IPSec pour le trafic LAN: considérations de base?


13

Ceci est un suivi de mon Encrypting de tout à fait ... question.

Important : il ne s'agit pas de la configuration IPSec la plus courante, où vous souhaitez crypter le trafic entre deux réseaux locaux.

Mon objectif de base est de crypter tout le trafic sur le réseau local d'une petite entreprise. Une solution pourrait être IPSec. Je viens de commencer à me familiariser avec IPSec, et avant de décider de l'utiliser et de plonger plus profondément, j'aimerais avoir un aperçu de ce à quoi cela pourrait ressembler.

  • Existe-t-il un bon support multiplateforme? Il doit fonctionner sur les clients Linux, MacOS X et Windows, les serveurs Linux et ne devrait pas nécessiter de matériel réseau coûteux.

  • Puis-je activer IPSec pour une machine entière (donc il ne peut y avoir d'autre trafic entrant / sortant), ou pour une interface réseau, ou est-il déterminé par les paramètres du pare-feu pour les ports individuels / ...?

  • Puis-je facilement interdire les paquets IP non IPSec? Et aussi le trafic IPSec "maléfique de Mallory" qui est signé par une clé, mais pas la nôtre? Ma conception idéale est de rendre impossible tout trafic IP sur le LAN.

  • Pour le trafic interne au LAN: je choisirais "ESP avec authentification (pas AH)", AES-256, en "mode Transport". Est-ce une décision raisonnable?

  • Pour le trafic LAN-Internet: comment cela fonctionnerait-il avec la passerelle Internet? Aurais-je utiliser

    • "Mode tunnel" pour créer un tunnel IPSec de chaque machine vers la passerelle? Ou pourrais-je aussi utiliser
    • "Mode de transport" vers la passerelle? La raison pour laquelle je demande, c'est que la passerelle devrait être capable de déchiffrer les paquets provenant du LAN, donc elle aura besoin des clés pour le faire. Est-ce possible, si l'adresse de destination n'est pas l'adresse de la passerelle? Ou devrais-je utiliser un proxy dans ce cas?
  • Y a-t-il autre chose que je devrais considérer?

J'ai vraiment juste besoin d'un aperçu rapide de ces choses, pas d'instructions très détaillées.

Réponses:


6
  • Existe-t-il un bon support multiplateforme? Il doit fonctionner sur les clients Linux, MacOS X et Windows, les serveurs Linux et ne devrait pas nécessiter de matériel réseau coûteux.

Je n'ai pas vraiment beaucoup d'expérience avec cela, car j'ai principalement des systèmes Linux, mais je l'ai fait fonctionner principalement sur une machine Windows 2000 (c'était il y a quelque temps). Il y avait un problème que l'IPsec n'a pas réussi à renégocier une nouvelle clé de session après qu'un certain nombre d'octets avait été transféré (cela est censé se produire automatiquement), donc la connexion s'est interrompue après un certain temps, et je n'ai jamais pu être dérangé pour y creuser plus loin. Cela fonctionne probablement beaucoup mieux de nos jours.

  • Puis-je activer IPSec pour une machine entière (donc il ne peut y avoir d'autre trafic entrant / sortant), ou pour une interface réseau, ou est-il déterminé par les paramètres du pare-feu pour les ports individuels / ...?

Comment cela fonctionne (ou plutôt comment j'ai réussi à le faire fonctionner), vous définissez qu'un ordinateur foo doit utiliser uniquement IPsec pour les machines bar , baz et yow . Tout trafic en provenance et à destination de ces machines est désormais sécurisé et aussi fiable que ces machines. Tout autre trafic n'est pas IPsec et fonctionne normalement.

  • Puis-je facilement interdire les paquets IP non IPSec? Et aussi le trafic IPSec "maléfique de Mallory" qui est signé par une clé, mais pas la nôtre? Ma conception idéale est de rendre impossible tout trafic IP sur le LAN.

Le trafic IPsec n'est autorisé que pour les " stratégies " IPsec que vous définissez, de sorte qu'aucune machine aléatoire ne peut envoyer de paquets IPsec - il doit exister une stratégie IPsec correspondant à ces paquets.

  • Pour le trafic interne au LAN: je choisirais "ESP avec authentification (pas AH)", AES-256, en "mode Transport". Est-ce une décision raisonnable?

Oui. Il est question d'abandonner complètement AH car il est redondant - vous pouvez utiliser ESP avec un cryptage NULL avec le même effet.

  • Pour le trafic LAN-Internet: comment cela fonctionnerait-il avec la passerelle Internet? Aurais-je utiliser
    • "Mode tunnel" pour créer un tunnel IPSec de chaque machine vers la passerelle? Ou pourrais-je aussi utiliser

Je choisirais cette option. Dans l'état actuel des choses, je ne contrôle pas moi-même la passerelle, et le trafic sera de toute façon non chiffré en dehors de mon réseau, donc je ne vois pas vraiment de besoin urgent.

