RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Michel Py via frnog]

> Jérôme Nicolle a écrit :
> Très mauvaise idée. Il peut y avoir un différentiel de masse (terre)
> entre les deux locaux, donc un courant de fuite au travers du câble.

Et ça arrive plus souvent qu'on ne le croit, même à l'intérieur d'un seul 
immeuble.
Ceci étant dit, avec Ethernet, il suffit souvent de ne pas mettre de câble 
blindé. Sur un câble "normal" avec de l'Ethernet "normal", 4 paires sans masse 
supplémentaires, toutes les paires sont isolées électriquement 
(opto-électriquement, possiblement) donc pas de risque de courant de fuite au 
travers du câble, vu qu'il n'y a pas de masse.

Avec du POE passif (ou injecteur passif) il faut se méfier, car dans ce cas 
effectivement on risque d'avoir un ou deux des câbles qui sont électriquement 
connectés à la masse, donc risque de courant de fuite.
Avec du POE actif je suis pas trop sur de la situation. Comme le courant passe 
sur les mêmes paires que les données, en théorie ça devrait être isolé mais en 
pratique à vérifier.

Comme je l'ai écrit précédemment, la fibre c'est plus propre, si on n'en est 
pas au point de faire des économies de bout de chandelle.


> Aurélien Rouzaud a écrit :
> Effectivement c'est le cas par exemple lors du passage d'un câble cuivre 
> entre deux bâtiments mais si tout
> est dans le même immeuble avec une seule prise de terre commune, je ne pense 
> pas que ça pose de problème.

J'ai déjà vu le cas. Les circuits électriques installés par un bachibouzouk, il 
y en a plus qu'on le croit.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Aurélien Rouzaud]

Bonjour,

Effectivement c'est le cas par exemple lors du passage d'un câble cuivre
entre deux bâtiments mais si tout est dans le même immeuble avec une seule
prise de terre commune, je ne pense pas que ça pose de problème.

Cordialement,

Aurélien


Le jeu. 26 août 2021 à 12:31, Jérôme Nicolle  a écrit :

> Claude,
>
> Le 17/08/2021 à 18:37, DUVERGIER Claude a écrit :
> > donc un simple câble RJ45 suffira
>
> Très mauvaise idée. Il peut y avoir un différentiel de masse (terre)
> entre les deux locaux, donc un courant de fuite au travers du câble.
>
> Il faut faire l'interco en fibre si tu ne veux pas avoir à traiter de
> problème potentiel. Prends un breakout pré connéctorisé chez FS.com ou
> un fournisseur local pour ça.
>
> Pour ça, je mettrai un Mikrotik RB4011iGS+RM de chaque côté et un tunnel
> EOIP chifré sur le lien 10G entre les deux. Voire RB4011iGS+5HacQ2HnD-IN
> pour le WiFi en CapsMAN entre les deux.
>
> Remarque, je dis RB4011 mais ils en ont sorti un autre qui a l'air drôle
> : le RB5009UG+S+IN. À tester mais il a l'air de tenir le Gbps de
> chiffrement sans soucis.
>
> En terme de conf, pour aller au plus simple, tu fais un /30 d'interco
> underlay entre les deux et tu montes l'EoIP de chaque côté comme
> bridge-member des ports RJ et du WiFi.
>
> @+
>
> --
> Jérôme Nicolle
> +33 6 19 31 27 14
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Jérôme Nicolle]

Claude,

Le 17/08/2021 à 18:37, DUVERGIER Claude a écrit :

donc un simple câble RJ45 suffira


Très mauvaise idée. Il peut y avoir un différentiel de masse (terre) 
entre les deux locaux, donc un courant de fuite au travers du câble.


Il faut faire l'interco en fibre si tu ne veux pas avoir à traiter de 
problème potentiel. Prends un breakout pré connéctorisé chez FS.com ou 
un fournisseur local pour ça.


Pour ça, je mettrai un Mikrotik RB4011iGS+RM de chaque côté et un tunnel 
EOIP chifré sur le lien 10G entre les deux. Voire RB4011iGS+5HacQ2HnD-IN 
pour le WiFi en CapsMAN entre les deux.


Remarque, je dis RB4011 mais ils en ont sorti un autre qui a l'air drôle 
: le RB5009UG+S+IN. À tester mais il a l'air de tenir le Gbps de 
chiffrement sans soucis.


En terme de conf, pour aller au plus simple, tu fais un /30 d'interco 
underlay entre les deux et tu montes l'EoIP de chaque côté comme 
bridge-member des ports RJ et du WiFi.


