RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
> Jérôme Nicolle a écrit : > Très mauvaise idée. Il peut y avoir un différentiel de masse (terre) > entre les deux locaux, donc un courant de fuite au travers du câble. Et ça arrive plus souvent qu'on ne le croit, même à l'intérieur d'un seul immeuble. Ceci étant dit, avec Ethernet, il suffit souvent de ne pas mettre de câble blindé. Sur un câble "normal" avec de l'Ethernet "normal", 4 paires sans masse supplémentaires, toutes les paires sont isolées électriquement (opto-électriquement, possiblement) donc pas de risque de courant de fuite au travers du câble, vu qu'il n'y a pas de masse. Avec du POE passif (ou injecteur passif) il faut se méfier, car dans ce cas effectivement on risque d'avoir un ou deux des câbles qui sont électriquement connectés à la masse, donc risque de courant de fuite. Avec du POE actif je suis pas trop sur de la situation. Comme le courant passe sur les mêmes paires que les données, en théorie ça devrait être isolé mais en pratique à vérifier. Comme je l'ai écrit précédemment, la fibre c'est plus propre, si on n'en est pas au point de faire des économies de bout de chandelle. > Aurélien Rouzaud a écrit : > Effectivement c'est le cas par exemple lors du passage d'un câble cuivre > entre deux bâtiments mais si tout > est dans le même immeuble avec une seule prise de terre commune, je ne pense > pas que ça pose de problème. J'ai déjà vu le cas. Les circuits électriques installés par un bachibouzouk, il y en a plus qu'on le croit. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Bonjour, Effectivement c'est le cas par exemple lors du passage d'un câble cuivre entre deux bâtiments mais si tout est dans le même immeuble avec une seule prise de terre commune, je ne pense pas que ça pose de problème. Cordialement, Aurélien Le jeu. 26 août 2021 à 12:31, Jérôme Nicolle a écrit : > Claude, > > Le 17/08/2021 à 18:37, DUVERGIER Claude a écrit : > > donc un simple câble RJ45 suffira > > Très mauvaise idée. Il peut y avoir un différentiel de masse (terre) > entre les deux locaux, donc un courant de fuite au travers du câble. > > Il faut faire l'interco en fibre si tu ne veux pas avoir à traiter de > problème potentiel. Prends un breakout pré connéctorisé chez FS.com ou > un fournisseur local pour ça. > > Pour ça, je mettrai un Mikrotik RB4011iGS+RM de chaque côté et un tunnel > EOIP chifré sur le lien 10G entre les deux. Voire RB4011iGS+5HacQ2HnD-IN > pour le WiFi en CapsMAN entre les deux. > > Remarque, je dis RB4011 mais ils en ont sorti un autre qui a l'air drôle > : le RB5009UG+S+IN. À tester mais il a l'air de tenir le Gbps de > chiffrement sans soucis. > > En terme de conf, pour aller au plus simple, tu fais un /30 d'interco > underlay entre les deux et tu montes l'EoIP de chaque côté comme > bridge-member des ports RJ et du WiFi. > > @+ > > -- > Jérôme Nicolle > +33 6 19 31 27 14 > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Claude, Le 17/08/2021 à 18:37, DUVERGIER Claude a écrit : donc un simple câble RJ45 suffira Très mauvaise idée. Il peut y avoir un différentiel de masse (terre) entre les deux locaux, donc un courant de fuite au travers du câble. Il faut faire l'interco en fibre si tu ne veux pas avoir à traiter de problème potentiel. Prends un breakout pré connéctorisé chez FS.com ou un fournisseur