Đây là phần tiếp theo để Mã hóa hoàn toàn mọi thứ ... câu hỏi của tôi.
Quan trọng : Đây không phải là về thiết lập IPSec thông thường hơn, nơi bạn muốn mã hóa lưu lượng giữa hai mạng LAN.
Mục tiêu cơ bản của tôi là mã hóa tất cả lưu lượng trong mạng LAN của một công ty nhỏ. Một giải pháp có thể là IPSec. Tôi mới bắt đầu tìm hiểu về IPSec và trước khi tôi quyết định sử dụng nó và tìm hiểu sâu hơn, tôi muốn có một cái nhìn tổng quan về việc nó sẽ trông như thế nào.
Có hỗ trợ đa nền tảng tốt? Nó phải hoạt động trên Linux, MacOS X và máy khách Windows, máy chủ Linux và không cần phần cứng mạng đắt tiền.
Tôi có thể bật IPSec cho toàn bộ máy không (vì vậy không thể có lưu lượng đến / đi lưu lượng truy cập khác) hoặc cho giao diện mạng hoặc được xác định bởi cài đặt tường lửa cho các cổng riêng lẻ / ...?
Tôi có thể dễ dàng cấm các gói IP không IPSec không? Và lưu lượng IPSec "Mallory's evil" được ký bởi một số khóa, nhưng không phải của chúng tôi? Quan niệm lý tưởng của tôi là làm cho không thể có bất kỳ lưu lượng IP nào như vậy trên mạng LAN.
Đối với lưu lượng truy cập nội bộ LAN: Tôi sẽ chọn "ESP có xác thực (không có AH)", AES-256, trong "Chế độ vận chuyển". Đây có phải là một quyết định hợp lý?
Đối với lưu lượng LAN-Internet: Nó hoạt động như thế nào với cổng internet? Tôi sẽ sử dụng
- "Chế độ đường hầm" để tạo đường hầm IPSec từ mỗi máy đến cổng? Hoặc tôi cũng có thể sử dụng
- "Chế độ vận chuyển" đến cổng? Lý do tôi hỏi là, cổng sẽ phải có khả năng giải mã các gói đến từ mạng LAN, vì vậy nó sẽ cần các khóa để làm điều đó. Có thể không, nếu địa chỉ đích không phải là địa chỉ của cổng? Hoặc tôi sẽ phải sử dụng proxy trong trường hợp này?
Có điều gì khác tôi nên xem xét?
Tôi thực sự chỉ cần một cái nhìn tổng quan nhanh về những điều này, không phải là hướng dẫn rất chi tiết.