Имеется несколько офисов с микротиками без аппаратного шифрования. l2tp с ipsec очень снижает скорость и нагружает процессор роутеров. Хотелось бы отключить ipsec, но хочется понять, насколько это критично. Я понимаю, что любой перехваченный трафик легко читаем для похитителя, но вопрос в том, как можно перехватить этот трафик? В VPN сети используется файловое хранилище, перехват файлов из которого особо ничем не беспокоит, а также подключение к 1С базе данных и подключение по RDP к компьютерам сети, в том числе и серверу. Могут ли перехватить пароли пользователей Windows и 1С использовать их для подключения? И чем использование VPN без шифрования отличается от простого использования интернета, когда подключение к серверу используется по внешнему IP адресу?
Раньше пользовались подключением к удаленному серверу без всяких VPN напрямую по внешнему IP роутера с пробросом портов до сервера. Это было настолько же небезопасно в плане похищения паролей?
Вспомните анекдот про "неуловимого Джо"
Мне доводилось видеть работающие сети с поднятыми между собой через Интернет EOIP туннелями без всякого шифрования
Не хотите шифрование - поднимите второй VPN канал и сделайте на них Bonding (агрегацию каналов) - там такая каша из пакетов будет!
Я пока еще не решил, что я хочу использовать:
без шифрования; шифрование на текущих устройствах с потерей скорости или покупку новых устройств с поддержкой шифрования. Поэтому я хочу определиться и задал конкретный вопрос: "Раньше пользовались подключением к удаленному серверу без всяких VPN напрямую по внешнему IP роутера с пробросом портов до сервера. Это было настолько же небезопасно в плане похищения паролей?"
Я не очень в этом хорошо разбираюсь, поэтому прошу помощи у знающих людей.
Говорю простыми словами.
Кому нафиг твоя контора нужна?
Перехват трафика - это как минимум надо подсесть на твой физический канал в Интернет
Про L2TP без шифрования - Я пару лет юзал примерно лет 8 назад пока на более серьёзные железки не перешли. Именно из-за просадки трафика.
Что касается подключения к серверу наружи - пользую до сих пор - только айпишник клиента попадает в Белый лист только после ПортКноккинга.
т.е. только при физическом подключении к моему кабелю от провайдера может быть осуществлен перехват? если да, то это я и хотел услышать, т.к. в этом случае, конечно же, мне шифрование и не требуется.
Перехват может быть осуществлен и на оборудовании провайдера в Вашу сторону
Дальше, в сторону от провайдера до его канала в Интернет также может быть теоретически осуществлен, но там ТАКОЕ оборудование нужно чтобы Ваши пакеты из сотен других клиентов вычленять...
Тем кто это может проще маски-шоу под надуманным предлогом к Вам послать и компы изъять. Через месяц вернуть. (Я проходил такой вариант)
Конкурентам гораздо проще и дешевле внедрить инсайдера в Вашу компанию или "купить" сотрудника
Средний
Средний