local pour ça. Pour ça, je mettrai un Mikrotik RB4011iGS+RM de chaque côté et un tunnel EOIP chifré sur le lien 10G entre les deux. Voire RB4011iGS+5HacQ2HnD-IN pour le WiFi en CapsMAN entre les deux. Remarque, je dis RB4011 mais ils en ont sorti un autre qui a l'air drôle : le RB5009UG+S+IN. À tester mais il a l'air de tenir le Gbps de chiffrement sans soucis. En terme de conf, pour aller au plus simple, tu fais un /30 d'interco underlay entre les deux et tu montes l'EoIP de chaque côté comme bridge-member des ports RJ et du WiFi. @+ -- Jérôme Nicolle +33 6 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Hello all, Heureusement, l'ANSSI a publié hier la qualification CSPN de Kakoma, qui permet de sécuriser des liens fibre, jusqu'à 10Gb : https://www.ssi.gouv.fr/administration/certification_cspn/kakoma-kakoma-10g-0m1-rev-01-version-du-logiciel-java-code-software-version-s6-4-100/ Lire la cible de sécurité pour avoir plus d'infos sur le fonctionnement du produit :) Le mer. 18 août 2021, 18:06, ic a écrit : > io, > > > On 18 Aug 2021, at 17:33, Michel Py via frnog wrote: > > > > Les suggestions dans le fil sont bonnes, j'ajouterai que mettre de la > fibre au lieu du cuivre ça complique la vie de l'attaquant, il faut du > matériel plus sophistiqué pour sniffer. > > Pas vraiment… c’est même beaucoup plus facile de poser un tap (y compris > temporaire) sur une fibre sans perturber son fonctionnement (google: > optical clip-on coupler). > > ++ ic > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
> > Pas vraiment… c’est même beaucoup plus facile de poser un tap (y compris > temporaire) sur une fibre sans perturber son fonctionnement (google: optical > clip-on coupler). > > ++ ic > Allez j’ajoute une petite vidéo de démo : https://www.youtube.com/watch?v=2HlL7t79HDc - Comme dirait l’autre, c’est bluffant. ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
io, > On 18 Aug 2021, at 17:33, Michel Py via frnog wrote: > > Les suggestions dans le fil sont bonnes, j'ajouterai que mettre de la fibre > au lieu du cuivre ça complique la vie de l'attaquant, il faut du matériel > plus sophistiqué pour sniffer. Pas vraiment… c’est même beaucoup plus facile de poser un tap (y compris temporaire) sur une fibre sans perturber son fonctionnement (google: optical clip-on coupler). ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
> Claude DUVERGIER a écrit : > Je ne connais pas assez le 802.1x mais j'avais l'impression que ça ne > s'occupait que de l'authentification, > le trafic restait en clair, enfin : "tel quel". Même si on utilise que des > protocoles chiffrés (HTTPS, SSH, > LDAPS, IMAPS, SMTPS) sur le LAN, les meta-données révèleraient quelques infos > à un éventuel "espion" non ? Dans ce cas de figure, ça ne marche pas; j'avais lu le scénario de travers. Certes, mais il faut savoir contre qui on veut se protéger. Gougleu et fessebouc ils ont déjà les métadonnées, et si c'est la DGSE qui arrive et pose un tap sur le câble ils vont probablement avoir les données qu'ils veulent aussi. Les suggestions dans le fil sont bonnes, j'ajouterai que mettre de la fibre au lieu du cuivre ça complique la vie de l'attaquant, il faut du matériel plus sophistiqué pour sniffer. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
