IPSec cho lưu lượng LAN: Cân nhắc cơ bản?


13

Đây là phần tiếp theo để Mã hóa hoàn toàn mọi thứ ... câu hỏi của tôi.

Quan trọng : Đây không phải là về thiết lập IPSec thông thường hơn, nơi bạn muốn mã hóa lưu lượng giữa hai mạng LAN.

Mục tiêu cơ bản của tôi là mã hóa tất cả lưu lượng trong mạng LAN của một công ty nhỏ. Một giải pháp có thể là IPSec. Tôi mới bắt đầu tìm hiểu về IPSec và trước khi tôi quyết định sử dụng nó và tìm hiểu sâu hơn, tôi muốn có một cái nhìn tổng quan về việc nó sẽ trông như thế nào.

  • Có hỗ trợ đa nền tảng tốt? Nó phải hoạt động trên Linux, MacOS X và máy khách Windows, máy chủ Linux và không cần phần cứng mạng đắt tiền.

  • Tôi có thể bật IPSec cho toàn bộ máy không (vì vậy không thể có lưu lượng đến / đi lưu lượng truy cập khác) hoặc cho giao diện mạng hoặc được xác định bởi cài đặt tường lửa cho các cổng riêng lẻ / ...?

  • Tôi có thể dễ dàng cấm các gói IP không IPSec không? Và lưu lượng IPSec "Mallory's evil" được ký bởi một số khóa, nhưng không phải của chúng tôi? Quan niệm lý tưởng của tôi là làm cho không thể có bất kỳ lưu lượng IP nào như vậy trên mạng LAN.

  • Đối với lưu lượng truy cập nội bộ LAN: Tôi sẽ chọn "ESP có xác thực (không có AH)", AES-256, trong "Chế độ vận chuyển". Đây có phải là một quyết định hợp lý?

  • Đối với lưu lượng LAN-Internet: Nó hoạt động như thế nào với cổng internet? Tôi sẽ sử dụng

    • "Chế độ đường hầm" để tạo đường hầm IPSec từ mỗi máy đến cổng? Hoặc tôi cũng có thể sử dụng
    • "Chế độ vận chuyển" đến cổng? Lý do tôi hỏi là, cổng sẽ phải có khả năng giải mã các gói đến từ mạng LAN, vì vậy nó sẽ cần các khóa để làm điều đó. Có thể không, nếu địa chỉ đích không phải là địa chỉ của cổng? Hoặc tôi sẽ phải sử dụng proxy trong trường hợp này?
  • Có điều gì khác tôi nên xem xét?

Tôi thực sự chỉ cần một cái nhìn tổng quan nhanh về những điều này, không phải là hướng dẫn rất chi tiết.

Câu trả lời:


6
  • Có hỗ trợ đa nền tảng tốt? Nó phải hoạt động trên Linux, MacOS X và máy khách Windows, máy chủ Linux và không cần phần cứng mạng đắt tiền.

Tôi thực sự không có nhiều kinh nghiệm với điều này, vì tôi chủ yếu có các hệ thống Linux, nhưng tôi đã làm cho nó chủ yếu hoạt động trên máy Windows 2000 (cách đây một thời gian). Có một vấn đề là IPsec không thể đàm phán lại khóa phiên mới sau khi một số byte đã được chuyển (điều này được cho là tự động xảy ra), do đó, kết nối bị hỏng sau một thời gian và tôi không bao giờ có thể bận tâm tìm hiểu về nó thêm nữa. Nó có thể hoạt động tốt hơn nhiều ngày nay.

  • Tôi có thể bật IPSec cho toàn bộ máy không (vì vậy không thể có lưu lượng đến / đi lưu lượng truy cập khác) hoặc cho giao diện mạng hoặc được xác định bởi cài đặt tường lửa cho các cổng riêng lẻ / ...?

Cách thức hoạt động của nó (hoặc, đúng hơn là cách tôi quản lý để làm cho nó hoạt động), bạn xác định rằng một foo máy phải chỉ sử dụng IPsec cho thanh máy , bazyow . Bất kỳ lưu lượng truy cập từ và đến các máy này hiện đều an toàn và đáng tin cậy như các máy đó. Bất kỳ lưu lượng khác không phải là IPsec và hoạt động bình thường.

  • Tôi có thể dễ dàng cấm các gói IP không IPSec không? Và lưu lượng IPSec "Mallory's evil" được ký bởi một số khóa, nhưng không phải của chúng tôi? Quan niệm lý tưởng của tôi là làm cho không thể có bất kỳ lưu lượng IP nào như vậy trên mạng LAN.

Lưu lượng IPsec chỉ được phép cho các " chính sách " IPsec mà bạn xác định, do đó, bất kỳ máy ngẫu nhiên nào cũng không thể gửi gói IPsec - phải tồn tại chính sách IPsec khớp với các gói đó.

  • Đối với lưu lượng truy cập nội bộ LAN: Tôi sẽ chọn "ESP có xác thực (không có AH)", AES-256, trong "Chế độ vận chuyển". Đây có phải là một quyết định hợp lý?

Vâng. Có ý kiến ​​về việc từ bỏ AH hoàn toàn vì nó dư thừa - bạn có thể sử dụng ESP với mã hóa NULL với cùng hiệu quả.

  • Đối với lưu lượng LAN-Internet: Nó hoạt động như thế nào với cổng internet? Tôi sẽ sử dụng
    • "Chế độ đường hầm" để tạo đường hầm IPSec từ mỗi máy đến cổng? Hoặc tôi cũng có thể sử dụng

Tôi sẽ chọn tùy chọn này. Vì tôi không tự kiểm soát cổng và lưu lượng sẽ không được mã hóa bên ngoài mạng của tôi, vì vậy tôi thực sự không thấy nhu cầu cấp bách.

