Este é um seguimento da minha pergunta Criptografando absolutamente tudo ...
Importante : Não se trata da configuração IPSec mais comum, na qual você deseja criptografar o tráfego entre duas LANs.
Meu objetivo básico é criptografar todo o tráfego na LAN de uma pequena empresa. Uma solução pode ser o IPSec. Comecei a aprender sobre o IPSec e, antes de decidir usá-lo e mergulhar mais profundamente, gostaria de ter uma visão geral de como isso pode ser.
Existe um bom suporte entre plataformas? Ele deve funcionar em clientes Linux, MacOS X e Windows, servidores Linux e não deve exigir hardware de rede caro.
Posso ativar o IPSec para uma máquina inteira (para que não haja outro tráfego de entrada / saída), ou para uma interface de rede, ou é determinado pelas configurações de firewall para portas individuais / ...?
Posso banir facilmente pacotes IP não-IPSec? E também o tráfego IPSec do "mal de Mallory", assinado por alguma chave, mas não a nossa? Minha concepção ideal é tornar impossível o tráfego IP na LAN.
Para tráfego interno da LAN: eu escolheria "ESP com autenticação (sem AH)", AES-256, em "Modo de transporte". Esta é uma decisão razoável?
Para tráfego de LAN-Internet: Como funcionaria com o gateway da Internet? Eu usaria
- "Modo de túnel" para criar um túnel IPSec de cada máquina para o gateway? Ou eu também poderia usar
- "Modo de transporte" para o gateway? A razão pela qual pergunto é que o gateway teria que ser capaz de descriptografar pacotes vindos da LAN, portanto precisará das chaves para fazer isso. Isso é possível, se o endereço de destino não for o endereço do gateway? Ou eu precisaria usar um proxy nesse caso?
Há mais alguma coisa que eu deva considerar?
Eu realmente só preciso de uma rápida visão geral dessas coisas, não de instruções muito detalhadas.
fonte
Isso soa um pouco como um exagero. Não posso dizer que já ouvi falar de alguém que criptografa todo o tráfego em sua LAN. Qual é a sua motivação motriz para fazer isso?
fonte
O IPSec é ótimo para conectar-se a redes não confiáveis (por exemplo, DMZs da Web etc.) e a redes internas e segregadas com firewalls. Os aplicativos que usam protocolos RPC (por exemplo, Microsoft AD, etc) gostam de usar intervalos de portas efêmeros altos, que não combinam com os firewalls. Dentro da LAN, seus benefícios dependem de vários fatores.
Não é uma bala de prata e não vai necessariamente simplificar a segurança da rede. Ele o ajudará a operar serviços na Internet ou em outras redes não confiáveis, sem fazer grandes investimentos em equipamentos de rede.
Se você está fazendo isso como um exercício ou experiência de aprendizado, tudo bem, mas nada do que você postou até esse momento é um argumento convincente para fazer o que você está falando.
fonte