นี่คือการติดตามคำถามการเข้ารหัสของฉันทุกอย่าง ...
สำคัญ : นี่ไม่เกี่ยวกับการตั้งค่า IPSec ปกติมากขึ้นซึ่งคุณต้องการเข้ารหัสการรับส่งข้อมูลระหว่าง LAN สองแห่ง
เป้าหมายพื้นฐานของฉันคือเข้ารหัสการรับส่งข้อมูลทั้งหมดภายใน LAN ของ บริษัท ขนาดเล็ก ทางออกหนึ่งอาจเป็น IPSec ฉันเพิ่งเริ่มเรียนรู้เกี่ยวกับ IPSec และก่อนที่ฉันจะตัดสินใจใช้มันและดำน้ำในเชิงลึกยิ่งขึ้นฉันต้องการที่จะรับภาพรวมของลักษณะนี้
มีการสนับสนุนข้ามแพลตฟอร์มที่ดีหรือไม่? ต้องทำงานบนไคลเอนต์ Linux, MacOS X และ Windows, เซิร์ฟเวอร์ Linux และไม่ควรใช้ฮาร์ดแวร์เครือข่ายราคาแพง
ฉันสามารถเปิดใช้งาน IPSec สำหรับเครื่องทั้งหมด (ดังนั้นจึงไม่มีการรับส่งข้อมูลอื่น ๆ ) หรือสำหรับอินเทอร์เฟซเครือข่ายหรือถูกกำหนดโดยการตั้งค่าไฟร์วอลล์สำหรับแต่ละพอร์ต / ...
ฉันสามารถห้ามแพ็กเก็ต IP ที่ไม่ใช่ IPSec ได้อย่างง่ายดายหรือไม่? และทราฟฟิก IPSec "Mallory's evil" ที่ลงนามโดยกุญแจบางอัน แต่ไม่ใช่ของเราเหรอ? ความคิดในอุดมคติของฉันคือการทำให้เป็นไปไม่ได้ที่จะมีการรับส่งข้อมูล IP บน LAN
สำหรับการรับส่งข้อมูลภายใน LAN: ฉันจะเลือก "ESP พร้อมการรับรองความถูกต้อง (ไม่มี AH)", AES-256, ใน "โหมดการขนส่ง" นี่เป็นการตัดสินใจที่สมเหตุสมผลหรือไม่?
สำหรับทราฟฟิก LAN-Internet: จะทำงานกับเกตเวย์อินเทอร์เน็ตได้อย่างไร ฉันจะใช้
- "โหมดช่องสัญญาณ" เพื่อสร้างช่องสัญญาณ IPSec จากแต่ละเครื่องไปยังเกตเวย์หรือไม่ หรือฉันสามารถใช้
- "โหมดการขนส่ง" ไปยังเกตเวย์หรือไม่ เหตุผลที่ฉันถามก็คือเกตเวย์จะต้องสามารถถอดรหัสแพ็คเกจที่มาจาก LAN ได้ดังนั้นจึงต้องใช้กุญแจในการทำเช่นนั้น เป็นไปได้หรือไม่ถ้าที่อยู่ปลายทางไม่ใช่ที่อยู่ของเกตเวย์ หรือฉันต้องใช้พรอกซีในกรณีนี้?
มีอะไรอีกบ้างที่ฉันควรพิจารณาอีก
ฉันแค่ต้องการภาพรวมอย่างรวดเร็วของสิ่งเหล่านี้ไม่ใช่คำแนะนำโดยละเอียด