Lưu lượng truy cập Internet đến các máy chủ không sử dụng IPsec phải được xem là có thể bị chặn - có rất ít điểm mã hóa trên mạng LAN cục bộ khi ISP hoặc ISP của ISP của bạn có thể nghe cùng một gói không được mã hóa.

  • "Chế độ vận chuyển" đến cổng? Lý do tôi hỏi là, cổng sẽ phải có khả năng giải mã các gói đến từ mạng LAN, vì vậy nó sẽ cần các khóa để làm điều đó. Có thể không, nếu địa chỉ đích không phải là địa chỉ của cổng? Hoặc tôi sẽ phải sử dụng proxy trong trường hợp này?

Theo tôi hiểu, điều đó không hoạt động - bạn sẽ cần một proxy.

  • Có điều gì khác tôi nên xem xét?

Xem bạn có thể sử dụng thứ gì đó hợp lý như khóa OpenPGP thay vì chứng chỉ X.509 không. Tôi sử dụng X.509 vì đó là thứ duy nhất được hỗ trợ bởi trình nền khóa IPsec mà tôi sử dụng lần đầu tiên và tôi không có năng lượng để xem xét làm lại tất cả. Nhưng tôi nên, và tôi sẽ, một ngày nào đó.

PS Me và một cộng sự đã tổ chức một bài giảng về IPsec vào năm 2007, nó có thể giúp làm rõ một số khái niệm.


@Teddy: Câu trả lời tuyệt vời (+++ 1) Tôi cũng đã quét nhanh qua tệp PDF bạn liên kết đến - nó trông rất giống với những gì tôi cần!
Chris Lercher

0

Điều này nghe có vẻ như quá mức cần thiết. Tôi không thể nói rằng tôi đã từng nghe về bất kỳ ai mã hóa tất cả lưu lượng truy cập trên mạng LAN của họ. Động lực lái xe của bạn để làm điều này là gì?


@joe: Tôi chưa chắc, nếu tôi thực sự muốn làm điều này hay không. Nghe có vẻ điên rồ, nhưng tôi thực sự muốn đơn giản hóa khái niệm bảo mật mạng LAN của mình. Truy cập mạng WLAN sẽ được cho phép, vì vậy tôi sẽ phải làm gì đó để chống lại các cuộc tấn công. Hoặc đó sẽ là một thiết lập IDS phức tạp hoặc ý tưởng điên rồ của tôi về mã hóa mọi thứ. Vui lòng xem câu hỏi ban đầu của tôi, nếu bạn muốn nghe tất cả các chi tiết :-)
Chris Lercher

Nghe có vẻ điên rồ. Tôi không phải là chuyên gia IPSEC vì vậy tôi không có sự giúp đỡ nào cho bạn nhưng tôi sẽ theo dõi bài đăng này vì nó khiến tôi quan tâm.
joeqwerty

5
Đó không phải là một ý tưởng điên rồ cả. Mã hóa mọi thứ là điều mà nhiều người đã xem xét, đặc biệt đó là môi trường an toàn. AFAIK, đây là một trong những lý do thúc đẩy đằng sau bao gồm IPsec trong thông số IPv6: vì vậy tất cả các điểm cuối có thể mã hóa tất cả lưu lượng. @chris_l, tôi chúc bạn may mắn và hy vọng bạn quyết định làm điều đó. Hãy chia sẻ làm thế nào nó bật ra.
Jed Daniels

1
Vì vậy, bạn hoàn toàn tin tưởng tất cả mọi người trên mạng LAN của bạn? Mặc dù bất cứ ai có máy tính xách tay hoặc có thể bẻ khóa mạng không dây của bạn (hoặc không được mã hóa?) Có thể truy cập mạng LAN của bạn theo ý muốn? Nếu bạn thực sự tin tưởng tất cả mọi người trong mạng LAN của mình, tôi có thể hỏi tại sao bạn có mật khẩu trên bảng điều khiển của các máy được kết nối với nó - không phải những người trong tòa nhà có đáng tin không? Câu trả lời là, tất nhiên, "KHÔNG", và đó là lý do tại sao lưu lượng LAN, giống như bất kỳ lưu lượng khác, nên được mã hóa.
Teddy

1
@Teddy: Tôi không nói rằng tôi tin tưởng hay không tin tưởng bất cứ ai hay bất cứ điều gì. Tôi chỉ nói rằng nó có vẻ như là một ý tưởng điên rồ với tôi. Đừng suy diễn những gì bạn nghĩ, ý tôi là, không có gì giữa các dòng trong câu trả lời hoặc nhận xét của tôi, chỉ có sự tò mò.
joeqwerty

0

IPSec rất tốt để kết nối với các mạng không tin cậy (ví dụ: DMZ Web, v.v.) và bên trong và các mạng được phân tách bằng tường lửa. Các ứng dụng sử dụng giao thức RPC (ví dụ: Microsoft AD, v.v.) muốn sử dụng phạm vi cổng phù du cao, không hoạt động với tường lửa. Trong mạng LAN, lợi ích của bạn phụ thuộc vào một số yếu tố.

Nó không phải là viên đạn bạc và nó sẽ không nhất thiết đơn giản hóa an ninh mạng. Nó sẽ giúp bạn vận hành các dịch vụ trên internet hoặc các mạng không tin cậy khác mà không cần đầu tư lớn vào thiết bị mạng.

Nếu bạn đang làm điều này như một bài tập hoặc kinh nghiệm học tập, điều đó tốt, nhưng không có gì bạn đăng lên đến thời điểm này tạo ra một cuộc tranh luận hấp dẫn để làm những gì bạn đang nói.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.