Задача: Создать сегмент ethernet-сети, данные в котором недоступны для посторонних, без применения специализированных железок и серверов.

Идея: Шифровать содержимое ethernet-пакетов.  

Предполагаемый способ решения: Виртуальный tap-адаптер (аналогичный применяемому в openvpn), который шифрует каждый исходящий пакет, передавая уже зашифрованным на реальную сетевуху. А поступающие с реальной сетевухи - расшифровывает и передает на сетевой интерфейс tap-адаптера, на котором привязаны нужные протоколы. Вроде реализация несложная по идее.

Существуют ли готовые решения такого рода под windows и linux?

По сути, хотелось бы что-то типа WPA, только не завязанное жестко на беспроводку..

VPN ?

(2) VPN поддерживает идеологию точка-точка. А требуется шифрование для "общей шины".

IPSec

(0) Вы занимаетесь разработкой боевых блоков "Тополя"? Или просто таблетки от паранойи закончились?

(5) ты не хочешь завязываться на железо, а на что тогда? на программное решение?

(9) Мне известны (зачёркнуто) существуют заказчики, которым это нужно.

(7) Неправда ваша. 1 централизованный сервер и несколько точек.

(8) +100
(0) всё уже изобретено до вас

Да, существует.

Работоспособен под любым приложением поверх стандартного протокола TCP/IP. Путём настройки может быть сконфигурирован под работу в рамках UDP.

(11) отсыпьте?

А чё автор темы спросить-то хотел?

У интела кстати есть сетевушки которые поддерживают IPSec аппаратно.
Иначе придется ставить на каждом компьютере сети программное решение.

(12) +

(7) ты оправдываешь свой ник

(8) (13)
Название IPSec говорит само за себя - это IP. А в общем случае по эзернету могут идти не только IP-пакеты.
(19) Ну точка-многоточка.. это несущественно. В этом случае нужен сервер. Хотелось бы децентрализованное решение.

(20) Мой ник был выбран сознательно для провокации всяких дебилов :-P

(21) смысл " Шифровать содержимое ethernet-пакетов" ?
Шифруй трафик - http://www.tinc-vpn.org/ посмотри.

(22) Смысл в том, чтобы создать защищенный сегмент в незащищенной сети, без применения выделенных серверов. То есть, шифруется всё содержимое езернет-пакета, кроме MAC-заголовка. Владеющие ключом хосты увидят только свой трафик, таким образом трафик можно разделять по ключу. Получается что-то вроде vlanов, но защищенных.

Решения openvpn, tinc - не предназначены для шифрования трафика "общей шины", они все ориентированы на туннели. ipsec более-менее близок к сути, но он защищает сетевой уровень, а не канальный.

это все устарело, сейчас используют новые методы шифрования
http://www.rbcdaily.ru/2012/05/17/cnews/562949983855959

(25) Это очень интересно, но к шифрованию трафика отношения не имеет :)

(24) Ты вообще представляешь сколько пакетов летает на канальном уровне, особенно при TCP/IP соединении? На обычном железе софтовое решение будет крепко тупить - реализовать можно только на спец. железе.

http://market.yandex.ru/model-spec.xml?modelid=848804&hid=91095

(27) Да я допускаю что будет некоторое замедление. Но вряд ли значительное. Мощностей современных процессоров, вполне хватит на шифрование в реальном времени 100-мегабитного трафика. А с аппаратной поддержкой AES - и гигабит потянет, я думаю..

(29)Ну дешевле поставить карточки типа (28) чем обеспечить на всех компьютерах поддержку аппаратного АES.
Насколько я помню из десктопных процессоров аппаратно AES держат не ниже core i5

lo тоже шифровать?

(30) На моем i5 алгоритм AES шифрует полтора гигабайта данных в секунду с включенной аппаратной поддержкой. Без аппаратной поддержки 260 мегабайт в секунду. Это по результатам бенчмарка. В обоих случаях этого достаточно для шифрования гигабитного потока, просто с аппаратной поддержкой останется больше свободных ресурсов процессора на что-то другое.

(31) Вы сначала найдите на lo MAC-уровень :)

это не пойдет ?


Безопасность сети: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)

Этот параметр безопасности позволяет клиенту требовать согласование конфиденциальности (шифрования) сообщений, целостность сообщений, использование 128-разрядного шифрования или сеансовую безопасность на базе NTLMv2.  Эти значения зависят от значения параметра безопасности уровня проверки подлинности LAN Manager.

"Требовать целостность данных" - соединение не будет установлено, если не удалось согласовать требование целостности сообщений. Целостность сообщения может оцениваться анализом цифровой подписи сообщения. Подпись сообщения, удостоверяющая, что сообщение не подделано, реализуется путем включения криптографической подписи, идентифицирующей отправителя и являющейся числовым представлением содержимого сообщения. Эта подпись гарантирует неизменность исходного сообщения.

"Требовать конфиденциальность сообщения" - соединение будет разорвано, если не удастся согласовать требование шифрования. Путем шифрования данные преобразуются в форму, которая не позволяет прочесть их до тех пор, пока не выполнено дешифрование.

"Требовать сеансовую NTLMv2-безопасность" - соединение будет разорвано, если не удастся согласовать использование требование об использовании протокола NTLMv2.

"Требовать 128-разрядное шифрование" - соединение будет разорвано, если не удастся согласовать требование об использовании надежного (128-разрядного) шифрования.

По умолчанию: требования отсутствуют.

Важно!
Этот параметр может применяться на любом компьютере с операционной системой Windows 2000 путем внесения изменений в реестр, однако параметр не отображается набором средств управления настройкой безопасности.

