Este é um seguimento da minha pergunta Criptografando absolutamente tudo ...
Importante : Não se trata da configuração IPSec mais comum, na qual você deseja criptografar o tráfego entre duas LANs.
Meu objetivo básico é criptografar todo o tráfego na LAN de uma pequena empresa. Uma solução pode ser o IPSec. Comecei a aprender sobre o IPSec e, antes de decidir usá-lo e mergulhar mais profundamente, gostaria de ter uma visão geral de como isso pode ser.
Existe um bom suporte entre plataformas? Ele deve funcionar em clientes Linux, MacOS X e Windows, servidores Linux e não deve exigir hardware de rede caro.
Posso ativar o IPSec para uma máquina inteira (para que não haja outro tráfego de entrada / saída), ou para uma interface de rede, ou é determinado pelas configurações de firewall para portas individuais / ...?
Posso banir facilmente pacotes IP não-IPSec? E também o tráfego IPSec do "mal de Mallory", assinado por alguma chave, mas não a nossa? Minha concepção ideal é tornar impossível o tráfego IP na LAN.
Para tráfego interno da LAN: eu escolheria "ESP com autenticação (sem AH)", AES-256, em "Modo de transporte". Esta é uma decisão razoável?
Para tráfego de LAN-Internet: Como funcionaria com o gateway da Internet? Eu usaria
- "Modo de túnel" para criar um túnel IPSec de cada máquina para o gateway? Ou eu também poderia usar
- "Modo de transporte" para o gateway? A razão pela qual pergunto é que o gateway teria que ser capaz de descriptografar pacotes vindos da LAN, portanto precisará das chaves para fazer isso. Isso é possível, se o endereço de destino não for o endereço do gateway? Ou eu precisaria usar um proxy nesse caso?
Há mais alguma coisa que eu deva considerar?
Eu realmente só preciso de uma rápida visão geral dessas coisas, não de instruções muito detalhadas.