有没有人尝试过这种方法?我真的在考虑:每个数据包都必须使用由我自己的 CA 颁发的证书启动的加密,而不是依赖基于网络的 IDS 等。
- 每个客户都会获得唯一的客户证书
- 每台服务器都获得一个唯一的服务器证书
- 每项服务还需要登录。
SSL 和 SSH 都可以。对互联网的访问将通过通往网关的 SSL 隧道完成。
可行吗?它会产生实际问题吗?怎么做和执行?你怎么看?
更多细节
我的目标是简化LAN 的安全概念——我还不确定这是不是一个疯狂的想法!但我觉得,保护 HTTPS 或 SSH 服务器免受互联网威胁(如果使用相互身份验证)有时比监控 LAN 的狂野世界中可能发生的一切更容易。
在未加密的 LAN 上,我觉得很难领先于潜在的攻击者,因为以下威胁:
- 低级攻击,如 ARP 欺骗、端口窃取、...
- WLAN 访问(例如,每个开发人员都可以从 (W)LAN 访问 SVN 服务器 - 我认为不会通过 VPN...)
=> 为简单起见,假设局域网中总是存在攻击者不是更容易吗?
=> 我是否可以通过将其视为 WAN 来简化(小公司的)LAN 安全概念?还是我宁愿把它复杂化?
IPSec 和替代方案
IPSec 听起来很有希望,但我也对 IPSec 的替代品感兴趣 - 每个服务单独使用 SSL/SSH 并创建到网关的 Stunnel?也许使用 Kerberos?... IPSec 或其他的优点是什么?
如果您能帮助我更好地掌握 IPSec,请参阅我专门针对 IPSec 的后续问题。
IPSec 是这方面的标准。它有不同的形式,并且有很多词汇。
我向您推荐本 IPSec 指南以帮助您入门。
我在这里使用 IPsec 来处理所有事情。原因是大多数攻击都是由内部人员发起的——坏的一面/好的一面的想法是有缺陷的。(如果有人使用服务器,他们可以在尝试破解全盘加密时获得乐趣,所以那里也没有问题。)
毫无顾虑地使用 telnet、NIS、NFS 和 FTP 也很有趣——感觉就像过去的美好时光!:-)
您是否有一个威胁模型可以让您不受限制地访问您的 LAN 基础设施?如果是这样,是的,将 IPSEC 部署到所有端点可能就是您想要的。
然而,在大多数威胁模型中,都有足够的外围安全性,您基本上可以忽略 LAN 基础设施作为一种廉价的访问方法。
如果您安装了 WiFi,情况会发生变化,您需要在 WiFi 网络和有线网络之间设置一些东西,以确保您不会通过该路线泄露任何信息。
在 windows 端,您正在寻找的是Domain and Server isolation。你可以使用这个labcast来玩它
我的新安装的默认 Windows 实施计划已包含此内容。在 Windows 中,设置起来并不难,并且提供了许多额外的安全性(实际上没有“额外”的管理,您可能需要更多的安全组)。
NAP 不需要 IPsec(甚至 PKI - 只有在您想运行本机模式时才需要)。SCCM 是一个额外的产品——域和服务器隔离不需要额外的东西。NAP 主要设计用于发送有关客户端的“健康”信息,如果该客户端未通过您的“健康”检查,则延迟仅与修复服务器通信。健康被定义为补丁要求 AV 设置、安全设置等。您当然可以使用 SCCM 来设置 IPSEC,但这不是必需的。
使用域和服务器隔离,我没有能力检查那些“健康”——这也不是重点。设置后,我将加密流量并确保并另外保证服务器和客户端只允许与该业务功能所需的服务器和客户端通信(例如 HR 工作站是唯一允许与 HR 服务器通信的工作站)。
安全术语是“保护传输中的数据”。是的,有一些团体这样做,是的,在某些方面它确实简化了 LAN 安全性。IPSEC 和 IPv6 可用于支持这一点。
补充概念是“保护静态数据”,这意味着加密您的磁盘。
不知道您使用的是什么系统和基础架构,但Microsoft 的系统中心配置管理器(SCCM) 有一个网络访问保护(NAP) 组件,可以完全满足您的需求。
它 PKI 对所有客户端-服务器流量进行加密,并将未经身份验证的机器放入有效的 DMZ 中,在那里它们无法与尚未专门设置为位于该 DMZ 中的任何服务器/机器/系统通信。它还可以允许在允许机器进入主 LAN 之前预先检查机器补丁级别、防病毒、安全等设置(显然在这种情况下,您将在 DMZ 中安装一两个更新服务器。
为演示/测试设置的分步指南在这里。