IPSec per traffico LAN: considerazioni di base?

Questo è un follow-up alla mia crittografia assolutamente tutto … domanda.

Importnte : questo non riguarda l'impostazione più comune di IPSec, in cui si desidera crittografare il traffico tra due reti LAN.

  • Posso recuperare un'unità crittografata bitlocker offline?
  • eseguire comandi shell shell arbitrari, crittografati tramite http (s)?
  • Opzioni di videoconferenza e schermata di condivisione per Windows
  • La sfida di colbind la networking di due edifici
  • Windows Server 2012 R2 DataCenter La richiesta di elencare le funzionalità disponibili sul server specificato non è rioutput
  • Le porte di accesso alle porte del trunk?
  • Il mio objective fondamentale è quello di crittografare tutto il traffico all'interno di una LAN di una piccola azienda. Una soluzione potrebbe essere IPSec. Ho appena iniziato a conoscere l'IPSec e, prima di decidere di utilizzarlo e di immersione più profonda, vorrei avere una panoramica su come questo potrebbe sembrare.

    • C'è un buon supporto cross-platform? Deve lavorare su client Linux, MacOS X e Windows, server Linux e non richiede hardware hardware di networking costoso.

    • Posso abilitare IPSec per un'intera macchina (quindi non ci può essere altro traffico in entrata / in output) o per un'interface di networking o è determinato dalle impostazioni del firewall per le singole porte …?

    • Posso bloccare facilmente i pacchetti IP non IPSec? E anche "il male" di Mallory "il traffico IPSec che è firmato da qualche chiave, ma non il nostro? La mia concezione ideale è rendere imansible avere un tale traffico IP sulla LAN.

    • Per il traffico interno LAN: scegliere "ESP con authentication (no AH)", AES-256, in modalità "Trasporto". È una decisione ragionevole?

    • Per il traffico LAN-Internet: come functionrebbe con il gateway Internet? Vorrei usare

      • "Modalità tunnel" per creare un tunnel IPSec da each macchina al gateway? Oppure potrei anche usare
      • "Modalità di trasporto" al gateway? Il motivo per cui chiedo è che il gateway dovrà essere in grado di decrittografare i pacchetti provenienti dalla LAN, quindi avrà bisogno delle chiavi per farlo. È ansible, se l'indirizzo di destinazione non è l'indirizzo del gateway? O dovrei usare un proxy in questo caso?
    • C'è qualcosa che dovrei considerare?

    Ho solo bisogno di una rapida panoramica di queste cose, non di istruzioni molto dettagliate.

    3 Solutions collect form web for “IPSec per traffico LAN: considerazioni di base?”

    • C'è un buon supporto cross-platform? Deve lavorare su client Linux, MacOS X e Windows, server Linux e non richiede hardware hardware di networking costoso.

    Non ho molto esperienza con questo, poiché ho principalmente sisthemes Linux, ma ho fatto per principio lavorare su una macchina Windows 2000 (questo era qualche tempo fa). Aveva un problema che l'IPsec non riuscì a rinegoziare una nuova chiave di session dopo che un certo numero di byte era stato trasferito (questo è supposto per accadere automaticamente), quindi la connessione è sceso dopo un po 'e non mi potevo mai preoccupare di scavare ulteriore. Probabilmente funziona molto meglio oggi.

    • Posso abilitare IPSec per un'intera macchina (quindi non ci può essere altro traffico in entrata / in output) o per un'interface di networking o è determinato dalle impostazioni del firewall per le singole porte …?

    Come funziona (o, piuttosto, come sono riuscito a farlo funzionare), si definisce che un computer foo deve utilizzare solo IPsec per la barra , la base e il yow delle macchine. Ogni traffico da e verso queste macchine è ormai sicuro e affidabile come le macchine. Qualsiasi altro traffico non è IPsec e funziona normalmente.

    • Posso bloccare facilmente i pacchetti IP non IPSec? E anche "il male" di Mallory "il traffico IPSec che è firmato da qualche chiave, ma non il nostro? La mia concezione ideale è rendere imansible avere un tale traffico IP sulla LAN.

    Il traffico IPsec è consentito solo per quei criteri IPsec definiti, in modo che qualsiasi macchina random non possa submit pacchetti IPsec – deve esistere una politica IPsec corrispondente a questi pacchetti.

    • Per il traffico interno LAN: scegliere "ESP con authentication (no AH)", AES-256, in modalità "Trasporto". È una decisione ragionevole?

    Sì. Si parla di abbandonare completamente AH perché è ridondante: è ansible utilizzare ESP con la crittografia NULL con lo stesso effetto.

    • Per il traffico LAN-Internet: come functionrebbe con il gateway Internet? Vorrei usare
      • "Modalità tunnel" per creare un tunnel IPSec da each macchina al gateway? Oppure potrei anche usare

    Vorrei scegliere questa opzione. Poichè io non controllo il gateway stesso e il traffico sarà comunque non crittografato fuori dalla mia networking, quindi non vedo veramente una necessità urgente.

    Il traffico Internet per gli host che non utilizza IPsec deve essere visto come probabilmente intercettato – non c'è molto da fare per crittografare la LAN locale quando l'ISP o l'ISP dell'ISP possono ascoltare gli stessi pacchetti non crittografati.

    • "Modalità di trasporto" al gateway? Il motivo per cui chiedo è che il gateway dovrà essere in grado di decrittografare i pacchetti provenienti dalla LAN, quindi avrà bisogno delle chiavi per farlo. È ansible, se l'indirizzo di destinazione non è l'indirizzo del gateway? O dovrei usare un proxy in questo caso?

    Come lo capisco, ciò non funziona – avresti bisogno di un proxy.

    • C'è qualcosa che dovrei considerare?

    Vedi se è ansible utilizzare qualcosa di sensibile come i codici OpenPGP anziché i certificati X.509. Io uso X.509 poiché questa era l'unica cosa supportta dal demone di codifica IPsec che ho usato per la prima volta e non ho avuto l'energia da esaminare per ridisegnare tutto. Ma dovrei, e lo farò, un giorno.

    PS Me e un suo associato hanno tenuto una conferenza su IPsec nel 2007, potrebbe essere di aiuto per chiarire alcuni concetti.

    Questo suona un po 'come overkill. Non posso dire che ho mai sentito parlare di qualcuno che incrociasse tutto il traffico sulla propria LAN. Qual è la tua motivazione di guida per farlo?

    IPSec è ottimo per collegarsi a reti non attendibili (ad es. DMZ Web, ecc.) E all'interno e alle reti che sono separate da firewall. Le applicazioni che utilizzano i protocolli RPC (ad es. Microsoft AD, ecc.) Preferiscono utilizzare grandi intervalli di port effimera, che non si bloccano con i firewall. All'interno della LAN, i tuoi vantaggi dipendono da una serie di fattori.

    Non è un proiettile d'argento, e non significa necessariamente semplificare la sicurezza della networking. Ti aiuterà a gestire servizi su internet o altre reti non attendibili senza fare investimenti enormi negli attrezzi di networking.

    Se lo fai come un'esercitazione o un'esperienza di apprendimento, va bene, ma niente che hai pubblicato fino a questo punto fa un argomento convincente per fare quello che stai parlando.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.