Fysieke beveiliging site-to-site glasvezelbekabeling *

Als ze inderdaad fysiek bij die kabel kunnen komen, lijkt me dat zeer wel mogelijk.

Als ze een soort van repeater - glas - hub - switch - achtig apparaat er tussen plaatsen, wat houd ze dan tegen de data op te vangen ?

Je zegt zelf al dat het "moeilijk" is, maar zeker niet onmogelijk (niet dat ik het kan hoor )

edit: ik weet niet hoever die locaties uit elkaar liggen, en of het een directe verbinding is. Maar als er ook nog ergens een knooppunt is (telefooncentrale) word het al weer een stuk makkelijker.

Ik ken wel wat mensen die toegang hebben tot telfooncentrales namelijk

[ Voor 35% gewijzigd door Bud_s op 26-01-2006 20:19 ]

Voor zover ik weet bevat een glasvezel een eigenschap die nogal belangrijk is voor het hele communicatie verhaal.

De brekings index van de buitenrand is te hoog voor de lage hoek waaronder het licht erop botst om er uit te vliegen.

Daarom lijkt mij het volgende:
Doordat netwerk apparatuur allerlei soorten licht (kleurtjes) door een fiber rost, met verschillende golflengtes, (multiplexen), krijg je de hoge bandbreedte die wij tegenwoordig gewend zijn.

Wat volgens mij een van de eigenschappen van deze verschillende golflengtes is, is dat ze dus op verschillende plekken de buitenmantel gaan raken, en dus niet allemaal op de zelfde plek (of onder de zelfde hoek), op een bepaalde plek in de glasfiber zitten.

als je nu dus een prisma oid in de straal zou houden kan je dus nooit 45 graden defineren.

Wat echter wel kan:

gewoon de kabel doorknippen, afluisteren, en dan het signaal dmv een package generator weer de kabel in pompen. (je weet immers wat er uit komt, dan kun je dat er ook weer in pompen (albeit met wat vertraging)

Een repeater bouwen is niet zo lastig, zeker niet als er weinig info over die lijn gaat.
daarom is men dus zo blij met ontdekkingen als quantum encryptie.

Misschien is dit trouwens wel een leuke actie om op een cofference als HAL oid te proberen

[ Voor 12% gewijzigd door killercow op 26-01-2006 20:21 ]

1) gat graven
2) kabel strippen (in het weekend, of tijdens een ander groot al bekend onderhouds moment)
3) Kabel breken, en opnieuw polijsten
4)in switch connector
5) monitor poortje op switch aansluiten aan laptop en gaan maar.

De onderbrekking voor het plaatsen van apparatuur zal wel eventjes duren (polijsten glas) maar als er daarna goede / snelle apparatuur tussen zit zal je het denk ik in het gebruik niet merken ... wie merkt er nu iets van een switch in het netwerk ??/ zijn millisecondes ...

onderbreking : minuten
gebruik : miliseconden

[ Voor 10% gewijzigd door Bud_s op 26-01-2006 20:31 ]

with stupid /\

Volgens mij is het erger als de onderbreking kort is
Want dan is de kans dat je het opmerkt kleiner.

Het is een gesloten circuit dus wil je er een apparaat tussen plaatsen moet je ergens de lijn doorbreken.
Ik neem aan dat dat aftappen nooit in je eigen ruimtes zal gebeuren dus zal het ergens middenin gebeuren. En onder de grond zitten geen connectors aan de kabel dus moet je al een kabel doorzagen en er connectors aan maken en dat is bij glas niet zo makkelijk als een UTP kabeltje dus die onderbreking ga je wel merken.

Tenzij die kabel nog ergens omhoog komt naar een meterkast ofzo en ze er maar een apparaat tussen hoeven klikken, dan is het een kwestie van stekker erin en eruit, doe dat 's anchts en waarschijnlijk valt niemand een uitval van 3 seconden op...

[ Voor 4% gewijzigd door Klippy op 26-01-2006 20:33 ]

Afhankelijk van je apparatuur zou die vertraging vrij kort kunnen zijn (nihil op de manier van ReLight). Maar reken dat 't opgraven, doorknippen, poleisten en opzetten van een connector wel even duurt. Lang genoeg om op te merken dat je verbinding weg is.

Dus ja: op deze manier kan het. Maar het kost je vrij veel moeite om 't te doen op een manier waarop jij merkt dat er iets met die kabel gebeurt (als 'ie kapot is, en een paar minuten later al gefixed is er iemand mee aan het klooien), laat staan op een manier dat dat niet zo is. En hoe vaak worden er in de praktijk glasvezels opgegraven (valt ook op btw) om de data af te tappen?

ReLight schreef op donderdag 26 januari 2006 @ 20:22:
1) gat graven
2) kabel strippen (in het weekend, of tijdens een ander groot al bekend onderhouds moment)

En dan als bedrijf een erge hoge schadeclaim stellen voor het slopen van hun kabel.

Mogelijk is het natuurlijk wel, maar dat geld voor de meeste dingen zolang je genoeg geld en geduld heb. Encryping is ook zo elktijd wel te kraken met genoeg geld en geduld dus dat lost het probleem echter niet op.

Ik zeg altijd : niets is 100 % veilig als je er fysiek mee in contact kan komen

Zoals al aangegeven is het geheid wel te kraken met wat moeite. Je geeft al aan zoiets te willen detecteren, maar is het niet simpeler om een goeie encriptie te gebruiken? Zelfs een simpele SSH-tunnel is al een stuk lastiger te kraken dan platte data, en vaak relatief simpel te implementeren.

het is mogelijk maar in de praktijk lijkt het mij bijna onmogelijk

Is best simpel hoor

Er wordt nog steeds overal door de heren in het oranje gegraven in de stad, en jouw glas kabeltje ligt gewoon in de bekende kabel banen onde de grond, een ongeluk zit in een klein hoekje, en voor 500,_ Euri cash vlak voor de kerst laat Sjaak wel z'n spa uit z'n stomme handen glijden. ..

