LANトラフィック用のIPSec：基本的な考慮事項

これは、完全に暗号化する...私の質問のフォローアップです。

重要：これは、2つのLAN間のトラフィックを暗号化する、より一般的なIPSecセットアップに関するものではありません。

私の基本的な目標は、小さな会社のLAN 内のすべてのトラフィックを暗号化することです。1つのソリューションはIPSecです。IPSecについて学び始めたばかりです。IPSecの使用を決定し、さらに深く掘り下げる前に、IPSecがどのように見えるかについて概要を知りたいと思います。

• 優れたクロスプラットフォームサポートはありますか？Linux、MacOS X、Windowsクライアント、Linuxサーバーで動作する必要があり、高価なネットワークハードウェアは必要ありません。

• マシン全体（他のトラフィックが着信/発信できないように）やネットワークインターフェースに対してIPSecを有効にできますか、それとも個々のポートのファイアウォール設定によって決定されますか...

• 非IPSec IPパケットを簡単に禁止できますか？また、「Mallory's evil」IPSecトラフィックは、私たちのものではなく、何らかのキーによって署名されていますか？私の理想的な構想は、そのようなIPトラフィックをLAN上で不可能にすることです。

• LAN内部のトラフィックの場合：「Transport mode」で「ESP with authentication（no AH）」、AES-256を選択します。これは合理的な決定ですか？

• LAN-インターネットトラフィックの場合：インターネットゲートウェイでどのように機能しますか？使用しますか

  • 各マシンからゲートウェイへのIPSecトンネルを作成する「トンネルモード」？または私も使用できます
  • ゲートウェイへの「トランスポートモード」？私が尋ねる理由は、ゲートウェイがLANから来るパッケージを解読できなければならないので、それをするためにキーが必要だからです。宛先アドレスがゲートウェイのアドレスでない場合、それは可能ですか？または、この場合、プロキシを使用する必要がありますか？

• 他に考慮すべきことはありますか？

非常に詳細な指示ではなく、これらの事柄の簡単な概要が本当に必要です。

• 優れたクロスプラットフォームサポートはありますか？Linux、MacOS X、Windowsクライアント、Linuxサーバーで動作する必要があり、高価なネットワークハードウェアは必要ありません。

私は主にLinuxシステムを持っているように、私は本当に、これで多くの経験を持っていないが、私はそれを手に入れたほとんどのWindows 2000マシン上で作業（これはいくつかの時間前でした）。いくつかのバイト数が転送された後、IPsecが新しいセッションキーの再ネゴシエーションに失敗するという問題がありました（これは自動的に行われるはずです）さらに。おそらく最近ではもっとうまく機能します。

• マシン全体（他のトラフィックが着信/発信できないように）やネットワークインターフェースに対してIPSecを有効にできますか、それとも個々のポートのファイアウォール設定によって決定されますか...

（どのように、むしろ、またはどのようにそれが動作である、私はそれが働いて得ることができた）は、マシンのことを定義fooが しなければならないマシンにのみIPsecを使っバー、バズ、およびYOW。これらのマシンとの間のトラフィックは安全になり、これらのマシンと同様に信頼できるようになりました。他のトラフィックはIPsecではなく、正常に機能します。

• 非IPSec IPパケットを簡単に禁止できますか？また、「Mallory's evil」IPSecトラフィックは、私たちのものではなく、何らかのキーによって署名されていますか？私の理想的な構想は、そのようなIPトラフィックをLAN上で不可能にすることです。

IPsecトラフィックは、ユーザーが定義したIPsec " ポリシー " に対してのみ許可されるため、どのランダムマシンもIPsecパケットを送信できません。これらのパケットに一致するIPsecポリシーが存在する必要があります。

• LAN内部のトラフィックの場合：「Transport mode」で「ESP with authentication（no AH）」、AES-256を選択します。これは合理的な決定ですか？

うん。AHは冗長であるため、完全にAHを放棄するという話があります。ESPをNULL暗号化と同じ効果で使用できます。

• LAN-インターネットトラフィックの場合：インターネットゲートウェイでどのように機能しますか？使用しますか
  • 各マシンからゲートウェイへのIPSecトンネルを作成する「トンネルモード」？または私も使用できます

このオプションを選択します。ゲートウェイを自分で制御しないので、トラフィックはネットワーク外で暗号化されないため、差し迫った必要性は実際にはありません。

IPsecを使用しないホストへのインターネットトラフィックは、傍受されている可能性があります。ISPまたはISPのISPが暗号化されていない同じパケットをリッスンできる場合、ローカルLANで暗号化する意味はほとんどありません。

• ゲートウェイへの「トランスポートモード」？私が尋ねる理由は、ゲートウェイがLANから来るパッケージを解読できなければならないので、それをするためにキーが必要だからです。宛先アドレスがゲートウェイのアドレスでない場合、それは可能ですか？または、この場合、プロキシを使用する必要がありますか？

私はそれを理解しているように、それは動作しません-あなたはプロキシが必要になります。

• 他に考慮すべきことはありますか？

X.509証明書の代わりにOpenPGPキーのような賢明なものを使用できるかどうかを確認してください。X.509を使用するのは、最初に使用したIPsecキーイングデーモンでサポートされている唯一のものであり、それをすべてやり直すことを検討するエネルギーがなかったからです。しかし、いつかすべきであり、そうするでしょう。

PS Meとその仲間は2007年にIPsecに関する講演を行いました。いくつかの概念を明らかにするのに役立つかもしれません。

これはちょっとやり過ぎに聞こえます。LAN上のすべてのトラフィックを暗号化する人を聞いたことはありません。これを行うためのあなたの運転動機は何ですか？

IPSecは、信頼されていないネットワーク（Web DMZなど）やファイアウォール内で隔離されているネットワークへの接続に最適です。RPCプロトコル（Microsoft ADなど）を使用するアプリは、短命なポート範囲を使用することを好みます。これは、ファイアウォールでは実現できません。LAN内でのメリットは、いくつかの要因に依存します。

これは特効薬ではなく、必ずしもネットワークセキュリティを簡素化するものではありません。ネットワーク機器に莫大な投資をすることなく、インターネットまたは他の信頼できないネットワーク上でサービスを運用するのに役立ちます。

これをエクササイズまたは学習体験として行っている場合は問題ありませんが、これまでに投稿したことは、あなたが話していることを行うための説得力のある議論にはなりません。