Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: mat . 09. 12. 2021, 10:40:21
-
Nemáte někdo nápad, jak zabezpečit IP komunikaci mezi servery, které jsou na stejné síti? Klidně stačí podpisy paketů. Jako první mě napadl samozřejmě IPSec. Jenže pokud těch serverů budou desítky (30-50) a budu muset konfigurovat všechny kombinace komunikací, tak to bude utrpení. Ideálně bych si to představoval postavit na PKI, ale sdílený klíč bych asi taky kousnul. Nenapadá vás něco? Díky
-
Podívejte se na WireGuard (https://www.root.cz/clanky/wireguard-moderni-a-snadno-pouzitelna-vpn-v-linuxovem-jadre/).
-
Len ich napchat do solo Vlany by nestacilo ?
Chapem pointu otazky, toto ma napadlo ako prve a velmi primitivne riesenie.
S klientami nech sa bavia po jednej sieti, a medzi sebou nech spikuju po druhej.
-
Len ich napchat do solo Vlany by nestacilo ?
Chápu, ale bohužel nejsem schopen ovlivnit nastavení sítě :-(
WireGuard
Asi to tak dopadne v kombinaci s distribucí klíčů puppetem.
Díky
-
A co MACsec (https://developers.redhat.com/blog/2016/10/14/macsec-a-different-solution-to-encrypt-network-traffic)?
-
Já tomu teda nerozumím, ale jestli se chcete vyhnout administraci všech P2P, nešlo by třeba použít a nebylo by nejjednodušší Openvpn?
-
MACsec?
Aha. Zajímavé. Budu muset vyzkoušet, jestli to projde částečně virtuální infrastrukturou providera.
Já tomu teda nerozumím, ale jestli se chcete vyhnout administraci všech P2P, nešlo by třeba použít a nebylo by nejjednodušší Openvpn?
Jako arbitrovat to přes jeden server? To by asi šlo, ale jako poslední řešení (propustnost, latence, SPOF...)
-
Co pouzit stunnel? Tam si muzete nasadit i vlastni PKI kde budete overovat certifikat klienta.
Mimochodem neni lepsi konfigurovat sluzby co mezi sebou na siti musi komunikovat, aby pouzivaly 2W TLS?
Pokud to teda umoznuji...
-
Co pouzit stunnel? Tam si muzete nasadit i vlastni PKI kde budete overovat certifikat klienta.
To by asi řešilo jen TCP komunikaci a znamenalo by to ještě co služba to tunel. V některý případěch by to šlo, ale já to potřebuju řešit i pro UDP komunikaci - např. synchronizaci clusteru a navíc těch služeb clusteru bude víc a bodou na všech serverech. Což rychle zvyšuje množství případných tunelů.
Mimochodem neni lepsi konfigurovat sluzby co mezi sebou na siti musi komunikovat, aby pouzivaly 2W TLS?
Pokud to teda umoznuji...
To by znamenalo starat se o konfiguraci všech služeb zvlášť. Asi sice mohou používat stejné certifikáty, ale přijde mi to jako práce navíc oproti scénáři, kdy mám zabezpečenou komplet 3. příp. 2. vrstvu, díky čemuž nemusím hlídat, jestli náhodou nová služba v clusteru bude nebo nebude umět TLS. V neposlední řadě bych TLS řešení viděl citlivější na DoS.
Na druhou stranu u heterogenních prostředí bude TLS možná jednodušší.
Každopádně díky
-
mrkni na https://tinc-vpn.org (je lepší používat 1.1pre18, v betě to je ještě kvůli nedokončeným refaktorům), umí L2 mesh síť a hledání trasy, prostředí navzájem propojených několika desítek serverů mu vyhovuje a je to use case v kterém jsem ho také občas použil. Šifrovat umí přes AES, takže zdržení na cpu je minimální, konfigurovat to můžeš buď staticky nebo přes invite cli a veřejné klíče nechat automaticky distribuovat.
Jinak v korporátní prostředí se používají SDN, třeba APIC-EM od Cisca.
-
Vlastně jste si odpověděl sám: IPsec s klíči podepsanými jednou společnou autoritou. Na každém serveru bude na ověření stačit veřejný klíč té autority a klíč každého nového serveru prostě jen podepíšete tou autoritou.
-
Vlastně jste si odpověděl sám: IPsec s klíči podepsanými jednou společnou autoritou. Na každém serveru bude na ověření stačit veřejný klíč té autority a klíč každého nového serveru prostě jen podepíšete tou autoritou.
já jsem se chtěl vyhnout definici variací všech těch IKE párů.
-
Add návrh na použití MACsec - ano, je určen k popsanému. Nicmémě aktuálně implementace v linuxu v podání wpa_supplicant je asi stále nehotová. Je podporová peer-to-peer CA, ale ne group CA. Takže pokud bych měl servery připojené do switchů, co podporují MACsec s pre-shared CAK/CKN, tak je to krása a jde to použít (protože jen konfiguruji asociaci server-switch, jednoduše je to i mezi dvěma servery s server-server), ale pokud mám switche bez MACsec a chtěl bych dělat asociace mezi jednotlivými servery přímo, tak je to na budku...
-
Add návrh na použití MACsec - ano, je určen k popsanému. Nicmémě aktuálně implementace v linuxu v podání wpa_supplicant je asi stále nehotová.
…
pokud mám switche bez MACsec a chtěl bych dělat asociace mezi jednotlivými servery přímo, tak je to na budku…
Díky za upozornění. Vypadá to, že aktuálně doiteruju k WireGuardu.
-
Libreswan umí tzv. opportunistic IPsec, který se pro vaši aplikaci naprosto hodí.
Nakonfigurujete skupinu hostů/subnetů, kde se jednotliví peeři všichni účastní IPsec (navzájem mezi sebou). Vznikne tak full-mesh IPsec s jednotnou konfigurací a snadnou správou. Tunely vznikají na žádost, jen když nastane potřeba komunikace.
Ověřování lze snadno provést buď RSA klíči nebo certifikáty se společnou autoritou.
-
Libreswan umí tzv. opportunistic IPsec, který se pro vaši aplikaci naprosto hodí.
Nakonfigurujete skupinu hostů/subnetů, kde se jednotliví peeři všichni účastní IPsec (navzájem mezi sebou). Vznikne tak full-mesh IPsec s jednotnou konfigurací a snadnou správou. Tunely vznikají na žádost, jen když nastane potřeba komunikace.
Ověřování lze snadno provést buď RSA klíči nebo certifikáty se společnou autoritou.
Díky. Na to se také podívám.