我想将现有的内部子网安全地分布在多个建筑物上。这意味着我有两个位置的虚拟机需要位于同一子网中。这个想法是虚拟机(具有静态 IP)可以从一个位置迁移到另一个位置。
(物理)主机连接到每个位置的交换机。所以,如果没有任何安全或成本问题,我只需用网线连接两个交换机:
[机器]---[交换机A]<----长电缆--->[交换机B]---[机器]
我想要的是使用两个不需要关心 IP 地址或路由的网关将这条长电缆替换为加密隧道,只需将任何传入数据包加密并通过加密隧道将它们发送到另一个网关。另一个网关然后解密数据包并将它们发送到远程交换机。这在物理上看起来像这样:
[机器]---[交换机A]---[网关A] <-- 互联网--> [网关B]--[交换机B]---[机器]
我想避免网关需要子网内的任何 IP 地址。规则应完全基于端口:
两个网关将有一个静态的、可路由的 IP 地址来建立隧道。加密应该很强大(至少是 AES128、SHA256、DH2048;共享机密很好),这是简单的 PPP 类型隧道不支持的。因此可能需要一个额外的/单独的加密层。
我只有 MikroTik 路由器可用。所以我更愿意使用它们。但是,我主要是在寻找“神奇的词”(协议名称等)以及允许我这样做的正确技术组合。因此,如果您知道如何使用 Cisco 路由器或 HP 路由器执行此操作,如果您解释了如何使用这些路由器执行此操作,它可能也会有所帮助...
我可以使用什么样的防火墙过滤器和协议来实现这一点?
我的第一个想法是使用 IPsec 来跨越加密隧道。但是,那么我需要定义基于物理端口的 IPsec 策略。但是只有一个选项可以定义来自/到特殊 IP 地址/IP 端口组合的数据。
因此,IPsec 将仅用作另一种隧道类型的加密层(MikroTik RouterOS 目前支持 PPTP、SSTP、L2TP 和 OVPN)。由于 PPP 隧道通常不支持强加密,我会让 IPsec 完成这项工作,并通过加密的 IPsec 隧道跨越未加密的 PPP 隧道。
好的,现在我们至少有一些隧道接口,我们可以像传出端口一样使用它。但是,我有点迷失在这里。我不认为有可能说:“必须通过接口发送具有传入 at 的帧”和“必须通过接口发送传入 at 的帧”。
我不经常在 Layer2 工作......所以我实际上正在寻找正确的“术语”或“类别”。我可以想象在 IP-Firewall (mangle->prerouting) 或类似的地方找到它,但我认为这已经是第 3 层的东西......
我只需要设置一个桥接吗?如果是这样,我如何将隧道接口添加到网桥(最好使用 winbox 接口)?网桥需要MAC地址吗? …
在linux下设置加密卷最简单的方法是什么?
基本上,我想要的是在我的主文件夹中有固定大小的文件。当我安装它并输入密码时,它应该显示为常规文件夹。我也应该能够卸载它。
如果可以阻止其他用户(包括 root)在挂载时访问它,那将是一个奖励。
它不应该依赖于任何内核特性或配置,因为我希望以后能够在另一台计算机上安装它。
我正在寻找加密客户端和 Windows 服务器或文件管理器设备之间的 Microsoft SMB 数据流量的方法。这不是加密身份验证,而是实际的数据传输。
从客户端到 Windows Server 的 IPSec 是我唯一的选择吗?
由于数据丢失,我们现在有一项公司政策(由主要合作伙伴强加作为持续资助的条件,因此不可协商)只有经批准的存储设备才能从我们的网络复制数据——基本上,只有外部硬盘驱动器和闪存使用加密的驱动器。
当用户将带有 Powerpoint 演示文稿的闪存驱动器带离现场并将其插入其他人的 PC 时,问题就出现了。驱动器想要安装软件(有些需要管理员权限)并重新启动才能工作,这会导致各种问题。
任何人都可以推荐一种安全/加密的 USB 闪存驱动器,它可以轻松连接到 PC?
让我们将其限制在 Windows 上,因为将 OSX 和 Linux 混合在一起会使它变得更加困难。
是否有安装程序(例如 InstallShield、Wise 或任何其他程序)可以让我对加密文件执行压缩(任何格式),前提是我提供了加密文件时使用的密码?
基本上,我有一堆已经加密的文件(它们需要加密),需要在部署之前压缩,因此安装程序包更小,所以也许有一个实用程序或安装程序可以让我压缩 cab 文件或如果我提供密码短语?
我阅读了另一个主题,但它没有回答我需要的问题。
感谢所有在这里尝试提供帮助的伟大人物。
也许我应该在这里更详细地...