> On 18 Aug 2021, at 09:32, Xavier Beaudouin via frnog wrote: > > Autrement en "pas" cher il y les Edge Router X qui permettent de faire de > l'IPSec et ... transformer un certain nombre de ports en mode switch. > C'est pas cher... et accessoirement ça peux aussi être allumé en POE... > Pratique pour faire on / off en cas de plantage de l’IPsec… +1000 pour les ER-X… ++ ic --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Je te conseille ce modèle qui dépote bien, puce arm, wifi intégré, ipsec hardware, etc... https://mikrotik.com/product/hap_ac2 (environ 60€) Le 18/08/2021 à 11:31, DUVERGIER Claude a écrit : C'est bien ça : un seul LAN "répartit" sur 2 zones physiques "non mitoyennes". Merci pour la suggestion (ainsi qu'à Benoit C. qui suggère le Mikrotik hEx), vu le prix des hEx (~110€ la paire livrée) je doute trouver une paire de boîtiers dédié pour moins cher. Je pense que je vais partir là dessus ;) Et au moins les Mikrotik hEx pourront servir à autre chose si jamais le besoin change/évolue :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Salut la liste, Pour avoir fait des études et des implementations sur le sujets très récemment: Pour faire du chiffrement au plus proche du L2 et permettre du LAN étendu tu as les grandes familles de produit: - Les produits de networking divers et variés qui implementent MACSec et plus particulièrement le standard 802.1AEcg-2017 (ConnectGuard, ADVA, très longue liste) - Les produits avec protocoles plus ou moins propriétaires, qui peuvent être classés en plusieurs Gammes: - Les Dérivées de ATMEDIA (éditeur ATMEDIA, SECUNET, THALES LEGACY, SECUROSYS) - Rohde & Schwarz - Senetas (Editeurs SENETAS, THALES Gamme Gemalto/SAFENET, IDQuantique) - ATOS - CertesNetworks - ... Le prix des différents produits va essentiellement dépendre du débit souhaité, de la capacité à faire du Low Latency et des capacités de Redondance/Clustering/passthrough en cas de défaut matériel. Il y a cette etude qui est un peux vielle (2017) mais disponible librement sur internet :http:// www.uebermeister.com/files/inside-it/2017_market_overview_Ethernet_encryptors_for_Metro_and_Carrier_Ethernet.pdf Bonne chance dans ta recherche Cordialement, Mickaël Le mer. 18 août 2021 à 11:39, DUVERGIER Claude a écrit : > Je ne connais pas assez le 802.1x mais j'avais l'impression que ça ne > s'occupait que de l'authentification, le trafic restait en clair, enfin : > "tel quel". > > Même si on utilise que des protocoles chiffrés (HTTPS, SSH, LDAPS, IMAPS, > SMTPS) sur le LAN, les meta-données révèleraient quelques infos à un > éventuel "espion" non ? > > > -- > DUVERGIER Claude > > Le 17/08/2021 à 19:07, Michel Py a écrit : > > Aurélien Rouzaud a écrit : > Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre > qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe > ? > > Ou de faire du 802.1x > > Michel. > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Je ne connais pas assez le 802.1x mais j'avais l'impression que ça ne s'occupait que de l'authentification, le trafic restait en clair, enfin : "tel quel". Même si on utilise que des protocoles chiffrés (HTTPS, SSH, LDAPS, IMAPS, SMTPS) sur le LAN, les meta-données révèleraient quelques infos à un éventuel "espion" non ? -- DUVERGIER Claude Le 17/08/2021 à 19:07, Michel Py a écrit : Aurélien Rouzaud a écrit : Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe ? Ou de faire du 802.1x Michel.
