Propojeni 2 siti - citliva data (bezdrat+VPN)

[jimmy]

Ahoj, resime problem, jak propojit 2 site vzduchem co nejlevnejsim zpusobem, ale za podminek:

Podminky:
1] pripojeni vzduchem (5GHz) - pravdepodobne nejake Nanostation5 v rezimu BRIDGE
2] potecou velice citliva data, tzn. jak zabezpecit? VPNtunel - tzn nejake VPN routery?
3] cca 30-50 napojenych lidi (sit B)
4] ten spoj musi byt transparentni - tzn. co vleze na vstupu, musi vylezt na vystupu jako by to bylo propojeno kabelem

napadlo me neco takoveho

SIT_A->VPN_ROUTER->WIFI----"BRIDGE"----WIFI<-VPN_ROUTER<-SIT_B

A ted to nejdulezitejsi - NS5 nastavim do rezimu BRIDGE, takze tam bude transparentnost zajistena, ale jaky HW pouzit jako VPN routery? Koukal jsem na par kousku, vsude se hazi cislama kolik spojeni to zvladne, ale moudry z toho clovek moc neni... poradi nekdo?

Jedna se o pomerne citliva data, takze reseni pouze na bazi sifrovani WIFI spojeni je nemyslitelne, takze chceme komunikaci nejakym zpusobem jeste zabezpecit.

diky

[Fox!MURDER]

Ahoj, resime problem, jak propojit 2 site vzduchem co nejlevnejsim zpusobem, ale za podminek:

Podminky:
1] pripojeni vzduchem (5GHz) - pravdepodobne nejake Nanostation5 v rezimu BRIDGE
2] potecou velice citliva data, tzn. jak zabezpecit? VPNtunel - tzn nejake VPN routery?
3] cca 30-50 napojenych lidi (sit B)
4] ten spoj musi byt transparentni - tzn. co vleze na vstupu, musi vylezt na vystupu jako by to bylo propojeno kabelem

napadlo me neco takoveho

SIT_A->VPN_ROUTER->WIFI----"BRIDGE"----WIFI<-VPN_ROUTER<-SIT_B

A ted to nejdulezitejsi - NS5 nastavim do rezimu BRIDGE, takze tam bude transparentnost zajistena, ale jaky HW pouzit jako VPN routery? Koukal jsem na par kousku, vsude se hazi cislama kolik spojeni to zvladne, ale moudry z toho clovek moc neni... poradi nekdo?

Jedna se o pomerne citliva data, takze reseni pouze na bazi sifrovani WIFI spojeni je nemyslitelne, takze chceme komunikaci nejakym zpusobem jeste zabezpecit.

diky

jakou propustnost od toho ocekavas?
co tak nejakej vykonnejsi mikrotik? + http://wiki.mikrotik.com/wiki/OpenVPN
nepotreboval bys pak ty nanostationy a mohl to pripojit primo ...

[Petrik]

63 znakova nahodne vygenerovana passphrase nebo RADIUS server s WPA2+AES je pomerne hodne bezpecne reseni, ale samozrejme paranoie se meze nekladou a VPN jako dalsi zabezpeceni rozhodne neuskodi. Osobne bych pouzil mikrotik na routerboardu, umi vse, co potrebujes, vcetne VPN a OpenVPN a jeho 680MHz CPUcka toho utahnout docela dost.

[jimmy]

panove diky, zkusim popremyslet, hotove reseni "all in box" by prome bylo asi nejlepsim resenim (bastlit mikrotik do bedny, anteny atd. se mi moc nechce, proto ty nanostation + vpn). Data jsou opravdu velice citliva (statni organizace) nicmene reseni musi byt opravdu levne a bezpecne

Propustnost do 5mbitu (s veeeelkou rezervou)

Obema diky, pokud nekoho napadne jeste neco, budu rad za kazdy nazor...

Zkusim rozdat karmu, snad to pujde

[Fox!MURDER]

na 5Mbit by ti teoreticky melo stacit treba tohle ... je to levny, pripraveny (takze snad zadny bastleni) a vykon by mel bejt tak akorat ...
http://www.wifihw.cz/p515-b-gentlekl...24v-zdroj-poe/

(popr. nekdo jinej by moh vedet alternativu ....)

joooo a btw. jestli jsou ty data opravdu tak citlivy, tak bych je nikdy neposilal vzduchem ale to jen tak na okraj ...

[jimmy]

diky za dalsi tip... imho v dnesni dobe uz by problem s WiFi byt nemel (WPA2-AES + VPN). Pokud nekdo prolomi sifru WPA2-AES (coz se v dnesni dobe tusim jeste nikomu nepodarilo ani s WPA-AES), musel by jeste prolomit VPN tunel (coz teoreticky mozne je, pokud by prolomil login do Mikrotiku - predpokladam ze VPN pujde proti sobe pres nejaky certifikat, ke kteremu by se mohl dostat prave jen pres spravu zarizeni)

jedine relativne bezpecne reseni, ktere se jednoduse neda "napichnout" je opticky kabel a sifrovaci routery (pripadne opticky spoj vzduchem, ale tam je zase problem mlha...)

