IPSec dla ruchu w sieci LAN: podstawowe uwagi?

13

To kontynuacja mojego szyfrowania absolutnie wszystkiego ... pytania.

Ważne : nie chodzi o bardziej typową konfigurację IPSec, w której chcesz szyfrować ruch między dwiema sieciami LAN.

Moim podstawowym celem jest szyfrowanie całego ruchu w sieci LAN małej firmy. Jednym z rozwiązań może być IPSec. Właśnie zacząłem uczyć się o IPSec i zanim zdecyduję się na jego użycie i głębsze zanurzenie, chciałbym uzyskać przegląd tego, jak to może wyglądać.

  • Czy istnieje dobre wsparcie dla wielu platform? Musi działać na klientach Linux, MacOS X i Windows, serwerach Linux i nie powinien wymagać drogiego sprzętu sieciowego.

  • Czy mogę włączyć IPSec dla całego komputera (aby nie było żadnego innego ruchu przychodzącego / wychodzącego), lub dla interfejsu sieciowego, czy jest to określone przez ustawienia zapory ogniowej dla poszczególnych portów / ...?

  • Czy mogę łatwo zablokować pakiety IP inne niż IPSec? A także ruch IPSec „zła Mallory'ego”, który jest podpisany przez jakiś klucz, ale nie nasz? Moją ideą jest uniemożliwienie takiego ruchu IP w sieci LAN.

  • Dla ruchu wewnętrznego LAN: wybrałbym „ESP z uwierzytelnieniem (bez AH)”, AES-256, w „Trybie transportu”. Czy to rozsądna decyzja?

  • W przypadku ruchu w sieci LAN: jak działa z bramą internetową? Chciałbym użyć

    • „Tryb tunelu”, aby utworzyć tunel IPSec z każdej maszyny do bramy? Czy mógłbym również użyć
    • „Tryb transportu” do bramy? Pytam dlatego, że brama musiałaby być w stanie odszyfrować pakiety pochodzące z sieci LAN, więc do tego potrzebne będą klucze. Czy to możliwe, jeśli adres docelowy nie jest adresem bramy? Czy w takim przypadku musiałbym użyć proxy?
  • Czy jest jeszcze coś, co powinienem rozważyć?

Naprawdę potrzebuję tylko szybkiego przeglądu tych rzeczy, niezbyt szczegółowych instrukcji.

Chris Lercher
źródło

Odpowiedzi:

6
  • Czy istnieje dobre wsparcie dla wielu platform? Musi działać na klientach Linux, MacOS X i Windows, serwerach Linux i nie powinien wymagać drogiego sprzętu sieciowego.

Nie mam z tym naprawdę dużego doświadczenia, ponieważ mam głównie systemy Linux, ale dostałem je głównie na komputerze z systemem Windows 2000 (to było jakiś czas temu). Wystąpił problem polegający na tym, że IPsec nie renegocjował nowego klucza sesji po przesłaniu pewnej liczby bajtów (ma to nastąpić automatycznie), więc po pewnym czasie połączenie zostało zerwane i nigdy nie mogłem sobie pozwolić na kopanie w nim dalej. Prawdopodobnie w dzisiejszych czasach działa znacznie lepiej.

  • Czy mogę włączyć IPSec dla całego komputera (aby nie było żadnego innego ruchu przychodzącego / wychodzącego), lub dla interfejsu sieciowego, czy jest to określone przez ustawienia zapory ogniowej dla poszczególnych portów / ...?

Jak to działa jest (lub raczej, jak ja udało się uzyskać to działa), należy określić, że maszyna foo musi używać tylko IPsec do maszyn bar , baz i yow . Każdy ruch zi do tych maszyn jest teraz bezpieczny i równie godny zaufania, jak te maszyny. Każdy inny ruch nie jest IPsec i działa normalnie.

  • Czy mogę łatwo zablokować pakiety IP inne niż IPSec? A także ruch IPSec „zła Mallory'ego”, który jest podpisany przez jakiś klucz, ale nie nasz? Moją ideą jest uniemożliwienie takiego ruchu IP w sieci LAN.

Ruch IPsec jest dozwolony tylko dla tych „ zasad ” IPsec , które zdefiniujesz, więc żaden losowy komputer nie może wysłać pakietu IPsec - musi istnieć polityka IPsec pasująca do tych pakietów.

  • Dla ruchu wewnętrznego LAN: wybrałbym „ESP z uwierzytelnieniem (bez AH)”, AES-256, w „Trybie transportu”. Czy to rozsądna decyzja?

Tak. Mówi się o całkowitym porzuceniu AH, ponieważ jest nadmiarowe - możesz używać ESP z szyfrowaniem NULL z tym samym efektem.

  • W przypadku ruchu w sieci LAN: jak działa z bramą internetową? Chciałbym użyć
    • „Tryb tunelu”, aby utworzyć tunel IPSec z każdej maszyny do bramy? Czy mógłbym również użyć

Wybrałbym tę opcję. W tej chwili sam nie kontroluję bramy, a ruch i tak zostanie zaszyfrowany poza moją siecią, więc tak naprawdę nie widzę pilnej potrzeby.