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
C'est bien ça : un seul LAN "répartit" sur 2 zones physiques "non mitoyennes". Merci pour la suggestion (ainsi qu'à Benoit C. qui suggère le Mikrotik hEx), vu le prix des hEx (~110€ la paire livrée) je doute trouver une paire de boîtiers dédié pour moins cher. Je pense que je vais partir là dessus ;) Et au moins les Mikrotik hEx pourront servir à autre chose si jamais le besoin change/évolue :) -- DUVERGIER Claude Le 18/08/2021 à 10:20, Julien Issler a écrit : Bonjour, C'est pour ça que je pensais à de l'EoIP qui permet de simuler une liaison ethernet sur un lien IP quelconque https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP Puisque si j'ai bien compris, il n'y a pas forcément 2 LAN à isoler l'un de l'autre ou à contrôler l'accès de l'un à l'autre. Si c'est le même LAN, c'est peut-être encore mieux. En gros, le RJ45 dans la partie commune (ou un pont wifi, ou autre) est considéré comme publique/non sécurisé et relie juste les 2 mikrotik. On peut sécuriser encore un peu en mettant cette liaison publique dans un vlan (il faudra dans ce cas que le malotru coupe le câble, intercale son équipement, écoute le bon vlan, tout ça pour ne voir que l'enveloppe du tunnel). Et le tunnel ethernet par dessus. C'est aussi possible de faire de l'IPSec, du wireguard, etc... entre les 2 équipements, mais j'aime bien l'idée de l'EoIP simple qui simule un câble réseau. 2 petits Mikrotik (j'aime bien les HapAC² qui sont à la fois performants et bien dotés en ports/wifi) à 50€ pièce devraient faire le job. Julien Le 18/08/2021 à 10:01, Sebastien Lesimple a écrit : VLAN/access list IP-MAC déjà pour la segmentation de base. Sinon VLAN et 802.1x qui devrait déjà être le standard pour tous le monde. Après tu veux chiffrer le publique, prends une paire de Mikrotik ça fera le job. Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Je préfère éviter d'avoir à mettre en place cette configuration spécifique, surtout que les occupant du local ne sont pas dédié : il faudrait que je "configure" tout ça sur tous les postes (et forme tout le monde). -- DUVERGIER Claude Le 17/08/2021 à 18:43, Aurélien Rouzaud a écrit : Bonjour, Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe ? Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN sur le port en question. Cordialement Aurélien Le mar. 17 août 2021 à 18:39, DUVERGIER Claudea écrit : Bonjour la liste, J'aurais besoin de relier au réseau LAN un petit local un peu excentré des autres locaux de l'immeuble. Problème : je dois passer par les parties communes de l'immeuble pour les relier... Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de "ma propriété" n'est pas une option. Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour assurer un chiffrement des communications qui y transite. La solution basique mais qui nécessite de la maintenance : 2x mini ordis avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via IPSec, OpenVPN, etc.) pour faire routeur entre les 2. Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je trouve des ordis plus simples et/ou de récup'. Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble cat 7. Là par contre le coût baisse trs fortement. Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour moins cher... Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf Mais le produit ne semble plus en vente... Bref : auriez-vous un produit magique similaire en tête ? Merci -- DUVERGIER Claude
Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Le 18/08/2021 à 10:45, Nicolas Vuillermet a écrit : Sans s'y connecter ça me semble un peu compliqué.. Il faudrait pouvoir discriminer la modulation des deux paires RX et deux paires TX à proximité du câble, être synchro, démoduler... En sachant qu'il y peut y avoir un blindage sur le câble... peut-être un film de SF, sinon, ça me semble quand même pas mal compliqué (impossible). C'est ce que je pensais mais sait-on jamais Par contre, ouvrir le câble au cutter, dégainer les 4 paires, souder un "départ pirate", comme le fait un hub, et l'envoyer vers un port en écoute passive, ça me semble du domaine du possible. Il faut juste trouver l'ordre des paires (tu peux avec un analyseur logique retrouver les paires différentielles entres-elles, ou tester A / B dans un premier temps si la norme de câblage/couleur a été respectée) D'où l'idée de l'aléatoire dans la position des fils, suivant le risque qu'évalue Claude par rapport à sa question initiale, ça peut être une réponse possible et simple qui ne nécessite aucun équipement supplémentaire, juste de