Criptografia em Gigabit Ethernet

1

Temos dois escritórios conectados com cabos de fibra ótica. Em ambos os lados, o FO é inserido nas portas de fibra nos switches, mas, se necessário, podemos instalar placas de fibra PCI-e em alguns servidores.

Os escritórios são pequenos, todas as pessoas geralmente confiam umas nas outras, a LAN é insegura por dentro e preferimos deixar isso assim do que construir uma segurança strong.

O cabo de fibra percorre cerca de 500 m de áreas públicas, é de fácil acesso e pode ser usado por alguém para acessar a LAN.

A ideia é criar um canal criptografado entre dois escritórios para evitar qualquer invasão por esse cabo.

Quais dispositivos / software você pode recomendar? Precisamos ter um link de trabalho de ~ 1000mbit / seg com a carga mínima do sistema. Por exemplo, se os escritórios forem conectados ao OpenVPN ou a softwares similares, eles poderão lidar com uma conexão gigabit? Qual carga de servidor devemos esperar? Todos os servidores são equipados com CPUs similares - Core Quad 9440, mas é claro que não quero usar toda a CPU para VPN.

Ter um dispositivo separado seria melhor, especialmente se a ponte fosse transparente para o TCP / IP.

Os escritórios não têm salas de servidores dedicadas, portanto gostaríamos de evitar a instalação de switches / roteadores industriais barulhentos.

    
por disserman 17.10.2009 / 21:07

4 respostas

3

Eu recomendaria definitivamente um dispositivo de firewall de hardware em cada extremidade com uma conexão VPN persistente entre eles, se você estiver preocupado com a fibra de emenda.

    
por 17.10.2009 / 23:28
2

Você já fez algum teste com soluções VPN comuns? Tente. Acho que você verá que o impacto no desempenho da criptografia é aceitável. Cifras de bloco modernas, como AES, são muito eficientes, e CPUs modernas são muito rápidas. Por exemplo, um núcleo do meu laptop de 2 GHz (Intel T2600) pode criptografar 120 MBps. Espero que o custo da CPU de criptografar um gigabit por segundo em seus 9440s seja inferior a 50% de um dos seus quatro núcleos.

Pode ser que o custo da CPU de uma solução VPN seja muito alto, mas recomendo que você experimente, pelo menos. É a solução simples e de baixo custo, e é muito provável que o desempenho seja bom.

    
por 17.10.2009 / 21:36
2
No pior dos casos, faça exatamente o que você sugeriu: obter uma máquina em cada extremidade para atuar como um roteador e encaminhar pacotes através de um link openvpn entre eles. Nenhuma carga extra em qualquer outra máquina, e o openVPN é bastante leve, então deve ser razoável mesmo nos roteadores.

Um caso um pouco melhor seria verificar o que a Cisco ou a Juniper tem no caminho de um roteador de pequeno porte que pode lidar com gigabits. Um rápido google mostra a SafeNet como tendo um produto que alega ser capaz de lidar com até 10gE, mas é difícil encontrar um preço on-line, então YYMV.

    
por 17.10.2009 / 21:36
1

Você não precisa comprar cartões de fibra para o servidor, veja se não é possível criar uma VLAN nos switches, o que inclui a porta de link de fibra e uma porta para uma placa de rede secundária no servidor. Em seguida, configure uma VPN entre eles e direcione o tráfego interno sobre ela.

    
por 18.10.2009 / 02:49