[uanog] LAN cables can be sniffed to reveal network traffic with a $30 setup
Volodymyr Litovka
doka at funlab.cc
Mon Oct 18 13:30:46 EEST 2021
Привіт,
On 18.10.2021 11:03, Volodymyr Yakovenko wrote:
> On Fri, 15 Oct 2021, 17:12 Volodymyr Litovka, <doka at funlab.cc> wrote:
>
> здається, дуже давно настав час або для macsec, або для
> запровадження IPv6 з його вбудованим та легко доступним IPSec.
>
> Але, наприклад, найпоширеніший віртуальний комутатор - OVS - не
> підтримує macsec. Як багато h/w виробників підтримують macsec?
>
> Давай з іншого боку - PHY або switching ASIC з вбудованим MACsec вже
> деякий час mainstream.
>
> Ну і софтову частину з MKA вже допиляли.
>
> Але наскільки я бачу MACsec використовують здебільшого для
> switch/router-switch/router links.
>
> Про large deployments switch-machine MACsec я не чув.
MACSEC - це технологія локальної мережі, яка є зручною тільки коли
комутатори підтримують macsec (інакше приходиться городити full mesh
macsec, що не має жодного шансу). Але далі починається LAN over WAN й
фантазувати з приводу різних варіантів деплоя стає важко :) And again -
OVS не підтримує macsec, що практично унеможливлює його (macsec)
використання у публічних клаудах.
Про темпи запровадження IPv6 не казав вже тільки лінивий, але що
мені цікаво в контексті теми - як багато розробників користуються
вбудованим IPsec в IPv6 середовищі?
> Про це Нетч суперово відповів.
Я одразу коментую й Нетча коментар :)
TLS - це, за великим рахунком app layer. Той факт, що його натягнули на
VPN, не робить його стандартом. З точки зору додатку - це важкий
механізм: кожен додаток має встановлювати захищене з'єднання upon demand
(зручно з точки зору транзакційності, але важко з оглядом на
встановлення), або встановити постійний канал та використовувати його
(що додає своїх складнощів - з транзитними файрволлами або з додатковими
механізмами ідентифікації транзакції в каналі загального користування).
Ідеальним рішенням є встановлення множини захищенних тунелей й відмови
шифрування на рівні app, але plenty of TLS VPNs - не стандартизовані,
wireguard/тощо - це суто policy-based encryption (e.g. OSPF'ом там не
пахне), а з IPSec теж є проблема сумісності - досі (!!!) не всі
реалізації підтримують tunnel-based VPN (щоб, наприклад, запускати
dynamic routing в шифрованій мережі), тому це теж важко назвати
універсальним рішенням.
Мені йдеться (я не пробував, though) про те, що наявність
стандартизованого IPSec в IPv6 мало б зняти щонайменше два питання: (1)
сумісність реалізацій та (2) наявність стандартизованого готового
механізму в будь-якому пристрої (тут я вже про IoT згадав - не треба
портувати будь-що на який-небудь грьобаний датчик, наприклад - все, що
треба, є згідно із RFC).
Ретроспективно - це могло БИ взагалі не дати розвинутись поштовху для
виникнення всіх ціх TLS та інших милиць для захисту даних.
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20211018/a4ee6975/attachment.html>
More information about the uanog
mailing list