refaire les 2 connecteurs. Ma question, travailles-tu pour les services secrets ? Je ne peux ni confirmer ni infirmer bla bla... je vous laisse, des hommes en noir sonnent à ma porte ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Hello, Sans s'y connecter ça me semble un peu compliqué.. Il faudrait pouvoir discriminer la modulation des deux paires RX et deux paires TX à proximité du câble, être synchro, démoduler... En sachant qu'il y peut y avoir un blindage sur le câble... peut-être un film de SF, sinon, ça me semble quand même pas mal compliqué (impossible). Par contre, ouvrir le câble au cutter, dégainer les 4 paires, souder un "départ pirate", comme le fait un hub, et l'envoyer vers un port en écoute passive, ça me semble du domaine du possible. Il faut juste trouver l'ordre des paires (tu peux avec un analyseur logique retrouver les paires différentielles entres-elles, ou tester A / B dans un premier temps si la norme de câblage/couleur a été respectée) Dans ce cas là, l'impédance changerait brutalement, mais le temps de la manip la liaison n'est pas censée partir sauf si la ligne est déjà à la limite de la distance max... Donc de part et d'autres, Bob et Alice ne remarqueront pas la présence de Eve... Ma question, travailles-tu pour les services secrets ? Nicolas Le 18/08/2021 à 10:35, Julien Issler a écrit : Pardon pour la digression, mais je me pose une question en relation malgré tout : est-il possible d'écouter le trafic réseau transitant sur un câble sans se connecter physiquement sur ce câble ? Car si ce n'est pas possible, est-ce totalement débile de câbler le RJ45 de la partie commune/publique en utilisant des positions aléatoires pour les 8 fils ? Le temps que le tiers câble dans la bonne position... N'hésitez pas si j'écris une grosse énormité ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Pardon pour la digression, mais je me pose une question en relation malgré tout : est-il possible d'écouter le trafic réseau transitant sur un câble sans se connecter physiquement sur ce câble ? Car si ce n'est pas possible, est-ce totalement débile de câbler le RJ45 de la partie commune/publique en utilisant des positions aléatoires pour les 8 fils ? Le temps que le tiers câble dans la bonne position... N'hésitez pas si j'écris une grosse énormité ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [External] RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Bonjour, C'est pour ça que je pensais à de l'EoIP qui permet de simuler une liaison ethernet sur un lien IP quelconque https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP Puisque si j'ai bien compris, il n'y a pas forcément 2 LAN à isoler l'un de l'autre ou à contrôler l'accès de l'un à l'autre. Si c'est le même LAN, c'est peut-être encore mieux. En gros, le RJ45 dans la partie commune (ou un pont wifi, ou autre) est considéré comme publique/non sécurisé et relie juste les 2 mikrotik. On peut sécuriser encore un peu en mettant cette liaison publique dans un vlan (il faudra dans ce cas que le malotru coupe le câble, intercale son équipement, écoute le bon vlan, tout ça pour ne voir que l'enveloppe du tunnel). Et le tunnel ethernet par dessus. C'est aussi possible de faire de l'IPSec, du wireguard, etc... entre les 2 équipements, mais j'aime bien l'idée de l'EoIP simple qui simule un câble réseau. 2 petits Mikrotik (j'aime bien les HapAC² qui sont à la fois performants et bien dotés en ports/wifi) à 50€ pièce devraient faire le job. Julien Le 18/08/2021 à 10:01, Sebastien Lesimple a écrit : VLAN/access list IP-MAC déjà pour la segmentation de base. Sinon VLAN et 802.1x qui devrait déjà être le standard pour tous le monde. Après tu veux chiffrer le publique, prends une paire de Mikrotik ça fera le job. Seb. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Bonjour, >> 2 petits mikrotik pour faire de l'EoIP ou du VPN plus traditionnel ? >> Dans les 60-70€HT le boîtier >> >> Et sinon, plus faible, mais un simple VLAN dans la partie publique ? +1000 C'est ce que j'ai fait au bureau : 2 LAN distincts (LAN 1 privé, LAN 2 public/atelier) définis via mon routeur (Fortinet mais un microtik fera le job sans sourciller) et gérés par des VLAN sur mon switch. Après si t'as pas besoin de grosse infra, tu laisses tombé le switch et donc les VLANs, et tu raccorde directement ton local sur le LAN 2 du routeur via Ethernet et tu défini les règles que tu souhaites entre ton LAN perso et le LAN public. Mathieu -Message d'origine- De : frnog-requ...