(34) Я не понял, разве это имеет отношение к сетевому трафику в общем случае?

NTLM пакеты не шифрует, а kerberos да.

(36) Какие именно пакеты? Задача то состоит в шифровании любого трафика, а не только соединений с сервером.

(12) +1

(37) все же надо шифровать не сети, а отдельные протоколы. будь то HTTP, SMB. делать это можно разными методами. будь то HTTPS, Proxy и так далее. кстати с недавних пор гугл на https или уже давно? заметил только не давно.

походу только одно простое решение - впн, передача всего трафика только по впн

(21) >Хотелось бы децентрализованное решение

А зачем, объяснить сможешь? Это почти сводит на нет всю защиту.
Ключи распределять как будешь? Всем одинаковые? А менять регулярно? Один хост сломали и все, вся сеть считай открыта?

Все-таки ник, он неспроста...

(39)+ http://www.microsoft.com/ru-ru/server-cloud/windows-server/network-access-protection-nap.aspx

(40) Да, жаль. В общем, мне кажется, это была бы хорошая задачка для какого-нибудь дипломного проекта.. особенно если прикрутить еще динамическое изменение и децентрализованное распространение новых ключей, как писал (41). Вот тут огромное поле для полета фантазии :)

Вот на Wi-Fi подобное шифрование было с самого начала, а для проводного эзернета об этом почему-то не подумали.. Хотя подключиться к проводной сети немногим сложнее, чем к беспроводной. Воткнул в свободную розетку ноут и готово.

(44) и что готово? DHCP тебе выдаст адрес, а AD ограничит доступ. да и адрес можешь не получить, если это NAP.

(45) Речь не о доступе к ресурсам, а о прослушивании чужого трафика.

(46) И как прослушать чужой трафик, если сеть не на хабах? А хабы в принципе уже практически вымерли.

(47) Способы есть, коммутаторы можно зафлудить, переполнив их mac-таблицы, при этом они начинают работать в режиме хабов..

Если вычитал про канальный уровень, то почитай и про функции онного

(49) Я про всё это читал еще 15 лет назад. Вопрос в другом - почему шифрование эфирного эзернета - нормально, а шифрование проводного вы считаете ненужным?

Канальный кровно не занимается шифрованием. Технологии отстают друг от друга чуть ли не на полвека

кровно - уровень

(49) есть железки почти для сабжа, программного - нет и не может быть по определению.

кстати эти железки довольно дорогие, шифрованый поток организован ниже IP (то есть не использует IP адресов и пакетов)

(53)+

называются "2-уровня", канальный уровень еще ниже - 1

(44) Обо всем подумали, читай стандарт 802.1X.

(55) + в свойствах сетевого подключения покопайся.

ТС, если тебя не устраивает IPSec, тогда используй PPP over Ethernet с включенным шифрованием.

(57) Его все устраивает, он просто мечтает.

(54) Канальный это и есть второй уровень. Первый - физический. И своего рода шифрование возможно даже на нем.. называется "скремблирование"..

(58) Ага.. обломовствую :)

(51) "Канальный кровно не занимается шифрованием."
"Канальный уровень (англ. Data Link layer) — уровень сетевой модели OSI, предназначенный для передачи данных узлам находящимся в том же сегменте локальной сети."
Собственно формат передаваемых данных и структура пакета может быть весьма разнообразными. В том числе и с шифрованием, и с сжатием.

Кстати, адаптивная компрессия содержимого кадров тоже была бы не лишней.

заметим что пакеты в Ethernet передаются от одного хоста другому,за исключением широковещательных.
Адреса шифровать нельзя в принципе,а для обмена пакетами можно использовать общий ключ и просто встроить драйвер фильтра поверх Ethernet-а и всё будет прекрасно работать.
почему это не применяется - да потому,что эфир прослушать достаточно просто,а вот к проводам нужно ещё подключиться,что в случае с активными хабами достаточно просто обнаруживается.
да и кроме IP-пакетов в сети вы обнаружите только запросы arp и какие-то служебные данные.

и что мешает сделать много vpn-сетей,чтобы у каждых двух машин была своя сеть.

(11) Чушь. Серьезным заказчикам нужна сертификация. Им поделки по мистовским наводкам на хрен не нужны. А лохам это на фиг не нужная фича - психиатр вылечит паранойю.

Поверьте человеку, который знаком с вопросом не по статья на инетпомойках.

(64) Да не серьезным. Вот например какая-нибудь общажная локалка - вполне было бы полезная фича :)

По сути получится аналог vlan'ов, только лучше - потому что шифрованный. "Локалка внутри локалки".

(65) Тогда паранойя. Купи им таблетки.

ЗЫ - в армии эксплуатировал софтину, в которой был промежуточный слой между транспортным протоколом и уровнем приложений. Траффик закрывался криптозащитой. Глюкалово неимоверное :(

(63)
"почему это не применяется - да потому,что эфир прослушать достаточно просто,а вот к проводам нужно ещё подключиться,что в случае с активными хабами достаточно просто обнаруживается"
Мне думается, что в то время, когда это было актуально (коаксиальные сегменты, хабы), на шифрование и вообще на любую дополнительную обработку банально не было вычислительных ресурсов. Как только появились ресурсы - острота проблемы "общего эфира" снизилась с появлением коммутируемых сетей. Но тем не менее, придумали же vlan-сегментирование (по сути тот же ключ доступа, только "для честных")...

"что мешает сделать много vpn-сетей,чтобы у каждых двух машин была своя сеть"
Это громоздкое и сложное в плане расширения сети решение. С vpn-сервером решение красивее, но появляется единая точка отказа.