LAN 트래픽 용 IPSec : 기본 고려 사항

이것은 절대적으로 모든 것을 암호화하는 질문에 대한 후속 조치 입니다.

중요 : 두 LAN 간의 트래픽을 암호화하려는 일반적인 IPSec 설정과 관련이 없습니다.

저의 기본 목표는 소규모 회사 LAN 내의 모든 트래픽을 암호화하는 것 입니다. 한 가지 해결책은 IPSec 일 수 있습니다. 방금 IPSec에 대해 배우기 시작했으며 IPSec 사용을 결정하고 더 깊이 들어가기 전에 이것이 어떻게 보이는지에 대한 개요를 얻고 싶습니다.

• 플랫폼 간 지원이 양호합니까? Linux, MacOS X 및 Windows 클라이언트, Linux 서버에서 작동해야하며 값 비싼 네트워크 하드웨어가 필요하지 않습니다.

• 전체 컴퓨터에 대해 IPSec을 활성화 할 수 있습니까 (따라서 다른 트래픽이 들어오고 나가지 않음) 또는 네트워크 인터페이스에 대해 또는 개별 포트 / ...에 대한 방화벽 설정에 의해 결정됩니까?

• IPSec 이외의 IP 패킷을 쉽게 차단할 수 있습니까? 또한 "Mallory 's evil"IPSec 트래픽은 일부 키에 의해 서명 되었지만 우리의 키는 아닙니다. 이상적인 개념은 LAN에서 그러한 IP 트래픽을 가질 수 없도록하는 것입니다.

• LAN 내부 트래픽의 경우 : "전송 모드"에서 "ESP 인증 (AH 없음)", AES-256을 선택합니다. 이것이 합리적인 결정입니까?

• LAN- 인터넷 트래픽의 경우 : 인터넷 게이트웨이와 어떻게 작동합니까? 내가 사용 할까

  • 각 머신에서 게이트웨이로 IPSec 터널을 생성하는 "터널 모드"? 아니면 사용할 수도 있어요
  • 게이트웨이로의 "전송 모드"? 내가 묻는 이유는 게이트웨이가 LAN에서 오는 패키지를 해독 할 수 있어야하기 때문에 그렇게하려면 키가 필요하기 때문입니다. 대상 주소가 게이트웨이 주소가 아닌 경우 가능합니까? 아니면이 경우 프록시를 사용해야합니까?

• 고려해야 할 다른 것이 있습니까?

나는 단지 매우 상세한 지침이 아니라 이러한 것들에 대한 간단한 개요가 필요합니다.

• 플랫폼 간 지원이 양호합니까? Linux, MacOS X 및 Windows 클라이언트, Linux 서버에서 작동해야하며 값 비싼 네트워크 하드웨어가 필요하지 않습니다.

나는 주로 리눅스 시스템을 가지고 정말이와 함께 많은 경험이 없어,하지만 난 그것을 얻었다 대부분 은 Windows 2000 시스템에서 작업 (시간이 좀 전). 바이트 수가 전송 된 후 IPsec이 새 세션 키를 재협상하지 못하는 문제 (이는 자동으로 발생해야 함)로 인해 연결이 잠시 후에 끊어 질 수 없었습니다. 더욱이. 아마 요즘 훨씬 더 잘 작동합니다.

• 전체 컴퓨터에 대해 IPSec을 활성화 할 수 있습니까 (따라서 다른 트래픽이 들어오고 나가지 않음) 또는 네트워크 인터페이스에 대해 또는 개별 포트 / ...에 대한 방화벽 설정에 의해 결정됩니까?

어떻게 작동하는 (방법, 오히려, 또는이다 나는 , 당신이 기계되도록 정의가 작업 얻을 관리) 푸 한다 기계에만 IPsec을 사용하는 바 , 바즈 및 아뿔싸 . 이러한 컴퓨터를 오가는 모든 트래픽 은 이제 해당 컴퓨터만큼 안전하고 신뢰할 수 있습니다. 다른 트래픽은 IPsec이 아니며 정상적으로 작동합니다.