Bovenop JOUW kabel.. oeps. .. verzekering dekt reparatie, maar duurt wel een uurtje of 4 voordat alles gefixt is op z'n snelst.

..Ondertussen.. 4 straten verderop..
..Graaft B100 nogmaals jouw kabel op en in die 4 uur polijst hij 2 hele mooie connectors met wat glas lijm op je kabeltje.. Klaar is B100..:D

& nee, ik heb dit niet eerder gedaan voor welke instantie dan ook... ik doe niet in kabels.

Hmm , laten we even verder gaan..

Stel: jullie uptime is ZO belangrijk dat je er 2 lijnen voor hebt liggen.
Dan kan iedereen gemakkelijk in de 2e lijn een stekker bouwen zonder dat jullie dit zal opvallen buiten misschien een spanning-tree melding na.

De daadwerkelijke ingebruik namen van zo'n punt zou dan bij de volgende graafactie getriggerd kunnen worden door na werkuren, als ze mannen weg zijn ook daar even de spade door de fiber te rossen.

Jullie denken dat het door die stomme wegwerkers kwam, en zijn blij dat de andere lijn een nette failover gaf.

Eventueel kan er door de aftapper, 1km verder ook in de eerste lijn een repeater gebouwd worden als de wegwerkers problemen opgelost worden. (tegen te tijd dat ze daar het gat + fiber schoon hebben, kan je een km of 2 verder echt wel een repeater inbouwen.

Een tentje over een gat in de weg valt helemaal niet op trouwens, als het maar een echt een KPN/whatever tentje is. (en die zijn ook wel te pikken lijkt me)

Volgens mij kan dat niet hoor. Als het multimode is heb je geen gegarandeerde invalshoek van 90 graden, daarbij zou je kabel in zijn geheel uit de grond moeten trekken en geheel afsnijden ,omdat als je maar een deel van de lichtstralen zou opvangen. Aangezien je bijna zeker wel licht naar buiten doorlaat of licht dat verkeerd op je spiegel "afketst" kan je de juistheid van data wel vergeten en dat houd in dat je er niets aan hebt omdat je lichtstralen ("pakettetjes") mist.Volgens mij is er dan geen manier meer (voor zover ik weet) om de data netjes op te bouwen.

Gaat het hier om een dark fiber of om een glasverbinding van KPN?

Hurricane schreef op donderdag 26 januari 2006 @ 20:51:
Gaat het hier om een dark fiber of om een glasverbinding van KPN?

Dark fiber?
Als in fiber die Dark is? (geen licht/uit/niet aangesloten?)

Nee lijkt me, hoogstend een private fiber. ipv een leased line.

[ Voor 27% gewijzigd door killercow op 26-01-2006 21:44 ]

Dark Fiber = Private fiber

ff een edit:

http://www.webopedia.com/TERM/D/dark_fiber.html

[ Voor 57% gewijzigd door Hurricane op 26-01-2006 20:56 ]

Hurricane schreef op donderdag 26 januari 2006 @ 20:53:
Dark Fiber = Private fiber

Misschien als je bij de KPN werkt,, maar in de rest van wereld niet hoor

Van de andere kant: Wie gaat zoveel moeite doen om die kabel op te graven voor wat data.
Bedrijven die data versturen die zo belangrijk is gebruiken wel encryptie en veel betere beveiligingen.
En de veiligheidsexperts van die bedrijven komen hier ook echt niet op GoT vragen of je glasvezel met een spiegeltje kan aftappen

Dus of Topicstarter is B100 of hij maakt zich gewoon zorgen over z'n netwerkje en dan zou ik zeggen: relax, neem nog een kop koffie en zeg maar tegen de baas dat je data best veilig is

is dat dan niet op te merken?

Stel dat er data word 'afgetapt' dan gaat dat tenkoste van de 'hoeveelheid' licht. Als bekend is hoeveel je op een eind moet ontvagen en dat is op een dag in een keer veel minder...
Dan kán het zijn dat er is mee word gedaan wat niet de bedoeling is..

Dan denk ik dat je nu wel redelijk wat info hebt

Geen enkel netwerk is natuurlijk 100% veilig, je moet alleen afvragen hoeveel je data waard is en hoeveel je dan moet uitgeven aan beveiliging.
In het kort zou je kunnen stellen dan wanneer je een glasvezel lijn hebt liggen tussen twee eigen gebouwen, zonder tussenkomst van derden, dat die data gewoon veilig van A naar B komt en het gemiddelde bedrijf daar geen encryptie voor nodig heeft.
Ook al zijn het NAW gegevens oid, de gemiddelde spamboer gaat geen kabels opgraven en de AIVD gebruikt wel betere beveiliging (diskettes met DOCjes die ze per auto vervoeren ).

Wanneer jullie zoveel zorgen maken over de veiligheid van de data, waarom encrypten jullie het dan niet 'just to be sure'?
Je had het over Citrix, maximum encryption aan voor die sessies en wanneer het een fileserver is, gebruik dan IPSec of zet een VPN op over het glas.

Het is mogelijk, maar is bijna niet te verwezenlijken zonder dat iemand het merkt.
Ik heb geen idee hoe lang het duurt om zo'n kabel te splitten, maar ik dacht dat een gebroken kabel aan elkaar lassen al rond de 2 uur duurt.

Als gebruiker ga je er inderdaad niet veel van merken bij een onderbreking (als het netwerk een beetje goed opgezet is).
Wij hebben bijvoorbeeld een glasvezelring door de hele stad (Leuven) en de deelgemeenten. Helemaal rondom kan dat makkelijk 20km zijn (meer zelfs denk ik). Wordt die ring ergens onderbroken dan gaat de data gewoon de andere kant op zonder dat de gebruiker er wat van merkt.

