25 Jan 18 20:26, Alex Korchmar wrote to Eugene Grosbein:
EG>>>> Сеть своя, шифровать не требуется. Hо если бы требовалось, EG>>>> то IPSEC никто не отменял. AK>>> в этом случае ей и "географически разнесенной" быть незачем EG>> Есть зачем. AK> речь о том, что "если бы требовалось" - вполне себе возникает прямо в AK> географически никуда не разнесенной сети в одном крошечном офисе. AK> для винды при этом решение понятное, а для хрюникса только в теории и AK> как обычно, через задницу.
AK>>> виндовая инфраструктура, как я подозреваю, вполне себе готова AK>>> для работы в сетях с тотальным ipsec все-со-всеми, с хрюниксами AK>>> все как обычно. EG>> Зачем все-со-всеми то AK> затем, что если у тебя на самом деле есть что шифровать, чаще всего AK> наиболее интересно оно твоим собственным сотрудникам, да и AK> не-сотрудникам проще найти подход либо к ним, либо к твоему офису.
Но при этом атака вряд ли будет заключаться в перехвате трафика локалки. Проще, как ты справедливо заметил, найти подход к сотрудникам и компам, у/на которых информация лежит.
Судя по тому, что а) тотальный transport-mode IPSec в виндовых локальных сетях включают нечасто, а б) VPN между удалёнными офисами шифровать обычно принято и описано в многочисленных учебниках, представленная тобой модель угроз если не спорная, то как минимум не единственная.
AK> а вот магистрали шифровать - только если ты гугль. И против тебя AK> играет nsa, которой не только вообще интересен именно сырой траффик AK> (доступы и управление все равно прикрыты), но и есть чем его AK> переваривать в мегаколичествах, помимо технической возможности тырить.
Шифровать свой внешний трафик даже хотя бы слабым, оппортунистическим шифрованием IMHO уже полезно, от всяких транзитных любителей понарушать сетевой нейтралитет или что-нибудь пофильтровать. И эти любители - не обязательно ужасная NSA, а какой-нибудь говнопровайдер. Как я понимаю, общая тенденция в Интернете к тому и идёт.