Jump to content
Калькуляторы

Принудительная шифрация трафика

Reply to this topic

Guest   

Guest
Posted
нужен как минимум по маршрутизатору с обоих концов. атам уже ipsec или pptp

Вот собственно и весь вопрос а какую железяку посоветуете юзать ?

ни когда сам с стаким не сталкивался..

на данный момент лежит п296 и 10 Мб так с обоих концов по машине стоит они и шифруют заодно не особо напрягаясь ...

Share this post

Link to post
Share on other sites

zoro   

zoro
Posted

я не представляю как незаметно можно подрубиться к оптике.. :( или снимать с оптике не разрезая волокно... а если по одному волокну идут 2 направления то вообще писец.. ибо ты как минимум должен знать на какой стороне какая штука стоит А или Б плюс кто производитель.. если включить привязку к маку на портах.. то некто не сможет быстро(я считаю быстро в этом случае как минимум 1час) подрубиться... так что незаморачиваете себе голову.. медь то медь а оптика считаеться одной из самых безопастных сред передачи.. ибо пользуються волокном правительство и прочие компетентные органы которые имеют точно такую инфу секретную что если народ узнает то волосы дыбом станут... если линка пропал подрубают рефлектометр и с точностью до метра определяют положения обрыва а туда уже едут мальчики... с дубинками в лучшем случае.. а заплечем автоматик...

P.S.

В вашем случае есть 100% увереность что неподрубят ибо спецов вэтой облости очень мало.. плюс как только линк пропал.. смс ка пришла что пинг пропал.. вы выезжаете на линию.. и идете по ней.. за час не кто не сможет быстро подрубиться.. настроить и съ...ся так что негоните шизу и спите спокойно..

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted
если включить привязку к маку на портах.. то некто не сможет быстро(я считаю быстро в этом случае как минимум 1час) подрубиться... так что незаморачиваете себе голову.. медь то медь а оптика

 

ФАПСИ'шники помнится говорили что они пассивный ответвитель

впаивают минут за 10-15... Прямо в коммуникационном колодце.

Share this post

Link to post
Share on other sites

GonZO   

GonZO
Posted
zoro, лёгко делается, за минуты. просто на патчкорд ставится спецустройство, которое снимает с волокна данные. такие устройства даже в свободной продаже есть. :) а дальше дело за определением типа протокола -- дело, в принципе, тоже не сильно трудное, все протоколы стандартизованы.

Share this post

Link to post
Share on other sites

zoro   

zoro
Posted

Ало параноя? а что под гостем входим? или боимся чтобы несмеялись.. все шифруемся...?

угу я тебе могу знаешь сколько впаять всякого?

так зачистка кабеля связь не прерывает.. так что моно не считать.. дальше делать маленький запас.. там разложить-закрепить кабель на сплайспластину итд итп.. дальше есть например 2ва волокна.. на примере одного волокна производим операции..

1) нужно быстро разрезатать волокно.

2) зачистить буфер на получившихся концах(буфер на волокнах на разветвителе сразу подготовим).

3) сколоть 2 конца

4) соединить Механическим сплайсом CORELINK минуты 2-3 на каждый.. плюс где гарантия что ты правильно с минимальными потерями соединил? обычно на какой либо конец рефлектометр подцепляют.. и смотрят.. если косяк то переделывают..

4) пасивные ответвители вносит тоже свои корективы.. 3дб затухание.. если оборудование слабенькое и дешевое стоит, а длина сегмента приличная на грани то может и не завестись..

Ладно уговорили вы потратили со спешкой минут 15.. на одно волокно.. и тут еще вопрос в том что это должен делать проффи.. и у него недрожит рука из за того что если прибегут мальчики из службы безопастности и не надоют по морде.. дубиначками..

волокон 2ва на каждое волокно потратили 15мин.. полчаса простоя.. дальше вам нужно подобрать оборудование.. и опять же если что делать будем? подрубать стандартный конвертер? не попрет... сами догадаетесь почему?

да еще я хочу посмотреть если по одному волокну будет связь в 2 направления то что делать? предложения плиз...

а вообще от кого шифруемся? если есть у органов наших такие технологии то им в принцепе не нужно и их применять они запросто прийдут к вам в гости и подцепят к вам в свичек железку и ты нечего несможешь сделать.. или вообще вытащат винты и инфу скопируют.. разложат по полочкам...