Maar wij (systeembeheer) merken dat wel. Een "simpel" monitor programma als nagios monitort 1 van de 2 "ring-poorten" op de switch. Wanneer de kabel naar zo'n poort kapot is laat hij dat meteen weten omdat volgens die switch dan de interface uit ligt, en dus niet meer te pingen is (poorten van de ring hebben een eigen ip). Binnen de minuut krijgen we dus mooi een mail, een melding op het scherm, en een sms dat die interface uit ligt. Als je dan ziet dat er niks mis is vlakbij de switch dan moet het wel ergens tussen switch X en switch Y zijn. En dan gaat meteen Telenet aan het werk. Die hebben dat vrij snel opgespoord.

Veel geluk dan als je ergens ongemerkt aan die kabel wil geraken en hem 2 uur (en waarschijnlijk) langer wil onderbreken. Nog voordat je klaar bent staat er een support kerel van Telenet naast je.
(Bij ons dan).

Verwijderd schreef op donderdag 26 januari 2006 @ 21:00:
[...]


Met een package generator (wist niet dat het bestond) is dat dus niet toepassing toch? Je knipt de kabel door, prikt 'm in een apparaat dat de data opvangt/ uitleest, en je laat de package generator dezelfde data (zoals uitgelezen dus) weer op de lijn zetten.

Zo moet het dus werken als ik het goed begrijp?

Een fiber kabel is niet zoals een utp kabel waar je even snel een stekkertje op knijpt. Dat is micrometer werk dat met microscopen en erg fijn materiaal gebeurt.

En als je echt bezorgd bent over je data dan zet je inderdaad een VPN op of een andere vorm van encryptie.

[ Voor 22% gewijzigd door DinX op 26-01-2006 21:07 ]

Verwijderd schreef op donderdag 26 januari 2006 @ 20:09:
De data die over deze kabels gaat is unencrypted.?

Antwoord: ipsec.

[ Voor 4% gewijzigd door _Arthur op 26-01-2006 21:08 ]

..en daarmee weer een secuity consultant ala 125,-/h uitgespaard. Leuk zo'n forum om wat open deuren in te trappen

Klippy schreef op donderdag 26 januari 2006 @ 20:54:
................ dan zou ik zeggen: relax, neem nog een kop koffie en zeg maar tegen de baas dat je data best veilig is

Dat zou ik niet doen.

Ik zou eerder het risico (in dit geval de fysieke bedreiging) beschrijven voor je manager en uitleggen dat het gaat om een risico omtrent de informatiebeveiliging met een kleine kans en een hele hoge impact en dat het management zich over de kwestie mag buigen om te kijken wat ze ermee doen en hoe zij de urgentie inschatten.

Ik denk dat als je het op die manier brengt er best een salarisverhoginkje in december in zit.

Voor iemand die de moeite neemt een glasvezel op te graven en aan elkaar te lassen is het kraken van een beetje vpn beveiliging ook vast geen obstakel. Dus als je dat wilt voorkomen moet je gewoon geen lijnen tussen panden leggen maar gewoon alles binnen 1 pand houden.

Als dat echt zo is en jullie informatie de kranten gaat halen is er bij jou bedrijf/organisatie een zeer slecht beveiligingsbeleid en dat lijkt me dan ook een perfect idee om daar je blik op te focussen omdat het schandalig is dat er speciale beveiligingsmensen rondlopen die zich niet voldoende bezighouden met informatiebeveiliging.
Je merkt het ook aan het nieuws (denk aan de AIVD en andere topstukken die dagelijks lekken/gejat worden) dat Informatiebeveiliging een "hot-item" is (vooral binnen IT).

[ Voor 104% gewijzigd door Mr.S op 26-01-2006 21:38 ]

tiro schreef op donderdag 26 januari 2006 @ 21:30:
Voor iemand die de moeite neemt een glasvezel op te graven en aan elkaar te lassen is het kraken van een beetje vpn beveiliging ook vast geen obstakel. Dus als je dat wilt voorkomen moet je gewoon geen lijnen tussen panden leggen maar gewoon alles binnen 1 pand houden.

Dat is ook een oplossing van niets.
Wanneer je het zou willen zal het best lukken om een veilig netwerk te maken, 100% lukt nooit maar dat is niet mijn issue. Wat ik bedoel is dat het de taak is voor managers om te bepalen welke bedreiging wordt aangepakt en welke niet, dit is zeer eenvoudig te doen door bekende modellen uit de informatiebeveiliging.

Kans * Impact = Urgentie


Dus bij de afweging van de managers moeten zij kijken of het risico voor lief wordt genomen of dat de kosten het waard zijn om dit risico uit te sluiten.

De vraag is niet "is het onkraakbaar", maar is het "onkraakbaar genoeg"!

Wordt er dan ondertussen al multi-mode apparatuur gebruikt in de stedelijke netwerken? De laatste keer dat ik telecomapparatuur in deze orde tegenkwam (paar jaar terug bij Lucent Technologies te Huizen, nu helaas alweer een paar jaar gesloten) werd er met single-mode STM-16 (10Gbit/s) gewerkt, en was STM-64 (40Gbit/s) net nieuw. Groot nadeel van multimode was toen iig dat die apparatuur gillend duur was, en eigenlijk alleen voor long-haul netwerken gebruikt werd op plekken waar je lastig even een vezeltje bij legt (transatlantische verbinding en door andere onherbergzame gebieden).