@frnog.org De la part de Julien Issler Envoyé : mardi 17 août 2021 19:05 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable Bonsoir, 2 petits mikrotik pour faire de l'EoIP ou du VPN plus traditionnel ? Dans les 60-70€HT le boîtier Et sinon, plus faible, mais un simple VLAN dans la partie publique ? Julien Le 17/08/2021 à 18:43, Aurélien Rouzaud a écrit : > Bonjour, > > Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en > mettre qu'un et un client VPN sur toutes les stations qui seront sur > le LAN non safe ? > Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN > sur le port en question. > > Cordialement > > Aurélien > > Le mar. 17 août 2021 à 18:39, DUVERGIER Claude > a écrit : > >> Bonjour la liste, >> >> J'aurais besoin de relier au réseau LAN un petit local un peu >> excentré des autres locaux de l'immeuble. >> Problème : je dois passer par les parties communes de l'immeuble pour >> les relier... >> >> Les besoins de débit sont très faibles (du web sur 4/5 stations de >> travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui >> sort, en clair, de "ma propriété" n'est pas une option. >> >> Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour >> assurer un chiffrement des communications qui y transite. >> >> La solution basique mais qui nécessite de la maintenance : 2x mini >> ordis avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le >> trafic (via IPSec, OpenVPN, etc.) pour faire routeur entre les 2. >> >> Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si >> je trouve des ordis plus simples et/ou de récup'. >> >> Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui >> offre son chiffrement, mais c'est quand même ballot d'utiliser le >> 802.11 juste pour sa capacité à chiffrer alors que j'ai la >> possibilité de tirer un câble cat 7. Là par contre le coût baisse trs >> fortement. >> >> Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, >> pour moins cher... >> >> Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" >> de CXR Anderson Jacobson : >> https://www.cxr.com/documents/brochures/ip_door.pdf >> Mais le produit ne semble plus en vente... >> >> Bref : auriez-vous un produit magique similaire en tête ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Hello, > +1 sur le MACSec si ton switch le permet. Sur du Cat9200 tu peux faire > du MACSec, mais ca te fait un x5 à x10 en budget ;) Et en budget électricité... > Le chiffrement IPSec sinon. Mais tu as déjà quoté le prix ;) Autrement en "pas" cher il y les Edge Router X qui permettent de faire de l'IPSec et ... transformer un certain nombre de ports en mode switch. C'est pas cher... et accessoirement ça peux aussi être allumé en POE... Pratique pour faire on / off en cas de plantage de l'IPsec... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
+1 sur le MACSec si ton switch le permet. Sur du Cat9200 tu peux faire du MACSec, mais ca te fait un x5 à x10 en budget ;) Le chiffrement IPSec sinon. Mais tu as déjà quoté le prix ;) Le 17-08-2021 19:35, Gregory CAUCHIE a écrit : Thales (ex SAFEnet) propose ce genre de boîtier, mais le prix sera surement trop élevé vu que la perf permet de monter à très haut débit (quasi-)sans introduction de latence. Autrement, pas possible de faire du MACsec entre tes switch ? -- Grégory On 17 Aug 2021, at 19:13, Benoit Chesneau wrote: hrm pq ne pas mettre a un bout un simple proxy https et connecter les clients en https dessus? la connection seraient ainsi chiffrée de bout en bout. avec un boitier mikrotik a un bout. sinon deux boitiers mikrotik hex ou plus et un tunnel? Benoît Chesneau, Enki Multimedia On Tue, Aug 17, 2021 at 18:37, DUVERGIER Claude wrote: Bonjour la liste, J'aurais besoin de relier au réseau LAN un petit local un peu excentré des autres locaux de l'immeuble. Problème : je dois passer par les parties communes de l'immeuble pour les relier... Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de "ma propriété" n'est pas une option. Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour assurer un chiffrement des communications qui y transite. La solution basique mais qui nécessite de la maintenance : 2x mini ordis avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via IPSec, OpenVPN, etc.) pour faire routeur entre les 2. Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je trouve des ordis plus simples et/ou de récup'. Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble cat 7. Là par contre le coût baisse trs fortement. Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour moins cher... Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf Mais le produit ne semble plus en vente... Bref : auriez-vous un produit magique similaire en tête ? Merci -- DUVERGIER Claude --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Fabien VINCENT _@beufanet_ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Thales (ex SAFEnet) propose ce genre de boîtier, mais le prix sera surement trop élevé vu que la perf permet de monter à très haut débit (quasi-)sans introduction de latence. Autrement, pas possible de faire du MACsec entre tes switch ? -- Grégory > On 17 Aug 2021, at 19:13, Benoit Chesneau wrote: > > hrm pq ne pas mettre a un bout un simple proxy https et connecter les clients > en https dessus? la connection seraient ainsi chiffrée de bout en bout. avec > un boitier mikrotik a un bout. sinon deux boitiers mikrotik hex ou plus et un > tunnel? > > Benoît Chesneau, Enki Multimedia > > On Tue, Aug 17, 2021 at 18:37, DUVERGIER Claude > wrote: > >> Bonjour la liste, >> >> J'aurais besoin de relier au réseau LAN un petit local un peu excentré des >> autres locaux de l'immeuble. >> Problème : je dois passer par les parties communes de l'immeuble pour les >> relier... >> >> Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) >> donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de >> "ma propriété" n'est pas une option. >> >> Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour >> assurer un chiffrement des communications qui y transite. >> >> La solution basique mais qui nécessite de la maintenance : 2x mini ordis >> avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via >> IPSec, OpenVPN, etc.) pour faire routeur entre les 2. >> >> Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je >> trouve des ordis plus simples et/ou de récup'. >> >> Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre >> son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste >> pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble >> cat 7. Là par contre le coût baisse trs fortement. >> >> Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour >> moins cher... >> >> Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR >> Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf >> Mais le produit ne semble plus en vente... >> >> Bref : auriez-vous un produit magique similaire en tête ? >> >> Merci >> >> -- >> DUVERGIER Claude > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
hrm pq ne pas mettre a un bout un simple proxy https et connecter les clients en https dessus? la connection seraient ainsi chiffrée de bout en bout. avec un boitier mikrotik a un bout. sinon deux boitiers mikrotik hex ou plus et un tunnel? Benoît Chesneau, Enki Multimedia On Tue, Aug 17, 2021 at 18:37, DUVERGIER Claude wrote: > Bonjour la liste, > > J'aurais besoin de relier au réseau LAN un petit local un peu excentré des > autres locaux de l'immeuble. > Problème : je dois passer par les parties communes de l'immeuble pour les > relier... > > Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) > donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de > "ma propriété" n'est pas une option. > > Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour assurer > un chiffrement des communications qui y transite. > > La solution basique mais qui nécessite de la maintenance : 2x mini ordis avec > 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via IPSec, > OpenVPN, etc.) pour faire routeur entre les 2. > > Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je > trouve des ordis plus simples et/ou de récup'. > > Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre > son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste pour > sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble cat 7. > Là par contre le coût baisse trs fortement. > > Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour > moins cher... > > Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR > Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf > Mais le produit ne semble plus en vente... > > Bref : auriez-vous un produit magique similaire en tête ? > > Merci > > -- > DUVERGIER Claude --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
