Dotaz k síťařině

[Honza]

Zdravím ve spolek.

Potřeboval bych radu nějakého zkušeného síťaře. Zřizuji si nový server a na můj požadavek mi hostingová společnost odpověděla něčím, co neumím úplně vyhodnotit. O co jde:

Mám 2 servery (fyzické) a každý o 2 síťovkách. Po první síťovce jsou oba připojeny do světa, druhé síťovky jsou propojené mezi sebou. Po nich běží zálohování, servery se zálohují navzájem. To řešení se mi líbilo, data proudí po fyzicky odlišném drátu a bezpečnost je dána už fyzicky (v minulosti totiž servery nebyly u sebe, zálohovalo se po VPN a VPN, pokud jsem správně pochopil, je kousek šifrovacího softwaru, který umí dost značně zatížit procesor, pokud data čile běhají).

Teď potřebuji další server a přemýšlím, jak servery spojit. Proto jsem už v objednávce uvedl, že dosavadní propojení mi přišlo dobré a jaké jsou návrhy na propojení s třetím serverem.

Dostalo se mi odpovědi, že "Bude-li komunikovat ve Vaší privátní síti, pak mám zvolit rouring, VPN anebo switch+VLAN".

Jestli jsem správně pochopil, na co se ptají, pak:

varianta B = VPN - znamená, že servery budou nově každý připojený už jen po 1 síťovce a z důvodu bezpečnosti se přenos bude šifrovat, což bych s ohledem na zátěž procesoru nevolil.
varianta C = switch+VLAN - jestli chápu, pak každý ze 3 serverů bude po jedné síťovce připojen do nějakého switche pro spojení do světa a každý ze serverů bude připojen druhou síťovkou do stejného switche, ale do 3 portů, kterým bude nadefinovaná virtuální vlastní síť.
varianta A = routing, pokud chápu tak značí, že každý ze serverů je připojen pouze jednou, ale vhodnou úpravou chytrého switche je zajištěno, že když ze serveru A zavolám spojení na server B (nebo C), dojde k nasměrování (už ve switchi) na správný port a za ním server.

Pochopil jsem to správně?

V další komunikaci s hosterem mi bylo ještě řečeno, že "odposlechu paketů v našem prostředí bych se být vámi nebál" a také, že "dělá-li switch to, co dělat má, nebo-li posílá data jen do správného portu, kam má, pak to asi řeším úplně zbytečně, než aby museli nastavovat složitější VLANy a další dráty."

Z toho mi plynou dotazy:
1. Je-li chytrý switch chytrý, pak tu existuje teoretické riziko chytrý switch nabourat. A je-li tu takové riziko, není pak zbytečné řešit rozdíl mezi VLAN a routováním?
2. Podle zkušeností někoho zde diskutujícího, jak velké to riziko ve skutečnosti je, že někdo nabourá chytrý switch či někdo využije nějaké málo známé zranitelnosti switche a paketový provoz odposlechne? (hypoteticky, někdo se serverem pod stejným switchem).

Nemám natolik velké zkušenosti, abych posoudil, zda se zabývám prkotinou (rizikem vysloveně hypotetickým) anebo dobře míněným konceptem. Nemám důvod o hosterovi pochybovat, zas z druhé strany, nevěřím všemu, co se mi řekne...

Prosím tedy místní znalce o radu.

Pro úplnost dodávám, že hostér není žádná rychlokvaška, dle mého názoru solidní, 10 let fungující firma.

Děkuji

[Reklama]

[Mirek Prýmek]

Neni lepsi se zeptat primo toho hostera, co presne myslel tim "VLAN+switch" a co presne "routovanim", nez nad tim dumat tady? Kazdopadne ale oboje pojede pres jejich switch, takze to je prast jak uhod, pokud jejich switchi neverim.

Cely mi to prijde jako celkem jednoducha uvaha:
verim, ze jim switch nikdo nenaboura -> pojedu pres jejich switch
neverim tomu -> koupim si hloupy switch za petistovku a pres nej ty servery propojim

Zadna jina varianta me nenapada, pokud VPN nevyhovuje.

[KapitánRUM]

Tenhle problém řešíme často.
VPN opravdu zatěžuje CPU a přenos "rovnou" je tedy samozřejmě méně náročný.

