IPSec สำหรับการรับส่งข้อมูล LAN: ข้อควรพิจารณาขั้นพื้นฐานหรือไม่


13

นี่คือการติดตามคำถามการเข้ารหัสของฉันทุกอย่าง ...

สำคัญ : นี่ไม่เกี่ยวกับการตั้งค่า IPSec ปกติมากขึ้นซึ่งคุณต้องการเข้ารหัสการรับส่งข้อมูลระหว่าง LAN สองแห่ง

เป้าหมายพื้นฐานของฉันคือเข้ารหัสการรับส่งข้อมูลทั้งหมดภายใน LAN ของ บริษัท ขนาดเล็ก ทางออกหนึ่งอาจเป็น IPSec ฉันเพิ่งเริ่มเรียนรู้เกี่ยวกับ IPSec และก่อนที่ฉันจะตัดสินใจใช้มันและดำน้ำในเชิงลึกยิ่งขึ้นฉันต้องการที่จะรับภาพรวมของลักษณะนี้

  • มีการสนับสนุนข้ามแพลตฟอร์มที่ดีหรือไม่? ต้องทำงานบนไคลเอนต์ Linux, MacOS X และ Windows, เซิร์ฟเวอร์ Linux และไม่ควรใช้ฮาร์ดแวร์เครือข่ายราคาแพง

  • ฉันสามารถเปิดใช้งาน IPSec สำหรับเครื่องทั้งหมด (ดังนั้นจึงไม่มีการรับส่งข้อมูลอื่น ๆ ) หรือสำหรับอินเทอร์เฟซเครือข่ายหรือถูกกำหนดโดยการตั้งค่าไฟร์วอลล์สำหรับแต่ละพอร์ต / ...

  • ฉันสามารถห้ามแพ็กเก็ต IP ที่ไม่ใช่ IPSec ได้อย่างง่ายดายหรือไม่? และทราฟฟิก IPSec "Mallory's evil" ที่ลงนามโดยกุญแจบางอัน แต่ไม่ใช่ของเราเหรอ? ความคิดในอุดมคติของฉันคือการทำให้เป็นไปไม่ได้ที่จะมีการรับส่งข้อมูล IP บน LAN

  • สำหรับการรับส่งข้อมูลภายใน LAN: ฉันจะเลือก "ESP พร้อมการรับรองความถูกต้อง (ไม่มี AH)", AES-256, ใน "โหมดการขนส่ง" นี่เป็นการตัดสินใจที่สมเหตุสมผลหรือไม่?

  • สำหรับทราฟฟิก LAN-Internet: จะทำงานกับเกตเวย์อินเทอร์เน็ตได้อย่างไร ฉันจะใช้

    • "โหมดช่องสัญญาณ" เพื่อสร้างช่องสัญญาณ IPSec จากแต่ละเครื่องไปยังเกตเวย์หรือไม่ หรือฉันสามารถใช้
    • "โหมดการขนส่ง" ไปยังเกตเวย์หรือไม่ เหตุผลที่ฉันถามก็คือเกตเวย์จะต้องสามารถถอดรหัสแพ็คเกจที่มาจาก LAN ได้ดังนั้นจึงต้องใช้กุญแจในการทำเช่นนั้น เป็นไปได้หรือไม่ถ้าที่อยู่ปลายทางไม่ใช่ที่อยู่ของเกตเวย์ หรือฉันต้องใช้พรอกซีในกรณีนี้?
  • มีอะไรอีกบ้างที่ฉันควรพิจารณาอีก

ฉันแค่ต้องการภาพรวมอย่างรวดเร็วของสิ่งเหล่านี้ไม่ใช่คำแนะนำโดยละเอียด

คำตอบ:


6
  • มีการสนับสนุนข้ามแพลตฟอร์มที่ดีหรือไม่? ต้องทำงานบนไคลเอนต์ Linux, MacOS X และ Windows, เซิร์ฟเวอร์ Linux และไม่ควรใช้ฮาร์ดแวร์เครือข่ายราคาแพง

ฉันไม่ค่อยมีประสบการณ์เกี่ยวกับเรื่องนี้มากนักเนื่องจากฉันมีระบบลีนุกซ์เป็นหลัก แต่ฉันทำให้มันทำงานบนเครื่อง Windows 2000 เป็นส่วนใหญ่ (เมื่อก่อนนี้) มีปัญหาที่ IPsec ล้มเหลวในการต่อรองคีย์เซสชันใหม่หลังจากที่มีการถ่ายโอนจำนวนไบต์จำนวนหนึ่ง (ซึ่งน่าจะเกิดขึ้นโดยอัตโนมัติ) ดังนั้นการเชื่อมต่อจึงหยุดทำงานชั่วขณะหนึ่งและฉันไม่เคยถูกรบกวนที่จะขุดเข้าไป ต่อไป มันอาจทำงานได้ดีขึ้นมากในปัจจุบัน

  • ฉันสามารถเปิดใช้งาน IPSec สำหรับเครื่องทั้งหมด (ดังนั้นจึงไม่มีการรับส่งข้อมูลอื่น ๆ ) หรือสำหรับอินเทอร์เฟซเครือข่ายหรือถูกกำหนดโดยการตั้งค่าไฟร์วอลล์สำหรับแต่ละพอร์ต / ...