@+

--
Jérôme Nicolle
+33 6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[F. S.]

Hello all,

Heureusement, l'ANSSI a publié hier la qualification CSPN de Kakoma, qui
permet de sécuriser des liens fibre, jusqu'à 10Gb :

https://www.ssi.gouv.fr/administration/certification_cspn/kakoma-kakoma-10g-0m1-rev-01-version-du-logiciel-java-code-software-version-s6-4-100/

Lire la cible de sécurité pour avoir plus d'infos sur le fonctionnement du
produit :)

Le mer. 18 août 2021, 18:06, ic  a écrit :

> io,
>
> > On 18 Aug 2021, at 17:33, Michel Py via frnog  wrote:
> >
> > Les suggestions dans le fil sont bonnes, j'ajouterai que mettre de la
> fibre au lieu du cuivre ça complique la vie de l'attaquant, il faut du
> matériel plus sophistiqué pour sniffer.
>
> Pas vraiment… c’est même beaucoup plus facile de poser un tap (y compris
> temporaire) sur une fibre sans perturber son fonctionnement (google:
> optical clip-on coupler).
>
> ++ ic
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[ic]

> 
> Pas vraiment… c’est même beaucoup plus facile de poser un tap (y compris 
> temporaire) sur une fibre sans perturber son fonctionnement (google: optical 
> clip-on coupler). 
> 
> ++ ic
> 

Allez j’ajoute une petite vidéo de démo : 
https://www.youtube.com/watch?v=2HlL7t79HDc - Comme dirait l’autre, c’est 
bluffant.

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[ic]

io,

> On 18 Aug 2021, at 17:33, Michel Py via frnog  wrote:
> 
> Les suggestions dans le fil sont bonnes, j'ajouterai que mettre de la fibre 
> au lieu du cuivre ça complique la vie de l'attaquant, il faut du matériel 
> plus sophistiqué pour sniffer.

Pas vraiment… c’est même beaucoup plus facile de poser un tap (y compris 
temporaire) sur une fibre sans perturber son fonctionnement (google: optical 
clip-on coupler). 

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Michel Py via frnog]

> Claude DUVERGIER a écrit :
> Je ne connais pas assez le 802.1x mais j'avais l'impression que ça ne 
> s'occupait que de l'authentification,
> le trafic restait en clair, enfin : "tel quel". Même si on utilise que des 
> protocoles chiffrés (HTTPS, SSH,
> LDAPS, IMAPS, SMTPS) sur le LAN, les meta-données révèleraient quelques infos 
> à un éventuel "espion" non ?

Dans ce cas de figure, ça ne marche pas; j'avais lu le scénario de travers.

Certes, mais il faut savoir contre qui on veut se protéger. Gougleu et 
fessebouc ils ont déjà les métadonnées, et si c'est la DGSE qui arrive et pose 
un tap sur le câble ils vont probablement avoir les données qu'ils veulent 
aussi.

Les suggestions dans le fil sont bonnes, j'ajouterai que mettre de la fibre au 
lieu du cuivre ça complique la vie de l'attaquant, il faut du matériel plus 
sophistiqué pour sniffer.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[ic]

> On 18 Aug 2021, at 09:32, Xavier Beaudouin via frnog  wrote:
> 
> Autrement en "pas" cher il y les Edge Router X qui permettent de faire de
> l'IPSec et ... transformer un certain nombre de ports en mode switch.
> C'est pas cher... et accessoirement ça peux aussi être allumé en POE... 
> Pratique pour faire on / off en cas de plantage de l’IPsec…

+1000 pour les ER-X… 

++ ic


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Julien Issler]

Je te conseille ce modèle qui dépote bien, puce arm, wifi intégré, ipsec 
hardware, etc...


https://mikrotik.com/product/hap_ac2 (environ 60€)

Le 18/08/2021 à 11:31, DUVERGIER Claude a écrit :
C'est bien ça : un seul LAN "répartit" sur 2 zones physiques "non 
mitoyennes".


Merci pour la suggestion (ainsi qu'à Benoit C. qui suggère le Mikrotik 
hEx), vu le prix des hEx (~110€ la paire livrée) je doute trouver une 
paire de boîtiers dédié pour moins cher.


