Příspěvky

1

Sítě / Re:Zabezpečená IP komunikace mezi servery na síti

« kdy: 13. 12. 2021, 17:12:39 »

Libreswan umí tzv. opportunistic IPsec, který se pro vaši aplikaci naprosto hodí.
Nakonfigurujete skupinu hostů/subnetů, kde se jednotliví peeři všichni účastní IPsec (navzájem mezi sebou). Vznikne tak full-mesh IPsec s jednotnou konfigurací a snadnou správou. Tunely vznikají na žádost, jen když nastane potřeba komunikace.
Ověřování lze snadno provést buď RSA klíči nebo certifikáty se společnou autoritou.

Díky. Na to se také podívám.

2

Sítě / Re:Zabezpečená IP komunikace mezi servery na síti

« kdy: 11. 12. 2021, 03:30:08 »

Add návrh na použití MACsec - ano, je určen k popsanému. Nicmémě aktuálně implementace v linuxu v podání wpa_supplicant je asi stále nehotová.
…
pokud mám switche bez MACsec a chtěl bych dělat asociace mezi jednotlivými servery přímo, tak je to na budku…

Díky za upozornění. Vypadá to, že aktuálně doiteruju k WireGuardu.

3

Sítě / Re:Zabezpečená IP komunikace mezi servery na síti

« kdy: 10. 12. 2021, 22:51:55 »

Vlastně jste si odpověděl sám: IPsec s klíči podepsanými jednou společnou autoritou. Na každém serveru bude na ověření stačit veřejný klíč té autority a klíč každého nového serveru prostě jen podepíšete tou autoritou.

já jsem se chtěl vyhnout definici variací všech těch IKE párů.

4

Sítě / Re:Zabezpečená IP komunikace mezi servery na síti

« kdy: 10. 12. 2021, 00:00:24 »

Co pouzit stunnel? Tam si muzete nasadit i vlastni PKI kde budete overovat certifikat klienta.

To by asi řešilo jen TCP komunikaci a znamenalo by to ještě co služba to tunel. V některý případěch by to šlo, ale já to potřebuju řešit i pro UDP komunikaci - např. synchronizaci clusteru a navíc těch služeb clusteru bude víc a bodou na všech serverech. Což rychle zvyšuje množství případných tunelů.

Mimochodem neni lepsi konfigurovat sluzby co mezi sebou na siti musi komunikovat, aby pouzivaly 2W TLS?
Pokud to teda umoznuji...

To by znamenalo starat se o konfiguraci všech služeb zvlášť. Asi sice mohou používat stejné certifikáty, ale přijde mi to jako práce navíc oproti scénáři, kdy mám zabezpečenou komplet 3. příp. 2. vrstvu, díky čemuž nemusím hlídat, jestli náhodou nová služba v clusteru bude nebo nebude umět TLS. V neposlední řadě bych TLS řešení viděl citlivější na DoS.
Na druhou stranu u heterogenních prostředí bude TLS možná jednodušší.

Každopádně díky

5

Sítě / Re:Zabezpečená IP komunikace mezi servery na síti

« kdy: 09. 12. 2021, 16:21:23 »

MACsec?

Aha. Zajímavé. Budu muset vyzkoušet, jestli to projde částečně virtuální infrastrukturou providera.

Já tomu teda nerozumím, ale jestli se chcete vyhnout administraci všech P2P, nešlo by třeba použít a nebylo by nejjednodušší Openvpn?

Jako arbitrovat to přes jeden server? To by asi šlo, ale jako poslední řešení (propustnost, latence, SPOF...)

6

Sítě / Re:Zabezpečená IP komunikace mezi servery na síti

« kdy: 09. 12. 2021, 13:00:51 »

Len ich napchat do solo Vlany by nestacilo ?

Chápu, ale bohužel nejsem schopen ovlivnit nastavení sítě :-(

WireGuard

Asi to tak dopadne v kombinaci s distribucí klíčů puppetem.

Díky

7

Sítě / Zabezpečená IP komunikace mezi servery na síti

« kdy: 09. 12. 2021, 10:40:21 »

Nemáte někdo nápad, jak zabezpečit IP komunikaci mezi servery, které jsou na stejné síti? Klidně stačí podpisy paketů. Jako první mě napadl samozřejmě IPSec. Jenže pokud těch serverů budou desítky (30-50) a budu muset konfigurovat všechny kombinace komunikací, tak to bude utrpení. Ideálně bych si to představoval postavit na PKI, ale sdílený klíč bych asi taky kousnul. Nenapadá vás něco? Díky