Volgens mij moet het trouwens theoretisch wel mogelijk zijn om te detecteren of je afgeluisterd wordt. Je weet de exacte frequentie die aan beide kanten verzonden wordt, de afstand en het is mogelijk om signaallooptijden te meten. Een stukje elektronica in het midden is zowieso te detecteren, want je moet ergens van licht naar elektra en weer terug: kost tijd. Je hebt wel nauwkeurige meetapparatuur nodig, die vertragingen in de orde van fracties van msec kan meten. Daarnaast werkt STM-apparatuur iig met een behoorlijk nauwkeurige klok, waardoor afwijkingen echt wel opvallen.

Wil je er aub om denken dat de mensen die zich met beveiliging bezig moeten houden er misschien wel xx jaar werken, en jouw baas ook al xx jaar kennen? Wees voorzichtig hoe je deze zaken in je rapport aankaart, zodat je niet het tegenovergestelde effect bewerkstelligt.

Parody schreef op donderdag 26 januari 2006 @ 21:42:
Wordt er dan ondertussen al multi-mode apparatuur gebruikt in de stedelijke netwerken? De laatste keer dat ik telecomapparatuur in deze orde tegenkwam (paar jaar terug bij Lucent Technologies te Huizen, nu helaas alweer een paar jaar gesloten) werd er met single-mode STM-16 (10Gbit/s) gewerkt, en was STM-64 (40Gbit/s) net nieuw. Groot nadeel van multimode was toen iig dat die apparatuur gillend duur was, en eigenlijk alleen voor long-haul netwerken gebruikt werd op plekken waar je lastig even een vezeltje bij legt (transatlantische verbinding en door andere onherbergzame gebieden).

Ehm, juist daar gebruik je single-mode? (Langere afstand overbrugbaar vanwege minder verlies van licht).

Multimode wordt dan weer juist gebruikt in netwerken over kortere afstanden omdat 't goedkoper is. (Maar dus niet zo ver reikt als single-mode, daarom ideaal voor in gebouwen.)

Oh, en waarschijnlijk hebben we 't niet over STM-hardware maar gewoon over ethernet.

[ Voor 5% gewijzigd door CyBeR op 26-01-2006 21:47 ]

Mr.S schreef op donderdag 26 januari 2006 @ 21:20:
[...]


Dat zou ik niet doen.

Ik zou misschien het risico (in dit geval de fysieke bedreiging) beschrijven voor je manager en uitleggen dat het gaat om een risico omtrent de informatiebeveiliging met een kleine kans en een hele hoge impact en dat het management zich over de kwestie mag buigen om te kijken wat ze ermee doen en hoe zij de urgentie inschatten.

Ik denk dat als je het op die manier brengt er best een salarisverhoginkje in december in zit.

Ja, maar jij kent die beruchte B100 uit dit topic
Maar wat meer serieus, het advies van mij dat jij nu quote komt wel van voor de opmerking dat zijn bedrijfsinfo blijkbaar nogal gevoelig is.

Maar een heel rapport schrijven is misschien ook wat overdreven he, praat daar gewoon eens over met die mensen van de beveiliging, misschien hebben ze een heel goede verklaring. Of is die security zo geheim dat zelfs jij 't niet weet
Lijkt me toch dat die mensen dat wel interessant vinden als jij daar interesse voor toont.
Als nou blijkt dat die hele security hun niet boeit kan je altijd nog je baas een rapportje onder de deur door schuiven.

Ah, dit soort apparatuur bedoelde ik. De Lucent LambdaXtreme: http://www.lucent.com/pro...OID+100175-LOCL+1,00.html . Da's wat ze gebruiken om de Atlantische oceaan over te steken. 4000 km vind ik wel long-haul, hoor... Hier waren ze nog mee bezig op het moment dat ik weg ging. Maar nu je het zegt (ik ben al even uit dat wereldje weg) hadden ze toen ook al de OLS 80G in Huizen, waarvan KPN er iig een aantal heeft staan. Ook multi-mode, maar de datarate per frequentie was niet extreem hoog (STM-4, dus 2.5 Mbit/sec als ik me niet vergis). Het ding wordt ook niet meer verkocht.

Maar wel een goede ontwikkeling dat multi-mode goedkoop geworden is. Ik zag ook al op de Lucent-site dat ze die dingen al aan bedrijven verkopen, dus echt heel duur zullen ze niet meer zijn. Waar ze toen wel mee bezig waren was om het makkelijk te maken om diverse bestaande inputs over 1 glasvezel te prakken door de frequentie aan te passen.

Maar even on-topic:
Over wat voor datarates praten we eigenlijk? En wat dacht je van inpandig afluisteren? Je hebt welliswaar switches tegenwoordig (dus lastig afluisterbare punt-punt verbindingen), maar ik weet van bijvoorbeeld sommige modellen Cisco's dat ze er geen probleem mee hebben om alle data ook nog even over een ander poortje naar buiten te sluizen. Volgens mij is het risico op een niet helemaal nette medewerker (of een buitenstaander die heel brutaal naar binnen loopt met een met de juiste programmatuur uitgeruste laptop onder z'n arm!) groter dan dat men kabels uit gaat graven. Da's dan wel een goede reden om met encryptie te werken, want je maakt ze zo het afluisterleven een stuk lastiger.

Anyways.. Er ligt daar verder ook echt geen enkele fiber in de grond hoor. Als je een fiber legt gaat dat met buizen van minimaal 5cm doorsnee tegelijk. Zitten ook een stuk of 20/30 fibers in. Het is niet simpel even 1/2 fibers lassen. Die hele buis zijn ze best lang mee bezig en dat is echt wel te merken als er ergens een gejatte Schuuring bus op de stoep staat met een gat van 5 meter omtrek.

Niet dat er ook maar iemand de politie belt ofzo

Geil topic

"Dat is inderdaad de bedoeling."

-->> Die verhoging in December?
Hoe dan ook, ook even een welgemeend advies (heb dit al vaker gedaan, politiek is leuk), maak wel eens dat gesprek met je manager, vertel hem dat JOU dingen zijn opgevallen mbt beveiliging, en VRAAG hem of hij een overzicht hiervan zou willen hebben. Dan kan je hem verbluffen met een goed geschreven rapportje, met overzichten en FEITEN.