Je pense que je vais partir là dessus ;)

Et au moins les Mikrotik hEx pourront servir à autre chose si jamais le 
besoin change/évolue :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Mickaël BENICHOU]

Salut la liste,

Pour avoir fait des études et des implementations sur le sujets très
récemment:
Pour faire du chiffrement au plus proche du L2 et permettre du LAN
étendu tu as les grandes familles de produit:

   - Les produits de networking divers et variés qui implementent MACSec et
   plus particulièrement le standard 802.1AEcg-2017 (ConnectGuard, ADVA, 
   très longue liste)
   - Les produits avec protocoles plus ou moins propriétaires, qui peuvent
   être classés en plusieurs Gammes:
  - Les Dérivées de ATMEDIA (éditeur ATMEDIA, SECUNET, THALES LEGACY,
  SECUROSYS)
  - Rohde & Schwarz
  - Senetas (Editeurs  SENETAS, THALES Gamme Gemalto/SAFENET,
  IDQuantique)
  - ATOS
  - CertesNetworks
  - ...

Le prix des différents produits va essentiellement dépendre du débit
souhaité, de la capacité à faire du Low Latency et des capacités de
Redondance/Clustering/passthrough en cas de défaut matériel.

Il y a cette etude qui est un peux vielle (2017) mais disponible librement
sur internet :http://
www.uebermeister.com/files/inside-it/2017_market_overview_Ethernet_encryptors_for_Metro_and_Carrier_Ethernet.pdf

Bonne chance dans ta recherche

Cordialement,

Mickaël

Le mer. 18 août 2021 à 11:39, DUVERGIER Claude 
a écrit :

> Je ne connais pas assez le 802.1x mais j'avais l'impression que ça ne
> s'occupait que de l'authentification, le trafic restait en clair, enfin :
> "tel quel".
>
> Même si on utilise que des protocoles chiffrés (HTTPS, SSH, LDAPS, IMAPS,
> SMTPS) sur le LAN, les meta-données révèleraient quelques infos à un
> éventuel "espion" non ?
>
>
> --
> DUVERGIER Claude
>
> Le 17/08/2021 à 19:07, Michel Py a écrit :
>
> Aurélien Rouzaud a écrit :
> Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre
> qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe 
> ?
>
> Ou de faire du 802.1x
>
> Michel.
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[DUVERGIER Claude]

  
  
Je ne connais pas assez le 802.1x mais j'avais l'impression que
  ça ne s'occupait que de l'authentification, le trafic restait en
  clair, enfin : "tel quel".
Même si on utilise que des protocoles chiffrés (HTTPS, SSH,
  LDAPS, IMAPS, SMTPS) sur le LAN, les meta-données révèleraient
  quelques infos à un éventuel "espion" non ?



-- 
DUVERGIER Claude
Le 17/08/2021 à 19:07, Michel Py a
  écrit :


  
Aurélien Rouzaud a écrit :
Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre
qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe ?

  
  
Ou de faire du 802.1x

Michel.




  

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[DUVERGIER Claude]

  
  
C'est bien ça : un seul LAN "répartit" sur 2 zones physiques "non
  mitoyennes".
Merci pour la suggestion (ainsi qu'à Benoit C. qui suggère le
  Mikrotik hEx), vu le prix des hEx (~110€ la paire livrée) je doute
  trouver une paire de boîtiers dédié pour moins cher.
Je pense que je vais partir là dessus ;)

Et au moins les Mikrotik hEx pourront servir à autre chose si
  jamais le besoin change/évolue :)
-- 
DUVERGIER Claude
Le 18/08/2021 à 10:20, Julien Issler a
  écrit :

Bonjour,
  
  
  C'est pour ça que je pensais à de l'EoIP qui permet de simuler une
  liaison ethernet sur un lien IP quelconque
  
  
  https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP
  
  
  Puisque si j'ai bien compris, il n'y a pas forcément 2 LAN à
  isoler l'un de l'autre ou à contrôler l'accès de l'un à l'autre.
  Si c'est le même LAN, c'est peut-être encore mieux.
  
  
  En gros, le RJ45 dans la partie commune (ou un pont wifi, ou
  autre) est considéré comme publique/non sécurisé et relie juste
  les 2 mikrotik. On peut sécuriser encore un peu en mettant cette
  liaison publique dans un vlan (il faudra dans ce cas que le
  malotru coupe le câble, intercale son équipement, écoute le bon
  vlan, tout ça pour ne voir que l'enveloppe du tunnel). Et le
  tunnel ethernet par dessus.
  
  
  C'est aussi possible de faire de l'IPSec, du wireguard, etc...
  entre les 2 équipements, mais j'aime bien l'idée de l'EoIP simple
  qui simule un câble réseau.
  
