Zabezpečená IP komunikace mezi servery na síti

Zabezpečená IP komunikace mezi servery na síti
« kdy: 09. 12. 2021, 10:40:21 »
Nemáte někdo nápad, jak zabezpečit IP komunikaci mezi servery, které jsou na stejné síti? Klidně stačí podpisy paketů. Jako první mě napadl samozřejmě IPSec. Jenže pokud těch serverů budou desítky (30-50) a budu muset konfigurovat všechny kombinace komunikací, tak to bude utrpení. Ideálně bych si to představoval postavit na PKI, ale sdílený klíč bych asi taky kousnul. Nenapadá vás něco? Díky
« Poslední změna: 09. 12. 2021, 10:51:30 od Petr Krčmář »


Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #1 kdy: 09. 12. 2021, 11:37:48 »
Podívejte se na WireGuard.

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #2 kdy: 09. 12. 2021, 11:38:30 »
Len ich napchat do solo Vlany by nestacilo ?
Chapem pointu otazky, toto ma napadlo ako prve a velmi primitivne riesenie.
S klientami nech sa bavia po jednej sieti, a medzi sebou nech spikuju po druhej.

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #3 kdy: 09. 12. 2021, 13:00:51 »
Len ich napchat do solo Vlany by nestacilo ?

Chápu, ale bohužel nejsem schopen ovlivnit nastavení sítě :-(

WireGuard

Asi to tak dopadne v kombinaci s distribucí klíčů puppetem.

Díky

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #4 kdy: 09. 12. 2021, 15:05:32 »
A co MACsec?


SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #5 kdy: 09. 12. 2021, 15:18:28 »
Já tomu teda nerozumím, ale jestli se chcete vyhnout administraci všech P2P, nešlo by třeba použít a nebylo by nejjednodušší Openvpn?

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #6 kdy: 09. 12. 2021, 16:21:23 »
MACsec?

Aha. Zajímavé. Budu muset vyzkoušet, jestli to projde částečně virtuální infrastrukturou providera.

Já tomu teda nerozumím, ale jestli se chcete vyhnout administraci všech P2P, nešlo by třeba použít a nebylo by nejjednodušší Openvpn?

Jako arbitrovat to přes jeden server? To by asi šlo, ale jako poslední řešení (propustnost, latence, SPOF...)

vesterna12

  • ***
  • 122
  • byrokracie zabíjí kreativitu
    • Zobrazit profil
    • E-mail
Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #7 kdy: 09. 12. 2021, 16:25:26 »
Co pouzit stunnel? Tam si muzete nasadit i vlastni PKI kde budete overovat certifikat klienta.
Mimochodem neni lepsi konfigurovat sluzby co mezi sebou na siti musi komunikovat, aby pouzivaly 2W TLS?
Pokud to teda umoznuji...
« Poslední změna: 09. 12. 2021, 16:27:01 od vesterna12 »

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #8 kdy: 10. 12. 2021, 00:00:24 »
Co pouzit stunnel? Tam si muzete nasadit i vlastni PKI kde budete overovat certifikat klienta.

To by asi řešilo jen TCP komunikaci a znamenalo by to ještě co služba to tunel. V některý případěch by to šlo, ale já to potřebuju řešit i pro UDP komunikaci - např. synchronizaci clusteru a navíc těch služeb clusteru bude víc a bodou na všech serverech. Což rychle zvyšuje množství případných tunelů.

Mimochodem neni lepsi konfigurovat sluzby co mezi sebou na siti musi komunikovat, aby pouzivaly 2W TLS?
Pokud to teda umoznuji...

To by znamenalo starat se o konfiguraci všech služeb zvlášť. Asi sice mohou používat stejné certifikáty, ale přijde mi to jako práce navíc oproti scénáři, kdy mám zabezpečenou komplet 3. příp. 2. vrstvu, díky čemuž nemusím hlídat, jestli náhodou nová služba v clusteru bude nebo nebude umět TLS. V neposlední řadě bych TLS řešení viděl citlivější na DoS.
Na druhou stranu u heterogenních prostředí bude TLS možná jednodušší.

Každopádně díky

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #9 kdy: 10. 12. 2021, 00:57:27 »
mrkni na https://tinc-vpn.org (je lepší používat 1.1pre18, v betě to je ještě kvůli nedokončeným refaktorům), umí L2 mesh síť a hledání trasy, prostředí navzájem propojených několika desítek serverů mu vyhovuje a je to use case v kterém jsem ho také občas použil. Šifrovat umí přes AES, takže zdržení na cpu je minimální, konfigurovat to můžeš buď staticky nebo přes invite cli a veřejné klíče nechat automaticky distribuovat.

Jinak v korporátní prostředí se používají SDN, třeba APIC-EM od Cisca.

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #10 kdy: 10. 12. 2021, 22:33:57 »
Vlastně jste si odpověděl sám: IPsec s klíči podepsanými jednou společnou autoritou. Na každém serveru bude na ověření stačit veřejný klíč té autority a klíč každého nového serveru prostě jen podepíšete tou autoritou.

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #11 kdy: 10. 12. 2021, 22:51:55 »
Vlastně jste si odpověděl sám: IPsec s klíči podepsanými jednou společnou autoritou. Na každém serveru bude na ověření stačit veřejný klíč té autority a klíč každého nového serveru prostě jen podepíšete tou autoritou.

já jsem se chtěl vyhnout definici variací všech těch IKE párů.

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #12 kdy: 10. 12. 2021, 23:37:54 »
Add návrh na použití MACsec - ano, je určen k popsanému. Nicmémě aktuálně implementace v linuxu v podání wpa_supplicant je asi stále nehotová. Je podporová peer-to-peer CA, ale ne group CA. Takže pokud bych měl servery připojené do switchů, co podporují MACsec s pre-shared CAK/CKN, tak je to krása a jde to použít (protože jen konfiguruji asociaci server-switch, jednoduše je to i mezi dvěma servery s server-server), ale pokud mám switche bez MACsec a chtěl bych dělat asociace mezi jednotlivými servery přímo, tak je to na budku...

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #13 kdy: 11. 12. 2021, 03:30:08 »
Add návrh na použití MACsec - ano, je určen k popsanému. Nicmémě aktuálně implementace v linuxu v podání wpa_supplicant je asi stále nehotová.

pokud mám switche bez MACsec a chtěl bych dělat asociace mezi jednotlivými servery přímo, tak je to na budku…

Díky za upozornění. Vypadá to, že aktuálně doiteruju k WireGuardu.

Re:Zabezpečená IP komunikace mezi servery na síti
« Odpověď #14 kdy: 13. 12. 2021, 09:45:53 »
Libreswan umí tzv. opportunistic IPsec, který se pro vaši aplikaci naprosto hodí.
Nakonfigurujete skupinu hostů/subnetů, kde se jednotliví peeři všichni účastní IPsec (navzájem mezi sebou). Vznikne tak full-mesh IPsec s jednotnou konfigurací a snadnou správou. Tunely vznikají na žádost, jen když nastane potřeba komunikace.
Ověřování lze snadno provést buď RSA klíči nebo certifikáty se společnou autoritou.