LAN trafiği için IPSec: Temel hususlar?

13

Bu benim Şifreleme kesinlikle her şeyi ... bir soru.

Önemli : Bu, iki LAN arasındaki trafiği şifrelemek istediğiniz daha olağan IPSec kurulumu ile ilgili değildir.

Temel amacım küçük bir şirketin LAN içindeki tüm trafiği şifrelemek . Bir çözüm IPSec olabilir. IPSec hakkında yeni bilgi edinmeye başladım ve kullanmaya ve daha derinlemesine dalmaya karar vermeden önce, bunun nasıl görünebileceğine genel bir bakış istiyorum.

  • Platformlar arası iyi bir destek var mı? Linux, MacOS X ve Windows istemcileri, Linux sunucuları üzerinde çalışmalı ve pahalı ağ donanımı gerektirmemelidir.

  • Tüm makine için IPSec'i etkinleştirebilir miyim (böylece gelen / giden başka trafik olamaz) veya bir ağ arabirimi için veya ayrı bağlantı noktaları / ... için güvenlik duvarı ayarları ile belirlenebilir mi?

  • IPSec olmayan IP paketlerini kolayca yasaklayabilir miyim? Ve ayrıca "Mallory'nin kötü" IPSec trafiği, bazı anahtarlarla imzalandı , ancak bizimki değil? İdeal anlayışım, LAN üzerinde böyle bir IP trafiğinin olmasını imkansız hale getirmektir.

  • LAN-dahili trafik için: "Aktarım modunda" "kimlik doğrulamalı ESP (AH yok)", AES-256'yı seçerdim. Bu makul bir karar mı?

  • LAN-Internet trafiği için: İnternet ağ geçidi ile nasıl çalışır? Kullanır mıydım

    • Her makineden ağ geçidine bir IPSec tüneli oluşturmak için "Tünel modu"? Yoksa kullanabilir miyim
    • Ağ geçidine "Taşıma modu" mu? Sormamın nedeni, ağ geçidinin LAN'dan gelen paketlerin şifresini çözebilmesi gerektiğidir, bu yüzden bunu yapmak için anahtarlara ihtiyaç duyacaktır. Hedef adres, ağ geçidinin adresi değilse bu mümkün müdür? Yoksa bu durumda bir proxy kullanmak zorunda mıyım?

  • Dikkate almam gereken başka bir şey var mı?

Gerçekten sadece bu konulara hızlı bir bakış istiyorum, çok ayrıntılı talimatlar değil.

local-area-network  encryption  ipsec 
Chris Lercher
kaynak

Yanıtlar:

6
  • Platformlar arası iyi bir destek var mı? Linux, MacOS X ve Windows istemcileri, Linux sunucuları üzerinde çalışmalı ve pahalı ağ donanımı gerektirmemelidir.

Esasen Linux sistemlerine sahip olduğum için bu konuda çok fazla deneyimim yok, ancak çoğunlukla Windows 2000 makinesinde çalıştım (bu bir süre önceydi). IPsec'in belirli sayıda bayt aktarıldıktan sonra yeni bir oturum anahtarını yeniden pazarlayamamasıyla ilgili bir sorun vardı (bunun otomatik olarak gerçekleşmesi gerekiyor), bu yüzden bağlantı bir süre sonra kesildi ve asla içine girmekten rahatsız olamam Daha ileri. Muhtemelen bugünlerde çok daha iyi çalışıyor.

  • Tüm makine için IPSec'i etkinleştirebilir miyim (böylece gelen / giden başka trafik olamaz) veya bir ağ arabirimi için veya ayrı bağlantı noktaları / ... için güvenlik duvarı ayarları ile belirlenebilir mi?

Nasıl çalışır (nasıl, daha doğrusu, ya da ben , bir makine olduğunu tanımlamak Çalıştırmak için yönetilen) foo gerekir makineleri sadece IPsec kullanmak çubuğu , Baz ve yow . Bu makinelerden gelen ve bu makinelere gelen trafik artık güvenli ve bu makineler kadar güvenilir. Diğer trafik IPsec değildir ve normal çalışır.

  • IPSec olmayan IP paketlerini kolayca yasaklayabilir miyim? Ve ayrıca "Mallory'nin kötü" IPSec trafiği, bazı anahtarlarla imzalandı, ancak bizimki değil? İdeal anlayışım, LAN üzerinde böyle bir IP trafiğinin olmasını imkansız hale getirmektir.

IPsec trafiğine yalnızca tanımladığınız IPsec " ilkeleri " için izin verilir, bu nedenle herhangi bir rasgele makine IPsec paketi gönderemez - bu paketlerle eşleşen bir IPsec ilkesi olmalıdır.

  • LAN-dahili trafik için: "Aktarım modunda" "kimlik doğrulamalı ESP (AH yok)", AES-256'yı seçerdim. Bu makul bir karar mı?

Evet. AH'yi tamamen terk etme hakkında gereksiz olduğu için konuşma var - ESP'yi NULL şifrelemeyle aynı efektle kullanabilirsiniz.

  • LAN-Internet trafiği için: İnternet ağ geçidi ile nasıl çalışır? Kullanır mıydım
    • Her makineden ağ geçidine bir IPSec tüneli oluşturmak için "Tünel modu"? Yoksa kullanabilir miyim

Bu seçeneği seçerdim. Olduğu gibi ağ geçidini kendim kontrol etmiyorum ve trafik zaten ağımın dışında şifrelenmeyecek, bu yüzden gerçekten acil bir ihtiyaç görmüyorum.

