Шифрование трафика/файлов

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить

Используете ли Вы шифрование трафика в локальных сетях?

Да, использую ssh тунели :-)
2
29%
Да, использую ipsec :-)
3
43%
Да, использую другие средства :-)
0
Голосов нет
Нет, а зачем?
1
14%
Нет, слишком сильно тормозит :-(
1
14%
Незнаю.
0
Голосов нет
 
Всего голосов: 7

Аватара пользователя
TeRminaToR
Advanced member
Сообщения: 105
Зарегистрирован: 07 окт 2002, 20:07
Откуда: Москва
Контактная информация:

Шифрование трафика/файлов

Сообщение TeRminaToR » 28 апр 2004, 14:58

Ребята, а что скажите по защите трафика и файлов в локальной сети? У меня в конторе, как и у многих, есть некоторое количество документов которые представляют собой коммерческую тайну и, в идеале, они ни при каких условиях не должны быть доступны третьим лицам.

Проблема хранения и оперативного уничтожения решается достаточно просто: Jetico Best Crypt + Blow Fish 448bit. Называется попробуй сломать :-)

Проблема управления доступом также легко решается через простые скрипты и SSH.

А вот проблему передачи по сети, снифинга, надежной аутентификации красиво решить не получается :-(

Как известно, от снифинга может защитить только L3 коммутация или шифрование трафика, но L3 - это дорого, а шифрование - очень медленно.

ssh тунель на 100мбитном канале дает производительность порядка 20кбайт/c вместо 5000кбайт :-( Это очень странно, но я пробовал несколько раз и под линуксом и под виндой используя и openssh и коммерческие серверы. Клиентов тоже разных пробовал и putty и winssh. Разница, кстати, между клиентами есть, winssh качает почти вдвое быстрее чем pscp. Но в любом случае, разница в два порядка этим не оправдывается...

С ipsec, честно говоря, серьезно не заморачивался, но судя по выдержке из FAQ с www.freeswan.org:
Even a limited machine can be useful
A 486 can handle a T1, ADSL or cable link, though the machine may be breathing hard.
A mid-range PC (say 800 MHz with good network cards) can do a lot of IPsec
With up to roughly 50 tunnels and aggregate bandwidth of 20 Megabits per second, it willl have cycles left over for other tasks.
There are limits
Even a high end CPU will not come close to handling a fully loaded 100 Mbit/second Ethernet link.

Beyond about 50 tunnels it needs careful management.
Ожидать нормальной производительности тоже не приходится. А так как мне неизвестны дистрибутивы линукса поддерживающие ipsec изначально, работать вообще тяжело.

Ковыряться с новыми ядрами и патчами без уверенности в возможности достижения требуемого результата ой как не хочется. Может ipsec всетаки по-быстрее будет? Может быть и ssh тунели у кого-нить быстрее работают? Может быть есть дистрибутивы линукса с поддержкой ipsec по умолчанию?

Иначе получается только защита на физическом уровне. Выделение группы потенциальных пользователей секретной информации в отдельную подсеть. Доступ к информации только через сервер терминалов. А как быть иначе? Системы двухфакторной аутентификации пользователей windows на linux серверах мне неизвестно :-(

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Re: Шифрование трафика/файлов

Сообщение art » 28 апр 2004, 16:38

TeRminaToR писал(а):

Как известно, от снифинга может защитить только L3 коммутация или шифрование трафика, но L3 - это дорого, а шифрование - очень медленно.
Мне неочевиден тезис о том, что L3 коммутация - это единственное средство.
Во первых не единственное. см. VLAN
Во вторых - не такое и дорогое. см. Dlink

на практике - встроенный VPN клиент в вин2000 и MPD netgraph со сжатием и BlowFish дают 2мБАЙТ/сек
Если не использовать компрессию - даст чуть больше.
TeRminaToR писал(а): Иначе получается только защита на физическом уровне. Выделение группы потенциальных пользователей секретной информации в отдельную подсеть. Доступ к информации только через сервер терминалов. А как быть иначе? Системы двухфакторной аутентификации пользователей windows на linux серверах мне неизвестно :-(
когда применяют средства шифрования, то возникает вопрос: от кого/чего вы прячетесь?

Потеря информации может произойти (не рассматриваем шифрование):
компрометация сервера данных
копрометация среды передачи
компрометация клиентского окончания

Мне кажется - самое слабое место это компьютер пользователя.
Засадите всех на бездисковые терминалы linux с RDP клиентом.

Этим снимите самое слабо звено, полюс - получите как-никак шифрованный RDP трафик.

Аватара пользователя
TeRminaToR
Advanced member
Сообщения: 105
Зарегистрирован: 07 окт 2002, 20:07
Откуда: Москва
Контактная информация:

Сообщение TeRminaToR » 29 апр 2004, 11:32

Ах если бы, ах если бы всех можно было посадить на терминальный доступ... Многие бы проблемы решились... Но... есть еще множество ПО, которое не работает через терминал. Например, всякие самописные банк-клиенты... Или любимая цифровая камера босса... Или вот этот очень интересный мультик из интернета.... Да много еще чего...

Так что получается, на терминал можно вынести только очень ограниченный набор ПО... А вот как защищать остальное? Понятное дело, что можно плюнуть и не защищать, но...
Мне неочевиден тезис о том, что L3 коммутация - это единственное средство.
Во первых не единственное. см. VLAN
Во вторых - не такое и дорогое. см. Dlink
Ох уж этот VLAN... Стратегия Open VLAN вам знакома? Это когда пакет не отправляется в чужую VLAN только в случае, если неизвестен MAC получателя... VLAN по большому счету может спасти от широковещательного трафика.... Но не от снифинга... От снифинга бы помог, вероятно, tagged VLAN с поддержкой со стороны сетевых плат, но это отдельная история, пока недоступная...

Что касается L3 коммутации, то вы представляете себе падение производительности? - Я нет. Или L3 на 100мбит/c обойдется почти бесплатно? (ЗЫ: У меня все на 3COM).
на практике - встроенный VPN клиент в вин2000 и MPD netgraph со сжатием и BlowFish дают 2мБАЙТ/сек
Если не использовать компрессию - даст чуть больше.
А если 50 клиентов одновременно?
когда применяют средства шифрования, то возникает вопрос: от кого/чего вы прячетесь? Мне кажется - самое слабое место это компьютер пользователя.
Да вот как раз в нашей ситуации и не так. Слабое звено - ethernet. И тут только два варианта. Либо делать раздельные сегменты физически, либо шифровать важный трафик среди остального.
Доступ в помещения с компьютерами жестко контролируется службой безопасности. Сервера надежно спрятаны, информация на них хранится в зашифрованном виде. А вот передается все по общему ethernet. Вот тут то и велика вероятность перехвата.

Впрочем, тему я поднял не для того, чтобы обсудить каким образом защищать информацию и какие средства использовать. Тема значительно уже. Какие Варианты шифрования трафика в локальной сети есть? Какова производительность и криптостойкость этих методов? Кто использует шифрование на практике и какие по этому поводу есть замечания...

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 29 апр 2004, 15:30

судя по всему, софтовых решений, позволяющих шифровать все соединения точка точка at wire speed нет и в ближайшее время не предвидится.

Однако решение на VLAN:
802.1x auth
traffic segmentation + asymmetric VLAN
static MAC per port
сокращает область прослушивания до конкретных проводов.

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»