Security over DSL link

[Ebirya]

Опять нужен совет коллективного разума.

Допустим, есть главный оффис и к нему тянется DSL выделенка от другой компании.
Народ в офисе озаботился насчет безопасности линка.

Как его протестировать? У меня хватает фантазии только на "поиспользовать vulnerabilities scanners типа Nessus",
но думаю, есть и другие способы, гораздо более правильные.

Гуру безопасности, откликнитесь, плиз.

[Ebirya]

бумп.
Народ, вопрос все еще актуален...
Так что пожалуйста, не стесняемся, высказываемся

[Stanislav]

/ме пытается сообразить - каким образом они это забабахали...

БТВ, у меня выделенка к колокейшену - сделано просто до безобразия - два компа + ГРЕ туннель с шифрованием. Хотя посещают мысли, что шифрование там нах не надо - все равно кроме ссх трафика там ничего нет...

[Ebirya]

/ме пытается сообразить - каким образом они это забабахали...

БТВ, у меня выделенка к колокейшену - сделано просто до безобразия - два компа + ГРЕ туннель с шифрованием. Хотя посещают мысли, что шифрование там нах не надо - все равно кроме ссх трафика там ничего нет...

Вот,
в этом то и вопрос. Допустим, приходит к тебе дядька аудитор, и говорит - я понимаю, что все у вас там защищено, но ты покажи мне результат теста, который подкрепляет эти слова?
И ты толжен с торжествующим лицом выдать бумагулю, которая говорит: пытались проникнуть "на ту сторону тоннеля" используя 123456 известные на сей день уязвимости и обломались.

[Dungeon_Keeper]

Я думаю пара Cisco 800 с каждой стороны позволит настроить IPSec&AES encryption site-to-site VPN. Как дешевый вариант можно посмотреть на Dlink 2xx, 3xx но нужно уточнить модели.

[Ebirya]

Я думаю, уважаемые члены клуба правы - нужно все же настоять, и собрать деталей о существующем соединении.
Может, у них и так уже все в шоколаде. Просто мне хотелось придумать более общий подход к вопросу.
Т.е., пусть есть самый защишенный линк на свете, но должны же быть сканеры (или другие какие методы), которые позволяют это доказать/подтвердить/задокументировать.

Мне пришлось достаточно поконтактировать с аудиторами, но до сих пор я представлял результаты Retina Scanner или Nessus, и все были довольны - и клиенты, и аудиторы...
Ладно, соберу инфу, опять на поклон приду к обсЧеству

[Шэф]

Ну, я гуру.
Т.е. ты хочешь шифровать ДСЛьный траффик?
Все упирается в твой контроль конца линии, который у провайдера. Можешь, конечно, спросить их, если они тебе позволят установить твое оборудование на их локейшене, но скорее всего (99.999%) никто тебе не даст.

Вообще, все упирается в деньги.
Если же все-таки дадут, и это будет dry DSL (без телефонного сигнала) то тут можно нагородить что-нибудь на Cisco LRE, это такая хреновина типа свича, к которому приконнективаются сысковские же модемы через обыкновенную телефонную пару. Поскольку на обоих концах сыски - там вроде можно прикрутить AES и т.д. Я точно не помню, но LRE свичи людЯм ставил: раздавал интернет по внутренним телефонным проводам между несколькими коттеджами.

Но если вопрос денег не стоит, то самое лучшее решение - 2 AiroNet-а AIR-BR1310 на крыши. Тут тебе и шифрование будет и все что хошь. А как только ты людЯм скажешь, что AES - все вопросы будут к изготовителям стандарта, а не к тебе.

Я тут летом такую задачу решал: нужно было иметь модем в точке где кабель из-под земли выходит, а файрволл - на расстоянии 800 метров, ближе его перенести никак нельзя было. Т.е. нужен был эзернет, но между МАС адресами. Выкрутился, с помощью двух раутеров 2811 (пойдут также 1820 или 2801) и сконфигуренного L2TP PseudoWire. Работает
Но витая пара на 800 метров не бывает, вот для этого айронеты и пригодились.

Короче, секс был еще тот. Спрашивай если чо