LAN 트래픽 용 IPSec : 기본 고려 사항


13

이것은 절대적으로 모든 것을 암호화하는 질문에 대한 후속 조치 입니다.

중요 : 두 LAN 간의 트래픽을 암호화하려는 일반적인 IPSec 설정과 관련이 없습니다.

저의 기본 목표는 소규모 회사 LAN 내의 모든 트래픽을 암호화하는 것 입니다. 한 가지 해결책은 IPSec 일 수 있습니다. 방금 IPSec에 대해 배우기 시작했으며 IPSec 사용을 결정하고 더 깊이 들어가기 전에 이것이 어떻게 보이는지에 대한 개요를 얻고 싶습니다.

  • 플랫폼 간 지원이 양호합니까? Linux, MacOS X 및 Windows 클라이언트, Linux 서버에서 작동해야하며 값 비싼 네트워크 하드웨어가 필요하지 않습니다.

  • 전체 컴퓨터에 대해 IPSec을 활성화 할 수 있습니까 (따라서 다른 트래픽이 들어오고 나가지 않음) 또는 네트워크 인터페이스에 대해 또는 개별 포트 / ...에 대한 방화벽 설정에 의해 결정됩니까?

  • IPSec 이외의 IP 패킷을 쉽게 차단할 수 있습니까? 또한 "Mallory 's evil"IPSec 트래픽은 일부 키에 의해 서명 되었지만 우리의 키는 아닙니다. 이상적인 개념은 LAN에서 그러한 IP 트래픽을 가질 수 없도록하는 것입니다.

  • LAN 내부 트래픽의 경우 : "전송 모드"에서 "ESP 인증 (AH 없음)", AES-256을 선택합니다. 이것이 합리적인 결정입니까?

  • LAN- 인터넷 트래픽의 경우 : 인터넷 게이트웨이와 어떻게 작동합니까? 내가 사용 할까

    • 각 머신에서 게이트웨이로 IPSec 터널을 생성하는 "터널 모드"? 아니면 사용할 수도 있어요
    • 게이트웨이로의 "전송 모드"? 내가 묻는 이유는 게이트웨이가 LAN에서 오는 패키지를 해독 할 수 있어야하기 때문에 그렇게하려면 키가 필요하기 때문입니다. 대상 주소가 게이트웨이 주소가 아닌 경우 가능합니까? 아니면이 경우 프록시를 사용해야합니까?
  • 고려해야 할 다른 것이 있습니까?

나는 단지 매우 상세한 지침이 아니라 이러한 것들에 대한 간단한 개요가 필요합니다.

답변:


6
  • 플랫폼 간 지원이 양호합니까? Linux, MacOS X 및 Windows 클라이언트, Linux 서버에서 작동해야하며 값 비싼 네트워크 하드웨어가 필요하지 않습니다.

나는 주로 리눅스 시스템을 가지고 정말이와 함께 많은 경험이 없어,하지만 난 그것을 얻었다 대부분 은 Windows 2000 시스템에서 작업 (시간이 좀 전). 바이트 수가 전송 된 후 IPsec이 새 세션 키를 재협상하지 못하는 문제 (이는 자동으로 발생해야 함)로 인해 연결이 잠시 후에 끊어 질 수 없었습니다. 더욱이. 아마 요즘 훨씬 더 잘 작동합니다.

  • 전체 컴퓨터에 대해 IPSec을 활성화 할 수 있습니까 (따라서 다른 트래픽이 들어오고 나가지 않음) 또는 네트워크 인터페이스에 대해 또는 개별 포트 / ...에 대한 방화벽 설정에 의해 결정됩니까?

어떻게 작동하는 (방법, 오히려, 또는이다 나는 , 당신이 기계되도록 정의가 작업 얻을 관리) 한다 기계에만 IPsec을 사용하는 , 바즈아뿔싸 . 이러한 컴퓨터를 오가는 모든 트래픽 은 이제 해당 컴퓨터만큼 안전하고 신뢰할 수 있습니다. 다른 트래픽은 IPsec이 아니며 정상적으로 작동합니다.

  • IPSec 이외의 IP 패킷을 쉽게 차단할 수 있습니까? 또한 "Mallory 's evil"IPSec 트래픽은 일부 키에 의해 서명되었지만 우리의 키는 아닙니다. 이상적인 개념은 LAN에서 그러한 IP 트래픽을 가질 수 없도록하는 것입니다.

IPsec 트래픽은 사용자가 정의한 IPsec " 정책 "에 대해서만 허용 되므로 임의의 시스템은 IPsec 패킷을 보낼 수 없습니다. 이러한 패킷과 일치하는 IPsec 정책이 있어야합니다.

  • LAN 내부 트래픽의 경우 : "전송 모드"에서 "ESP 인증 (AH 없음)", AES-256을 선택합니다. 이것이 합리적인 결정입니까?

네. 중복되므로 AH를 완전히 포기하는 것에 대한 이야기가 있습니다. 동일한 효과로 NULL 암호화와 함께 ESP를 사용할 수 있습니다.

