Question IPSec pour le trafic LAN: considérations de base?


Ceci fait suite à ma Crypter absolument tout ... question.

Important: Il ne s'agit pas de la configuration IPSec plus habituelle, dans laquelle vous souhaitez chiffrer le trafic entre deux réseaux locaux.

Mon objectif de base est de chiffrer tout le trafic dans LAN d'une petite entreprise. Une solution pourrait être IPSec. Je viens tout juste de commencer à apprendre IPSec et, avant de me décider à l'utiliser et à approfondir ma connaissance, j'aimerais avoir un aperçu de la façon dont cela pourrait ressembler.

  • Existe-t-il un bon support multiplateforme? Il doit fonctionner sur les clients Linux, MacOS X et Windows, les serveurs Linux, et ne nécessite pas de matériel réseau coûteux.

  • Puis-je activer IPSec pour un ordinateur entier (afin d'éviter tout autre trafic entrant / sortant), pour une interface réseau ou est-il déterminé par les paramètres de pare-feu des ports individuels / ...?

  • Puis-je facilement interdire les paquets IP non IPSec? Et aussi "le mal de Mallory" trafic IPSec qui est signé par certains clé, mais pas la nôtre? Ma conception idéale est de rendre impossible l’installation d’un tel trafic IP sur le réseau local.

  • Pour le trafic interne au réseau local: je choisirais "ESP avec authentification (no AH)", AES-256, en "mode de transport". Est-ce une décision raisonnable?

  • Pour le trafic Internet LAN: comment cela fonctionnerait-il avec la passerelle Internet? Aurais-je utiliser

    • "Mode tunnel" pour créer un tunnel IPSec de chaque machine à la passerelle? Ou pourrais-je aussi utiliser
    • "Mode de transport" à la passerelle? La raison pour laquelle je pose cette question est que la passerelle devrait pouvoir déchiffrer les paquets provenant du réseau local. Elle aura donc besoin de clés pour le faire. Est-ce possible, si l'adresse de destination n'est pas l'adresse de la passerelle? Ou devrais-je utiliser un proxy dans ce cas?
  • Y a-t-il autre chose que je devrais envisager?

J'ai vraiment juste besoin d'un aperçu rapide de ces choses, d'instructions pas très détaillées.


12
2018-04-08 17:28


origine




Réponses:


  • Existe-t-il un bon support multiplateforme? Il doit fonctionner sur les clients Linux, MacOS X et Windows, les serveurs Linux, et ne nécessite pas de matériel réseau coûteux.

Je n'ai pas beaucoup d'expérience dans ce domaine, car j'ai principalement des systèmes Linux, mais je l'ai bien compris. la plupart travailler sur une machine Windows 2000 (c'était il y a quelque temps). Il y a eu un problème, car IPsec n'a pas pu renégocier une nouvelle clé de session après le transfert d'un certain nombre d'octets (cela est supposé se produire automatiquement). La connexion a donc été coupée au bout d'un moment et je ne pouvais plus être dérangé. plus loin. Cela fonctionne probablement beaucoup mieux de nos jours.

  • Puis-je activer IPSec pour un ordinateur entier (afin d'éviter tout autre trafic entrant / sortant), pour une interface réseau ou est-il déterminé par les paramètres de pare-feu des ports individuels / ...?

Comment ça marche est (ou plutôt comment je réussi à le faire fonctionner), vous définissez une machine foo  doit utiliser uniquement IPsec pour les machines bar, baz, et yow. Tout trafic de et vers ces machines est maintenant sécurisé et aussi fiable que ces machines. Tout autre trafic n'est pas IPsec et fonctionne normalement.

  • Puis-je facilement interdire les paquets IP non IPSec? Et aussi le trafic IPSec "du mal de Mallory" signé par une clé, mais pas la nôtre? Ma conception idéale est de rendre impossible l’installation d’un tel trafic IP sur le réseau local.

Le trafic IPsec n'est autorisé que pour ces IPsec "les politiques"que vous définissez, afin que toute machine aléatoire ne puisse pas envoyer de paquet IPsec - il doit exister une politique IPsec correspondant à ces paquets.

  • Pour le trafic interne au réseau local: je choisirais "ESP avec authentification (no AH)", AES-256, en "mode de transport". Est-ce une décision raisonnable?

Oui. On parle d'abandonner complètement AH parce que c'est redondant - vous pouvez utiliser ESP avec un cryptage NULL avec le même effet.

  • Pour le trafic Internet LAN: comment cela fonctionnerait-il avec la passerelle Internet? Aurais-je utiliser      
    • "Mode tunnel" pour créer un tunnel IPSec de chaque machine à la passerelle? Ou pourrais-je aussi utiliser

Je choisirais cette option. En l'état actuel des choses, je ne contrôle pas la passerelle moi-même et, de toute façon, le trafic ne sera pas chiffré en dehors de mon réseau. Je ne vois donc pas vraiment un besoin urgent.

