Сетевые карты с аппаратным шифрованием
 

Посоветуйте какие сетевые карты с аппаратным шифрованием лучше всего использовать для проводной сети? И вообще где можно прочитать про данную технологию и как это все работает? Надежна ли такая защита информации от снифа? Заранее спасибо!

1) Вы ничего не путаете?
Сетевая карта работает по определению на 2-м уровне OSI.
Серверные (со встроенным процессором) предназначенные для разгрузки ЦП, доходят до 4-5.
Шифрация, если мне память не изменяет, осуществляется на 6-м уровне, а иногда и на 7-м.
Если предположить шифрацию на низких уровнях 2-4, то активное оборудование не сможет просмотреть содержимое
Фреймов/Пакетов/сокетов и соответственно обработать его.

2) Есть платы аппаратной акселерации шифрования.

3) Что касается Снифферов, то в современной правильно настроенной сети с коммутацией вплоть до 5-го уровня толку от них 0.
Максимум что смогут увидеть это широковещательные ARP.

kim-aa
Сетевая карта Intel Pro/100S management adapter (PILA8460C3) с шифрованием, PCI (как в прайсе)
Вот эта карточка допустим как работает? Что подразумевается под шифрованием?

http://www.intel.com/network/connect...0s_adapter.htm
Features IPSec encryption offloading using an integrated security co-processor.
Adapter offloads IPSec encryption/decryption from PC, conserving CPU resources for greater network performance
Improves performance of IPSec functionality in Windows 2000 operating systems through encryption offloading

Карта обладает встроенным аппаратным акселератором IPSec.
Дрова под Win поддерживают эту функцию. Про дрова для Unix - Скромно умалчивается.
Что это может дать:
- При организации шифрованного соединения IPSec средствами Win, нагрузка на ЦП будет гораздо меньше.
- Вы несможете использовать акселерацию для организации VPN-Сервера средствами Win, т.к. основным VPN протоколом в Win является PPTP, L2TP.
- Вероятно Вы сможете задействовать акселерацию при подключении к IPSec VPN Серверу.

Все горе таких решений, что они зависимы от поддержки всех их функций как минимум ОС, а как максимум - самим приложением.

Т.е. я так понимаю, этот аппаратный акселератор только вспомогательный довес к сетевухе, и сам ничего не шифрует, а лишь облегчает работу ЦПУ?
Т.е. соотвественно сетевух со встроенным алгоритмом шифрования как таковых нет?

Ikpeba
Для начала - определись в чем ты видешь опасность сниффера, а после этого уже можно будет ответить, возможно ли от этого избавиться с помощь сетевых карт, поддержиающих "шифрование" на том или ином уровне. Когда будет определено, что тебе должна дать шифрация в сетевых картах, только тогда можно будет ответить на вопрос есть ли такая возможность и что дя этого нужно, кроме самих сетевых карт...

Ну допустим пример такой есть сеть, передаются по ней конфеденциальные данные, нужно обезапасить себя от людей спообных изнутри поснифить трафик, которые вместо какой-нить машины из сети воткнуть свой ноут и на него принимать все данные (не хочется пломбировать все кабеля). Ну вот хотя бы избавить себя от таких случаев например... Если есть варианты решения подскажите плиз!

Ikpeba
Используй свичи с секьюри на порту, то есть когда врубают "левый" комп у тебя порт попросту отрубается и всё... Cisco Catalyst такое умееет....

UnReLeAsEd
А по какому принципу определяется левый комп, если по МАС-адресу, можно и ведь и MAC поменять...

1) Реально применение сниффов в крайне узких диапазонах - снятие логин/пароль передаваемых открытым текстом.
В настоящее время это Telnet, POP3. Т. е. для применения снифера Вы точно должны знать протокол и пару клиент-сервер.
2) В коммутаторе сниффер практически безполезен - для его работы необходимо перевести порт коммутатора в режим отображения-прослушки, что может сделать только админ.
3) Даже если это удалось, то поток данных для анализа просто громаден, например у стека Cisco Catalist 3750 пропускная способность 32 Гбит/c.
Даже если вы подключите анализатор на ноутбуке к гигабитному порту, то:
1) Физическое ограничение - гигабит, т.е. 1/32.
2) Реальная пропускная способность гигабитного устройства около 300 Мбит/сек - соответственно 1/100.
3) Программа анализа сможет обработать от силы 10 Мбит/сек., т.е. 1/3200 от максимально возможной Bandwith - Вы просто будете терять большую часть кадров.

