criptografar o tráfego de rede passando pelo segmento 'não confiável' do cabo Ethernet

1

Digamos que eu tenha dois espaços de escritório em um prédio com vários inquilinos. senhorio foi gentil o suficiente para me fornecer cabo de cobre gato 6 conectando ambos os espaços disjuntos.

Eu poderia apenas conectar switches de rede em ambas as extremidades e criar uma rede L2 plana. mas eu gostaria de ter certeza de que outros inquilinos não podem facilmente entrar no cabo e espionar o tráfego que passa entre dois dos meus escritórios.

que solução você propõe aqui? idealmente, deve fornecer uma conectividade L2 transparente e lidar com algumas centenas de mbit / s. Eu preferiria dispositivos prontos para uso que possam ser facilmente substituídos.

com dispositivos de conexão caseira ou pontos de acesso sem fio criptografados fornecendo wpa2-psk - parece que o hardware de criptografia está disponível.

algumas das minhas ideias:

  • use um dispositivo de criptografia de hardware adequado, como this ; infelizmente, esses parecem ser bem caros
  • coloque dois servidores linux em ambas as extremidades da conexão e execute openvpn neles para fornecer ponte l2 transparente com criptografia de tráfego cruzando o 'não confiável 'segmento

obrigado por qualquer sugestão!

    
por pQd 28.09.2016 / 14:23

2 respostas

2

Eu vejo duas ideias.

  • Primeiro, é como a ideia do seu openvpn, como tratar sua linha como um link wan normal, e colocar um roteador lá para fazer uma VPN site-to-site.

  • Segunda ideia, nunca usei, mas tentaria MACsec entre os dois uplink do switch;

MACsec is the IEEE 802.1AE standard for authenticating and encrypting packets between two MACsec-capable devices. The Catalyst 4500 series switch supports 802.1AE encryption with MACsec Key Agreement (MKA) on downlink ports for encryption between the switch and host devices. The switch also supports MACsec link layer switch-to-switch security by using Cisco TrustSec Network Device Admission Control (NDAC) and the Security Association Protocol (SAP) key exchange. Link layer security can include both packet authentication between switches and MACsec encryption between switches (encryption is optional).

Exemplo de configuração de segurança de link do Switch-to-Switch da Cisco TrustSec

Este exemplo mostra a configuração necessária para um dispositivo sem sementes e sem sementes para a segurança de comutação para switch do Cisco TrustSec. Você deve configurar o AAA e o RADIUS para a segurança do link. Neste exemplo, o ACS-1 a ACS-3 pode ser qualquer nome de servidor e o cts-radius é o servidor Cisco TrustSec.

    
por 28.09.2016 / 14:55
0

Eu usaria o link do pfSense em ambos os lados para estabelecer um túnel IPSec ou OpenVPN. O pfSense é o OSS, fácil de usar, e você também pode comprar dispositivos especializados, suporte profissional ou até mesmo usá-lo em um hipervisor.

Um dispositivo mínimo está disponível no link com duas portas Ethernet para 150 US $ cada.

Usamos pfSense em um VMWare-Hypervisor para fornecer um Captive-Portal para nosso Guest-WiFi e funciona muito bem.

SaPl

    
por 28.09.2016 / 16:11