Realiseer dat je je zelf geen goed doet door je chef te kijk te zetten door hier onverwacht mee te komen, je begint net zeg je, en met stroop vang je meer vliegen dan met azijn.
Je weet vast meer al dan dat je gevraagd wordt, maar daardoor komt het (helaas voor je) vaak ook ongeloofwaardig over als jij met die conclusies komt. Hou je bij de feiten, statistieken kun je wel ook aanhalen.

@ Parody: "Cisco's dat ze er geen probleem mee hebben om alle data ook nog even over een ander poortje naar buiten te sluizen" == Monitor poort waar ik het eerder over had.

[ Voor 12% gewijzigd door ReLight op 26-01-2006 22:33 ]

Over wat voor datarates praten we eigenlijk? En wat dacht je van inpandig afluisteren? Je hebt welliswaar switches tegenwoordig (dus lastig afluisterbare punt-punt verbindingen), maar ik weet van bijvoorbeeld sommige modellen Cisco's dat ze er geen probleem mee hebben om alle data ook nog even over een ander poortje naar buiten te sluizen

de datarate: Al zou het ethernet zijn, dan heb je goed apparatuur nodig, mensen die glasvezel gebruiken transporteren over het algemeen wel aardig wat data. als je laptop eran zou hangen (als dat zou kunnen) vliegt ie bij wijze van spreke in de fik door de data

een sniffer poort heet dat... span (switch port analyzer). die kopieeert idd alle ingekomen data van poort x naar de naar willekeur in te stellen (min. 100MB) poort. (bij Cisco)
Ik denk dat dat het gevaarlijkst is.
Ik heb eens na zitten denken over die soort van repeater. Diegeen die het wil doen moet in principe precies weten wat ie doorzaagt en wil sniffen. Wat voor apparatuur moet diegeen gebruiken?

Als het een dark fiber is (zoals werd vermeld in previous replies) weet je namelijk niet wat voor een drager over de vezels heen gaat. Een dark fiber is namelijk een fiber waar geen carier overheen gaat zoals bij SDH bijv. het geval is. de directly connected poorts (dus de apparatuur die eraan hangt) verzorgt de signalen. fibers waarbij bijv SDH (zoals ons ADSL signaal welk vaak ATM over SDH is) wordt gebruikt als carrier, heeft zijn eigen specificaties. Verder nog de type GBIC's (glasconnectors) die diegeen zou moeten gebruiken. (SX (multi), LX (single), ZX(single) en XD(single)) die allen eigen eigenschappen hebben denk aan afstand en vermogen (Lx en Zx tegenover elkaar werkt niet, verschillende golflengtes; waarschijnlijk aand Zx kant geen link en de Lx kant Rx wordt opgeblazen; Lx is een LED GBIC en Zx een laser) En dan hebben we het niet eens over bijv DWDM (meerdere kleuren door dezelfde vezel).

Dus een soort van glashub moet je dan gebruiken. (Ik heb er nog nooit van gehoord) Van een repeater weer wel, maar die heeft voorzover ik weet maar 2x Tx en 2x Rx (transmit en receive)

En de onderbreking zie je wel degelijk al is ie maar 0,1 s (het valt echter niet te achterhalen hoe het kwam) Ik neem aan dat jullie apparatuur beheert wordt en iets van syslog meldingen en/of traps genereert.

just my 2 yen

edit: kijk eens hier:
http://www.flukenetworks.com/nl/default.htm

(dan heb je dus weer connectors nodig) en als je een kabel doorzaagt, moet je er toch een stukje aan lassen anders kom je tekort)

[ Voor 6% gewijzigd door Kabouterplop01 op 26-01-2006 22:56 ]

Ik ga er vanuit dat je niet alle data op hoeft te slaan, maar wat selectiever te werk gaat. Als je een pakketje al vroegtijdig aan de kant kunt schuiven scheelt dat verwerkingstijd. Maar ik ben wel met je eens dat een laptop een volledige 1Gbit verbinding niet gaat trekken... 100Mbit zal nog wel lukken met een beetje stevige laptop. 10Mbit was al totaal geen probleem voor een oude 486DX2-66 met 16MB geheugen met Ethereal onder Linux, en huidige hardware is toch zeker wel 10x zo snel...

Optische switches bestaan iig wel, die bestaan uit een hele horde kleine "spiegeltjes" op een chip. Ik heb wel eens zo'n ding in m'n handen gehad, en ze zijn echt enorm (en dus ook erg duur) voor een chip. Wat die dingen kunnen is licht routeren, zodat je de slag van licht naar elektra naar licht over kunt slaan. Scheelt een hoop apparatuur. Een optische hub is lastig, want je hebt nogal te maken met signaalverlies. Licht laat zich wat minder makkelijk versterken...

Parody schreef op donderdag 26 januari 2006 @ 23:08:
Optische switches bestaan iig wel, die bestaan uit een hele horde kleine "spiegeltjes" op een chip. Ik heb wel eens zo'n ding in m'n handen gehad, en ze zijn echt enorm (en dus ook erg duur) voor een chip. Wat die dingen kunnen is licht routeren, zodat je de slag van licht naar elektra naar licht over kunt slaan. Scheelt een hoop apparatuur. Een optische hub is lastig, want je hebt nogal te maken met signaalverlies. Licht laat zich wat minder makkelijk versterken...