วิธีการทำงานคือ (หรือมากกว่าวิธีการที่ฉันจัดการเพื่อให้มันทำงาน), คุณกำหนดว่าเครื่องfoo ต้องใช้เฉพาะกับเครื่อง IPsec บาร์ , bazและyow การรับส่งข้อมูลใด ๆจากและไปยังเครื่องเหล่านี้ปลอดภัยและเชื่อถือได้เหมือนกับเครื่องเหล่านั้น การรับส่งข้อมูลอื่น ๆ ไม่ใช่ IPsec และทำงานได้ตามปกติ

  • ฉันสามารถแบนด์แพ็กเก็ต IP ที่ไม่ใช่ IPSec ได้อย่างง่ายดายหรือไม่? และทราฟฟิก IPSec "Mallory's evil" ที่ลงนามโดยกุญแจบางอัน แต่ไม่ใช่ของเราเหรอ? ความคิดในอุดมคติของฉันคือทำให้เป็นไปไม่ได้เลยที่จะมีการรับส่งข้อมูล IP บน LAN

การรับส่งข้อมูล IPsec อนุญาตเฉพาะสำหรับ " นโยบาย " ที่คุณกำหนดไว้ดังนั้นเครื่องสุ่มใด ๆ ไม่สามารถส่งแพ็กเก็ต IPsec ได้ - ต้องมีนโยบาย IPsec ที่ตรงกับแพ็กเก็ตเหล่านั้น

  • สำหรับการรับส่งข้อมูลภายใน LAN: ฉันจะเลือก "ESP พร้อมการรับรองความถูกต้อง (ไม่มี AH)", AES-256, ใน "โหมดการขนส่ง" นี่เป็นการตัดสินใจที่สมเหตุสมผลหรือไม่?

อ๋อ มีการพูดคุยเกี่ยวกับการละทิ้ง AH อย่างสมบูรณ์เพราะมันซ้ำซ้อน - คุณสามารถใช้ ESP พร้อมการเข้ารหัส NULL ด้วยเอฟเฟกต์เดียวกัน

  • สำหรับทราฟฟิก LAN-Internet: จะทำงานกับเกตเวย์อินเทอร์เน็ตได้อย่างไร ฉันจะใช้
    • "โหมดช่องสัญญาณ" เพื่อสร้างช่องสัญญาณ IPSec จากแต่ละเครื่องไปยังเกตเวย์หรือไม่ หรือฉันสามารถใช้

ฉันจะเลือกตัวเลือกนี้ เนื่องจากฉันไม่ได้ควบคุมเกตเวย์ด้วยตนเองและทราฟฟิกจะถูกเข้ารหัสนอกเครือข่ายของฉันอย่างไรก็ตามฉันไม่เห็นความต้องการเร่งด่วน

การรับส่งข้อมูลทางอินเทอร์เน็ตไปยังโฮสต์ที่ไม่ได้ใช้ IPsec จะต้องถูกมองว่าอาจถูกดัก - มีจุดเล็กน้อยในการเข้ารหัสบน LAN ท้องถิ่นเมื่อ ISP ของคุณหรือ ISP ของ ISP ของคุณสามารถฟังแพ็คเก็ตเดียวกันที่ไม่เข้ารหัส

  • "โหมดการขนส่ง" ไปยังเกตเวย์หรือไม่ เหตุผลที่ฉันถามก็คือเกตเวย์จะต้องสามารถถอดรหัสแพ็คเกจที่มาจาก LAN ได้ดังนั้นจึงต้องใช้กุญแจในการทำเช่นนั้น เป็นไปได้หรือไม่ถ้าที่อยู่ปลายทางไม่ใช่ที่อยู่ของเกตเวย์ หรือฉันต้องใช้พรอกซีในกรณีนี้?

ตามที่ฉันเข้าใจแล้วนั่นไม่ได้ผล - คุณจะต้องใช้พรอกซี

  • มีอะไรอีกบ้างที่ฉันควรพิจารณาอีก

ดูว่าคุณสามารถใช้สิ่งที่มีเหตุผลเช่นปุ่ม OpenPGP แทนใบรับรอง X.509 ฉันใช้ X.509 ตั้งแต่นั้นเป็นสิ่งเดียวที่ได้รับการสนับสนุนโดย daemon คีย์ IPsec ที่ฉันใช้ครั้งแรกและฉันไม่มีพลังที่จะมองหาการทำซ้ำทั้งหมด แต่ฉันควรและฉันจะสักวัน

PS Me และผู้ร่วมงานได้จัดการบรรยายเกี่ยวกับ IPsecในปี 2550 อาจช่วยอธิบายแนวคิดบางอย่างได้


@ เท็ดดี้: คำตอบที่ยอดเยี่ยม (+++ 1) ฉันยังสแกนไฟล์ PDF ที่คุณเชื่อมโยงอย่างรวดเร็วด้วย - มันดูเหมือนสิ่งที่ฉันต้องการ!
Chris Lercher