4) Буржуи (cisco) решают Вашу задачу исходя из следующих предпосылок:
-Невзламываемых шифров нет
-Если у Вас нет физического доступа к информации, то ничего Вам и не поможет, даже если Вы Кевин Митник в кубе.

Т. е. ограничение на доступ они осуществляют на уровне VLAN.

kim-aa
Небольшое уточнение:
1) пп.2,3 становятся неактуальными, если применяется ARP-спуфинг. А его блокировка или хотя бы мониторинг используются не так уж и часто, как следовало было бы.

2) VLAN сейчас можно сильно доверять только при статическом их постраении (по портам, или хотя бы MAC-адресам при запрете ARP-спуфинга). VLAN на 802.1q может обходиться c использованием методов, сходных со спуфингом. Также как и против ARP-спуфинга для этого есть методы борьбы, но конечно это все чревато удоражанием системы и потерей частью ее призводительности.

Ikpeba
Что ты вкладываешь в понятие "передаются по ней конфеденциальные данные"? Что именно и каким образом передается? Проблему сниффинга в большинстве случаев снимает использование VPN-технологий, но для этого не нужно специальных технических средств, а достаточно соответствующих настроек и ПО клиентак и серверах...

Ikpeba
Можно сделать так что бы порт поднимался админом... А вот kim-aa дело говорит...
У нас на предприятии вообше кроме пользователя не может никто сесть за комп, если там увидят левого человека то пользователь идёт к шефу на ковёр....

To Greyman
Нельзя ли поподробнее?
Или ссылочку?

kim-aa

Цитата:

Нельзя ли поподробнее? Или ссылочку?

Увы нет. Я по профессиональной деятельности стараюсь быть в курсе подобного, поэтому шестю кучу материалов, но подробнее мне в этом разбираться нет необходимости, т. к. практическим администрированием я не занимаюсь (в первую очередь меня интересуют принципиальные угрозы и концепции защиты). Вроде где-то проскакивали ссылки на соответствующие доклады на разных семинарах. Возможно можно где по инету найти, щас нет времени копаться. Это к вопросу о том, как два коммутатора определяют принадлежность пакета к тому или иному VLAN, ведь эта принадлежность определяется только соответствующим тегом. Поэтому можно включить вместо машины управляемый кооммутатор, который настроить соответствующим образом, либо юниксовую машину с соответствющим ПО. Конечно "валидные" коммутаторы могут быть настроены на запрет приема 802.1q с портов, кроме заданных, но это уже дополнительные ограничения на их модели и настройки, а вот "дефолтно" подобная возможность может иметь место...

Фирменная технология VLAN Cisco - ISL осуществляет инкапсуляцию фреймов
802.1q - тегирование. Так что прослушивая свой порт работающий в 802.1q можно единственное узнать к какой VLAN ты относишься.
Однако ума не приложу что это даст.
Если отмаркировать свой фреймы VLAN отличной от реальной, то в лучшем случае коммутатор отбросит фреймы прямо на входе порта, в худшем же может принять решение о возникновении логических петель и отключить коммутатор целиком - но это вряд ли.
В коммутаторах Cisco ситуация по умолчанию такова (описание грубое, опускаю состояния портов off и desirable)
Порт находится в обычном состоянии, т.е. пропускает только те входящие фреймы, которые маркированы той же VLAN, к которой относится и он, или немаркированные (он их маркирует сам). Для перевода его в магистральное состояние (он пропускает все VLAN) - необходимы определенные деяния, или руками в IOS, или если порт находится в состоянии Auto или Desirable - Подключение к другому коммутатору у которого порты принудительно переведены в магистральное состояние или находятся в состоянии Desirable.

Ikpeba
Существет целая куча программных и аппартных решений способных решить эти проблемы.
Приведу лишь некотроые из них:
1) Использование VPN соединения - весь трафик идёт в зашифрованном виде, т.е. перехват снифером даёт зашифрованные данные.
Если применяется правильный алгоритм шифрования, то вскрытие шифра занимает столько времени, что к когда расшифровка пройдёт успешно данные уже будт бесполезны. Есть как бесплатные решения PPTP, IPSec так и платные например VipNet. При чём в качестве идентификатора доступа к шифрованному каналу можно делать и аппаратные устройства как то смарт-карты, ключи таблетки и т.д.

2) Многие программы умеют сами шифровать свои данные при передаче

3) Применение активных методов защиты, как то поиск сниферов в стеи и т.д.