Dat zijn erg coole dingen. AMS-IX gebruikt ze voor hun 10gig-verbindingen. http://www.glimmerglass.com/optical_switch.aspx

Wat al meer in de topic vermeld is. Het is alleen mogelijk doormiddel van de kabel doormidden snijden en dan een afsplitsing ertussen lassen. Dit kan idd door een gat te graven. De desbetreffende HDPE buis open te maken en de juiste glasvezelkabel eruit te vissen en deze doormidden snijden en een afsplitsing ertussen lassen. Makkelijkste zou zijn als er ergens een handhole zit. Dat scheelt een hoop graaf werk Makkelijk is het allemaal niet. Het moet precies gebeuren en de glasvezelkabels bevatten gel die het werk enorm ranzig maakt.

Defensie maakt ook gebruik van glasvezelkabel. Als deze geheime informatie overzenden dan loopt er altijd een team wacht langs de kabel (het gaat hierbij om een tijdelijke kabel boven de grond of in de grond).

Was het niet zo dat de laser van een SFP wordt uitgeschakeld wanneer er geen link is?
(Ter voorkoming van schade aan ogen e.d.)

Je kan eens kijken naar SFP's / XENPAKs met digital optical monitoring ( DOM )
Zie:
http://www.cisco.com/en/U...heet0900aecd8033f885.html

The GLC-BX-D and GLC-BX-U SFPs also support digital optical monitoring (DOM) functions according to the industry-standard SFF-8724 Multi Source Agreement (MSA). This feature gives the end user the ability to monitor real-time parameters of the SFP, such as optical output power, optical input power, temperature, laser bias current, and transceiver supply voltage.

Je netwerkmanagement software kan je zo instellen, dat er critike fouten gegenereerd worden op uitval van een glasvezellink (Link down, of iets als Rapid Spanning Tree) en of schommelingen in optical in/output power.

MM kabel kun je prima handmatig afwerken:
- ff Een paar 8jes draaien op polijstpapier.
- Connector inspuiten met lijm.
- Connector + vezel uit laten harden m.b.v. een oventje
Been there... Done that.

SM is een heel ander verhaal. Daar heb je tamelijk kostbare apparatuur voor nodig.
De vezels moeten namelijk perfect aansluiten... Op microscopische schaal.
Deze apparatuur lijnt dan ook automatisch de vezels uit, voordat ze gefused worden.
Daarnaast gebruiken ze ook mobiele gaskachels om de temp. optimaal te houden.

Dan heb ik het nog niet over het opgraven en de HDPE buis.

Op een dedicated encryptie gebruiken is wat overkill. Maar ik weet niet wat voor interesante gegevens dat zijn

Het lijkt mij eenvoudiger om het netwerk van binnen uit, dan wel buitenaf te hacken.
- Switch port mirroring
- Acces via internet gateway / inbel-modems of wireless
- enz.

@Parody:
Ik wist niet dat men MM op de long-haul gebruikt...
Die LambdaXtreme stond meen ik op de voorlaatste Cebit.

-Blackbird- schreef op vrijdag 27 januari 2006 @ 00:47:@Parody:
Ik wist niet dat men MM op de long-haul gebruikt...
Die LambdaXtreme stond meen ik op de voorlaatste Cebit.

Die LambdaXtreme plug je dan ook SMF in (zie DataSheet). Voor long-haul verliest MMF gewoon te veel licht door dat 't te veel ruimte krijgt om af te buigen.

overigens apparatuur om gigabit verbindgen te sniffen aka protocol analyser zijn gewoon te koop hoor. Hoe denk je dat providers vage storingen oplossen. Die dingen kosten een godsvermogen maar ze zijn er wel. Wij hebben het wel eens gehad dat er door een software fout vande leverancier een bit een paar bytes te ver wordt gezet in plaats van in de frameheader. Dan moet je wel gaan sniffen

Parody schreef op donderdag 26 januari 2006 @ 21:42:
Wordt er dan ondertussen al multi-mode apparatuur gebruikt in de stedelijke netwerken? De laatste keer dat ik telecomapparatuur in deze orde tegenkwam (paar jaar terug bij Lucent Technologies te Huizen, nu helaas alweer een paar jaar gesloten) werd er met single-mode STM-16 (10Gbit/s) gewerkt, en was STM-64 (40Gbit/s) net nieuw. Groot nadeel van multimode was toen iig dat die apparatuur gillend duur was, en eigenlijk alleen voor long-haul netwerken gebruikt werd op plekken waar je lastig even een vezeltje bij legt (transatlantische verbinding en door andere onherbergzame gebieden).

Parody schreef op donderdag 26 januari 2006 @ 22:08:
Ah, dit soort apparatuur bedoelde ik. De Lucent LambdaXtreme: http://www.lucent.com/pro...OID+100175-LOCL+1,00.html . Da's wat ze gebruiken om de Atlantische oceaan over te steken. 4000 km vind ik wel long-haul, hoor... Hier waren ze nog mee bezig op het moment dat ik weg ging. Maar nu je het zegt (ik ben al even uit dat wereldje weg) hadden ze toen ook al de OLS 80G in Huizen, waarvan KPN er iig een aantal heeft staan. Ook multi-mode, maar de datarate per frequentie was niet extreem hoog (STM-4, dus 2.5 Mbit/sec als ik me niet vergis). Het ding wordt ook niet meer verkocht.

STM-1 155,52Mbps
STM-4 622,08Mbps
STM-16 2488,32Mbps
STM-64 9953,28Mbps
STM-256 39813,12Mbps

Verder als toevoeging op het snif verhaal. Een goede darkfibre leverancier monitored zijn vezels door minimaal 1 keer per uur een OTDR meting te doen in het 1625nm venster. Het voordeel van het 1625nm venster is gevoelig voor buiging (opgraven, uit de put halen) van de kabel. Maar ook als het de OTDR meting het einde van de kabel niet haalt je weet dat er iets niet goed is. Extra apparatuur (de sniffer) in het midden laat dit niet door, en zelfs als men dit zou splitsen (bypass van 1625nm golflengte) word dit door de gevoeligheid van het 1625nm venster meetbaar.