Už jsme použili následující řešení:
A) do jedné PC skříně jsme umístili switch, jednalo se o 2U skříň a místa tam bylo dost, ostatní servery byly 1U

B) servery byly ve vyhrazené uzamykatelné kóji, tam přišel jen obyčejný switch

C) Použili jsme tuto kartu: http://www.ispshop.cz/index.php?main_page=product_info&cPath=27&products_id=137 
Zde se jednalo o 3x1U server, kdy karta přišla do serveru vyhrazenému na zálohování, jinak se dá použít i několik síťovek.

D) Na propojení serverů jsme použili i Vlany na switch-i poskytovatele, šikovný switch umožňuje správu přes SNMP: http://cs.wikipedia.org/wiki/Simple_Network_Management_Protocol
Pokud dostanete přístup k SNMP, můžete monitorovat i změny, například takové, kdy by někdo změnil konfiguraci VLAN.
My jsme používali ruční monitorování, kdy při změně konfigurace přišel notifikační e-mail, ale kolega měl tenkrát rozepsaný i automatický skript, který měl zajistit odpojení IFace.

Raději používáme řešení, která nejsou příliš komplikovaná a opravit je dokáže "cvičená opice".

Ale jsou i další možnosti až po ty bláznivé, jako je použití nějakého obskurního síťového protokolu, proti kterým vypadá VPNka jako brnkačka. Ad VPN, je potřeba oddělit dvě části, šifrování a autentizaci. Pokud nám poskytovatel nastaví VLANy a my mu plně nevěříme, pořád můžeme použít VPNku. Například by stačilo vypnout šifrování a nechat VPNku, ať se stará jen o autentizaci a zaručuje konzistenci dat, taková VPN slušně šetří výkon CPU. Ostatně, nehacknutelný server je sen!

Jak hacknout server chráněný SSH?
A) podniknete vhodný typ útoku, přesměrujete provoz skrz Vás
B) uživateli při pokusu o připojení k serveru to zahlásí, že se změnil certifikát.........JENŽE, ON SE CHCE PŘIPOJIT NA SVŮJ SERVER, MOŽNÁ TO POTŘEBUJE.....nejspíš jen pokrčí rameny a nový certifikát odklikne, pokud bude opatrný, možná se podívá do logů, jestli se něco stalo, ale ono se ještě nic nestalo a za týden si už nevzpomene, že mu to nahodilo chybu certifikátu
Přiznejme si, kdo si pamatuje, jak vypadá jeho tracert k jeho serveru?
A pokud tam neuvidí nic podivného, 9 z 10 to nebude umět dál řešit a pokusí se to tedy ignorovat.
C) můžete začít čunit

[Trident]

Vsechno je to jednoduche. Bud je pro mne dulezita bezpecnost a jeji nabourani muze znamenat vysoke financni ztraty a tak investuji do technologii, nebo neni tak dulezita tak to risknout.
Na strane ISP je otazkou par commandu nastavit mirroring provozu daneho portu na switchi. Pouziva se to vetsinou pro diagnostiku. Nemate sanci poznat ze k mirroringu doslo. Leda ze by vam provider umoznil cist systemove logy. Jenomze ty jde filtrovat uz na switchi:-D Otazka zneuziti ze strany provozovatele.... Pokud mam soudit podle sve pracovni etiky tak velka:) 

1. Mate-li srackove zelezo tak ano VPN zatezuje. Nicmene v dobe kdy mate gazilion jader za hubicku to nedava smysl. Prilisnou zatez jsem ale musel resit az cca od 1500 ipsec soubeznych tunelu. Nejvetsi zrout je OpenVPN,PPTP s L2TP jsou na polovine. U cisteho ipsecu bez dalsich obalek zalezi hodne na nastaveni takze tezko soudit.
2. Pokud nemate penize kupte si silnejsi zelezo. Je to mnohem vyhodnejsi nez investovat do specialniho sifrovaciho hardwaru.
3. Sifrujte na aplikacni urovni. Pokud mate vice procesu tak se to lepe skaluje na zatez zkrz vice jader nez kdyz si system prehazuje jeden vytezujici proces vpnky.
4. Pokud se to financne vyplati tak kupte skatule od vaseho oblibeneho dodavatele sitovych komponent s HW sifrovanim.