  
  2 petits Mikrotik (j'aime bien les HapAC² qui sont à la fois
  performants et bien dotés en ports/wifi) à 50€ pièce devraient
  faire le job.
  
  
  Julien
  
  
  Le 18/08/2021 à 10:01, Sebastien Lesimple a écrit :
  
  VLAN/access list IP-MAC déjà pour la
segmentation de base. Sinon VLAN et 802.1x qui devrait déjà être
le standard pour tous le monde.

Après tu veux chiffrer le publique, prends une paire de Mikrotik
ça fera le job.

Seb.

  
  
  
  ---
  
  Liste de diffusion du FRnOG
  
  http://www.frnog.org/
  


  

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[DUVERGIER Claude]

  
  
Je préfère éviter d'avoir à mettre en place cette configuration
  spécifique, surtout que les occupant du local ne sont pas dédié :
  il faudrait que je "configure" tout ça sur tous les postes (et
  forme tout le monde).

-- 
DUVERGIER Claude
Le 17/08/2021 à 18:43, Aurélien Rouzaud
  a écrit :


  
  
Bonjour,


Plutôt que de mettre deux boitiers, ce n'est pas
  envisageable de n'en mettre qu'un et un client VPN sur toutes
  les stations qui seront sur le LAN non safe ?
Avec bien sûr une règle de firewalling qui n'autorise que
  le flux VPN sur le port en question.



Cordialement


Aurélien
  
  
  
Le mar. 17 août 2021 à 18:39,
  DUVERGIER Claude 
  a écrit :


  
Bonjour la liste,
J'aurais besoin de relier au réseau LAN un petit local un
  peu excentré des autres locaux de l'immeuble.
  Problème : je dois passer par les parties communes de
  l'immeuble pour les relier...
Les besoins de débit sont très faibles (du web sur 4/5
  stations de travail) donc un simple câble RJ45 suffira,
  mais avoir mon LAN qui sort, en clair, de "ma propriété"
  n'est pas une option.
Je cherche donc 2 boîtiers à placer de part et d'autres
  du câble pour assurer un chiffrement des communications
  qui y transite.
La solution basique mais qui nécessite de la maintenance
  : 2x mini ordis avec 2 port Ethernet + du OPNsense qui
  chiffre/déchiffre le trafic (via IPSec, OpenVPN, etc.)
  pour faire routeur entre les 2.
Ça représente environ 560€ avec des APU2E0 de PC Engines,
  et moins si je trouve des ordis plus simples et/ou de
  récup'.
Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par
  exempe)... qui offre son chiffrement, mais c'est quand
  même ballot d'utiliser le 802.11 juste pour sa capacité à
  chiffrer alors que j'ai la possibilité de tirer un câble
  cat 7. Là par contre le coût baisse trs fortement.

Mais je me dit que ça doit bien exister en boîtier tout
  fait/dédié, pour moins cher...
Le plus proche que j'ai trouvé via mon Google-fu c'est ce
  "IP-DOOR" de CXR Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf
  Mais le produit ne semble plus en vente...
Bref : auriez-vous un produit magique similaire en tête ?
Merci

-- 
DUVERGIER Claude
  

  


  

Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Julien Issler]

Le 18/08/2021 à 10:45, Nicolas Vuillermet a écrit :


Sans s'y connecter ça me semble un peu compliqué.. Il faudrait pouvoir 
discriminer la modulation des deux paires RX et deux paires TX à 
proximité du câble, être synchro, démoduler... En sachant qu'il y peut y 
avoir un blindage sur le câble... peut-être un film de SF, sinon, ça me 
semble quand même pas mal compliqué (impossible).


C'est ce que je pensais mais sait-on jamais

Par contre, ouvrir le câble au cutter, dégainer les 4 paires, souder un 
"départ pirate", comme le fait un hub, et l'envoyer vers un port en 
écoute passive, ça me semble du domaine du possible. Il faut juste 
trouver l'ordre des paires (tu peux avec un analyseur logique retrouver 
les paires différentielles entres-elles, ou tester A / B dans un premier 
temps si la norme de câblage/couleur a été respectée)


D'où l'idée de l'aléatoire dans la position des fils, suivant le risque 
qu'évalue Claude par rapport à sa question initiale, ça peut être une 
réponse possible et simple qui ne nécessite aucun équipement 
supplémentaire, juste de refaire les 2 connecteurs.



Ma question, travailles-tu pour les services secrets ?