Mocht men tenslotte toch fysiek bij de mantelbuis, kabel, tubes en vezels in de tube komen, dan moet men ook de exacte lijncodering/apparatuur hebben om dit zonder problemen te decoderen.

a. Fysiek toegang tot de locatie waar de data is opgeslagen is makkelijker.
b. Apparatuur, als in zoveel leveranciers, modellen dan wel lijn protocollen.
c. Monitoring van glasvezels.
d. Verstoring van de andere klanten, ook al zou je de kabel over de lengte kunnen openen op de vezel los te krijgen. De tijd om dit zo netjes te doen is er niet.
e. Kabels lassen is niet in 2-4 uur gedaan, dit duurt afhankelijk van de soort kabel minimaal 6 uur.
f. SDH/DWDM/Ge/10Ge etc. etc.
g. Kans dat het gebeurt en precies de data gesnift word voor detectie is erg verwaarloosbaar.

Ik denk dat je beter kan gaan kijken hoe je servers fysiek beveiligd zijn en hoe het staat met passworden en eventueel een aanval van binnenuit. Maar volgens mij stijgt de "hoe beveiligd is mijn netwerk" gewoon een beetje naar je bol

@Gillie: dat STM-x verhaal is voor mij duidelijk te lang geleden, en ik was te lui om het op te zoeken. Dank! Nu ik die tabel zie komt het allemaal weer een beetje bovendrijven.

Ik kan me trouwens nog ergens vaag herinneren ergens een artikel gelezen te hebben dat de moeilijkheid (onmogelijkheid?) van het ongedetecteerd afluisteren van een glasvezel als één van de grote voordelen gezien werd... Maar ook dat is uit m'n STM-x tijdperk, waardoor het bovenstaande waarschijnlijk ook hier voor geldt. Ik word oud!!!

[ Voor 49% gewijzigd door Parody op 27-01-2006 21:27 ]

Nou ja, je zegt 't al: ongedetecteerd is 't volgens mij onmogelijk.

titelfix

Een goede darkfibre leverancier monitored zijn vezels door minimaal 1 keer per uur een OTDR meting te doen in het 1625nm venster

Is dat om geen interferentie met de 1550nm te krijgen?

Kabouterplop01 schreef op zaterdag 28 januari 2006 @ 14:12:
[...]


Is dat om geen interferentie met de 1550nm te krijgen?

In theorie is het mogelijk om zowel klant signalen in de 1310/1550nm golflengte en 1625nm golflengte door één vezel te sturen. Maar in het algemeen zal een darkfiber leverancier 1-4 vezels opofferen voor netwerk bewaking.

Daarnaast word 1625nm in DWDM techniek vaak gebruikt om de zogenoemde OSC (Optical Supervisory Channel) te transporteren. Dit gaat dan buiten alle versterkers, splitters en optische multiplexers langs.

OTDR op 1550nm en 1310nm is relatief ongevoelig voor 'buiging', 'temperatuur' en 'trilling'. 1625nm is gevoeliger en kan je middels het testsysteem thresholds instellen. Indien een threshold overschreden word krijgt de betreffende darkfiber leverancier een alarm in hun netwerk bewakings centrum. Vaak is dit genoeg, voor dit merkbaar is voor de klant, om acties te ondernemen.

[ Voor 17% gewijzigd door Gillie op 28-01-2006 17:32 ]

Goede verhalen, vooral van Gillie.
Het is bekend dat het mogelijk is, de amerikanen hebben het in Irak gedaan.
Algemeen is de kosten batenanalyse zo klein en het risico van detectie zo groot dat het een verwaarloosbaar risico is. Je moet veelmeer in je bedrijf beducht zijn op zaken die aan de muur zitten of uit de muur komen.
Ik denk dat de topicstarter eerst maar even een jaartje zijn mond kan houden in het bedrijf. Als je over security zou beginnen terwijl je net begint dan zou ik je heel raar aankijken.

1 eigenschap van Glasvezel kan in je voor/ nadeel werken.. Na 8 jaar moet hij vervangen worden dus dan is alle moeite voor de eventuele onderschepper voorbij. + dat hij met X aantal km/u een schoonmaak prop tegen de apparatuur krijgt

klaasbram schreef op maandag 30 januari 2006 @ 22:41:
1 eigenschap van Glasvezel kan in je voor/ nadeel werken.. Na 8 jaar moet hij vervangen worden dus dan is alle moeite voor de eventuele onderschepper voorbij. + dat hij met X aantal km/u een schoonmaak prop tegen de apparatuur krijgt

Maar daar heb je weinig aan als je al 4 jaar bent afgeluisterd en daardoor verschillende miljoenenopdrachten bent misgelopen. Persoonlijk zeg ik: Alles wat extern gaat, gaat ook over een VPN. Maar het is inderdaad zeer de vraag of het goed is voor de TS om gelijk als wijsneus bekend te staan en zich te bemoeien met zaken die hem niet aan gaan. Want het is dus "nogal" moeilijk om een glasvezelverbinding ongemerkt af te luisteren.

Voor een kwaadwillige zou het veel eenvoudiger zou om de TS (bijvoorbeeld) wat geld toe te schuiven om een wifi bridge op het netwerk aan te sluiten en dat signaal buiten op te vangen. Vergeet niet, het overgrote deel van de beveiligingsproblemen worden door de eigen werknemers veroorzaakt.

klaasbram schreef op maandag 30 januari 2006 @ 22:41:
Na 8 jaar moet hij vervangen worden[...]

Is dit echt waar?

Vinnienerd schreef op maandag 30 januari 2006 @ 23:52:
[...]


Is dit echt waar?

In Amsterdam gaan ze uit van 30 jaar. Dus of Klaasbram weet meer dan ze in Amsterdam weten en krijgt men over een jaartje of 10 daar een gigantisch probleem of Klaasbram weet het niet beter.