конкуренты.. и домашняя сеть.. брр ет нужно потратить как минимум баксов 100 на материалы ах да стоймость каждого сплитера 70$ их нужно как минимум 2.. плюс сплайсы... и заставить-заплатить столько бабок чтобы опытный монтажник рисковал.

брр.. не смешите тапочки пожалуйста..

а если вы готовы потратить столько бабок на шифрацию.. то извените легче поставить пинговалку на конце если связь прервалась на данном линке значит кто то лезет.. смс тебе на телефон.. выезжайте ловите.. так лучше будет и напинать моно...

а вообще параноя слабо лечиться...

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted

А кто вам сказал что действовать можно только так как считаете вы правильным?

 

Снять инфу с волокна можно только изогнув волокно.

А что касается ответвителя, предположу, что достаточно удалить небольшой участок изоляции и подвести туда волокно и снимай инфу.

 

По поводу паранои: готов ты выложить во всеобщее обозрение свою медецинскую карту? Сколько ты получаешь все могут посмотреть? А твоя личная жизнь может стать известна любому со всеми подробностями и ты не пожелаешь ее сделать как-то действительно личной?

 

Предволагая твой ответ скажу, существует информация, например бухгалтерская, которая требует защиты и если вы этого не делаете, то это глупость.

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted

Уважаемый олл...

дискуссия конечно это хорошо, только я так и не понял сушествуют ли достаточно разумные железные девайсы за реальную цену чтобы можно было осушествлять шифрацию или все таки надо ставить 2 машинки и пускай шифруют ?

Share this post

Link to post
Share on other sites

zoro   

zoro
Posted

я с удовольствием принял бы критику от спецов которые имеют хотябы 200 месаг на форуме а не от гостей залетных... а так если честно то флейм получаеться.. кстати GonZO, кинь в привате или личным сообщением ссылку на данные устройства(ответвления без переризания волокна).. если они продаються то значит хотябы одна да ссылочка есть..

второе чем ловить сигнал будем? ладно отвели.. что конвертер ставить будем? если конвертер тупой то да пойдет а сейчас идут в основном умные внутри стоят типа свичиков.. и плюс для начала нужно заставить конвертер линкануться.. тамже по волокну не только идут данные но и служебная инфа для конвертера..он же сначала посылает запрос можно на 100мб подрубиться.. другой отвечает можно или неотвечает значит на 10мб работать будем.. итд итп.. короче гимору больше чем нужно..

по поводу железок с шифрацией. неработал в данном направлении, но они есть ето то в сторону цись смотреть надо и изучать ихнии возможности.. а так ставь 2 машинки и работай спокойно...

Share this post

Link to post
Share on other sites

BB   

BB
Posted
только я так и не понял сушествуют ли достаточно разумные железные  девайсы за реальную цену чтобы можно было осушествлять шифрацию или все таки надо ставить

Ну к примеру Intel 8205 Router - встроенная потдержка VPN цена по максимуму - 800$ за девайс

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted

Сколько я не смотрел получаеться круче чем 2 машины которые будут шифровать канал мне не найти решения... ибо сколько не искал есть железячные решения но эти решение имеют стоимость одного девайса около 600-800 буказоидов (одноюнитовый сервер начального уровня за такие деньги можно купить) и что самое главное они держат до 100 мбс а у меня 1 Гб в будующем может и 2 Гб стать..

 

Поправьте меня если я не прав...

Share this post

Link to post
Share on other sites

GonZO   

GonZO
Posted

zoro, да, а по поводу "чем ловить" -- поверь, у спецслужб есть, чем...

и анализаторы траффика, и физической среды. и так, что ты не заметишь. :)

 

большой брат смотрит за тобой.

Share this post

Link to post
Share on other sites

zoro   

zoro
Posted

так у меня тапочки будут смеяться.. для начала с того чтобы шифровать писюком трафик который льеться со скоростью 1гб... железки невыпускают на такие скорости только потому что это ненужно если вам нужна надежность и скрытность то извените медленые сетки ипользуйте и я не представляю что передавать по сети с такими скоростями.. конечно если сервак с 1с поставить и по этому каналу 100пользователей посадить... то да.. но если эти 100 пользователей будут работать то легче одного подкупить чем гимороиться... и тогда юзер просто сольет невсе а то что нужно.. и где есть гарантия на то что по этому каналу передаться нужная инфа? если честно то это бред...