IPsec kullanmayan ana bilgisayarlara yönelik İnternet trafiğinin ele geçirilmesi muhtemel görünmelidir - ISS'niz veya ISS'nizin ISS'si şifrelenmemiş aynı paketleri dinleyebiliyorsa yerel LAN'da şifrelemenin pek bir anlamı yoktur.

  • Ağ geçidine "Taşıma modu" mu? Sormamın nedeni, ağ geçidinin LAN'dan gelen paketlerin şifresini çözebilmesi gerektiğidir, bu yüzden bunu yapmak için anahtarlara ihtiyaç duyacaktır. Hedef adres, ağ geçidinin adresi değilse bu mümkün müdür? Yoksa bu durumda bir proxy kullanmak zorunda mıyım?

Anladığım kadarıyla, bu işe yaramıyor - bir proxy'ye ihtiyacınız olacak.

  • Dikkate almam gereken başka bir şey var mı?

X.509 sertifikaları yerine OpenPGP anahtarları gibi mantıklı bir şey kullanıp kullanamayacağınıza bakın. İlk kullandığım IPsec anahtarlama arka plan programı tarafından desteklenen tek şey X.509 kullanıyorum ve hepsini yeniden yapmak için enerjiye sahip değildim. Ama bir gün yapmalıyım ve yapacağım.

PS Me ve bir ortak 2007'de IPsec hakkında bir konferans düzenlediler , bazı kavramları açıklığa kavuşturmak yardımcı olabilir.

Oyuncak
kaynak
@Teddy: Fantastik cevap (+++ 1) Bağlantı kurduğunuz PDF'de de hızlıca taradım - ihtiyacım olana çok benziyor!
Chris Lercher
0

Bu biraz abartı gibi geliyor. Hiç kimsenin LAN üzerindeki tüm trafiği şifrelediğini duyduğumu söyleyemem. Bunu yapmak için motivasyonunuz nedir?

joeqwerty
kaynak
@joe: Bunu gerçekten yapmak isteyip istemediğimden henüz emin değilim. Çılgınca gelebilir, ancak gerçekten LAN'ımın güvenlik konseptini basitleştirmek istiyorum. WLAN erişimine izin verilecek, bu yüzden saldırılara karşı bir şeyler yapmam gerekecek. Ya ayrıntılı bir IDS kurulumu, ya da her şeyi şifrelemek için çılgınca bir fikrim olacak. Tüm detayları duymak istiyorsanız lütfen orijinal soruma bakın :-)
Chris Lercher
Kulağa çılgınca geliyor. IPSEC uzmanı değilim, bu yüzden size yardım etmiyorum ama ilgimi çektiği için bu gönderiyi takip edeceğim.
joeqwerty
5
Bu hiç de çılgın bir fikir değil. Her şeyi şifrelemek, birçok kişinin düşündüğü bir şeydir, özellikle de güvenli ortamlar. AFAIK, IPv6 spesifikasyonuna IPsec'i dahil etmenin arkasındaki nedenlerden biridir: böylece tüm uç noktalar tüm trafiği şifreleyebilir. @chris_l, şans diliyorum ve bunu yapmaya karar vereceğini umuyorum. Lütfen nasıl sonuçlandığını paylaşın.
Jed Daniels
1
Yani LAN'ınızdaki herkese tamamen güveniyor musunuz? Bir dizüstü bilgisayar veya kablosuz çatlamak mümkün (ya da şifrelenmemiş?) Herkes LAN irade erişebilir olsa bile? Size Eğer gerçekten ona bağlı makinelerin konsolları bir şifreye sahip neden LAN üzerindeki güven herkes, ben sorabilir - Bina güvenilir insanlar değil mi? Cevap elbette "HAYIR" dır ve bu nedenle LAN trafiği, diğer trafikler gibi şifrelenmelidir.
Teddy
1
@Teddy: Kimseye ya da hiçbir şeye güvenmediğimi ya da güvenmediğimi söylemedim. Sadece çılgınca bir fikir gibi geldiğini söyledim. Ne demek istediğimi düşünmeyin, cevabımdaki veya yorumumdaki satırlar arasında hiçbir şey yok, sadece merak.
joeqwerty
0

IPSec, güvenilmeyen ağlara (örn. Web DMZ'ler, vb.) Ve içinde ve güvenlik duvarlarıyla ayrılmış ağlara bağlanmak için mükemmeldir. RPC protokollerini (örneğin Microsoft AD, vb.) Kullanan uygulamalar, güvenlik duvarlarıyla çakışmayan yüksek geçici bağlantı noktası aralıklarını kullanmayı sever. LAN içinde avantajlarınız bir dizi faktöre bağlıdır.

Gümüş bir kurşun değildir ve mutlaka ağ güvenliğini basitleştirmeyecektir. Ağ donanımına büyük yatırımlar yapmadan internette veya güvenilir olmayan diğer ağlarda hizmet vermenize yardımcı olacaktır.

Bunu bir egzersiz veya öğrenme deneyimi olarak yapıyorsanız, sorun değil, ancak bu noktaya kadar gönderdiğiniz hiçbir şey, bahsettiğiniz şeyi yapmak için zorlayıcı bir argüman yapmaz.

duffbeer703
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.