относителна надеждност на връзката. Умувам ако пусна VLAN и сменям таговете периодично, до каква степен ще е защитено. Но предпочитам нещо по-така - просто от двете страни машините да се познават и да не отговарят на нищо дето не са те.
Активен

Face Your FreeBSD at http://ipolit.hit.bg

MiCRo

  • Напреднали
  • *****
  • Публикации: 51
  • Distribution: Debian GNU/Linux Jessie
  • Window Manager: Mate
    • Профил
Re: Защита на тъмно влакно
« Отговор #3 -: May 12, 2015, 10:10 »
Изобщо не си мисли, че има как да защитиш това влакно без VPN. Абсурд! Аз имам точно същата ситуация като твоята....един съвременен процесор без проблем държи гибабит++ криптиране на такава връзка. Само ще ти кажа за една случка отпреди половин година. Даркфайбъра между два офиса изчезна мистериозно сутринта между 9 и 9:30. "Самооправи се". Проверих с очите си в момента на проблема, че не е виновно активното оборудване от двете страни, просто линка изчезна за 30 мин и се появи сам. Скъсах телефона и мейла с доставчика да получа обяснение как изчезва даркфайбър и още повече държах да разбера как се самооправя. Те твърдяха, че не знаят нищо по въпроса. Накарах ги да проверат дали са имали техници в този момент и дали са ни пипали линка - провериха и казаха, че не са имали техници в района. И съпорта и търговеца отговарящ за нас не може да ми отговори на въпроса как един даркфайбър се прекъсва за 30 мин и се появява пак. Щото единствения вариант, който се сещам е някой багер да е скъсал кабела и после докато е заривал дупката отзад на лопатата на багера е имало сплайсер, който е оправил проблема автоматично при зариването на дупката. Имам само едно обяснение  - ДОТО.
Оптиката се подслушва всячески, тъмна, светла подслушва се елементарно. Дори без да се прекъсва! Изобщо не си помисляй, че можеш да я опазиш без VPN.
Активен

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Защита на тъмно влакно
« Отговор #4 -: May 12, 2015, 10:19 »
Няма как да стане без криптиране на връзката. Няма сигурност без това. А и самото VPN колко е сигурно.... Ма това е друга тема. По-добре с него, отколкото без.
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

gat3way

  • Напреднали
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Re: Защита на тъмно влакно
« Отговор #5 -: May 12, 2015, 10:44 »
Елементарното обяснение е че някъде по трасето има конвертер, който е имал временни проблеми със захранването. В смисъл тапването на влакното от някой слухтящ не е невъзможно, но е статистически по-невероятното събитие. Плюс това не знам да има лесен начин да се мониторират конвертерите дали са живи - те са тъпи устройства.

Но пък важен трафик между два офиса наистина не си заслужава да минава некриптиран по трасе дето е тотално извън контрол.
Активен

"Knowledge is power" - France is Bacon

10101

  • Напреднали
  • *****
  • Публикации: 384
  • Distribution: GNU LINUX
    • Профил
Re: Защита на тъмно влакно
« Отговор #6 -: May 12, 2015, 11:48 »
Не съм много съгласен.

Има медия конвертори с ip management :)
Активен

А печат ?

4096bits

  • Напреднали
  • *****
  • Публикации: 6152
    • Профил
Re: Защита на тъмно влакно
« Отговор #7 -: May 12, 2015, 12:11 »
Не съм много съгласен.

Има медия конвертори с ip management :)
Значи още едно ниво на сигурност е излишно?
Активен

As they say in Mexico, "Dasvidaniya!" Down there, that's two vidaniyas.

MiCRo

  • Напреднали
  • *****
  • Публикации: 51
  • Distribution: Debian GNU/Linux Jessie
  • Window Manager: Mate
    • Профил
Re: Защита на тъмно влакно
« Отговор #8 -: May 12, 2015, 12:29 »
Елементарното обяснение е че някъде по трасето има конвертер, който е имал временни проблеми със захранването. В смисъл тапването на влакното от някой слухтящ не е невъзможно, но е статистически по-невероятното събитие. Плюс това не знам да има лесен начин да се мониторират конвертерите дали са живи - те са тъпи устройства.

Говорим за DarkFiber, за какви тоци става въпрос? Имаме договор, констативен протокол, замервания на заглъхвания и т.н и т.н за такова. Като тъмно влакно между двата му края не трябва да има каквото и да е било оборудване работещо с ток. Проблема беше в самата преносна среда, а не в двата конвертора в двата му края, които многократно проверявах/рестартирах докато траеше този блекаут (те отгоре на всичкото и са на онлайн UPS). След телефонните разговори попитах писмено по мейл  търговеца, отговарящ за нас как си обяснява нещата..поне един вариант да ми даде как технически може да се случи това, защото за мен обясненията (след като техници не са били в района) са само две:
- Или това не е ДаркФайбър  изобщо ами е псевдотакъв с разни активни у-ва по пътя (което още повече влошава положението с евентуално подслушване)
- Вече не сме сами.

