web-dev-qa-db-ja.com

すべてのネットワークトラフィックの暗号化

企業ネットワークの場合、ローカルネットワーク上のすべてのネットワークトラフィックを暗号化する方法はありますか?

パケットを盗聴される可能性がないことを確認したいと思います。電子メールやチャットデバイスとのマシンツーマシンの通信すらありません。

8
Travis Thompson

まともな [〜#〜] vpn [〜#〜] は暗号化を保証しますが、もちろん、すべてのマシンで構成する必要がありますIPsec は、IPレベルで組み込まれ、オペレーティングシステムにすでに実装されているという利点があるVPNテクノロジです(実装されていない場合は、実装されていることを確認してください)。これらのWindows 98マシンをアップグレードする時間)。

ただし、次の重要な点に注意してください。

  • 攻撃者はいずれかのマシンを破壊し、マシンが受信するすべてのパケットをスヌープし、復号化することができます。
  • 2台のマシンごとに、これら2台のマシンだけで共有される暗号化キーをネゴシエートするようにIPSecを構成しても(他のマシンではまったく暗号化されない)、その結果、破壊されたマシンは、宛先がこれらのパケットのみを見ることができるため、これが破壊された可能性があります悪意を持って作成されたパケットを送信することにより、マシンにトラフィックをリダイレクトする可能性があります(DNSを汚染するなど)。

これは、これらすべての暗号化設定の制限です。ローカルネットワークマシンと外界との間に強力な分離を確立するのに優れています。ただし、通常、local攻撃者、つまり1つの「許可された」マシンを制御できる攻撃者に対しては何もしません(攻撃者が空きスイッチポートに接続するか、 WiFiルーター)。

Machine Subversionは、残念ながら、かなり一般的な出来事です。それは通常、電子メールウイルス、Webからのマルウェア、悪意のあるUSBキーを通過します...(ユーザーが自分のメールボックスでUSBキーを見つけた場合、何をしますか?ユーザーの95%が自分のマシンにプラグインしますが、その上に何があるかを確認します)。


もう1つの重要な点は、パケットスニッフィングの防止に成功すると、パケットスニッフィングが不可能になることです。特に、マルウェアとウイルスを探すsysadminツールによるパケットスニッフィング。暗号化はマルチブレードの武器です。

13
Tom Leek

Tcpcrypt http://tcpcrypt.org/ をチェックしてください。ただし、UDPに対しては何もしません。もう1つのメカニズムは、すべての接続間のVPNエンドポイントであり、管理上の悪夢になります。

1
munkeyoto

IPSECまたは暗号化されたVPNはこれを行いますが、そのような実装が必要な場合は、複雑で高価なセットアップになります。しかし、それは不可能ではありません。

1
Lucas Kauffman

デーモンの多くはssl/tlsです ウェブサーバー、メール、pgやmysqlのようなdbs)を使用できます---(stunnel -このサービスを暗号化するには(ただし、ssl/tlsが必要です) -a対応クライアントORすべてのクライアントのclientmodeでstunnelを使用)

3つ以上のクライアントがある場合は、puppetのような集中管理された構成管理ツールを使用する必要があります。そうしないと、構成の悪夢になります。

stuncnelを使用すると、vpnを使用してすべてのサーバー/サービスにアクセスするよりも少し簡単になると思います。クライアント証明書を介してIPSECおよびIDを使用する必要があるためです。すべてのVPNエンドポイント上のすべてのクライアントの証明書を生成および管理する必要があります。

Windowsでは、暗号化されたトラフィックのみを外部に許可するように、グループポリシーを介して組み込みのファイアウォールを構成できます。すべてのアプリケーションを構成してトラフィックを暗号化することは、別の話です。

本当にその暗号化が必要な場合は、暗号化したい接続の間にハードウェアエンクリプターを配置します。ただし、これらの場合でも、最初に両側に暗号化キーを設定する必要があります。そして、これらの箱は物理的に安全でなければなりません。スイッチの前に復号化ボックスを置くことはできません。攻撃者はそこで復号化されたトラフィックを傍受する(または復号化ボックスを盗む)ためです。これは本質的に、分散スイッチを使用しないことを意味します。

0
http