Ciao a tutti,
mi hanno installato la fibra FTTH Vodafone (business).
Il mio quartiere e' stato cablato da OpenFiber, la tecnologia e' GPON, quindi sulla terminazione ottica ricevo il traffico che esce dallo splitter, corrispondente anche ad altri utenti (e loro il mio...)
Vodafone mi ha installato una Vodafone Power station con modulo fibra SFP, nel pannello di controllo non c'e' nulla riguardo alla crittografia, quindi o non e' implementata o e' legata a un parametro hardware della Station o del modulo SFP che hanno configurato lato server quando mi hanno installato tutto (si sono collegati a qualcosa mentre installavano la rete).
Secondo voi i miei dati sono crittografati oppure condivido tutto con gli amici dello splitter ottico :help: ???

C'e' qualcuno di OpenFiber che sa qualcosa ?
Grazie,
Igor

In un albero GPON i dati delle varie utenze sono crittografati con metodo AES (a 128 bit credo, ma non son sicuro), con chiavi univoche che vengono stabilite in fase di associazione tra OLT (centrale) e ONT (presso il cliente).
Questo è uno dei motivi per cui se viene collegata una ONT non correttamente definita, questa non si collega.

Vale la stessa cosa per il DOCSIS, il WiFi, ed in genere tutte le reti ad accesso condiviso (anche Ethernet se viene usato il MACSEC).

Ok, ma io non ho un ONT, tipo lo scatolotto Huawey che montano alcuni provider, ho una borchia con l'uscita SC/APC, il tutto collegato alla Station che ha un modulo SFP di lato.

Dove e' configurata la crittografia (non che mi interessi piu' di tanto, mi importa sapere se c'e' o no....) ?

Igor

L'ONT è o in formato "standalone", o in modulo SFP.

Ok, ma io non ho un ONT, ho una borchia con l'uscita SC/APC, il tutto collegato alla Station che ha un modulo SFP di lato.

Dove e' configurata la crittografia (non che mi interessi piu' di tanto, mi importa sapere se c'e' o no....)

Igor

Il modulo SFP è l'ONT in questo caso ed è lì dentro che c'è tutto. In downstream è AES-128 con crittografia hardware. In upstream non saprei ma non essendo inviato a tutti non è rilevante. Se temi per il tuo traffico, usa una VPN, è così su tutte le reti.
Se vuoi leggere di più, prova qui (https://sites.google.com/site/amitsciscozone/home/gpon/gpon-fundamentals).

Ok, ora mi e' tutto piu' chiaro, grazie mille !

PS: dove protrei trovare la chiave di crittografia ?
Se volessi configurarla in un altro modem, magari per cambiare la Station in futuro.

Igor

la chiave è scambiata tra olt ed ont, il router non entra in gioco e puoi cambiarlo indipendentemente

Ok ma se volessi installare un router che ha gia' un ONT ? Non c'e' modo di avere la chiave ?
Nello stato della vodafone station vedo un parametro ID REGISTRAZIONE, e' collegato in qualche modo alla crittografia AES ?

Igor

continuiamo a non spiegarci...l'ont viene configurato automaticamente dall'olt (l'apparato di centrale), compreso lo scambio di chiavi...non devi preoccuparti di nulla...se usi un ont riconosciuto e configurato dall'olt poi usi il router che vuoi e buonanotte, discorso uguale se usi un router con sfp integrato (ma qui la compatibilità con olt è già meno probabile, sono prodotto rognosi oltreché rari almeno sul mercato italiano)

Ok perdonami, non avevo capito la configurazione automatica dell'ONT da parte dell'OLT.

In questo caso pero' c'e' un handshaking iniziale in cui l'OLT manda la chiave all'ONT, questa la prima volta (e ogni volta che si connette ? ) viene inviata in chiaro ? Risulta quindi intercettabile dagli altri utenti sullo stesso splitter ?

Quello che non capisco e' se non c'e' una chiave configurata a mano, o una PKI con una Certification Authority che l'ONT accetta come fa a considerare valida una chiave inviata su un canale condiviso ?

Grazie,
Igor

Ok, grazie a tutti per l'aiuto.

In questo libro:

https://books.google.it/books?id=24j4WP0TWmEC&lpg=PA74&ots=SGJLvMTltu&dq=ont%20olt%20key%20exchange&hl=it&pg=PA74#v=onepage&q&f=false

e' spiegato chiaramente che la chiave viene generata dall'ONT, che nel mio caso e' nel modulo SFP (credevo fosse un semplice adattatore Fibra - SFP), e inviata all'OLT, ma dato che l'uplink offre un migliore isolamento ottico si evita che venga intercettata dagli altri utenti attestati sullo stesso splitter, che al massimo possono vedere il downlink, ormai criptato.

Grazie ancora !
Igor