насчет большого брата... большой брат может запросто прийди и конфисковать на время винт плюс сервак.. и тогда вообще уних будет все а не то что передают по сетке.. :) и притом поводов для этого много не надо.. и бумажек тоже.. и плюс им поверь легче прийти чем гимороиться.. или внедрить своего сотрудника или прижать допустим админа (человек есть а дело приделаеться) тогда и шифрация трафика не поможет я прав или нет? или найти другой узелок со свичиком и подрубить туда тот же радиомодем.. в режиме бриджа

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted

zoro для того чтобы ответить на твои вопросы и существуют специалисты занимающиеся безопасность и предлагают решения далеко не слабые.

Большая часть твоих вопросов уже сейчас имеет ответы опуликованные к книгах посвявенных безопасности. Нужно только зайти в магазин или читальный зал.

 

Что касается "залетных гостей", то я и не надеялся, что ты поверишь моим словам. Я писал чтобы те кто читают форум узнали, что есть другие взгляды.

 

О решении: Моих знаний недостаточно, чтобы предлагать какое-то решение, лучше обратиться за консультацией в Cisco или Nortel.

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted

При чем тут большой брат ? Большому брату и так все отдашь если совсем больной на голову, а если немного смекалки пускай ишет если сможет найти...

 

Весь вопрос шифрации - конкуренты, которым очень интересна инфа которая передаеться. Понятно, что им проше подкупить сотрудника, так вот и решение надо такое чтобы они пошли по пути подкупа, а не по пути просто слушания нешифрованного трафика. Ибо подкуп сотрудника - это проблема службы безопасности, а не ИТ службы. Если требуется для шифрации покупать дорогой девайс проше поставить 2 машинки которые кроме шифрации будут еще и чем то полезным заняты и справяться с таким каналом.

 

сервак с 1с поставить и по этому каналу 100пользователей посадить... то да.. но если эти 100 пользователей будут работать то легче одного подкупить чем гимороиться... и тогда юзер просто сольет невсе а то что нужно

 

вот и подкупай теперь 50 пользователей чтобы они выташили всю инфу, а не маленькими частями к которым имеют доступ...Вообшето это бред полный давать пользователю полный доступ на все...

Share this post

Link to post
Share on other sites

umike   

umike
Posted
а смысл?

Надо.. этот канал признан не безопасным...

 

судя по постановке вопроса (оптика признана небезопасной) то, что, Гость собирается защищать это "интересная" информация, имеющая гриф. В этом случае НАДО (Закон) использовать сертифицированное соответствующими службами железо/решения, которые стоят соответственно. Например посмотри www.infosec.ru . Но общаться с ними одно удовольствие, а не общаться другое, намного большее.

Если-же всё гораздо тривиальнее и сводится к КоммТайне, значит я не совсем по теме и подсказать больше ничего не имею...

Share this post

Link to post
Share on other sites

Guest   

Guest
Posted
Как оказалось аппаратные решения для шифрования гигабита стоят не так уж  

и дорого... :-)

 

Только я так и не понял что это за решения и сколько они стоят ??

Уточните пожалуйста или ткните носом меня недоразвитого..

Зарание спасибо

Share this post

Link to post
Share on other sites

Прохожий   

Прохожий
Posted

Шифровать линию - достаточно идиотская постановка вопроса.

 

Если информация действительно имеет такую цену, что ею будут заниматься люди со спецоборудованием для тихого снятия с оптики (а оно стоит - мама не горюй и в супермаркетах не продается), то в этом случае нужен комплекс мер безопасности, в стоимости которого шифрующие устройства будут сто пятым дешевым пунктом, даже если они по штуке-две баксов :))

 

А если просто зашифровать один канал, а все остальное оставить как попало - так это бессмысленно. Перевод денег и сил, единственное объеснинеие - если кто-то несет ответственность именно за утечку из этого канали и ни за что другое - тут, конечно, в штаны сковородка нужна. Тогда лучше всего ставить отечественные устройства с ГОСТ алгоритмом и аттестовать их как положено - тогда точно не виноват будешь.

 

BTW, в действительно серьезных системах, про которые тут кто-то упоминал, информация в открытом виде существует только в RAM, передается и пишется в закрытом всегда. А еще на оптических кабелях ставят специальные устройства, которые непрерывно контролируют кабель и в состоянии обнаружить любое подключение, причем не только обнаружить, но и не дать ему работать. Как оно работает - не спрашивайте, не вникал.

 

Апофеозом был рассказ одного человека про ДИСТАНЦИОННЫЙ съем информации с оптики, причем есть некоторые основания верить. Хотя может и врал :))))

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...