这是我的Encrypting absolute everything...问题的后续行动。
重要提示:这与更常见的 IPSec 设置无关,您希望在其中加密两个 LAN 之间的流量。
我的基本目标是加密小公司局域网内的所有流量。一种解决方案可能是 IPSec。我刚刚开始了解 IPSec,在我决定使用它并更深入地研究之前,我想大致了解一下它的外观。
是否有良好的跨平台支持?它必须在 Linux、MacOS X 和 Windows 客户端、Linux 服务器上运行,并且不需要昂贵的网络硬件。
我可以为整台机器启用 IPSec(这样就不会有其他流量传入/传出),还是为网络接口启用 IPSec,或者它是否由单个端口的防火墙设置/...决定?
我可以轻松禁止非 IPSec IP 数据包吗?还有“Mallory 的邪恶”IPSec 流量,由某个密钥签名,但不是我们的?我的理想构想是使 LAN 上不可能有任何这样的 IP 流量。
对于 LAN 内部流量:我会在“传输模式”中选择“带身份验证的 ESP(无 AH)”、AES-256。这是一个合理的决定吗?
对于 LAN-Internet 流量:它如何与 Internet 网关一起工作?我会用
- “隧道模式”创建从每台机器到网关的 IPSec 隧道?或者我也可以使用
- “传输模式”到网关?我问的原因是,网关必须能够解密来自 LAN 的包,所以它需要密钥才能做到这一点。如果目标地址不是网关地址,这可能吗?还是在这种情况下我必须使用代理?
还有什么我应该考虑的吗?
我真的只需要这些东西的快速概览,而不是非常详细的说明。
我对此并没有太多经验,因为我主要有 Linux 系统,但我确实让它主要在 Windows 2000 机器上工作(这是前一段时间的)。有一个问题是 IPsec 在传输了一些字节后无法重新协商新的会话密钥(这应该是自动发生的),所以连接在一段时间后就断开了,我永远不会费心去研究它更远。它现在可能工作得更好。
它是如何工作的(或者,更确切地说,我是如何让它工作的),您定义机器foo 必须仅使用 IPsec 来机器bar、baz和yow。进出这些机器的任何流量现在都是安全的,并且与这些机器一样值得信赖。任何其他流量都不是 IPsec 并且可以正常工作。
IPsec 流量只允许用于您定义的那些 IPsec“策略”,因此任何随机机器都无法发送 IPsec 数据包 - 必须存在与这些数据包匹配的 IPsec 策略。
是的。有人谈论完全放弃 AH,因为它是多余的 - 您可以使用 ESP 和 NULL 加密,效果相同。
我会选择这个选项。因为我自己不控制网关,而且流量在我的网络之外无论如何都不会加密,所以我真的没有看到迫切的需求。
必须将不使用 IPsec 的主机的 Internet 流量视为可能被拦截 - 当您的 ISP 或您的 ISP 的 ISP 可以侦听相同的未加密数据包时,在本地 LAN 上进行加密几乎没有意义。
据我了解,这不起作用-您需要代理。
看看您是否可以使用类似 OpenPGP 密钥而不是 X.509 证书的东西。我使用 X.509,因为这是我第一次使用的 IPsec 密钥守护进程唯一支持的东西,而且我还没有精力考虑重做这一切。但我应该,而且我会,总有一天。
PS Me 和同事在 2007 年举办了关于 IPsec 的讲座,可能有助于澄清一些概念。
这听起来有点矫枉过正。我不能说我听说过有人在他们的局域网上加密所有流量。你这样做的动力是什么?
IPSec 非常适合连接到不受信任的网络(即 Web DMZ 等)以及与防火墙隔离的网络内部。使用 RPC 协议(即 Microsoft AD 等)的应用程序喜欢使用高临时端口范围,这与防火墙不兼容。在 LAN 中,您的收益取决于许多因素。
这不是灵丹妙药,也不一定会简化网络安全。它将帮助您在互联网或其他不受信任的网络上运营服务,而无需在网络设备上进行大量投资。
如果您将此作为练习或学习经验,那很好,但到目前为止,您发布的任何内容都没有成为您所说的令人信服的论据。