Je ne peux ni confirmer ni infirmer bla bla... je vous laisse, des 
hommes en noir sonnent à ma porte ;)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Nicolas Vuillermet]

Hello,

Sans s'y connecter ça me semble un peu compliqué.. Il faudrait pouvoir 
discriminer la modulation des deux paires RX et deux paires TX à 
proximité du câble, être synchro, démoduler... En sachant qu'il y peut y 
avoir un blindage sur le câble... peut-être un film de SF, sinon, ça me 
semble quand même pas mal compliqué (impossible).


Par contre, ouvrir le câble au cutter, dégainer les 4 paires, souder un 
"départ pirate", comme le fait un hub, et l'envoyer vers un port en 
écoute passive, ça me semble du domaine du possible. Il faut juste 
trouver l'ordre des paires (tu peux avec un analyseur logique retrouver 
les paires différentielles entres-elles, ou tester A / B dans un premier 
temps si la norme de câblage/couleur a été respectée)


Dans ce cas là, l'impédance changerait brutalement, mais le temps de la 
manip la liaison n'est pas censée partir sauf si la ligne est déjà à la 
limite de la distance max... Donc de part et d'autres, Bob et Alice ne 
remarqueront pas la présence de Eve...


Ma question, travailles-tu pour les services secrets ?

Nicolas

Le 18/08/2021 à 10:35, Julien Issler a écrit :
Pardon pour la digression, mais je me pose une question en relation 
malgré tout :


est-il possible d'écouter le trafic réseau transitant sur un câble 
sans se connecter physiquement sur ce câble ?


Car si ce n'est pas possible, est-ce totalement débile de câbler le 
RJ45 de la partie commune/publique en utilisant des positions 
aléatoires pour les 8 fils ? Le temps que le tiers câble dans la bonne 
position...


N'hésitez pas si j'écris une grosse énormité ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Julien Issler]

Pardon pour la digression, mais je me pose une question en relation 
malgré tout :


est-il possible d'écouter le trafic réseau transitant sur un câble sans 
se connecter physiquement sur ce câble ?


Car si ce n'est pas possible, est-ce totalement débile de câbler le RJ45 
de la partie commune/publique en utilisant des positions aléatoires pour 
les 8 fils ? Le temps que le tiers câble dans la bonne position...


N'hésitez pas si j'écris une grosse énormité ;)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Julien Issler]

Bonjour,

C'est pour ça que je pensais à de l'EoIP qui permet de simuler une 
liaison ethernet sur un lien IP quelconque


https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP

Puisque si j'ai bien compris, il n'y a pas forcément 2 LAN à isoler l'un 
de l'autre ou à contrôler l'accès de l'un à l'autre. Si c'est le même 
LAN, c'est peut-être encore mieux.


En gros, le RJ45 dans la partie commune (ou un pont wifi, ou autre) est 
considéré comme publique/non sécurisé et relie juste les 2 mikrotik. On 
peut sécuriser encore un peu en mettant cette liaison publique dans un 
vlan (il faudra dans ce cas que le malotru coupe le câble, intercale son 
équipement, écoute le bon vlan, tout ça pour ne voir que l'enveloppe du 
tunnel). Et le tunnel ethernet par dessus.


C'est aussi possible de faire de l'IPSec, du wireguard, etc... entre les 
2 équipements, mais j'aime bien l'idée de l'EoIP simple qui simule un 
câble réseau.


2 petits Mikrotik (j'aime bien les HapAC² qui sont à la fois performants 
et bien dotés en ports/wifi) à 50€ pièce devraient faire le job.


Julien

Le 18/08/2021 à 10:01, Sebastien Lesimple a écrit :
VLAN/access list IP-MAC déjà pour la segmentation de base. Sinon VLAN et 
802.1x qui devrait déjà être le standard pour tous le monde.
Après tu veux chiffrer le publique, prends une paire de Mikrotik ça fera 
le job.

Seb.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Mathieu]

Bonjour,

>> 2 petits mikrotik pour faire de l'EoIP ou du VPN plus traditionnel ? 
>> Dans les 60-70€HT le boîtier
>>
>> Et sinon, plus faible, mais un simple VLAN dans la partie publique ?

+1000

C'est ce que j'ai fait au bureau : 2 LAN distincts (LAN 1 privé, LAN 2 
public/atelier) définis via mon routeur (Fortinet mais un microtik fera le job 
sans sourciller) et gérés par des VLAN sur mon switch.

Après si t'as pas besoin de grosse infra, tu laisses tombé le switch et donc 
les VLANs, et tu raccorde directement ton local sur le LAN 2 du routeur via 
Ethernet et tu défini les règles que tu souhaites entre ton LAN perso et le LAN 
public.