我的软件有一个办公文档查看器。它内置于Office中。我的软件带有非常好的 Word 模板,我想保护它免受“复制者”的侵害,这样合法的人就不会受到影响,软件/查看器向用户显示缩略图,当合法用户尝试打开模板时,我正在运行的“服务” " 解密文件并打开它没有问题。
现在我提供的所有 Word Doc 模板都是加密的。它们仍然显示 .doc 文件格式,例如 Template001.doc 您不能在没有查看器的情况下打开它。如果您有查看器,那么您就可以访问所有模板。
由于我的 doc 文件没有压缩,我的安装程序是 500MB 如果它们没有加密,使用 LZMA 的安装是 10MB,你可以在那里看到巨大的差异。
所以我需要对每个 doc 文件进行加密(并将其保留为相同的文件扩展名),并让安装程序使用 LZMA 压缩文件。
现在有什么想法吗?
感谢 DC
我有一个小问题,我如何加密我的脚本?我的意思是,例如,有时我有一些 sh 脚本(由像 VMWare 这样的公司提供),当我使用 VI 时,它们只显示一个加密文件而不是纯文本文件。
如何将纯文本脚本转换为加密脚本?
我只需要在 apache 启动时才对其进行加密和解密,所以这是计划:
/var/www和 mysql 数据库文件。所以也许它是不使用像 truecrypt 这样的安装加密容器的路径。
我需要使用千兆位连接将数百 GB 的现场备份从几个 Xen VM 备份到同一网络中专用服务器上的一些可用存储。数据主要是 MySQL 数据——我使用 Percona XtraDB Cluster——使用 Xtrabackup 在服务器上本地备份,所以我想这些数据应该是高度可压缩的。
目前我正在使用带有密码加密的 duplicity 0.6.08b(我没有使用密钥),因为我还将使用 duplicity 创建的备份卷同步到一些异地存储。当前压缩级别为 6,volsize 为 250。备份需要一天以上的时间,这就是我正在寻找推荐的重复设置的原因,该设置将导致快速备份到本地网络共享存储而不会占用太多空间。
任何的想法?
我正在为我们公司的网站寻找一个简单的域 SSL 证书,我有点困惑。其中很多似乎提供完全相同的功能,但价格范围从 5 美元/年到 50 美元/年不等。
证书如何定价为看似同等证书的 10%?我错过了什么?
更新:
出于某种原因,这被误认为是推荐请求。英语可能不是我的主要语言,但我仍然觉得很惊讶有足够多的人得出这个结论来结束它。
无论如何,我希望以下内容可以帮助使这篇文章更清晰:
我比较过很多证书提供者,我没有也不会提到,虽然我可以看到不同类型的证书(域、通配符等),但我看不到两个相同证书之间的单一区别来自两个不同的供应商...除了价格。有时这种差异是巨大的。
我在问,总的来说,每当我必须选择证书时,我是否需要注意一些细节,这可以解释价格的这种差异。在几乎每个市场中,这种差异都可以用材料质量、公司服务、保修、运费等来解释。在这里,我根本没有看到它,我想知道除了证书类型之外是否还有其他东西可以解释它。
同样,这不是建议请求,只是非常不熟悉选择 SSL 证书的程序的人对此有合理的疑问。
TL;DR:另一种说法是:我对 SSL 证书知之甚少,我看到规范是类型(域、扩展、通配符等)、加密强度和浏览器识别,我现在正在比较两个这些规格中的每一个都相同,但价格不同。还有我应该注意的其他规范吗?
我最近一直在尝试制定一个有效的数据库备份加密方案。
我有一个 Postgres 9.4 服务器,我认为我已经充实了大部分备份方案。备份将存储在标准的 .sql 文件中,gzipped 然后通过 AES-CBC 和 OpenSSL 运行。
我唯一遇到麻烦的部分是钥匙。我不想使用单个主密钥,我想要某种密钥轮换或生成。所有备份(或至少大多数)都有不同的密钥,但也有我可以在需要时轻松找到/生成和使用的密钥。我在谷歌上看过,但找不到任何明确的解决方案。
我也愿意评估完全不同的加密解决方案,我与 AES-CBC/OpenSSL 无关。
任何解决方案将不胜感激。
谢谢。
encryption ×10
backup ×2
compression ×2
linux ×2
security ×2
windows ×2
database ×1
duplicity ×1
gpg ×1
installation ×1
link-layer ×1
mikrotik ×1
partition ×1
postgresql ×1
privacy ×1
routeros ×1
scripting ×1
ssl ×1
tunneling ×1
web-server ×1