[uanog] LAN cables can be sniffed to reveal network traffic with a $30 setup

Volodymyr Litovka doka at funlab.cc
Mon Oct 18 13:30:46 EEST 2021 

Привіт,

On 18.10.2021 11:03, Volodymyr Yakovenko wrote:
> On Fri, 15 Oct 2021, 17:12 Volodymyr Litovka, <doka at funlab.cc> wrote:
>
>     здається, дуже давно настав час або для macsec, або для
>     запровадження IPv6 з його вбудованим та легко доступним IPSec.
>
>     Але, наприклад, найпоширеніший віртуальний комутатор - OVS - не
>     підтримує macsec. Як багато h/w виробників підтримують macsec?
>
> Давай з іншого боку - PHY або switching ASIC з вбудованим MACsec вже 
> деякий час mainstream.
>
> Ну і софтову частину з MKA вже допиляли.
>
> Але наскільки я бачу MACsec використовують здебільшого для 
> switch/router-switch/router links.
>
> Про large deployments switch-machine MACsec я не чув.

MACSEC - це технологія локальної мережі, яка є зручною тільки коли 
комутатори підтримують macsec (інакше приходиться городити full mesh 
macsec, що не має жодного шансу). Але далі починається LAN over WAN й 
фантазувати з приводу різних варіантів деплоя стає важко :) And again - 
OVS не підтримує macsec, що практично унеможливлює його (macsec) 
використання у публічних клаудах.


    Про темпи запровадження IPv6 не казав вже тільки лінивий, але що
    мені цікаво в контексті теми - як багато розробників користуються
    вбудованим IPsec в IPv6 середовищі?

> Про це Нетч суперово відповів.

Я одразу коментую й Нетча коментар :)

TLS - це, за великим рахунком app layer. Той факт, що його натягнули на 
VPN, не робить його стандартом. З точки зору додатку - це важкий 
механізм: кожен додаток має встановлювати захищене з'єднання upon demand 
(зручно з точки зору транзакційності, але важко з оглядом на 
встановлення), або встановити постійний канал та використовувати його 
(що додає своїх складнощів - з транзитними файрволлами або з додатковими 
механізмами ідентифікації транзакції в каналі загального користування).


Ідеальним рішенням є встановлення множини захищенних тунелей й відмови 
шифрування на рівні app, але plenty of TLS VPNs - не стандартизовані, 
wireguard/тощо - це суто policy-based encryption (e.g. OSPF'ом там не 
пахне), а з IPSec теж є проблема сумісності - досі (!!!) не всі 
реалізації підтримують tunnel-based VPN (щоб, наприклад, запускати 
dynamic routing в шифрованій мережі), тому це теж важко назвати 
універсальним рішенням.

Мені йдеться (я не пробував, though) про те, що наявність 
стандартизованого IPSec в IPv6 мало б зняти щонайменше два питання: (1) 
сумісність реалізацій та (2) наявність стандартизованого готового 
механізму в будь-якому пристрої (тут я вже про IoT згадав - не треба 
портувати будь-що на який-небудь грьобаний датчик, наприклад - все, що 
треба, є згідно із RFC).

Ретроспективно - це могло БИ взагалі не дати розвинутись поштовху для 
виникнення всіх ціх TLS та інших милиць для захисту даних.


-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20211018/a4ee6975/attachment.html>

More information about the uanog mailing list