web-dev-qa-db-ja.com

LANトラフィックのIPSec:基本的な考慮事項?

これは私の 絶対にすべてを暗号化する... 質問のフォローアップです。

重要:これは、2つのLAN間のトラフィックを暗号化する、より一般的なIPSec設定に関するものではありません。

私の基本的な目標は、すべてのトラフィックを暗号化することですwithin中小企業のLAN。 1つのソリューションはIPSecです。私はIPSecについて学び始めたばかりであり、IPSecの使用を決定してより深く掘り下げる前に、これがどのように見えるかについて概要を知りたいと思います。

  • 優れたクロスプラットフォームサポートはありますか? Linux、MacOS XおよびWindowsクライアント、Linuxサーバーで動作する必要があり、高価なネットワークハードウェアを必要としません。

  • マシン全体(他のトラフィックが送受信されないようにするため)またはネットワークインターフェイスに対してIPSecを有効にできますか、それとも個々のポートのファイアウォール設定によって決定されますか?

  • 非IPSec IPパケットを簡単に禁止できますか?また、someキーで署名された「マロリーの悪」なIPSecトラフィックも、私たちのものではありませんか?私の理想的な概念は、LANにそのようなIPトラフィックが存在することを不可能にすることです。

  • LAN内部トラフィックの場合:「トランスポートモード」で「認証付きのESP(AHなし)」、AES-256を選択します。これは合理的な決定ですか?

  • LAN-インターネットトラフィックの場合:インターネットゲートウェイでどのように機能しますか?使用しますか

    • 各マシンからゲートウェイへのIPSecトンネルを作成する「トンネルモード」?または私も使用できますか
    • ゲートウェイへの「トランスポートモード」?私が尋ねる理由は、ゲートウェイがLANからのパッケージを復号化できる必要があるため、それを行うにはキーが必要になるためです。宛先アドレスがゲートウェイのアドレスでない場合、それは可能ですか?または、この場合プロキシを使用する必要がありますか?
  • 他に考慮すべきことはありますか?

私は本当に、これらの事柄の簡単な概要が必要ですが、詳細な指示は必要ありません。

13
Chris Lercher
  • 優れたクロスプラットフォームサポートはありますか? Linux、MacOS XおよびWindowsクライアント、Linuxサーバーで動作する必要があり、高価なネットワークハードウェアを必要としません。

私は主にLinuxシステムを持っているので、これについてはあまり経験がありませんが、Windows 2000マシンで作業することはできましたmostly(これは少し前のことです)。いくつかのバイト数が転送された後(これは自動的に行われるはずです)、IPsecが新しいセッションキーの再ネゴシエーションに失敗するという問題があったため、しばらくして接続がダウンし、私はそれに悩むことができませんでしたさらに。今日はおそらくもっとうまく機能します。

  • マシン全体(他のトラフィックが送受信されないようにするため)またはネットワークインターフェイスに対してIPSecを有効にできますか、それとも個々のポートのファイアウォール設定によって決定されますか?

それがどのように機能するか(または、むしろ[〜#〜] i [〜#〜]それを機能させるためにどのように管理されるか)、あなたはそのマシンをfoomustマシンにIPsecのみを使用barbaz、およびyow。すべてのトラフィックこれらのマシンとの間は、これらのマシンと同様に安全で信頼できるようになりました。その他のトラフィックはIPsecではなく、正常に動作します。

  • 非IPSec IPパケットを簡単に禁止できますか?また、「マロリーの邪悪な」IPSecトラフィックは、私たちのものではなく、いくつかのキーによって署名されていますか?私の理想的な概念は、LANにそのようなIPトラフィックが存在することを不可能にすることです。

IPsecトラフィックは、定義したIPsec "policies"に対してのみ許可されるため、ランダムマシンはIPsecパケットを送信できません。これらのパケットに一致するIPsecポリシーが存在する必要があります。

  • LAN内部トラフィックの場合:「トランスポートモード」で「認証付きのESP(AHなし)」、AES-256を選択します。これは合理的な決定ですか?

うん。 AHは冗長であるため完全に破棄することについての話があります。同じ効果を持つNULL暗号化でESPを使用できます。

  • LAN-インターネットトラフィックの場合:インターネットゲートウェイでどのように機能しますか?使用しますか?
    • 各マシンからゲートウェイへのIPSecトンネルを作成する「トンネルモード」?または私も使用できますか

このオプションを選択します。それは私がゲートウェイを自分で制御するわけではないので、とにかくトラフィックは私のネットワークの外で暗号化されないので、差し迫った必要性は実際にはないと思います。

IPsecを使用しないホストへのインターネットトラフィックは、傍受されている可能性があると見なす必要があります。ISPまたはISPのISPが暗号化されていない同じパケットをリッスンできる場合、ローカルLANでの暗号化にはほとんど意味がありません。

  • ゲートウェイへの「トランスポートモード」?私が尋ねる理由は、ゲートウェイがLANからのパッケージを復号化できる必要があるため、それを行うにはキーが必要になるためです。宛先アドレスがゲートウェイのアドレスでない場合、それは可能ですか?または、この場合プロキシを使用する必要がありますか?

私が理解しているように、それは機能しません-プロキシが必要になります。

  • 他に考慮すべきことはありますか?

X.509証明書の代わりにOpenPGP鍵などの実用的なものを使用できるかどうかを確認してください。私が最初に使用したIPsecキーイングデーモンでサポートされているのはX.509だけであり、X.509をすべて再利用するエネルギーがないためです。しかし、いつか私はすべきであり、そうするつもりです。

追伸私と仲間は2007年に IPsecの講義 を開催しましたが、いくつかの概念を明確にすることは助けになるかもしれません。

6
Teddy

これは少しやり過ぎに聞こえます。 LAN上のすべてのトラフィックを暗号化している人の話を聞いたことがありません。これを行う動機は何ですか?

0
joeqwerty

IPSecは、信頼できないネットワーク(Web DMZなど)や、ファイアウォールで分離されたネットワーク内やネットワークに接続するのに最適です。 RPCプロトコル(つまり、Microsoft ADなど)を使用するアプリは、ファイアウォールでうまく機能しない、一時的な高いポート範囲を使用するのが好きです。 LAN内では、利点はいくつかの要因に依存します。

これは特効薬ではなく、必ずしもネットワークセキュリティを単純化するわけではありません。ネットワーク機器に巨額の投資をすることなく、インターネットやその他の信頼できないネットワークでサービスを運用するのに役立ちます。

エクササイズや学習体験としてこれを行っている場合は問題ありませんが、これまでに投稿したことが、あなたが話していることを実行するための説得力のある主張をしていません。

0
duffbeer703