IPSec untuk lalu lintas LAN: Pertimbangan dasar?

13

Ini adalah tindak lanjut dari Enkripsi saya sepenuhnya ... pertanyaan.

Penting : Ini bukan tentang pengaturan IPSec yang lebih umum, di mana Anda ingin mengenkripsi lalu lintas antara dua LAN.

Tujuan dasar saya adalah mengenkripsi semua lalu lintas di dalam LAN perusahaan kecil. Salah satu solusinya bisa IPSec. Saya baru saja mulai belajar tentang IPSec, dan sebelum saya memutuskan untuk menggunakannya dan menyelam lebih dalam, saya ingin mendapatkan gambaran tentang bagaimana ini bisa terlihat.

  • Apakah ada dukungan lintas platform yang baik? Ini harus bekerja pada Linux, MacOS X dan klien Windows, server Linux, dan seharusnya tidak memerlukan perangkat keras jaringan yang mahal.

  • Bisakah saya mengaktifkan IPSec untuk seluruh mesin (sehingga tidak ada lalu lintas masuk / keluar), atau untuk antarmuka jaringan, atau apakah ditentukan oleh pengaturan firewall untuk masing-masing port / ...?

  • Bisakah saya dengan mudah melarang paket IP non-IPSec? Dan juga lalu lintas IPSec "Mallory's evil" yang ditandatangani oleh beberapa kunci, tetapi bukan milik kita? Konsepsi ideal saya adalah membuat tidak mungkin untuk memiliki lalu lintas IP semacam itu di LAN.

  • Untuk lalu lintas internal LAN: Saya akan memilih "ESP dengan otentikasi (tanpa AH)", AES-256, dalam "Moda transportasi". Apakah ini keputusan yang masuk akal?

  • Untuk lalu lintas LAN-Internet: Bagaimana cara kerjanya dengan gateway internet? Apakah saya akan menggunakan

    • "Mode terowongan" untuk membuat terowongan IPSec dari setiap mesin ke gateway? Atau bisa juga saya gunakan
    • "Transport mode" ke gateway? Alasan saya bertanya adalah, bahwa gateway harus dapat mendekripsi paket yang berasal dari LAN, sehingga perlu kunci untuk melakukan itu. Apakah itu mungkin, jika alamat tujuan bukan alamat gateway? Atau haruskah saya menggunakan proxy dalam kasus ini?
  • Apakah ada hal lain yang harus saya pertimbangkan?

Saya benar-benar hanya perlu tinjauan singkat tentang hal-hal ini, bukan instruksi yang sangat rinci.

Chris Lercher
sumber

Jawaban:

6
  • Apakah ada dukungan lintas platform yang baik? Ini harus bekerja pada Linux, MacOS X dan klien Windows, server Linux, dan seharusnya tidak memerlukan perangkat keras jaringan yang mahal.

Saya benar-benar tidak punya banyak pengalaman dengan ini, karena saya terutama memiliki sistem Linux, tetapi saya memang sebagian besar bekerja pada mesin Windows 2000 (ini beberapa waktu yang lalu). Itu memiliki masalah bahwa IPsec gagal untuk menegosiasikan ulang kunci sesi baru setelah beberapa byte telah ditransfer (ini seharusnya terjadi secara otomatis), sehingga koneksi turun setelah beberapa saat, dan saya tidak pernah repot untuk menggali ke dalamnya lebih lanjut. Ini mungkin bekerja jauh lebih baik saat ini.

  • Bisakah saya mengaktifkan IPSec untuk seluruh mesin (sehingga tidak ada lalu lintas masuk / keluar), atau untuk antarmuka jaringan, atau apakah ditentukan oleh pengaturan firewall untuk masing-masing port / ...?

Cara kerjanya adalah (atau, lebih tepatnya, bagaimana saya berhasil membuatnya bekerja), Anda mendefinisikan bahwa foo mesin harus menggunakan hanya IPsec ke bilah mesin , baz , dan yow . Setiap lalu lintas dari dan ke mesin-mesin ini sekarang aman dan dapat dipercaya seperti mesin-mesin itu. Lalu lintas lainnya bukan IPsec dan berfungsi normal.

  • Bisakah saya dengan mudah melarang paket IP non-IPSec? Dan juga lalu lintas IPSec "Mallory's evil" yang ditandatangani oleh beberapa kunci, tetapi bukan milik kita? Konsepsi ideal saya adalah membuat tidak mungkin untuk memiliki lalu lintas IP semacam itu di LAN.

Lalu lintas IPsec hanya diperbolehkan untuk " kebijakan " IPsec yang Anda tetapkan, sehingga mesin acak mana pun tidak dapat mengirim paket IPsec - harus ada kebijakan IPsec yang cocok dengan paket-paket itu.

  • Untuk lalu lintas internal LAN: Saya akan memilih "ESP dengan otentikasi (tanpa AH)", AES-256, dalam "Moda transportasi". Apakah ini keputusan yang masuk akal?

Ya. Ada pembicaraan tentang meninggalkan AH sepenuhnya karena berlebihan - Anda dapat menggunakan ESP dengan enkripsi NULL dengan efek yang sama.

  • Untuk lalu lintas LAN-Internet: Bagaimana cara kerjanya dengan gateway internet? Apakah saya akan menggunakan
    • "Mode terowongan" untuk membuat terowongan IPSec dari setiap mesin ke gateway? Atau bisa juga saya gunakan

Saya akan memilih opsi ini. Karena saya sendiri tidak mengontrol gateway, dan lalu lintas akan tidak terenkripsi di luar jaringan saya, jadi saya tidak benar-benar melihat kebutuhan yang mendesak.

