Ini adalah tindak lanjut dari Enkripsi saya sepenuhnya ... pertanyaan.
Penting : Ini bukan tentang pengaturan IPSec yang lebih umum, di mana Anda ingin mengenkripsi lalu lintas antara dua LAN.
Tujuan dasar saya adalah mengenkripsi semua lalu lintas di dalam LAN perusahaan kecil. Salah satu solusinya bisa IPSec. Saya baru saja mulai belajar tentang IPSec, dan sebelum saya memutuskan untuk menggunakannya dan menyelam lebih dalam, saya ingin mendapatkan gambaran tentang bagaimana ini bisa terlihat.
Apakah ada dukungan lintas platform yang baik? Ini harus bekerja pada Linux, MacOS X dan klien Windows, server Linux, dan seharusnya tidak memerlukan perangkat keras jaringan yang mahal.
Bisakah saya mengaktifkan IPSec untuk seluruh mesin (sehingga tidak ada lalu lintas masuk / keluar), atau untuk antarmuka jaringan, atau apakah ditentukan oleh pengaturan firewall untuk masing-masing port / ...?
Bisakah saya dengan mudah melarang paket IP non-IPSec? Dan juga lalu lintas IPSec "Mallory's evil" yang ditandatangani oleh beberapa kunci, tetapi bukan milik kita? Konsepsi ideal saya adalah membuat tidak mungkin untuk memiliki lalu lintas IP semacam itu di LAN.
Untuk lalu lintas internal LAN: Saya akan memilih "ESP dengan otentikasi (tanpa AH)", AES-256, dalam "Moda transportasi". Apakah ini keputusan yang masuk akal?
Untuk lalu lintas LAN-Internet: Bagaimana cara kerjanya dengan gateway internet? Apakah saya akan menggunakan
- "Mode terowongan" untuk membuat terowongan IPSec dari setiap mesin ke gateway? Atau bisa juga saya gunakan
- "Transport mode" ke gateway? Alasan saya bertanya adalah, bahwa gateway harus dapat mendekripsi paket yang berasal dari LAN, sehingga perlu kunci untuk melakukan itu. Apakah itu mungkin, jika alamat tujuan bukan alamat gateway? Atau haruskah saya menggunakan proxy dalam kasus ini?
Apakah ada hal lain yang harus saya pertimbangkan?
Saya benar-benar hanya perlu tinjauan singkat tentang hal-hal ini, bukan instruksi yang sangat rinci.
sumber
Ini kedengarannya agak berlebihan. Saya tidak bisa mengatakan bahwa saya pernah mendengar ada orang yang mengenkripsi semua lalu lintas di LAN mereka. Apa motivasi Anda mengemudi untuk melakukan ini?
sumber
IPSec bagus untuk menghubungkan ke jaringan yang tidak terpercaya (mis. DMZs Web, dll) dan di dalam dan jaringan yang dipisahkan dengan firewall. Aplikasi yang menggunakan protokol RPC (mis. Microsoft AD, dll) suka menggunakan rentang port sementara yang tinggi, yang tidak cocok dengan firewall. Di dalam LAN, manfaat Anda bergantung pada sejumlah faktor.
Ini bukan peluru perak, dan itu tidak akan selalu menyederhanakan keamanan jaringan. Ini akan membantu Anda untuk mengoperasikan layanan di internet atau jaringan tidak tepercaya lainnya tanpa melakukan investasi besar dalam peralatan jaringan.
Jika Anda melakukan ini sebagai latihan atau pengalaman belajar, itu baik-baik saja, tetapi tidak ada yang Anda posting hingga saat ini membuat argumen yang meyakinkan untuk melakukan apa yang Anda bicarakan.
sumber