Ceci est un suivi de mon Encrypting de tout à fait ... question.
Important : il ne s'agit pas de la configuration IPSec la plus courante, où vous souhaitez crypter le trafic entre deux réseaux locaux.
Mon objectif de base est de crypter tout le trafic sur le réseau local d'une petite entreprise. Une solution pourrait être IPSec. Je viens de commencer à me familiariser avec IPSec, et avant de décider de l'utiliser et de plonger plus profondément, j'aimerais avoir un aperçu de ce à quoi cela pourrait ressembler.
Existe-t-il un bon support multiplateforme? Il doit fonctionner sur les clients Linux, MacOS X et Windows, les serveurs Linux et ne devrait pas nécessiter de matériel réseau coûteux.
Puis-je activer IPSec pour une machine entière (donc il ne peut y avoir d'autre trafic entrant / sortant), ou pour une interface réseau, ou est-il déterminé par les paramètres du pare-feu pour les ports individuels / ...?
Puis-je facilement interdire les paquets IP non IPSec? Et aussi le trafic IPSec "maléfique de Mallory" qui est signé par une clé, mais pas la nôtre? Ma conception idéale est de rendre impossible tout trafic IP sur le LAN.
Pour le trafic interne au LAN: je choisirais "ESP avec authentification (pas AH)", AES-256, en "mode Transport". Est-ce une décision raisonnable?
Pour le trafic LAN-Internet: comment cela fonctionnerait-il avec la passerelle Internet? Aurais-je utiliser
- "Mode tunnel" pour créer un tunnel IPSec de chaque machine vers la passerelle? Ou pourrais-je aussi utiliser
- "Mode de transport" vers la passerelle? La raison pour laquelle je demande, c'est que la passerelle devrait être capable de déchiffrer les paquets provenant du LAN, donc elle aura besoin des clés pour le faire. Est-ce possible, si l'adresse de destination n'est pas l'adresse de la passerelle? Ou devrais-je utiliser un proxy dans ce cas?
Y a-t-il autre chose que je devrais considérer?
J'ai vraiment juste besoin d'un aperçu rapide de ces choses, pas d'instructions très détaillées.