Mathieu


-Message d'origine-
De : frnog-requ...@frnog.org  De la part de Julien 
Issler
Envoyé : mardi 17 août 2021 19:05
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant 
par milieu non fiable

Bonsoir,

2 petits mikrotik pour faire de l'EoIP ou du VPN plus traditionnel ? 
Dans les 60-70€HT le boîtier

Et sinon, plus faible, mais un simple VLAN dans la partie publique ?

Julien

Le 17/08/2021 à 18:43, Aurélien Rouzaud a écrit :
> Bonjour,
> 
> Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en 
> mettre qu'un et un client VPN sur toutes les stations qui seront sur 
> le LAN non safe ?
> Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN 
> sur le port en question.
> 
> Cordialement
> 
> Aurélien
> 
> Le mar. 17 août 2021 à 18:39, DUVERGIER Claude 
>  a écrit :
> 
>> Bonjour la liste,
>>
>> J'aurais besoin de relier au réseau LAN un petit local un peu 
>> excentré des autres locaux de l'immeuble.
>> Problème : je dois passer par les parties communes de l'immeuble pour 
>> les relier...
>>
>> Les besoins de débit sont très faibles (du web sur 4/5 stations de
>> travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui 
>> sort, en clair, de "ma propriété" n'est pas une option.
>>
>> Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour 
>> assurer un chiffrement des communications qui y transite.
>>
>> La solution basique mais qui nécessite de la maintenance : 2x mini 
>> ordis avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le 
>> trafic (via IPSec, OpenVPN, etc.) pour faire routeur entre les 2.
>>
>> Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si 
>> je trouve des ordis plus simples et/ou de récup'.
>>
>> Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui 
>> offre son chiffrement, mais c'est quand même ballot d'utiliser le 
>> 802.11 juste pour sa capacité à chiffrer alors que j'ai la 
>> possibilité de tirer un câble cat 7. Là par contre le coût baisse trs 
>> fortement.
>>
>> Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, 
>> pour moins cher...
>>
>> Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" 
>> de CXR Anderson Jacobson : 
>> https://www.cxr.com/documents/brochures/ip_door.pdf
>> Mais le produit ne semble plus en vente...
>>
>> Bref : auriez-vous un produit magique similaire en tête ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Xavier Beaudouin via frnog]

Hello,

> +1 sur le MACSec si ton switch le permet. Sur du Cat9200 tu peux faire
> du MACSec, mais ca te fait un x5 à x10 en budget ;)

Et en budget électricité...
 
> Le chiffrement IPSec sinon. Mais tu as déjà quoté le prix ;)

Autrement en "pas" cher il y les Edge Router X qui permettent de faire de
l'IPSec et ... transformer un certain nombre de ports en mode switch.
C'est pas cher... et accessoirement ça peux aussi être allumé en POE... 
Pratique pour faire on / off en cas de plantage de l'IPsec...

/Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Fabien VINCENT FrNOG via frnog]

+1 sur le MACSec si ton switch le permet. Sur du Cat9200 tu peux faire 
du MACSec, mais ca te fait un x5 à x10 en budget ;)


Le chiffrement IPSec sinon. Mais tu as déjà quoté le prix ;)

Le 17-08-2021 19:35, Gregory CAUCHIE a écrit :

Thales (ex SAFEnet) propose ce genre de boîtier, mais le prix sera
surement trop élevé vu que la perf permet de monter à très haut débit
(quasi-)sans introduction de latence.

Autrement, pas possible de faire du MACsec entre tes switch ?

--
Grégory

On 17 Aug 2021, at 19:13, Benoit Chesneau  
wrote:


hrm pq ne pas mettre a un bout un simple proxy https et connecter les 
clients en https dessus? la connection seraient ainsi chiffrée de bout 
en bout. avec un boitier mikrotik a un bout. sinon deux boitiers 
mikrotik hex ou plus et un tunnel?


Benoît Chesneau, Enki Multimedia

On Tue, Aug 17, 2021 at 18:37, DUVERGIER Claude 
 wrote:



Bonjour la liste,

J'aurais besoin de relier au réseau LAN un petit local un peu 
excentré des autres locaux de l'immeuble.
Problème : je dois passer par les parties communes de l'immeuble pour 
les relier...


Les besoins de débit sont très faibles (du web sur 4/5 stations de 
travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui 
sort, en clair, de "ma propriété" n'est pas une option.


Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour 
assurer un chiffrement des communications qui y transite.