Le trafic Internet vers des hôtes qui n'utilisent pas IPsec doit être considéré comme pouvant être intercepté - il n'y a aucun intérêt à chiffrer sur le LAN local lorsque votre FAI ou le FAI de votre FAI peut écouter les mêmes paquets non chiffrés.

  • "Mode de transport" vers la passerelle? La raison pour laquelle je demande, c'est que la passerelle devrait être capable de déchiffrer les paquets provenant du LAN, donc elle aura besoin des clés pour le faire. Est-ce possible, si l'adresse de destination n'est pas l'adresse de la passerelle? Ou devrais-je utiliser un proxy dans ce cas?

Si je comprends bien, cela ne fonctionne pas - vous auriez besoin d'un proxy.

  • Y a-t-il autre chose que je devrais considérer?

Voyez si vous pouvez utiliser quelque chose de sensé comme des clés OpenPGP au lieu de certificats X.509. J'utilise X.509 car c'était la seule chose prise en charge par le démon de clé IPsec que j'ai utilisé pour la première fois, et je n'ai pas eu l'énergie de chercher à tout refaire. Mais je devrais, et je le ferai un jour.

PS Me et un associé ont tenu une conférence sur IPsec en 2007, il peut être utile de clarifier certains concepts.


@Teddy: Réponse fantastique (+++ 1) J'ai également scanné rapidement le PDF auquel vous avez lié - cela ressemble beaucoup à ce dont j'ai besoin!
Chris Lercher

0

Cela semble un peu exagéré. Je ne peux pas dire que j'aie jamais entendu parler de quelqu'un chiffrant tout le trafic sur son réseau local. Quelle est votre motivation pour faire cela?


@joe: Je ne suis pas encore sûr, si je veux vraiment faire ça ou pas. Cela peut sembler fou, mais je veux vraiment simplifier le concept de sécurité de mon LAN. L'accès WLAN sera autorisé, donc je devrai faire quelque chose contre les attaques. Soit ce sera une configuration IDS élaborée, soit ma folle idée de tout chiffrer. S'il vous plaît voir ma question d'origine, si vous voulez entendre tous les détails :-)
Chris Lercher

Cela semble fou. Je ne suis pas un expert IPSEC, donc je n'ai pas d'aide pour vous, mais je vais suivre ce post car il a suscité mon intérêt.
joeqwerty

5
Ce n'est pas du tout une idée folle. Tout chiffrer est quelque chose que beaucoup de gens ont envisagé, en particulier les environnements sécurisés. AFAIK, c'est l'une des raisons motivant l'inclusion d'IPsec dans la spécification IPv6: tous les points de terminaison peuvent donc crypter tout le trafic. @chris_l, je vous souhaite bonne chance et j'espère que vous déciderez de le faire. Veuillez partager comment cela se passe.
Jed Daniels

1
Vous faites donc entièrement confiance à tout le monde sur votre LAN? Même si n'importe qui avec un ordinateur portable ou capable de casser votre réseau sans fil (ou n'est-il pas chiffré?) Peut accéder à votre réseau local à volonté? Si vous faites vraiment confiance à tout le monde sur votre LAN, je pourrais vous demander pourquoi vous avez un mot de passe sur les consoles des machines qui y sont connectées - les gens du bâtiment ne sont-ils pas dignes de confiance? La réponse est, bien sûr, "NON", et c'est pourquoi le trafic LAN, comme tout autre trafic, doit être crypté.
Teddy

1
@Teddy: Je n'ai pas dit que je faisais confiance ou ne faisais confiance à personne ou à quoi que ce soit. J'ai seulement dit que cela me semblait une idée folle. Ne déduisez pas ce que vous pensez que je veux dire, il n'y a rien entre les lignes dans ma réponse ou mes commentaires, seulement de la curiosité.
joeqwerty

0

IPSec est idéal pour se connecter à des réseaux non approuvés (par exemple, des DMZ Web, etc.) et au sein de réseaux qui sont séparés par des pare-feu. Les applications qui utilisent des protocoles RPC (par exemple, Microsoft AD, etc.) aiment utiliser des plages de ports éphémères élevées, qui ne fonctionnent pas avec les pare-feu. Au sein du LAN, vos avantages dépendent d'un certain nombre de facteurs.

Ce n'est pas une solution miracle et cela ne simplifiera pas nécessairement la sécurité du réseau. Il vous aidera à exploiter des services sur Internet ou d'autres réseaux non fiables sans faire d'énormes investissements dans l'équipement réseau.

Si vous faites cela comme un exercice ou une expérience d'apprentissage, c'est bien, mais rien de ce que vous avez publié jusqu'à présent ne constitue un argument convaincant pour faire ce dont vous parlez.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.