Отговор не получих. Никакъв. Мълчание.
Не знам кое от двете е (било),  обяснението ми на нещата  с ДОТО и на мен си ми звучеше доста "ельоменатно" обаче ако се поинтересувате сред тия среди ще видите че са имали много голяма активност през 2014г.
Активен

borovaka

  • Напреднали
  • *****
  • Публикации: 1331
  • Distribution: Каквото дойде
  • Window Manager: Gnome / KDE
    • Профил
Re: Защита на тъмно влакно
« Отговор #9 -: May 12, 2015, 13:26 »
@MiCRo Щом така мислиш и трасето ти е 500 м, защо не огледаш трасето за странни "изкопи"? Дори наистина да има държавна намеса, 100% Бай Иван работника си е оставил ръцете при копането и ще има "видими следи".

п.с. Щом си вкарваш такива паранои е още по-голям признак, че трябва да ползваш някакво криптиране  :)
Активен

Та извода е прост: "Колкото по-големи ла*ната - толкова по-малка щетата! ... моралната де, не материалната"

10101

  • Напреднали
  • *****
  • Публикации: 384
  • Distribution: GNU LINUX
    • Профил
Re: Защита на тъмно влакно
« Отговор #10 -: May 12, 2015, 13:58 »
Не съм много съгласен.

Има медия конвертори с ip management :)
Значи още едно ниво на сигурност е излишно?

:))
 Не твърдя,че е излишно,само коментирах възможностите наустройството медия конвертор,
Активен

А печат ?

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Защита на тъмно влакно
« Отговор #11 -: May 12, 2015, 14:11 »
Някакви идеи за нещо опростено по темата VPLS?
Активен

Face Your FreeBSD at http://ipolit.hit.bg

MiCRo

  • Напреднали
  • *****
  • Публикации: 51
  • Distribution: Debian GNU/Linux Jessie
  • Window Manager: Mate
    • Профил
Re: Защита на тъмно влакно
« Отговор #12 -: May 12, 2015, 16:36 »
@MiCRo Щом така мислиш и трасето ти е 500 м, защо не огледаш трасето за странни "изкопи"? Дори наистина да има държавна намеса, 100% Бай Иван работника си е оставил ръцете при копането и ще има "видими следи".

Е, те тия неща не се правят с лопата и бай Иван. Правят се на по-културни места/точки, които не са окоп насред улицата.
Иначе трасето по е поне километър или два тъй като не се прави канал по булеварда по най-прекия път между офисите а се минава по изградени трасета и шахти ;-)

п.с. Щом си вкарваш такива паранои е още по-голям признак, че трябва да ползваш някакво криптиране  :)

То си се криптира още отпреди да минава през DarkFiber, просто се включих по темата защото за мен е абсурдно да не се криптира кабел от вътрешна мрежа (за която ти пука изобщо де), която напуска помещения, до които можеш да осигуриш физически контрол.
Иначе относно параноята е казано 'Just because you're paranoid doesn't mean they aren't after you"  ;D
А поводи има... ;-) Всичко трябва да е с мярка... [_]3
Активен

BRADATA

  • Напреднали
  • *****
  • Публикации: 833
  • Distribution: Slackware/Mint/CentOS
  • Window Manager: console/KDE/LXDE
    • Профил
    • WWW
Re: Защита на тъмно влакно
« Отговор #13 -: May 12, 2015, 18:34 »
Решението е просто и сравнително евтино. За какъв трафик иде реч? Ако не е много сериозен - два микротика от двете страни, IPSec тунел между двата и вътре в него EoIP тунел бриджнат на вторите портове. По този начин между порт2 на единия и порт2 на другия микротик ще имаш прозрачна L2 връзка, но всъщност трафика ще бъде криптиран по правилата. Единственото, което е нужно за конкретно предложение за модел на устройствата е очаквания трафик. Също така може да се направят нещата с рутинг и отново IPSec.

Всякакви решения различни от VPN са 100% подслушваеми и то без да е необходимо специално оборудване, а в някои случаи без да е нужно дори прекъсване на оптиката. Също така PPTP (което е VPN) не е решение поради вече описаните причини.
Активен

tdonev

  • Гост
Re: Защита на тъмно влакно
« Отговор #14 -: May 12, 2015, 19:16 »
.. изтрито от автора ..
« Последна редакция: Jul 25, 2015, 00:56 от octanium »
Активен