  • LAN- 인터넷 트래픽의 경우 : 인터넷 게이트웨이와 어떻게 작동합니까? 내가 사용 할까
    • 각 머신에서 게이트웨이로 IPSec 터널을 생성하는 "터널 모드"? 아니면 사용할 수도 있어요

이 옵션을 선택하겠습니다. 따라서 게이트웨이를 직접 제어하지 않으며 어쨌든 트래픽은 네트워크 외부에서 암호화되지 않으므로 실제로 긴급한 요구는 보이지 않습니다.

IPsec을 사용하지 않는 호스트에 대한 인터넷 트래픽은 가로 챌 가능성이있는 것으로 간주되어야합니다. ISP 나 ISP의 ISP가 암호화되지 않은 동일한 패킷을들을 수있을 때 로컬 LAN을 암호화하는 데 별다른 의미가 없습니다.

  • 게이트웨이로의 "전송 모드"? 내가 묻는 이유는 게이트웨이가 LAN에서 오는 패키지를 해독 할 수 있어야하기 때문에 그렇게하려면 키가 필요하기 때문입니다. 대상 주소가 게이트웨이 주소가 아닌 경우 가능합니까? 아니면이 경우 프록시를 사용해야합니까?

내가 이해하는 것처럼 작동하지 않습니다-프록시가 필요합니다.

  • 고려해야 할 다른 것이 있습니까?

X.509 인증서 대신 OpenPGP 키와 같은 적절한 것을 사용할 수 있는지 확인하십시오. X.509는 내가 처음 사용한 IPsec 키 데몬에서 지원하는 유일한 것이기 때문에 X.509를 사용하며, 모든 것을 다시 실행할 에너지가 없었습니다. 하지만 언젠가는해야 할 것입니다.

PS Me와 그 직원 은 2007 년 에 IPsec 에 대한 강의를 했는데, 몇 가지 개념을 명확히하는 데 도움이 될 수 있습니다.


@Teddy : 환상적인 답변 (+++ 1) 또한 연결 한 PDF를 빠르게 스캔했습니다. 필자가 필요로하는 것과 매우 흡사합니다!
Chris Lercher

0

이것은 과잉 소리처럼 들립니다. LAN에서 모든 트래픽을 암호화하는 사람이 있다고 들었습니다. 이 일에 대한 동기 부여 동기는 무엇입니까?


@ joe : 정말로 이것을하고 싶은지 아닌지는 확실하지 않습니다. 미친 소리로 들릴지 모르지만 LAN의 보안 개념을 단순화하고 싶습니다. WLAN 액세스가 허용되므로 공격에 대비 한 조치를 취해야합니다. 정교한 IDS 설정이거나 모든 것을 암호화하는 미친 아이디어 일 것입니다. 당신이 모든 세부 사항을 듣고 싶다면 내 원래의 질문을 참조하십시오 :-)
크리스 Lercher

미친 소리가나요. 나는 IPSEC 전문가가 아니므로 도움이 필요하지 않지만 관심을 끌기 때문에이 게시물을 따라갈 것입니다.
joeqwerty

5
전혀 미친 생각이 아닙니다. 모든 것을 암호화하는 것은 많은 사람들이 고려한 것입니다. 특히 안전한 환경입니다. AFAIK, 이것은 IPv6 사양에 IPsec을 포함시키는 주요 원인 중 하나입니다. 따라서 모든 엔드 포인트가 모든 트래픽을 암호화 할 수 있습니다. @ chris_l, 운이 좋으면 좋겠다고 결정했습니다. 그것이 어떻게 나오는지 알려주세요.
Jed Daniels

1
LAN의 모든 사람을 완전히 신뢰하십니까? 랩톱이 있거나 무선 장치를 해독 할 수있는 사람 (또는 암호화되지 않은 사람)이라도 LAN에 자유롭게 액세스 할 수 있습니까? 당신 당신의 LAN에있는 모든 사람 을 정말로 신뢰 한다면 , 나는 왜 당신이 그것에 연결된 기계의 콘솔에 암호를 가지고 있는지 묻습니다. 대답은 물론 "아니오"이므로 다른 트래픽과 마찬가지로 LAN 트래픽도 암호화해야합니다.
Teddy

1
@ 테디 : 나는 내가 누군가를 믿거 나 믿지 않았다고 말하지 않았다. 나는 그것이 나에게 미친 생각처럼 들린다 고 말했다. 내가 생각하는 바를 추론하지 말아라. 내 대답이나 의견의 선 사이에는 아무것도 없으며 호기심 만 있습니다.
joeqwerty

0

IPSec은 신뢰할 수없는 네트워크 (예 : Web DMZ 등)와 방화벽으로 분리 된 네트워크 및 네트워크에 연결하는 데 적합합니다. RPC 프로토콜 (예 : Microsoft AD 등)을 사용하는 앱은 방화벽이 작동하지 않는 높은 임시 포트 범위를 사용하는 것을 좋아합니다. LAN 내에서 여러 가지 요인에 따라 혜택이 달라집니다.

총알이 아니며 네트워크 보안을 단순화하지는 않습니다. 네트워크 장비에 막대한 투자를하지 않고도 인터넷이나 기타 신뢰할 수없는 네트워크에서 서비스를 운영하는 데 도움이됩니다.

이것을 운동이나 학습 경험으로하고 있다면 괜찮습니다. 그러나 지금까지 게시 한 내용은 당신이 말하는 것에 대해 설득력있는 주장을하지 않습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.