> Jérôme Nicolle a écrit :
> Très mauvaise idée. Il peut y avoir un différentiel de masse (terre)
> entre les deux locaux, donc un courant de fuite au travers du câble.
Et ça arrive plus souvent qu'on ne le croit, même à l'intérieur d'un seul
immeuble.
Ceci étant dit, avec Ethernet, il suffit
Bonjour,
Effectivement c'est le cas par exemple lors du passage d'un câble cuivre
entre deux bâtiments mais si tout est dans le même immeuble avec une seule
prise de terre commune, je ne pense pas que ça pose de problème.
Cordialement,
Aurélien
Le jeu. 26 août 2021 à 12:31, Jérôme Nicolle a
Claude,
Le 17/08/2021 à 18:37, DUVERGIER Claude a écrit :
donc un simple câble RJ45 suffira
Très mauvaise idée. Il peut y avoir un différentiel de masse (terre)
entre les deux locaux, donc un courant de fuite au travers du câble.
Il faut faire l'interco en fibre si tu ne veux pas avoir à
Hello all,
Heureusement, l'ANSSI a publié hier la qualification CSPN de Kakoma, qui
permet de sécuriser des liens fibre, jusqu'à 10Gb :
https://www.ssi.gouv.fr/administration/certification_cspn/kakoma-kakoma-10g-0m1-rev-01-version-du-logiciel-java-code-software-version-s6-4-100/
Lire la cible
>
> Pas vraiment… c’est même beaucoup plus facile de poser un tap (y compris
> temporaire) sur une fibre sans perturber son fonctionnement (google: optical
> clip-on coupler).
>
> ++ ic
>
Allez j’ajoute une petite vidéo de démo :
https://www.youtube.com/watch?v=2HlL7t79HDc - Comme dirait
io,
> On 18 Aug 2021, at 17:33, Michel Py via frnog wrote:
>
> Les suggestions dans le fil sont bonnes, j'ajouterai que mettre de la fibre
> au lieu du cuivre ça complique la vie de l'attaquant, il faut du matériel
> plus sophistiqué pour sniffer.
Pas vraiment… c’est même beaucoup plus
> Claude DUVERGIER a écrit :
> Je ne connais pas assez le 802.1x mais j'avais l'impression que ça ne
> s'occupait que de l'authentification,
> le trafic restait en clair, enfin : "tel quel". Même si on utilise que des
> protocoles chiffrés (HTTPS, SSH,
> LDAPS, IMAPS, SMTPS) sur le LAN, les
> On 18 Aug 2021, at 09:32, Xavier Beaudouin via frnog wrote:
>
> Autrement en "pas" cher il y les Edge Router X qui permettent de faire de
> l'IPSec et ... transformer un certain nombre de ports en mode switch.
> C'est pas cher... et accessoirement ça peux aussi être allumé en POE...
>
Je te conseille ce modèle qui dépote bien, puce arm, wifi intégré, ipsec
hardware, etc...
https://mikrotik.com/product/hap_ac2 (environ 60€)
Le 18/08/2021 à 11:31, DUVERGIER Claude a écrit :
C'est bien ça : un seul LAN "répartit" sur 2 zones physiques "non
mitoyennes".
Merci pour la
Salut la liste,
Pour avoir fait des études et des implementations sur le sujets très
récemment:
Pour faire du chiffrement au plus proche du L2 et permettre du LAN
étendu tu as les grandes familles de produit:
- Les produits de networking divers et variés qui implementent MACSec et
plus
Je ne connais pas assez le 802.1x mais j'avais l'impression que
ça ne s'occupait que de l'authentification, le trafic restait en
clair, enfin : "tel quel".
Même si on utilise que des protocoles chiffrés (HTTPS, SSH,
LDAPS, IMAPS, SMTPS) sur le LAN, les meta-données
C'est bien ça : un seul LAN "répartit" sur 2 zones physiques "non
mitoyennes".
Merci pour la suggestion (ainsi qu'à Benoit C. qui suggère le
Mikrotik hEx), vu le prix des hEx (~110€ la paire livrée) je doute
trouver une paire de boîtiers dédié pour moins cher.
