To kontynuacja mojego szyfrowania absolutnie wszystkiego ... pytania.
Ważne : nie chodzi o bardziej typową konfigurację IPSec, w której chcesz szyfrować ruch między dwiema sieciami LAN.
Moim podstawowym celem jest szyfrowanie całego ruchu w sieci LAN małej firmy. Jednym z rozwiązań może być IPSec. Właśnie zacząłem uczyć się o IPSec i zanim zdecyduję się na jego użycie i głębsze zanurzenie, chciałbym uzyskać przegląd tego, jak to może wyglądać.
Czy istnieje dobre wsparcie dla wielu platform? Musi działać na klientach Linux, MacOS X i Windows, serwerach Linux i nie powinien wymagać drogiego sprzętu sieciowego.
Czy mogę włączyć IPSec dla całego komputera (aby nie było żadnego innego ruchu przychodzącego / wychodzącego), lub dla interfejsu sieciowego, czy jest to określone przez ustawienia zapory ogniowej dla poszczególnych portów / ...?
Czy mogę łatwo zablokować pakiety IP inne niż IPSec? A także ruch IPSec „zła Mallory'ego”, który jest podpisany przez jakiś klucz, ale nie nasz? Moją ideą jest uniemożliwienie takiego ruchu IP w sieci LAN.
Dla ruchu wewnętrznego LAN: wybrałbym „ESP z uwierzytelnieniem (bez AH)”, AES-256, w „Trybie transportu”. Czy to rozsądna decyzja?
W przypadku ruchu w sieci LAN: jak działa z bramą internetową? Chciałbym użyć
- „Tryb tunelu”, aby utworzyć tunel IPSec z każdej maszyny do bramy? Czy mógłbym również użyć
- „Tryb transportu” do bramy? Pytam dlatego, że brama musiałaby być w stanie odszyfrować pakiety pochodzące z sieci LAN, więc do tego potrzebne będą klucze. Czy to możliwe, jeśli adres docelowy nie jest adresem bramy? Czy w takim przypadku musiałbym użyć proxy?
Czy jest jeszcze coś, co powinienem rozważyć?
Naprawdę potrzebuję tylko szybkiego przeglądu tych rzeczy, niezbyt szczegółowych instrukcji.
źródło
Brzmi to trochę jak przesada. Nie mogę powiedzieć, że słyszałem o nikim, kto szyfruje cały ruch w swojej sieci LAN. Jaka jest Twoja motywacja do prowadzenia pojazdu?
źródło
IPSec doskonale nadaje się do łączenia się z niezaufanymi sieciami (np. Web DMZ itp.) Oraz wewnątrz sieci oddzielonych zaporami ogniowymi. Aplikacje korzystające z protokołów RPC (np. Microsoft AD itp.) Lubią korzystać z wysokich efemerycznych zakresów portów, co nie przeszkadza w zaporach ogniowych. W sieci LAN twoje korzyści zależą od wielu czynników.
To nie jest srebrna kula i niekoniecznie uprości bezpieczeństwo sieci. Pomoże Ci to obsługiwać usługi w Internecie lub innych niezaufanych sieciach bez dokonywania dużych inwestycji w sprzęt sieciowy.
Jeśli robisz to jako ćwiczenie lub naukę, to w porządku, ale nic, co napisałeś do tego momentu, nie stanowi przekonującego argumentu, aby zrobić to, o czym mówisz.
źródło