• IPSec 이외의 IP 패킷을 쉽게 차단할 수 있습니까? 또한 "Mallory 's evil"IPSec 트래픽은 일부 키에 의해 서명되었지만 우리의 키는 아닙니다. 이상적인 개념은 LAN에서 그러한 IP 트래픽을 가질 수 없도록하는 것입니다.

IPsec 트래픽은 사용자가 정의한 IPsec " 정책 "에 대해서만 허용 되므로 임의의 시스템은 IPsec 패킷을 보낼 수 없습니다. 이러한 패킷과 일치하는 IPsec 정책이 있어야합니다.

• LAN 내부 트래픽의 경우 : "전송 모드"에서 "ESP 인증 (AH 없음)", AES-256을 선택합니다. 이것이 합리적인 결정입니까?

네. 중복되므로 AH를 완전히 포기하는 것에 대한 이야기가 있습니다. 동일한 효과로 NULL 암호화와 함께 ESP를 사용할 수 있습니다.

• LAN- 인터넷 트래픽의 경우 : 인터넷 게이트웨이와 어떻게 작동합니까? 내가 사용 할까
  • 각 머신에서 게이트웨이로 IPSec 터널을 생성하는 "터널 모드"? 아니면 사용할 수도 있어요

이 옵션을 선택하겠습니다. 따라서 게이트웨이를 직접 제어하지 않으며 어쨌든 트래픽은 네트워크 외부에서 암호화되지 않으므로 실제로 긴급한 요구는 보이지 않습니다.

IPsec을 사용하지 않는 호스트에 대한 인터넷 트래픽은 가로 챌 가능성이있는 것으로 간주되어야합니다. ISP 나 ISP의 ISP가 암호화되지 않은 동일한 패킷을들을 수있을 때 로컬 LAN을 암호화하는 데 별다른 의미가 없습니다.

• 게이트웨이로의 "전송 모드"? 내가 묻는 이유는 게이트웨이가 LAN에서 오는 패키지를 해독 할 수 있어야하기 때문에 그렇게하려면 키가 필요하기 때문입니다. 대상 주소가 게이트웨이 주소가 아닌 경우 가능합니까? 아니면이 경우 프록시를 사용해야합니까?

내가 이해하는 것처럼 작동하지 않습니다-프록시가 필요합니다.

• 고려해야 할 다른 것이 있습니까?

X.509 인증서 대신 OpenPGP 키와 같은 적절한 것을 사용할 수 있는지 확인하십시오. X.509는 내가 처음 사용한 IPsec 키 데몬에서 지원하는 유일한 것이기 때문에 X.509를 사용하며, 모든 것을 다시 실행할 에너지가 없었습니다. 하지만 언젠가는해야 할 것입니다.

PS Me와 그 직원 은 2007 년 에 IPsec 에 대한 강의를 했는데, 몇 가지 개념을 명확히하는 데 도움이 될 수 있습니다.

이것은 과잉 소리처럼 들립니다. LAN에서 모든 트래픽을 암호화하는 사람이 있다고 들었습니다. 이 일에 대한 동기 부여 동기는 무엇입니까?

IPSec은 신뢰할 수없는 네트워크 (예 : Web DMZ 등)와 방화벽으로 분리 된 네트워크 및 네트워크에 연결하는 데 적합합니다. RPC 프로토콜 (예 : Microsoft AD 등)을 사용하는 앱은 방화벽이 작동하지 않는 높은 임시 포트 범위를 사용하는 것을 좋아합니다. LAN 내에서 여러 가지 요인에 따라 혜택이 달라집니다.

총알이 아니며 네트워크 보안을 단순화하지는 않습니다. 네트워크 장비에 막대한 투자를하지 않고도 인터넷이나 기타 신뢰할 수없는 네트워크에서 서비스를 운영하는 데 도움이됩니다.

이것을 운동이나 학습 경험으로하고 있다면 괜찮습니다. 그러나 지금까지 게시 한 내용은 당신이 말하는 것에 대해 설득력있는 주장을하지 않습니다.