шифрование трафика внутри локальной сети
 

Доброго времени суток.

Поставлена задача, для того чтоб жизнь не казалась малиной нужно разработать план внедрения шифрования трафика. Основной нюансом является минимум $ и не windows и ipsec в связке.
Есть несколько vlan . С cisco на ты не общаюсь.
Какие есть мысли по этому поводу.
Заранее спасибо.

Можно кодить с помощью бумажной книги "Гамлет" и передавать почтовыми голубями :))))

А если серьезно, то имеет смысл озвучить требования к платформе, перечню того, какой трафик шифруется, какая полоса пропускания, насколько разделены участники географически и т.п. (что известно). Что из оборудования и софта есть?

А главное озвучьте зачем это делается - т.е. от кого защищаетесь - возможно шифрование окажется не панацеей, а возможно Вам предложат вариант более простой и дешевый.

Кстати, IPSec - это тема... и windows здесь ни к чему, т.к. поддерживается и в Linux.

1)платформа желательнее centos или freebsd
2)оборудование cisco asa 5505, cisco 881, cisco2811,
3)надо чтоб шифрование трафика работало на физическом, канальном, и сетевом уровнях.
4)внутри локалки 1гб\с
5)опасение в сторону конкурентов
6)софт: все построено на ESXi

На физическом не шифрует никто.
На канальном уровне тоже мало кто работает (Ваш удел - VPN: PPTP или L2TP)
Сетевой уровень - IPSec.

Сомневаюсь, что Вы реализуете нормальное решение по шифрованию для кучи хостов на скорости 1Гбит(разве что IPSec с аппаратным ускорителем, который может быть на сетевой карте или в новых моделях процессоров - инструкции AES).

Если же Вам нужно шифровать трафик между офисами, то откуда требование канального уровня?!

Тем не менее, для защиты трафика между офисами Вам подойдет (на базе cisco) site-to-site IPSec, т.к. IPSec cisco без проблем дружится с Linux и Windows OS.
БАК, если Вы хотите шифровать трафик локальной сети, то сдается мне, что Вам светит IPSec... а если потяните - то даже на сертификатах (может и на IPv6 сподобитесь :))

QRS, кажется БАК делит один неуправляемый свитч с гадкими конкурентами, в сторону которых опасение, видимо, на сниффинг, и по VLAN'ам не развести. Вообще говоря, ничего не понятно. Ждём уточнений.

Имеено на снифинг.
3 компании под одним флагом ведут непонятную игру в 1 здании, в связи с этим требуется использовать шифрование.
Каждая компания имеет свои подсети, и общие файлопомойки.

Т.е. второй уровень отпадает! Т.к. на входе в собственную сеть нужно просто ставить фильтры.
Раз они общие, то и шифровать трафик от них не нужно.

БАК, лучше всего - нарисуйте схему сети физическую (провода с коммутаторами) и логическую (IP-адресацию). Из схемы будет видно где конкуренты могут влезть в Вашу сеть и можно будет думать на предмет защиты.

[IMG][/IMG]

Из схемы непонятна адресация сети. Равно как и непонятно кто обеспечивает работу DMZ.

Отметьте пожалуйста Вашу посеть, по каждой подсети укажите диапазоны IP-адресов (не забудьте правильно указать маску).
Также отметьте какое оборудование стоит на входе (из Интернет) в сеть и напишите по моделям какое оборудование стоит в Вашей сети (т.е. должно быть только 2 цвета - только Ваше оборудование и оборудование под чужим контролем... если контроль смешанный - то это оборудование "чужое").

Если у Вас (на Вашей сети) на входе стоит маршрутизатор cisco, то на нем можно настроить фильтрацию трафика. Общий файловый сервер стоит вынести в DMZ №2 (которая будет доступна для других организаций).

PS: Надеюсь, что WiFi у трех организаций не общий... :)

wifi у всех свой ( 3 разных ssid)
dmz2 это мое, за него отвечает asa 5505
за asa 5505 стоит програмный фаэрвол на freebsd (поставил его недавно), теперь зона сделана по схеме с двумя фаэрволами
_________

по поводу файлсервера в dmz2 это очень хорошее предложение, но на нем у меня хранятся ключи для geom geli, как бы не случилась беда