La solution basique mais qui nécessite de la maintenance : 2x mini 
ordis avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le 
trafic (via IPSec, OpenVPN, etc.) pour faire routeur entre les 2.


Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si 
je trouve des ordis plus simples et/ou de récup'.


Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui 
offre son chiffrement, mais c'est quand même ballot d'utiliser le 
802.11 juste pour sa capacité à chiffrer alors que j'ai la 
possibilité de tirer un câble cat 7. Là par contre le coût baisse trs 
fortement.


Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, 
pour moins cher...


Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" 
de CXR Anderson Jacobson : 
https://www.cxr.com/documents/brochures/ip_door.pdf

Mais le produit ne semble plus en vente...

Bref : auriez-vous un produit magique similaire en tête ?

Merci

--
DUVERGIER Claude

---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Fabien VINCENT
_@beufanet_


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Gregory CAUCHIE]

Thales (ex SAFEnet) propose ce genre de boîtier, mais le prix sera surement 
trop élevé vu que la perf permet de monter à très haut débit (quasi-)sans 
introduction de latence.

Autrement, pas possible de faire du MACsec entre tes switch ?

--
Grégory

> On 17 Aug 2021, at 19:13, Benoit Chesneau  wrote:
> 
> hrm pq ne pas mettre a un bout un simple proxy https et connecter les clients 
> en https dessus? la connection seraient ainsi chiffrée de bout en bout. avec 
> un boitier mikrotik a un bout. sinon deux boitiers mikrotik hex ou plus et un 
> tunnel?
> 
> Benoît Chesneau, Enki Multimedia
> 
> On Tue, Aug 17, 2021 at 18:37, DUVERGIER Claude 
>  wrote:
> 
>> Bonjour la liste,
>> 
>> J'aurais besoin de relier au réseau LAN un petit local un peu excentré des 
>> autres locaux de l'immeuble.
>> Problème : je dois passer par les parties communes de l'immeuble pour les 
>> relier...
>> 
>> Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) 
>> donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de 
>> "ma propriété" n'est pas une option.
>> 
>> Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour 
>> assurer un chiffrement des communications qui y transite.
>> 
>> La solution basique mais qui nécessite de la maintenance : 2x mini ordis 
>> avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via 
>> IPSec, OpenVPN, etc.) pour faire routeur entre les 2.
>> 
>> Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je 
>> trouve des ordis plus simples et/ou de récup'.
>> 
>> Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre 
>> son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste 
>> pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble 
>> cat 7. Là par contre le coût baisse trs fortement.
>> 
>> Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour 
>> moins cher...
>> 
>> Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR 
>> Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf
>> Mais le produit ne semble plus en vente...
>> 
>> Bref : auriez-vous un produit magique similaire en tête ?
>> 
>> Merci
>> 
>> --
>> DUVERGIER Claude
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Benoit Chesneau]

hrm pq ne pas mettre a un bout un simple proxy https et connecter les clients 
en https dessus? la connection seraient ainsi chiffrée de bout en bout. avec un 
boitier mikrotik a un bout. sinon deux boitiers mikrotik hex ou plus et un 
tunnel?

Benoît Chesneau, Enki Multimedia

On Tue, Aug 17, 2021 at 18:37, DUVERGIER Claude  
wrote:

> Bonjour la liste,
>
> J'aurais besoin de relier au réseau LAN un petit local un peu excentré des 
> autres locaux de l'immeuble.
> Problème : je dois passer par les parties communes de l'immeuble pour les 
> relier...
>
> Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) 
> donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de 
> "ma propriété" n'est pas une option.
>
> Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour assurer 
> un chiffrement des communications qui y transite.
>
> La solution basique mais qui nécessite de la maintenance : 2x mini ordis avec 
> 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via IPSec, 
> OpenVPN, etc.) pour faire routeur entre les 2.
>
> Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je 
> trouve des ordis plus simples et/ou de récup'.
>
> Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre 
> son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste pour 
> sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble cat 7. 
> Là par contre le coût baisse trs fortement.
>
> Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour 
> moins cher...
>
> Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR 
> Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf
> Mais le produit ne semble plus en vente...
>
> Bref : auriez-vous un produit magique similaire en tête ?
>
> Merci
>
> --
> DUVERGIER Claude
---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Michel Py via frnog]

> Aurélien Rouzaud a écrit :
> Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre
> qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe 
> ?

Ou de faire du 802.1x

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Julien Issler]

Bonsoir,

2 petits mikrotik pour faire de l'EoIP ou du VPN plus traditionnel ? 
Dans les 60-70€HT le boîtier


Et sinon, plus faible, mais un simple VLAN dans la partie publique ?