Ruch internetowy do hostów, które nie używają protokołu IPsec, należy postrzegać jako potencjalnie przechwycony - szyfrowanie w lokalnej sieci LAN nie ma sensu, gdy dostawca usług internetowych lub dostawca usług internetowych może odbierać te same pakiety w postaci niezaszyfrowanej.

  • „Tryb transportu” do bramy? Pytam dlatego, że brama musiałaby być w stanie odszyfrować pakiety pochodzące z sieci LAN, więc do tego potrzebne będą klucze. Czy to możliwe, jeśli adres docelowy nie jest adresem bramy? Czy w takim przypadku musiałbym użyć proxy?

Jak rozumiem, to nie działa - potrzebujesz proxy.

  • Czy jest jeszcze coś, co powinienem rozważyć?

Sprawdź, czy możesz użyć czegoś sensownego, takiego jak klucze OpenPGP zamiast certyfikatów X.509. Używam X.509, ponieważ była to jedyna rzecz obsługiwana przez demona kluczowania IPsec, którego użyłem po raz pierwszy, i nie miałam dość energii, aby zająć się ponownym wykonaniem tego wszystkiego. Ale kiedyś powinienem i zrobię to.

PS Me i współpracownik przeprowadzili wykład na temat IPsec w 2007 r. Pomocne może być wyjaśnienie niektórych pojęć.

Miś
źródło
@Teddy: Fantastyczna odpowiedź (+++ 1) Szybko zeskanowałem też plik PDF, do którego linkujesz - wygląda bardzo podobnie do tego, czego potrzebuję!
Chris Lercher,
0

Brzmi to trochę jak przesada. Nie mogę powiedzieć, że słyszałem o nikim, kto szyfruje cały ruch w swojej sieci LAN. Jaka jest Twoja motywacja do prowadzenia pojazdu?

joeqwerty
źródło
@joe: Nie jestem jeszcze pewien, czy naprawdę chcę to zrobić, czy nie. Może to zabrzmi szalenie, ale naprawdę chcę uprościć koncepcję bezpieczeństwa mojej sieci LAN. Dostęp do sieci WLAN będzie dozwolony, więc będę musiał zrobić coś przeciwko atakom. Albo będzie to skomplikowana konfiguracja IDS, albo mój szalony pomysł szyfrowania wszystkiego. Proszę zobaczyć moje oryginalne pytanie, jeśli chcesz usłyszeć wszystkie szczegóły :-)
Chris Lercher
Brzmi szalenie. Nie jestem ekspertem IPSEC, więc nie mam dla ciebie żadnej pomocy, ale zamierzam śledzić ten post, ponieważ wzbudził moje zainteresowanie.
joeqwerty
5
To wcale nie jest szalony pomysł. Szyfrowanie wszystkiego jest czymś, co wielu ludzi rozważało, szczególnie w tych bezpiecznych środowiskach. AFAIK, jest to jeden z głównych powodów uwzględnienia IPsec w specyfikacji IPv6: więc wszystkie punkty końcowe mogą szyfrować cały ruch. @chris_l, życzę powodzenia i mam nadzieję, że zdecydujesz się to zrobić. Podziel się, jak się okazuje.
Jed Daniels,
1
Więc całkowicie ufasz wszystkim w swojej sieci LAN? Nawet jeśli ktoś z laptopem lub zdolny złamać sieć bezprzewodową (czy jest nieszyfrowany?) Może uzyskać dostęp do sieci LAN do woli? Jeśli naprawdę ufasz wszystkim w swojej sieci LAN, mogę zapytać, dlaczego masz hasło na konsolach podłączonych do niego maszyn - czy ludzie w budynku nie są godni zaufania? Odpowiedź brzmi oczywiście „NIE” i dlatego ruch LAN, podobnie jak każdy inny, powinien być szyfrowany.
Teddy
1
@ Teddy: Nie powiedziałem, że ufam lub nie ufałem nikomu ani nic. Powiedziałem tylko, że brzmi dla mnie jak szalony pomysł. Nie wywnioskuj, co mam na myśli, że nie ma nic między wierszami w mojej odpowiedzi lub komentarzach, tylko ciekawość.
joeqwerty
0

IPSec doskonale nadaje się do łączenia się z niezaufanymi sieciami (np. Web DMZ itp.) Oraz wewnątrz sieci oddzielonych zaporami ogniowymi. Aplikacje korzystające z protokołów RPC (np. Microsoft AD itp.) Lubią korzystać z wysokich efemerycznych zakresów portów, co nie przeszkadza w zaporach ogniowych. W sieci LAN twoje korzyści zależą od wielu czynników.

To nie jest srebrna kula i niekoniecznie uprości bezpieczeństwo sieci. Pomoże Ci to obsługiwać usługi w Internecie lub innych niezaufanych sieciach bez dokonywania dużych inwestycji w sprzęt sieciowy.

Jeśli robisz to jako ćwiczenie lub naukę, to w porządku, ale nic, co napisałeś do tego momentu, nie stanowi przekonującego argumentu, aby zrobić to, o czym mówisz.

duffbeer703
źródło