Je préfère éviter d'avoir à mettre en place cette configuration
spécifique, surtout que les occupant du local ne sont pas dédié :
il faudrait que je "configure" tout ça sur tous les postes (et
forme tout le monde).
--
DUVERGIER Claude
Le 17/08/2021 à
Le 18/08/2021 à 10:45, Nicolas Vuillermet a écrit :
Sans s'y connecter ça me semble un peu compliqué.. Il faudrait pouvoir
discriminer la modulation des deux paires RX et deux paires TX à
proximité du câble, être synchro, démoduler... En sachant qu'il y peut y
avoir un blindage sur le
Hello,
Sans s'y connecter ça me semble un peu compliqué.. Il faudrait pouvoir
discriminer la modulation des deux paires RX et deux paires TX à
proximité du câble, être synchro, démoduler... En sachant qu'il y peut y
avoir un blindage sur le câble... peut-être un film de SF, sinon, ça me
Pardon pour la digression, mais je me pose une question en relation
malgré tout :
est-il possible d'écouter le trafic réseau transitant sur un câble sans
se connecter physiquement sur ce câble ?
Car si ce n'est pas possible, est-ce totalement débile de câbler le RJ45
de la partie
Bonjour,
C'est pour ça que je pensais à de l'EoIP qui permet de simuler une
liaison ethernet sur un lien IP quelconque
https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP
Puisque si j'ai bien compris, il n'y a pas forcément 2 LAN à isoler l'un
de l'autre ou à contrôler l'accès de l'un à
tu défini les règles que tu souhaites entre ton LAN perso et le LAN
public.
Mathieu
-Message d'origine-
De : frnog-requ...@frnog.org De la part de Julien
Issler
Envoyé : mardi 17 août 2021 19:05
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet
Hello,
> +1 sur le MACSec si ton switch le permet. Sur du Cat9200 tu peux faire
> du MACSec, mais ca te fait un x5 à x10 en budget ;)
Et en budget électricité...
> Le chiffrement IPSec sinon. Mais tu as déjà quoté le prix ;)
Autrement en "pas" cher il y les Edge Router X qui permettent de
+1 sur le MACSec si ton switch le permet. Sur du Cat9200 tu peux faire
du MACSec, mais ca te fait un x5 à x10 en budget ;)
Le chiffrement IPSec sinon. Mais tu as déjà quoté le prix ;)
Le 17-08-2021 19:35, Gregory CAUCHIE a écrit :
Thales (ex SAFEnet) propose ce genre de boîtier, mais le prix
Thales (ex SAFEnet) propose ce genre de boîtier, mais le prix sera surement
trop élevé vu que la perf permet de monter à très haut débit (quasi-)sans
introduction de latence.
Autrement, pas possible de faire du MACsec entre tes switch ?
--
Grégory
> On 17 Aug 2021, at 19:13, Benoit Chesneau
hrm pq ne pas mettre a un bout un simple proxy https et connecter les clients
en https dessus? la connection seraient ainsi chiffrée de bout en bout. avec un
boitier mikrotik a un bout. sinon deux boitiers mikrotik hex ou plus et un
tunnel?
Benoît Chesneau, Enki Multimedia
On Tue, Aug 17,
> Aurélien Rouzaud a écrit :
> Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre
> qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe
> ?
Ou de faire du 802.1x
Michel.
---
Liste de diffusion du FRnOG
Bonsoir,
2 petits mikrotik pour faire de l'EoIP ou du VPN plus traditionnel ?
Dans les 60-70€HT le boîtier
Et sinon, plus faible, mais un simple VLAN dans la partie publique ?
Julien
Le 17/08/2021 à 18:43, Aurélien Rouzaud a écrit :
Bonjour,
Plutôt que de mettre deux boitiers, ce n'est
Bonjour,
Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en
mettre qu'un et un client VPN sur toutes les stations qui seront sur le LAN
non safe ?
Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN sur
le port en question.
Cordialement
Aurélien
Le mar. 17
Bonjour la liste,
J'aurais besoin de relier au réseau LAN un petit local un peu
excentré des autres locaux de l'immeuble.
Problème : je dois passer par les parties communes de l'immeuble
pour les relier...
Les besoins de débit sont très faibles (du web sur 4/5
26 matches
Mail list logo