Julien

Le 17/08/2021 à 18:43, Aurélien Rouzaud a écrit :

Bonjour,

Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en
mettre qu'un et un client VPN sur toutes les stations qui seront sur le LAN
non safe ?
Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN sur
le port en question.

Cordialement

Aurélien

Le mar. 17 août 2021 à 18:39, DUVERGIER Claude 
a écrit :


Bonjour la liste,

J'aurais besoin de relier au réseau LAN un petit local un peu excentré des
autres locaux de l'immeuble.
Problème : je dois passer par les parties communes de l'immeuble pour les
relier...

Les besoins de débit sont très faibles (du web sur 4/5 stations de
travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en
clair, de "ma propriété" n'est pas une option.

Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour
assurer un chiffrement des communications qui y transite.

La solution basique mais qui nécessite de la maintenance : 2x mini ordis
avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via
IPSec, OpenVPN, etc.) pour faire routeur entre les 2.

Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je
trouve des ordis plus simples et/ou de récup'.

Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui
offre son chiffrement, mais c'est quand même ballot d'utiliser le 802.11
juste pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un
câble cat 7. Là par contre le coût baisse trs fortement.

Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour
moins cher...

Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR
Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf
Mais le produit ne semble plus en vente...

Bref : auriez-vous un produit magique similaire en tête ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[Aurélien Rouzaud]

Bonjour,

Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en
mettre qu'un et un client VPN sur toutes les stations qui seront sur le LAN
non safe ?
Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN sur
le port en question.

Cordialement

Aurélien

Le mar. 17 août 2021 à 18:39, DUVERGIER Claude 
a écrit :

> Bonjour la liste,
>
> J'aurais besoin de relier au réseau LAN un petit local un peu excentré des
> autres locaux de l'immeuble.
> Problème : je dois passer par les parties communes de l'immeuble pour les
> relier...
>
> Les besoins de débit sont très faibles (du web sur 4/5 stations de
> travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en
> clair, de "ma propriété" n'est pas une option.
>
> Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour
> assurer un chiffrement des communications qui y transite.
>
> La solution basique mais qui nécessite de la maintenance : 2x mini ordis
> avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via
> IPSec, OpenVPN, etc.) pour faire routeur entre les 2.
>
> Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je
> trouve des ordis plus simples et/ou de récup'.
>
> Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui
> offre son chiffrement, mais c'est quand même ballot d'utiliser le 802.11
> juste pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un
> câble cat 7. Là par contre le coût baisse trs fortement.
>
> Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour
> moins cher...
>
> Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR
> Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf
> Mais le produit ne semble plus en vente...
>
> Bref : auriez-vous un produit magique similaire en tête ?
>
> Merci
>
> --
> DUVERGIER Claude
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable

[DUVERGIER Claude]

  
  
Bonjour la liste,
J'aurais besoin de relier au réseau LAN un petit local un peu
  excentré des autres locaux de l'immeuble.
  Problème : je dois passer par les parties communes de l'immeuble
  pour les relier...
Les besoins de débit sont très faibles (du web sur 4/5 stations
  de travail) donc un simple câble RJ45 suffira, mais avoir mon LAN
  qui sort, en clair, de "ma propriété" n'est pas une option.
Je cherche donc 2 boîtiers à placer de part et d'autres du câble
  pour assurer un chiffrement des communications qui y transite.
La solution basique mais qui nécessite de la maintenance : 2x
  mini ordis avec 2 port Ethernet + du OPNsense qui
  chiffre/déchiffre le trafic (via IPSec, OpenVPN, etc.) pour faire
  routeur entre les 2.
Ça représente environ 560€ avec des APU2E0 de PC Engines, et
  moins si je trouve des ordis plus simples et/ou de récup'.
Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)...
  qui offre son chiffrement, mais c'est quand même ballot d'utiliser
  le 802.11 juste pour sa capacité à chiffrer alors que j'ai la
  possibilité de tirer un câble cat 7. Là par contre le coût baisse
  trs fortement.

Mais je me dit que ça doit bien exister en boîtier tout
  fait/dédié, pour moins cher...
Le plus proche que j'ai trouvé via mon Google-fu c'est ce
  "IP-DOOR" de CXR Anderson Jacobson :
  https://www.cxr.com/documents/brochures/ip_door.pdf
  Mais le produit ne semble plus en vente...
Bref : auriez-vous un produit magique similaire en tête ?
Merci


-- 
DUVERGIER Claude