Le trafic Internet vers des hôtes qui n'utilisent pas IPsec doit être perçu comme pouvant être intercepté. Le cryptage sur le réseau local n'a pas sa raison d'être lorsque votre FAI ou son FAI peut écouter les mêmes paquets non cryptés.

  • "Mode de transport" à la passerelle? La raison pour laquelle je pose cette question est que la passerelle devrait pouvoir déchiffrer les paquets provenant du réseau local. Elle aura donc besoin de clés pour le faire. Est-ce possible, si l'adresse de destination n'est pas l'adresse de la passerelle? Ou devrais-je utiliser un proxy dans ce cas?

Si je comprends bien, cela ne fonctionne pas - vous auriez besoin d’un proxy.

  • Y a-t-il autre chose que je devrais envisager?

Voyez si vous pouvez utiliser quelque chose d'intelligent, comme des clés OpenPGP au lieu de certificats X.509. J'utilise X.509 car c'était la seule chose supportée par le démon de clé IPsec que j'avais utilisé pour la première fois, et je n'avais pas l'énergie de chercher à tout refaire. Mais je devrais, et je le ferai, un jour.

P.S. Moi et un associé a tenu une conférence sur IPsec en 2007, il pourrait être utile de clarifier certains concepts.


5
2018-04-08 20:11



@ Teddy: réponse fantastique (+++ 1) J'ai également balayé rapidement le PDF que vous avez lié - cela ressemble beaucoup à ce dont j'ai besoin! - Chris Lercher


Cela ressemble un peu à la surexploitation. Je ne peux pas dire que j'ai jamais entendu parler de personnes chiffrant tout le trafic sur leur réseau local. Quelle est votre motivation de conduite pour cela?


0
2018-04-08 18:26



@ joe: Je ne sais pas encore si je veux vraiment faire cela ou non. Cela peut paraître fou, mais je souhaite vraiment simplifier le concept de sécurité de mon réseau local. L'accès WLAN sera autorisé, je devrai donc faire quelque chose contre les attaques. Ce sera soit une configuration IDS élaborée, soit mon idée folle de tout chiffrer. S'il vous plaît voir ma question initiale, si vous voulez entendre tous les détails :-) - Chris Lercher
Cela semble fou. Je ne suis pas un expert IPSEC, je n'ai donc aucune aide à vous proposer, mais je vais suivre ce message car il suscite mon intérêt. - joeqwerty
Ce n'est pas une idée folle du tout. Beaucoup de gens ont pensé à tout chiffrer, en particulier dans les environnements sécurisés. Autant que je sache, c’est l’une des raisons majeures qui poussent à inclure IPsec dans la spécification IPv6: ainsi tous les points de terminaison peuvent chiffrer tout le trafic. @ chris_l, je vous souhaite bonne chance et espère que vous déciderez de le faire. S'il vous plaît partager comment il se révèle. - Jed Daniels
Vous faites donc entièrement confiance à tout le monde sur votre réseau local? Même si quelqu'un avec un ordinateur portable ou capable de déchiffrer votre réseau sans fil (ou est-il non crypté?) Peut accéder à votre réseau local à volonté? Si vous vraiment faites confiance à tout le monde sur votre LAN, je pourrais vous demander pourquoi vous avez un mot de passe sur les consoles des machines qui y sont connectées - les gens dans le bâtiment ne sont-ils pas dignes de confiance? La réponse est bien sûr "NON", et c’est pourquoi le trafic LAN, comme tout autre trafic, devrait être chiffré. - Teddy
@ Teddy: Je n'ai pas dit que j'avais confiance ou que je n'avais confiance en personne ou quoi que ce soit. J'ai seulement dit que cela semblait être une idée folle pour moi. Ne déduisez pas ce que vous pensez que je veux dire, il n'y a rien entre les lignes de ma réponse ou de mes commentaires, seulement de la curiosité. - joeqwerty


IPSec est idéal pour la connexion à des réseaux non fiables (par exemple, des zones Web Web, etc.) et au sein de réseaux séparés par des pare-feu. Les applications qui utilisent les protocoles RPC (Microsoft AD, etc.) préfèrent utiliser des plages de ports éphémères élevées, qui ne cadrent pas avec les pare-feu. Au sein du réseau local, vos avantages dépendent d’un certain nombre de facteurs.

Ce n'est pas une solution miracle, et cela ne va pas nécessairement simplifier la sécurité du réseau. Il vous aidera à exploiter des services sur Internet ou d’autres réseaux non fiables sans faire d’énormes investissements dans les équipements réseau.

Si vous faites cela comme un exercice ou une expérience d'apprentissage, c'est bien, mais rien de ce que vous avez publié jusqu'à présent ne constitue un argument convaincant pour faire ce dont vous parlez.


0
2018-04-09 00:21