IPSec para tráfego de LAN: considerações básicas?

Este é um seguimento da minha pergunta Criptografando absolutamente tudo ...

Importante : Não se trata da configuração IPSec mais comum, na qual você deseja criptografar o tráfego entre duas LANs.

Meu objetivo básico é criptografar todo o tráfego na LAN de uma pequena empresa. Uma solução pode ser o IPSec. Comecei a aprender sobre o IPSec e, antes de decidir usá-lo e mergulhar mais profundamente, gostaria de ter uma visão geral de como isso pode ser.

Existe um bom suporte entre plataformas? Ele deve funcionar em clientes Linux, MacOS X e Windows, servidores Linux e não deve exigir hardware de rede caro.
Posso ativar o IPSec para uma máquina inteira (para que não haja outro tráfego de entrada / saída), ou para uma interface de rede, ou é determinado pelas configurações de firewall para portas individuais / ...?
Posso banir facilmente pacotes IP não-IPSec? E também o tráfego IPSec do "mal de Mallory", assinado por alguma chave, mas não a nossa? Minha concepção ideal é tornar impossível o tráfego IP na LAN.
Para tráfego interno da LAN: eu escolheria "ESP com autenticação (sem AH)", AES-256, em "Modo de transporte". Esta é uma decisão razoável?
Para tráfego de LAN-Internet: Como funcionaria com o gateway da Internet? Eu usaria
- "Modo de túnel" para criar um túnel IPSec de cada máquina para o gateway? Ou eu também poderia usar
- "Modo de transporte" para o gateway? A razão pela qual pergunto é que o gateway teria que ser capaz de descriptografar pacotes vindos da LAN, portanto precisará das chaves para fazer isso. Isso é possível, se o endereço de destino não for o endereço do gateway? Ou eu precisaria usar um proxy nesse caso?
Há mais alguma coisa que eu deva considerar?

Eu realmente só preciso de uma rápida visão geral dessas coisas, não de instruções muito detalhadas.

local-area-network encryption ipsec

— Chris Lercher
fonte

Respostas:

Existe um bom suporte entre plataformas? Ele deve funcionar em clientes Linux, MacOS X e Windows, servidores Linux e não deve exigir hardware de rede caro.

Eu realmente não tenho muita experiência com isso, pois tenho principalmente sistemas Linux, mas consegui que funcionasse principalmente em uma máquina Windows 2000 (isso foi há algum tempo). Ocorreu um problema em que o IPsec falhou ao renegociar uma nova chave de sessão após a transferência de um número de bytes (isso deveria acontecer automaticamente); portanto, a conexão caiu depois de um tempo, e eu nunca me incomodei em cavá-la mais longe. Provavelmente funciona muito melhor hoje em dia.

Posso ativar o IPSec para uma máquina inteira (para que não haja outro tráfego de entrada / saída), ou para uma interface de rede, ou é determinado pelas configurações de firewall para portas individuais / ...?

Como funciona é (ou melhor, como eu consegui fazê-lo funcionar), você define que uma máquina foo deve usar somente IPsec para máquinas bar , baz , e yow . Qualquer tráfego de e para essas máquinas agora é seguro e confiável como essas máquinas. Qualquer outro tráfego não é IPsec e funciona normalmente.

Posso banir facilmente pacotes IP não-IPSec? E também o tráfego IPSec do "mal de Mallory", assinado por alguma chave, mas não a nossa? Minha concepção ideal é tornar impossível o tráfego IP na LAN.

O tráfego IPsec é permitido apenas para as " políticas " IPsec definidas por você, portanto, qualquer máquina aleatória não pode enviar pacotes IPsec - deve existir uma política IPsec correspondente a esses pacotes.

Para tráfego interno da LAN: eu escolheria "ESP com autenticação (sem AH)", AES-256, em "Modo de transporte". Esta é uma decisão razoável?

Sim. Fala-se em abandonar o AH completamente porque é redundante - você pode usar o ESP com criptografia NULL com o mesmo efeito.

Para tráfego de LAN-Internet: Como funcionaria com o gateway da Internet? Eu usaria

"Modo de túnel" para criar um túnel IPSec de cada máquina para o gateway? Ou eu também poderia usar

Eu escolheria esta opção. Como eu não controlo o gateway, o tráfego não será criptografado fora da minha rede, de modo que não vejo uma necessidade urgente.

