Chr*_*her 14 local-area-network encryption ipsec
这是我的Encrypting absolute everything...问题的后续。
重要提示:这与更常见的 IPSec 设置无关,您希望在其中加密两个 LAN 之间的流量。
我的基本目标是加密一家小公司局域网内的所有流量。一种解决方案可能是 IPSec。我刚刚开始了解 IPSec,在我决定使用它并深入研究之前,我想大致了解一下它的外观。
是否有良好的跨平台支持?它必须适用于 Linux、MacOS X 和 Windows 客户端、Linux 服务器,并且不需要昂贵的网络硬件。
我可以为整台机器启用 IPSec(因此不会有其他流量传入/传出)或网络接口,还是由单个端口的防火墙设置决定/...?
我可以轻松禁止非 IPSec IP 数据包吗?还有“Mallory's evil”IPSec 流量由某个密钥签名,但不是我们的?我的理想构想是让 LAN 上不可能有任何此类 IP 流量。
对于 LAN 内部流量:我会在“传输模式”中选择“带身份验证的 ESP(无 AH)”、AES-256。这是一个合理的决定吗?
对于 LAN-Internet 流量:它将如何与 Internet 网关配合使用?我会用
还有什么我应该考虑的吗?
我真的只需要对这些事情进行快速概述,而不是非常详细的说明。
- 是否有良好的跨平台支持?它必须适用于 Linux、MacOS X 和 Windows 客户端、Linux 服务器,并且不需要昂贵的网络硬件。
我在这方面并没有太多经验,因为我主要使用 Linux 系统,但我确实让它主要在 Windows 2000 机器上工作(这是前一段时间)。它有一个问题,即 IPsec 在传输了一定数量的字节后无法重新协商新的会话密钥(这应该是自动发生的),因此连接在一段时间后断开了,我再也不会费心去研究它了更远。现在它可能工作得更好。
- 我可以为整台机器启用 IPSec(因此不会有其他流量传入/传出)或网络接口,还是由单个端口的防火墙设置决定/...?
它是如何工作的(或者更确切地说,是我如何设法让它工作),您定义机器foo 必须仅使用 IPsec 来处理bar、baz和yow。任何进出这些机器的流量现在都与这些机器一样安全且值得信赖。任何其他流量都不是 IPsec 并且正常工作。
- 我可以轻松禁止非 IPSec IP 数据包吗?还有“Mallory's evil”IPSec 流量由某个密钥签名,但不是我们的?我的理想构想是让 LAN 上不可能有任何此类 IP 流量。
IPsec 流量只允许用于您定义的那些 IPsec“策略”,因此任何随机机器都无法发送 IPsec 数据包 - 必须存在匹配这些数据包的 IPsec 策略。
- 对于 LAN 内部流量:我会在“传输模式”中选择“带身份验证的 ESP(无 AH)”、AES-256。这是一个合理的决定吗?
是的。有人谈论完全放弃 AH,因为它是多余的 - 您可以将 ESP 与 NULL 加密一起使用,效果相同。
- 对于 LAN-Internet 流量:它将如何与 Internet 网关配合使用?我会用
- “隧道模式”创建从每台机器到网关的IPSec隧道?或者我也可以使用
我会选择这个选项。事实上,我自己不控制网关,无论如何,我的网络外的流量都不会加密,所以我真的没有看到迫切的需求。
到不使用 IPsec 的主机的 Internet 流量必须被视为可能被拦截 - 当您的 ISP 或您的 ISP 的 ISP 可以侦听未加密的相同数据包时,在本地 LAN 上加密几乎没有意义。
- “传输模式”到网关?我问的原因是,网关必须能够解密来自 LAN 的包,所以它需要密钥来做到这一点。如果目标地址不是网关的地址,这可能吗?或者在这种情况下我必须使用代理吗?
据我了解,这是行不通的 - 您需要一个代理。
- 还有什么我应该考虑的吗?
看看你是否可以使用像 OpenPGP 密钥这样的明智的东西来代替 X.509 证书。我使用 X.509,因为这是我第一次使用的 IPsec 密钥守护进程唯一支持的东西,而且我还没有精力考虑重做这一切。但我应该,而且总有一天我会。
PS Me 和一位同事在 2007 年举办了一场关于 IPsec的讲座,它可能有助于澄清一些概念。
| 归档时间: |
|
| 查看次数: |
13860 次 |
| 最近记录: |