[Fox!MURDER]

diky za dalsi tip... imho v dnesni dobe uz by problem s WiFi byt nemel (WPA2-AES + VPN). Pokud nekdo prolomi sifru WPA2-AES (coz se v dnesni dobe tusim jeste nikomu nepodarilo ani s WPA-AES), musel by jeste prolomit VPN tunel (coz teoreticky mozne je, pokud by prolomil login do Mikrotiku - predpokladam ze VPN pujde proti sobe pres nejaky certifikat, ke kteremu by se mohl dostat prave jen pres spravu zarizeni)

jedine relativne bezpecne reseni, ktere se jednoduse neda "napichnout" je opticky kabel a sifrovaci routery (pripadne opticky spoj vzduchem, ale tam je zase problem mlha...)

dulezita otazka je - jakou cenu maji ta data - resp. kolik by nekdo byl ochoten investovat penez, aby je ziskal ...
nemusis mi primo odpovidat, hlavne odpovez sam sobe a podle toho zabezpecuj. za desitky, az stovky tisic se daji koupit botnety citajici desetitisice pocitacu, tak bacha na to ...

[sasha]

v situaci kdy uzivatel pristupuje na server pres TLS a authentikuje se, traffic je zabalen v IPSecu tak se zly_man musi stejne napred dostat pres wifi? Obe strany se museji authenticovat i na urovni IPSecu takze max muze zkusit spoofnout par paketu nebo DDoS ale data neziska a jeho traffic bude zahozen....

nevim jestli bych se tady bal botnetu, zalezi jak je pripojeni te site do internetu... jak budes s botnetem crackovat wifi - jeste ke vsemu kdyz pravidelne menis klice a nebo pouzivas tkip?

[Fox!MURDER]

v situaci kdy uzivatel pristupuje na server pres TLS a authentikuje se, traffic je zabalen v IPSecu tak se zly_man musi stejne napred dostat pres wifi? Obe strany se museji authenticovat i na urovni IPSecu takze max muze zkusit spoofnout par paketu nebo DDoS ale data neziska a jeho traffic bude zahozen....

nevim jestli bych se tady bal botnetu, zalezi jak je pripojeni te site do internetu... jak budes s botnetem crackovat wifi - jeste ke vsemu kdyz pravidelne menis klice a nebo pouzivas tkip?

jak ty data jednou ziskas, mas uz celej zivot na to, abys je rozsifroval ....

[jimmy]

sit je od internetu uplne odrizla, pro vyssi bezpecnost Wifi by oba protejsky mely jet v rezimu BRIDGE

[sasha]

jak ty data jednou ziskas, mas uz celej zivot na to, abys je rozsifroval ....

tak to mas pravdu, ale pokud jsou data opravdu citliva viz banky, army apod tak takova komunikace nepujde pres wifi a zcela jasna investice je do privatniho okruhu u nejakeho ISP a data tecou stejne pres sifrovany kanal.

navic nejsem si jisty jestli by botnety a tvuj zivot stacil na rozsifrovani 3 ruznych cipher vrstev
sifrovana data > sifrovany authentikovany kanal > sifrovany transportni tunel > sifrovane wifi

to uz je moc scifi - teda spon myslim, jestli tohle nekdo rozlouskne brute forcem behem pul roku tak uz nema sifrovani zadnou cenu

[Petrik]

Panove, je potreba si uvedomit, ze v naproste vetsine realnych pripadu prolomenych sifer se to delalo jinak, nez lamanim te sifry (social engineerig etc). Osobne si myslim, ze daleko pravdepodobnejsi je hacknuti tech kompu, na kterych se ta data nachazeji (pokud tam jsou vidle tak se o bezpecnosti moc bavit nelze) ci routeru, pres ktere to tece (pokud tam neni sifrovany tunel), nez ze nekdo uspesne hackne AES sifrovani ty wifiny a nebo snad dokonce nejaky VPNky, to je vazne scifi. Ja osobne bych, pokud je alespon trochu mozne, volil radeji nez VPN nebo dokonce IPsec SSH tunel (s 2048bit RSA klicem), ktery je IMO daleko bezpecnejsi a asi tak 100x jednoduzsi na konfiguraci, za predpokladu, ze alespon cilovy stroj je nejaky UNIX.

jen pro informaci: 63 nahodnych znaku full ASCII u AES+WPA2 passphrase = 10^457 kombinaci (63^254). GPUcka pry dokazi vyzkouset az 500.000 kombinaci za vterinu, takze to vychazi na cca 4x10^445 let.
2048bit klic u SSH/VPN je 10^616, 4096bit je 10^1233 kombinaci, takze tudy asi cesta nevede

[sasha]

ano tak jak rikas, pokud pres takovy server nebo klienta tecou cena data, mel by mit take omezeny pristup kam muze a nemuze = zadny pristup na web do internetu apod...

co se unixu nebo linuxu pro sifrovani dat asi nesouhlasim, ale to uz je vec toho kdo ma s cim jake zkusenosti....

[Jezevec]

Mimochodem, z hlediska bezpecnosti je mnohem lepsi to routovat nez bridge. PLne transparentni bridge ti totiz umozni primy pristup do LAN jakmile prolomis tu wifi a pak uz ti nejaky sifrovani prenosu pres tu wifi muze byt casto sumafuk, protoze se dostanes primo ke zdroji. Navic pres to lezou vsemozny broadcasty a dalsi hnusy.