我在一个机架中有两个系统,它们通过 0.25 米 Cat 5e 电缆直接连接在一起,因此它们可以通过 NFS 交换数据。您可能知道,普通 NFS 本身不支持加密或用户身份验证,因此数据可能被第三方嗅探/拦截/访问,但由于这两个系统被锁在服务器机房内一个带锁的机架中,因此目前认为风险已经得到充分缓解。
我可能需要将其中一个系统放在 LAN 上其他位置的带锁房间和柜子中,这意味着两个单元将通过建筑物的数据线连接(通过配线架链接从数据点到数据点),但这意味着链接不再包含在安全环境中,因此我正在寻找一对可以加密链接的设备。我不能使用任何形式的软件隧道或加密,因为其中一个系统是专有的(它没有运行现成的操作系统),并且没有这样的应用程序/功能可安装在其上 - 唯一的链接选项是通过 NFS。
我想,我可以使用一对支持此类功能并具有千兆 WAN 端口的“xDSL”路由器来创建硬件 VPN 链接 - 这是一种便宜的选择,但据我所知,这些路由器的 VPN 功能相对较慢(40-50Mbit/s)。我还发现了一些可以完成这项工作的多端口“安全”设备/交换机,但成本看起来非常高,而且对于单个链接来说,该套件有点过头了。
我考虑过在柜子里安装一对千兆电力线适配器,但距离和电源相位可能意味着这行不通。光纤也是一个选择,但在我这样做之前...
有没有人遇到过一对简单的“加密狗类型”设备 - 最好是千兆速度 - 可以插入 cat 5e 数据链路的两端,以透明方式加密链路流量?谢谢
答案1
为什么不直接买 2 个超便宜的小型 Linux 机箱,在它们之间设置一个 OpenVPN 隧道,然后通过这些机箱发送所有流量,将 NFS 流量分离出来,通过 VPN 链接传输? 有这个选项吗? 这样可以避免 WAN 端口速度问题。
您可能只需要 1,用于链接的专有端,这会进一步降低成本。
答案2
不管你购买多少个端口,我确信它的价格绝对会非常高。任何非商品的东西都不会便宜,而这款产品几乎可以说是“非商品”,而且还增加了涉及“安全”的成本倍数。
答案3
您可以使用 Kerberos 运行 NFSv4 并获得强身份验证和完整加密。假设您有一个有效的 Kerberos 环境,您需要设置安全类型以krb5p保护客户端和服务器之间的所有 NFS RPC 调用。
答案4
为这些服务器运行单独的 cat5/6 网络的可能性有多大?可能比光纤更便宜