опасность туннелей без шифрования
 

всем привет. коллеги, помогите найти золотую середину.
есть два офиса, в одном база 1С на PostgreSQL, в другом клиенты 1С. в обоих микрот с белыми IP.
хочу поднять gre без ipsec, т.к. железки не вытягивают.
и теперь вопрос - чем опасен туннель без шифрования, каким образом можно перехватить данные, на сколько это сложно, можно ли что-то полезное получить из этого траффика?

если я правильно понимаю вопрос, то это просто пакеты внутреннего траффика, с дополнительным заголовком в начале.
То есть, любой интересующийся при наличии некоторого навыка к прогингу или какого-нибудь спецсофта (никогда не интересовался оным, не знаю возможностей и названий) вполне может получать всю инфу из потока, просто отрезая заголовки и метки окончания пакета.

в теории да, но на практике, где должен быть этот человек посередине?
сможет ли он собрать полезную информацию из этих данных?

Данные можно перехватить на любом узле, через которые проходит трафик, при помощи любого сниффера пакетов. От простейшего tcpdump до wireshark и навороченных DPI.

Если нет возможности шифровать туннель, то может он и не нужен? Обойтись пробросами, чтобы не было соблазна пустить в туннель что-то нешифрованное. Пробрасываемый трафик шифровать SSL/TLS. Постгрес точно умеет это, про 1С не в курсе, но по идее тоже должен уметь – кому оно иначе такое убогое нужно было б?

так он проходит только через узлы провайдера, а ему я думаю и так все известно.
кстати, провайдер в обоих офисах один, пинг порядка 2мс.

chek, что ж, политика безопасности неуловимого джо это тоже политика безопасности. До первого серьёзного инцидента, конечно.
Cоснифить ваш трафик может не только провайдер. ;)