Lalu lintas internet ke host yang tidak menggunakan IPsec harus dilihat sebagai mungkin dicegat - ada sedikit gunanya mengenkripsi pada LAN lokal ketika ISP Anda atau ISP ISP Anda dapat mendengarkan paket yang sama tidak terenkripsi.

  • "Transport mode" ke gateway? Alasan saya bertanya adalah, bahwa gateway harus dapat mendekripsi paket yang berasal dari LAN, sehingga perlu kunci untuk melakukan itu. Apakah itu mungkin, jika alamat tujuan bukan alamat gateway? Atau haruskah saya menggunakan proxy dalam kasus ini?

Seperti yang saya pahami, itu tidak berfungsi - Anda akan memerlukan proxy.

  • Apakah ada hal lain yang harus saya pertimbangkan?

Lihat apakah Anda dapat menggunakan sesuatu yang masuk akal seperti kunci OpenPGP alih-alih sertifikat X.509. Saya menggunakan X.509 karena itu adalah satu-satunya hal yang didukung oleh daemon keying IPsec yang pertama kali saya gunakan, dan saya belum punya energi untuk melihat untuk mengulang semuanya. Tetapi saya harus, dan saya akan, suatu hari nanti.

PS Me dan rekanan mengadakan kuliah tentang IPsec pada 2007, mungkin bisa membantu untuk mengklarifikasi beberapa konsep.

Teddy
sumber
@ Teddy: Jawaban yang fantastis (+++ 1) Saya juga memindai dengan cepat seluruh PDF yang Anda tautkan - sepertinya sangat saya butuhkan!
Chris Lercher
0

Ini kedengarannya agak berlebihan. Saya tidak bisa mengatakan bahwa saya pernah mendengar ada orang yang mengenkripsi semua lalu lintas di LAN mereka. Apa motivasi Anda mengemudi untuk melakukan ini?

joeqwerty
sumber
@ Jo: Aku belum yakin, apakah aku benar-benar ingin melakukan ini atau tidak. Ini mungkin terdengar gila, tetapi saya benar-benar ingin menyederhanakan konsep keamanan LAN saya. Akses WLAN akan diizinkan, jadi saya harus melakukan sesuatu terhadap serangan. Entah itu akan menjadi pengaturan IDS yang rumit, atau ide gila saya mengenkripsi semuanya. Silakan lihat pertanyaan asli saya, jika Anda ingin mendengar semua detailnya :-)
Chris Lercher
Kedengarannya gila. Saya bukan pakar IPSEC, jadi saya tidak memiliki bantuan untuk Anda, tetapi saya akan mengikuti pos ini karena minat saya naik.
joeqwerty
5
Itu sama sekali bukan ide gila. Mengenkripsi semuanya adalah sesuatu yang dipertimbangkan banyak orang, terutama lingkungan yang aman. AFAIK, ini adalah salah satu alasan pendorong di belakang termasuk IPsec dalam spesifikasi IPv6: sehingga semua titik akhir dapat mengenkripsi semua lalu lintas. @ Chris_l, saya berharap Anda beruntung dan berharap Anda memutuskan untuk melakukannya. Silakan bagikan bagaimana hasilnya.
Jed Daniels
1
Jadi Anda benar-benar mempercayai semua orang di LAN Anda? Meskipun siapa pun yang memiliki laptop atau dapat memecahkan nirkabel Anda (atau tidak terenkripsi?) Dapat mengakses LAN Anda sesuka hati? Jika Anda benar-benar mempercayai semua orang di LAN Anda, saya mungkin bertanya mengapa Anda memiliki kata sandi di konsol mesin yang terhubung dengannya - bukankah orang-orang di gedung itu dapat dipercaya? Jawabannya, tentu saja, "TIDAK", dan itulah sebabnya lalu lintas LAN, seperti lalu lintas lainnya, harus dienkripsi.
Teddy
1
@ Teddy: Saya tidak mengatakan bahwa saya percaya atau tidak mempercayai siapa pun atau apa pun. Saya hanya mengatakan bahwa itu terdengar seperti ide gila bagi saya. Jangan menyimpulkan apa yang Anda maksud dengan maksud saya, tidak ada yang tersirat dalam jawaban atau komentar saya, hanya rasa ingin tahu.
joeqwerty
0

IPSec bagus untuk menghubungkan ke jaringan yang tidak terpercaya (mis. DMZs Web, dll) dan di dalam dan jaringan yang dipisahkan dengan firewall. Aplikasi yang menggunakan protokol RPC (mis. Microsoft AD, dll) suka menggunakan rentang port sementara yang tinggi, yang tidak cocok dengan firewall. Di dalam LAN, manfaat Anda bergantung pada sejumlah faktor.

Ini bukan peluru perak, dan itu tidak akan selalu menyederhanakan keamanan jaringan. Ini akan membantu Anda untuk mengoperasikan layanan di internet atau jaringan tidak tepercaya lainnya tanpa melakukan investasi besar dalam peralatan jaringan.

Jika Anda melakukan ini sebagai latihan atau pengalaman belajar, itu baik-baik saja, tetapi tidak ada yang Anda posting hingga saat ini membuat argumen yang meyakinkan untuk melakukan apa yang Anda bicarakan.

duffbeer703
sumber