O tráfego da Internet para hosts que não usam IPsec deve ser visto como possivelmente interceptado - não há muito sentido em criptografar na LAN local quando o seu ISP ou o ISP do seu ISP pode ouvir os mesmos pacotes não criptografados.

"Modo de transporte" para o gateway? A razão pela qual pergunto é que o gateway teria que ser capaz de descriptografar pacotes vindos da LAN, portanto precisará das chaves para fazer isso. Isso é possível, se o endereço de destino não for o endereço do gateway? Ou eu precisaria usar um proxy nesse caso?

Pelo que entendi, isso não funciona - você precisaria de um proxy.

Há mais alguma coisa que eu deva considerar?

Veja se você pode usar algo sensato como chaves OpenPGP em vez de certificados X.509. Eu uso o X.509, pois essa era a única coisa suportada pelo daemon de codificação IPsec que usei pela primeira vez e não tive energia para procurar refazer tudo. Mas eu devo, e irei, algum dia.

PS Eu e um associado realizamos uma palestra sobre IPsec em 2007, pode ser útil esclarecer alguns conceitos.

— Urso de pelúcia
fonte

@Teddy: Resposta fantástica (+++ 1) Também digitalizei rapidamente o PDF ao qual você vinculou - parece muito com o que eu preciso!

— precisa

Isso soa um pouco como um exagero. Não posso dizer que já ouvi falar de alguém que criptografa todo o tráfego em sua LAN. Qual é a sua motivação motriz para fazer isso?

— joeqwerty
fonte

@ joe: Ainda não tenho certeza, se realmente quero fazer isso ou não. Pode parecer loucura, mas eu realmente quero simplificar o conceito de segurança da minha LAN. O acesso à WLAN será permitido, então terei que fazer algo contra ataques. Ou será uma configuração elaborada do IDS ou minha ideia maluca de criptografar tudo. Por favor, veja a minha pergunta original, se você quiser ouvir todos os detalhes :-)

— Chris Lercher

Parece loucura. Como não sou especialista em IPSEC, não tenho ajuda para você, mas vou seguir este post, pois isso me interessa.

— joeqwerty

Não é uma ideia maluca. Criptografar tudo é algo que muitas pessoas consideraram, principalmente os ambientes seguros. AFAIK, esse é um dos motivos por trás da inclusão do IPsec na especificação IPv6: para que todos os terminais possam criptografar todo o tráfego. @chris_l, desejo-lhe sorte e espero que você decida fazê-lo. Por favor, compartilhe como fica.

— Jed Daniels

Então você confia totalmente em todos na sua LAN? Mesmo que alguém com um laptop ou capaz de quebrar sua conexão sem fio (ou não esteja criptografado?) Possa acessar sua LAN à vontade? Se você realmente confia em todos na sua LAN, posso perguntar por que você tem uma senha nos consoles das máquinas conectadas a ela - as pessoas no prédio não são confiáveis? A resposta é, obviamente, "NÃO", e é por isso que o tráfego da LAN, como qualquer outro tráfego, deve ser criptografado.

— Teddy

@Teddy: Eu não disse que confiava ou não confiava em ninguém ou em nada. Eu só disse que me parece uma ideia louca. Não deduza o que você pensa que eu quero dizer, não há nada nas entrelinhas da minha resposta ou comentários, apenas curiosidade.

— precisa saber é o seguinte

O IPSec é ótimo para conectar-se a redes não confiáveis (por exemplo, DMZs da Web etc.) e a redes internas e segregadas com firewalls. Os aplicativos que usam protocolos RPC (por exemplo, Microsoft AD, etc) gostam de usar intervalos de portas efêmeros altos, que não combinam com os firewalls. Dentro da LAN, seus benefícios dependem de vários fatores.

Não é uma bala de prata e não vai necessariamente simplificar a segurança da rede. Ele o ajudará a operar serviços na Internet ou em outras redes não confiáveis, sem fazer grandes investimentos em equipamentos de rede.

Se você está fazendo isso como um exercício ou experiência de aprendizado, tudo bem, mas nada do que você postou até esse momento é um argumento convincente para fazer o que você está falando.

— duffbeer703
fonte