> Aurélien Rouzaud a écrit : > Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre > qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe > ? Ou de faire du 802.1x Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Bonsoir, 2 petits mikrotik pour faire de l'EoIP ou du VPN plus traditionnel ? Dans les 60-70€HT le boîtier Et sinon, plus faible, mais un simple VLAN dans la partie publique ? Julien Le 17/08/2021 à 18:43, Aurélien Rouzaud a écrit : Bonjour, Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe ? Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN sur le port en question. Cordialement Aurélien Le mar. 17 août 2021 à 18:39, DUVERGIER Claude a écrit : Bonjour la liste, J'aurais besoin de relier au réseau LAN un petit local un peu excentré des autres locaux de l'immeuble. Problème : je dois passer par les parties communes de l'immeuble pour les relier... Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de "ma propriété" n'est pas une option. Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour assurer un chiffrement des communications qui y transite. La solution basique mais qui nécessite de la maintenance : 2x mini ordis avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via IPSec, OpenVPN, etc.) pour faire routeur entre les 2. Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je trouve des ordis plus simples et/ou de récup'. Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble cat 7. Là par contre le coût baisse trs fortement. Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour moins cher... Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf Mais le produit ne semble plus en vente... Bref : auriez-vous un produit magique similaire en tête ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Bonjour, Plutôt que de mettre deux boitiers, ce n'est pas envisageable de n'en mettre qu'un et un client VPN sur toutes les stations qui seront sur le LAN non safe ? Avec bien sûr une règle de firewalling qui n'autorise que le flux VPN sur le port en question. Cordialement Aurélien Le mar. 17 août 2021 à 18:39, DUVERGIER Claude a écrit : > Bonjour la liste, > > J'aurais besoin de relier au réseau LAN un petit local un peu excentré des > autres locaux de l'immeuble. > Problème : je dois passer par les parties communes de l'immeuble pour les > relier... > > Les besoins de débit sont très faibles (du web sur 4/5 stations de > travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en > clair, de "ma propriété" n'est pas une option. > > Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour > assurer un chiffrement des communications qui y transite. > > La solution basique mais qui nécessite de la maintenance : 2x mini ordis > avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via > IPSec, OpenVPN, etc.) pour faire routeur entre les 2. > > Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je > trouve des ordis plus simples et/ou de récup'. > > Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui > offre son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 > juste pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un > câble cat 7. Là par contre le coût baisse trs fortement. > > Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour > moins cher... > > Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR > Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf > Mais le produit ne semble plus en vente... > > Bref : auriez-vous un produit magique similaire en tête ? > > Merci > > -- > DUVERGIER Claude > > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Boîtiers de chiffrement sur câble Ethernet passant par milieu non fiable
Bonjour la liste, J'aurais besoin de relier au réseau LAN un petit local un peu excentré des autres locaux de l'immeuble. Problème : je dois passer par les parties communes de l'immeuble pour les relier... Les besoins de débit sont très faibles (du web sur 4/5 stations de travail) donc un simple câble RJ45 suffira, mais avoir mon LAN qui sort, en clair, de "ma propriété" n'est pas une option. Je cherche donc 2 boîtiers à placer de part et d'autres du câble pour assurer un chiffrement des communications qui y transite. La solution basique mais qui nécessite de la maintenance : 2x mini ordis avec 2 port Ethernet + du OPNsense qui chiffre/déchiffre le trafic (via IPSec, OpenVPN, etc.) pour faire routeur entre les 2. Ça représente environ 560€ avec des APU2E0 de PC Engines, et moins si je trouve des ordis plus simples et/ou de récup'. Sinon je fais un pont WiFi (via. 2 bornes Ubiquiti par exempe)... qui offre son chiffrement, mais c'est quand même ballot d'utiliser le 802.11 juste pour sa capacité à chiffrer alors que j'ai la possibilité de tirer un câble cat 7. Là par contre le coût baisse trs fortement. Mais je me dit que ça doit bien exister en boîtier tout fait/dédié, pour moins cher... Le plus proche que j'ai trouvé via mon Google-fu c'est ce "IP-DOOR" de CXR Anderson Jacobson : https://www.cxr.com/documents/brochures/ip_door.pdf Mais le produit ne semble plus en vente... Bref : auriez-vous un produit magique similaire en tête ? Merci -- DUVERGIER Claude