Andere projecten verwachten trouwens een economische levensduur van 15 jaar dus Amsterdam lijkt wel erg optimistisch. Maar Klaasbram dus wel redelijk pesimistisch.

Ik zou me totaal geen zorgen maken over dit mogelijke beveiligingsprobleem. Voordat er maar één byte data wordt onderschept merkt de beheerder van de kabel dit allang. Daarnaast kan je ook andere methoden gebruiken zoals IPSec op je interne netwerk om de data te coderen. Natuurlijk ben je afhankelijk van het OS, maar in een pure MS omgeving met Win2K of hoger is dat in een vloek en een zucht geconfigureerd.
Bij security heb je veel andere aandachtspunten waaronder:

1. CAT bekabeling, straling hiervan valt te onderscheppen en te decoderen. Zolang iemand maar dicht genoeg bij het pand in de buurt kan komen.
2. Wachtwoord beleid, de meeste diefstal van gegevens komt binnenuit, liefst onder de login/pass van een collega. Beetje bedrijf heeft minimale lengte van 8 letters met tenminste 2 van de volgende drie: speciaal teken, hoofdletter, getal. Daarbij een wachtwoord history van 6 tot 12 maanden en de regel dat het wachtwoord niet op de gebruikersnaam mag lijken.
3. Geen gedeelde accounts, ook niet als iemand even de functie van iemand anders moet overnemen. Dat regel je met rechten op je data. En het hebben van toegang tot de data van iemand in zijn PERSOONLIJKE home folder is ook geen excuus. Want als die data voor een afdeling is dan hoort deze op een centrale afdelingsfolder, waarin rechten ook geregeld kunnen worden voor de functie in een afdeling.
4. Gebruikersnamen zijn ook al zo iets, de bekende 3 letter codes zijn ondingen. Veel os'en en applicaties ondersteunen langere namen. Goede namen zijn bijvoorbeeld pietje.puk of d.s.beheerder. Mooiste is als ze overéénkomen met e-mail adres. Of namen met personeelsnummer, bijvoorbeeld PP012345
5. Geen Wireless devices in het netwerk of alleen in combinatie met Radius of andere zware authenticatie/encrypty methoden.
6. Verbod op CD branders, USB keys, floppies.
7. Geen e-mail met documenten toestaan of loggen.
8. Internet sites waar je data kan uploaden niet toestaan (bijvoorbeeld: http://www.yousendit.com)
9. Auditing op security en bestanden.
10. Allowlist van VPN toegang tot het netwerk via de firewall. Dus niet vanaf iedere werkplek op de wereld toestaan.
11. Hardware VPN tokens.
12. Encryptie van Laptops, liefst hardwarematig.
13. Verbod op Prive gebruik van laptops. Willen ze prive, dan apparte laptop of pc thuis. Maar niet op machine van de zaak.
14. Goede en robuuste afsluiting van de server/netwerk ruimtes.
15. Gebruik maken van portlogin op MAC adres of speciale key op je netwerk switches.
16. En het belangrijkste: een hard, doch rechvaardig beleid op papier waar mensen op aangesproken kunnen worden en de mensen hierover inlichten. Eventueel sancties.

En natuurlijk zijn er nog veel meer zaken op te noemen.

wim-bart schreef op dinsdag 31 januari 2006 @ 01:19:
Ik zou me totaal geen zorgen maken over dit mogelijke beveiligingsprobleem. Voordat er maar één byte data wordt onderschept merkt de beheerder van de kabel dit allang. Daarnaast kan je ook andere methoden gebruiken zoals IPSec op je interne netwerk om de data te coderen. Natuurlijk ben je afhankelijk van het OS, maar in een pure MS omgeving met Win2K of hoger is dat in een vloek en een zucht geconfigureerd.
Bij security heb je veel andere aandachtspunten waaronder:

1. CAT bekabeling, straling hiervan valt te onderscheppen en te decoderen. Zolang iemand maar dicht genoeg bij het pand in de buurt kan komen.
   [..]
2. En het belangrijkste: een hard, doch rechvaardig beleid op papier waar mensen op aangesproken kunnen worden en de mensen hierover inlichten. Eventueel sancties.

En natuurlijk zijn er nog veel meer zaken op te noemen.

In veel bedrijven is het onmogelijk om veel van dit soort aandachtspunten te implementen en/of te controleren. Externe medewerkers reizen wat af en gebruiken vele verschillende netwerken in binnen en buitenland. Die netwerken kun je dus (vaak) niet zomaar blokkeren. Een goed veiligheidsbeleid moet het bedrijfsprocess niet onnodig frustreren. Maar inderdaad, zorg dat het personeel op de hoogte is van het beleid en de achterliggende redenen. En houdt de vinger aan de pols.

Maar zo raken we steeds verder off topic.

klaasbram schreef op maandag 30 januari 2006 @ 22:41:
1 eigenschap van Glasvezel kan in je voor/ nadeel werken.. Na 8 jaar moet hij vervangen worden dus dan is alle moeite voor de eventuele onderschepper voorbij. + dat hij met X aantal km/u een schoonmaak prop tegen de apparatuur krijgt

In de praktijk hangt de levensduur van de kabelbreuken af. Voor de Business Case moet men ergens een aanname doen voor de Return of Investment, daar neem je bijvoorbeeld 8 jaar voor. Oftewel, de kabel dient zich zelf binnen 8 jaar terug te verdienen.

Schoonmaak proppen? Bij het blazen van glasvezelkabel word die mantelbuis vanzelf schoon. Overigens, word er een nieuwe kabel ingeblazen, dan merk je snel genoeg als de perslucht onsnapt. De lucht (en het bijbehorende grondwater/blubber) komt er namelijk bij het volgende Hand Hole niet uit.