Вопросы Теги

IPSec для трафика LAN: Основные соображения?

Утилита ethtool лгала мне в прошлом особенно в интерфейсах, которые не полностью настроены или не используемы.

Тесты Thoughput не лежат. Если можно превысить 100M/b пропускную способность, Вы знаете, что необходимо выполнять GigE.

13
задан 13 April 2017 в 15:14
3 ответа
  • Есть ли хорошая межплатформенная поддержка? Это должно работать над Linux, MacOS X и клиентами Windows, серверами Linux, и это не должно требовать дорогого сетевого оборудования.

У меня действительно нет большого опыта с этим, как у меня главным образом есть системы Linux, но я действительно получал его главным образом рабочий на машине Windows 2000 (это было некоторое время назад). Это имело проблему, что IPsec не удалось пересмотреть новый сеансовый ключ после того, как некоторое число байтов было передано (это, как предполагается, происходит автоматически), таким образом, соединение понизилось через некоторое время, и я никогда не мог беспокоиться для рытья в него далее. Это, вероятно, работает намного лучше в наше время.

  • Я могу включить IPSec для всей машины (таким образом, не может быть никакого другого транспортного поступления/выхода), или для сетевого интерфейса, или это определяется настройками брандмауэра для отдельных портов/...?

То, как это работает, (или, скорее как мне удалось получить его работа), Вы определяете это, нечто машины должно использовать только IPsec для панели машин, baz, и yow. Любой трафик с и на эти машины теперь безопасен и так защищен, как те машины. Любой другой трафик обычно не является IPsec и работами.

  • Я могу легко запретить non-IPSec пакеты IP? И также "злой" трафик IPSec Mallory, который подписывается некоторым ключом, но не нашим? Моя идеальная концепция состоит в том, чтобы лишить возможности иметь любой такой трафик IP в LAN.

Трафик IPsec только позволяется для тех "политик" IPsec, которые Вы определяете, таким образом, любая случайная машина не может отправить, пакет IPsec - там должен существовать политика IPSec, соответствующая тем пакетам.

  • Для внутреннего LAN трафика: Я выбрал бы "ESP with authentication (no AH)", AES 256, в "Способе транспортировки". Действительно ли это - разумное решение?

Да. Существует разговор об отказе от AH полностью, потому что это избыточно - можно использовать ESP с ПУСТЫМ шифрованием с тем же эффектом.

  • Для Интернет-трафика LAN: Как это работало бы с интернет-шлюзом? Я использовал бы
    • "Режим туннелирования" для создания IPSec туннелирует с каждой машины на шлюз? Или я мог также использовать

Я выбрал бы эту опцию. Поскольку это, я не управляю шлюз сам, и трафик будет не зашифрован вне моей сети так или иначе, таким образом, я не буду действительно видеть срочную необходимость.

Интернет-трафик к хостам, который не использует IPsec, должен быть замечен как возможно прерываемый - существует мало точки в шифровании на локальной LAN, когда Ваш ISP или ISP Вашего ISP могут слушать те же незашифрованные пакеты.

  • "Способ транспортировки" к шлюзу? Причина, которую я спрашиваю, что шлюз должен был бы смочь дешифровать пакеты, прибывающие из LAN, таким образом, этому будут нужны ключи, чтобы сделать это. Это возможно, если адрес назначения не является адресом шлюза? Или я должен был бы использовать прокси в этом случае?

Насколько я понимаю это не работает - Вам был бы нужен прокси.

  • Есть ли что-либо еще, что я должен рассмотреть?

Посмотрите, можно ли использовать что-то разумное как ключи OpenPGP вместо сертификатов X.509. Я использую X.509, так как это было единственной вещью, поддерживаемой IPsec вводящий демон, которого я сначала использовал, и у меня не было энергии изучить восстановление всего этого. Но я должен, и я буду, когда-нибудь.

P.S. Меня и партнера содержал лекцию по IPsec в 2007, он может помочь для разъяснения некоторых понятий.

6
ответ дан 2 December 2019 в 21:28
  • 1
    @Teddy: Фантастический ответ (+++ 1), который я также просканировал быстро через PDF, который Вы связали с - это смотрит очень как то, в чем я нуждаюсь! –  Chris Lercher 8 April 2010 в 23:33

Это немного походит на излишество. Я не могу сказать, что когда-либо слышал о любом encrytpting весь трафик в их LAN. Какова Ваша ведущая мотивация для того, чтобы сделать это?

0
ответ дан 2 December 2019 в 21:28
  • 1
    @joe: I' m еще уверенный, если я действительно хочу сделать это или нет. Это может звучать сумасшедшим, но я действительно хочу упростить свой LAN' s понятие безопасности. Доступ WLAN будет предоставлен, таким образом, я должен буду сделать что-то против нападений. Любой it' ll быть тщательно продуманной установкой IDS или моей сумасшедшей идеей зашифровать все. Посмотрите мой исходный вопрос, если Вы хотите услышать все подробности :-) –  Chris Lercher 8 April 2010 в 21:32
  • 2
    Это действительно звучит сумасшедшим. I' m никакой эксперт IPSEC так я don' t имеют любую справку для Вас, но I' m собирающийся следовать за этим сообщением как it' s разбудил мой интерес. –  joeqwerty 8 April 2010 в 21:53
  • 3
    Это isn' t сумасшедшая идея вообще. Шифрование всего является чем-то, что рассмотрели многие люди, особенно это - безопасные среды. AFAIK, это - одна из ведущих причин позади включения IPsec в спецификации IPv6: таким образом, все конечные точки могут зашифровать весь трафик. @chris_l, я желаю Вам удачи и надеюсь, что Вы решаете сделать это. Совместно используйте, как это складывается. –  Jed Daniels 8 April 2010 в 23:34
  • 4
    Так Вы совершенно доверительный все на Вашей LAN? Даже при том, что кто-либо с ноутбуком или способный взломать Вашу беспроводную связь (или это не шифруется?) может получить доступ к Вашей LAN по желанию? Если Вы действительно доверие все на Вашей LAN, я мог бы спросить, почему у Вас есть пароль на консолях машин, подключенных к нему - not' t люди в защищенном здании? Ответ, конечно, " NO" и именно поэтому трафик LAN, как любой другой трафик, должен быть зашифрован. –  Teddy 8 April 2010 в 23:36
  • 5
    @Teddy: Я didn' t говорят, что я доверял или didn' t доверяют любому или чему-либо. Я только сказал, что это походит на сумасшедшую идею мне. Don' t выводят то, что Вы думаете, что я имею в виду, there' s ничто между строками в моем ответе или комментариях, только любопытство. –  joeqwerty 8 April 2010 в 23:53

IPSec является большим для соединения с небезопасными сетями (т.е. Сеть DMZs, и т.д.) и в и сети, которые являются отдельными с брандмауэрами. Приложениям, которые используют протоколы RPC (т.е. Microsoft AD, и т.д.) нравится использовать высокие эфемерные диапазоны портов, который не танцует джайв с брандмауэрами. В LAN зависят от ряда факторов Ваши преимущества.

Это не серебряная пуля, и это не собирается обязательно упрощать сетевую безопасность. Это поможет Вам управлять сервисами в Интернете или других небезопасных сетях, не делая огромные инвестиции в сетевой механизм.

Если Вы делаете это как осуществление или полезный опыт, это прекрасно, но ничто, что Вы отправили до этой точки, не приводит убедительный аргумент, чтобы сделать то, о чем Вы говорите.

0
ответ дан 2 December 2019 в 21:28

Теги

Похожие вопросы