0

ฟังดูเหมือนเล็กน้อยเกินไป ฉันไม่สามารถพูดได้ว่าฉันเคยได้ยินว่ามีใครขัดขวางการรับส่งข้อมูลทั้งหมดใน LAN ของพวกเขา แรงจูงใจในการขับขี่ของคุณคืออะไร


@ โจ: ฉันยังไม่แน่ใจว่าถ้าฉันต้องการทำเช่นนี้จริงหรือไม่ อาจฟังดูบ้า แต่ฉันต้องการทำให้แนวคิดความปลอดภัยของ LAN ง่ายขึ้น การเข้าถึง WLAN จะได้รับอนุญาตดังนั้นฉันจะต้องทำอะไรบางอย่างกับการโจมตี ไม่ว่าจะเป็นการตั้งค่า IDS ที่ซับซ้อนหรือความคิดที่บ้าคลั่งของฉันในการเข้ารหัสทุกอย่าง โปรดดูคำถามเดิมของฉันหากคุณต้องการที่จะได้ยินรายละเอียดทั้งหมด :-)
คริส Lercher

มันฟังดูบ้า ฉันไม่ใช่ผู้เชี่ยวชาญของ IPSEC ดังนั้นฉันไม่มีความช่วยเหลือใด ๆ สำหรับคุณ แต่ฉันจะติดตามโพสต์นี้เพราะมันทำให้ฉันสนใจ
joeqwerty

5
มันไม่ใช่ความคิดที่บ้าเลย การเข้ารหัสทุกอย่างเป็นสิ่งที่หลาย ๆ คนพิจารณาโดยเฉพาะอย่างยิ่งสภาพแวดล้อมที่ปลอดภัย AFAIK นี่เป็นหนึ่งในเหตุผลการขับขี่ที่อยู่เบื้องหลังซึ่งรวมถึง IPsec ในข้อมูลจำเพาะ IPv6: ดังนั้นจุดปลายทั้งหมดสามารถเข้ารหัสปริมาณการใช้งานทั้งหมด @chris_l ฉันขอให้คุณโชคดีและหวังว่าคุณจะตัดสินใจ โปรดแบ่งปันวิธีที่ปรากฏออกมา
Jed Daniels

1
คุณเชื่อใจทุกคนใน LAN ของคุณอย่างเต็มที่หรือไม่ แม้ว่าใครก็ตามที่มีแล็ปท็อปหรือสามารถถอดรหัสแบบไร้สาย (หรือไม่เข้ารหัส) สามารถเข้าถึง LAN ของคุณได้ตามต้องการ หากคุณจริงๆไว้วางใจทุกคนในระบบ LAN ของคุณผมอาจจะถามว่าทำไมคุณมีรหัสผ่านบนคอนโซลของเครื่องเชื่อมต่อกับมันได้ - ไม่ได้เป็นคนในที่น่าเชื่อถืออาคาร? แน่นอนคำตอบคือ "ไม่" และนั่นคือสาเหตุที่ทราฟฟิก LAN เช่นเดียวกับทราฟฟิกอื่น ๆ ควรถูกเข้ารหัส
เท็ดดี้

1
@ เท็ดดี้: ฉันไม่ได้บอกว่าฉันไว้ใจหรือไม่เชื่อใจใครหรืออะไร ฉันแค่บอกว่ามันฟังดูเป็นความคิดที่บ้าสำหรับฉัน อย่าอนุมานสิ่งที่คุณคิดว่าฉันหมายถึงไม่มีอะไรระหว่างบรรทัดในคำตอบหรือความคิดเห็นของฉันเพียงอยากรู้อยากเห็น
joeqwerty

0

IPSec นั้นยอดเยี่ยมสำหรับการเชื่อมต่อกับเครือข่ายที่ไม่น่าเชื่อถือ (เช่น DMZ ของเว็บ ฯลฯ ) และภายในและเครือข่ายที่แยกกับไฟร์วอลล์ แอปที่ใช้โปรโตคอล RPC (เช่น Microsoft AD ฯลฯ ) ต้องการใช้ช่วงพอร์ตชั่วคราวที่สูงซึ่งไม่ได้หลอกลวงไฟร์วอลล์ ภายใน LAN ผลประโยชน์ของคุณขึ้นอยู่กับหลายปัจจัย

ไม่ใช่ bullet เงินและไม่จำเป็นต้องทำให้ความปลอดภัยของเครือข่ายง่ายขึ้น มันจะช่วยคุณในการใช้งานบริการบนอินเทอร์เน็ตหรือเครือข่ายที่ไม่น่าเชื่อถืออื่น ๆ โดยไม่ต้องลงทุนมากในอุปกรณ์เครือข่าย

หากคุณกำลังทำสิ่งนี้เป็นแบบฝึกหัดหรือประสบการณ์การเรียนรู้มันก็ดี แต่ไม่มีอะไรที่คุณโพสต์จนถึงจุดนี้ทำให้เกิดข้อโต้แย้งที่น่าสนใจในการทำสิ่งที่คุณพูดถึง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.