Absolut alles verschlüsseln, auch im LAN

7

Hat jemand diesen Ansatz bereits versucht? Ich denke wirklich darüber nach: Anstatt sich auf netzwerkbasierte IDS usw. zu verlassen, muss jedes Paket eine Verschlüsselung verwenden, die durch ein von meiner eigenen Zertifizierungsstelle ausgestelltes Zertifikat initiiert wurde.

  • Jeder Kunde erhält ein eindeutiges Kundenzertifikat
  • Jeder Server erhält ein eindeutiges Serverzertifikat
  • Jeder Dienst erfordert zusätzlich die Anmeldung.

Sowohl SSL als auch SSH wären in Ordnung. Der Zugang zum Internet würde über einen SSL-Tunnel zum Gateway erfolgen.

Ist es machbar? Schafft es praktische Probleme? Wie könnte es getan und durchgesetzt werden? Was denken Sie?

Mehr Details

Mein Ziel ist es, das Sicherheitskonzept des LAN zu vereinfachen - ich bin mir noch nicht sicher, ob das eine verrückte Idee ist! Ich bin jedoch der Meinung, dass es manchmal einfacher ist, einen HTTPS- oder SSH-Server vor Internetbedrohungen zu schützen (wenn die gegenseitige Authentifizierung verwendet wird), als alles zu überwachen, was in der wilden Welt eines LAN passieren kann.

In einem nicht verschlüsselten LAN ist es meiner Meinung nach sehr schwierig, einem potenziellen Angreifer einen guten Schritt voraus zu sein, da folgende Bedrohungen bestehen:

  • Low-Level-Angriffe wie ARP-Spoofing, Port-Diebstahl, ...
  • WLAN-Zugang (z. B. darf jeder Entwickler über das (W) LAN auf den SVN-Server zugreifen - ich glaube nicht, dass dies über ein VPN erfolgt ...)

=> Ist es der Einfachheit halber nicht einfacher anzunehmen, dass sich immer ein Angreifer im LAN befindet?

=> Könnte ich am Ende das LAN-Sicherheitskonzept eines (kleinen Unternehmens) vereinfachen, indem ich es wie ein WAN behandle? Oder würde ich es lieber komplizieren?

IPSec und Alternativen

IPSec klingt sehr vielversprechend, aber ich würde mich auch für Alternativen zu IPSec interessieren - SSL / SSH einzeln pro Dienst verwenden und einen Stunnel zum Gateway erstellen? Verwenden Sie Kerberos vielleicht? ... Was sind die Vorteile von IPSec oder den anderen?

Wenn Sie mir helfen können, IPSec besser zu verstehen, lesen Sie bitte meine Folgefrage speziell zu IPSec .

networking local-area-network encryption Chris Lercher
quelle
6
Hierfür gibt es ein Standardschema: IPSEC ... meinen Sie das? Viele VPNs verwenden es über TLS, aber LANs implementieren es einfach. Windows-Computer können für die Verwendung mit Gruppenrichtlinienobjekten aktiviert und erzwungen werden.
Dies
@ Grizly: Ich bin nicht 100% sicher! Möglicherweise kann dies mit IPSEC durchgeführt werden (?). Es ist wichtig, dass ich sowohl den Client als auch den Server über ein Zertifikat authentifiziere und zusätzlich sicherstelle, dass der Client beim Dienst angemeldet ist (in Fällen, in denen Laptops gestohlen werden usw.)
Chris Lercher

Antworten:

6

Ich benutze IPSec hier für alles. Der Grund dafür ist, dass die meisten Angriffe sowieso von Insidern ausgeführt werden - das Denken der schlechten Seite / guten Seite ist fehlerhaft. (Wenn jemand mit den Servern abhebt, kann er Spaß daran haben, die Verschlüsselung der gesamten Festplatte zu unterbrechen, also auch dort kein Problem.)

Es macht auch Spaß, Telnet, NIS, NFS und FTP ohne Sorgen zu verwenden - fühlt sich an wie in guten alten Zeiten! :-)

Teddy
quelle
1
@ Teddy: Schön zu hören, dass du es schon benutzt! Wissen Sie, wie es umgesetzt wird? Wenn ja, möchte ich Sie zu meiner Folgefrage einladen: serverfault.com/questions/130637/… :-))
Chris Lercher
@chris_l: Ich habe jetzt eine Antwort geschrieben: serverfault.com/questions/130637/…
Teddy
Ihre PDF-Präsentation, auf die Sie dort verlinkt haben ( fukt.bsnet.se/lectures/2007-02-15_IPsec ), hat auch hier einen großen Teil dieser Frage beantwortet. Vielen Dank!
Chris Lercher
8

IPSec ist der Standard dafür. Es kommt in verschiedenen Formen und es gibt viel Vokabular.

Ich empfehle diesen Leitfaden IPSec , um Ihnen den Einstieg zu erleichtern .

Kyle Brandt
quelle
@ Kyle: Sieht auf jeden Fall nach einer guten Lektüre aus und ich werde sie morgen früh lesen! Verwenden Sie IPSec in Ihren LANs? Warum Warum nicht?
Chris Lercher
Ich verwende es nur für WAN-Tunnel über das Internet, daher müssen Sie auf jemanden warten, der Erfahrung mit der Bereitstellung im gesamten LAN hat. Dies würde zusätzliche Sicherheit bieten, würde jedoch mit Komplexitätskosten für meine Umgebung verbunden sein. Ich verlasse mich im Allgemeinen auf ssh und ssl, um bei Bedarf die Sicherheit auf Netzwerkebene zu gewährleisten. Ich würde vermuten, dass IPSec in kleinen und mittleren Unternehmen nicht allzu oft in LANs eingesetzt wird, es sei denn, sie handeln in einem Geschäft, das sehr hohe Sicherheit erfordert. Ich könnte mich jedoch irren. Ich würde dies erraten, da Updates, Fehlerbehebung, Sicherung usw. wahrscheinlich die Zeit des Administrators in Anspruch nehmen.
Kyle Brandt
2
Wir hatten diese Diskussion bei meiner Arbeit im letzten Jahr. Es lief darauf hinaus, dass "physische Sicherheit alle übertrumpft". Wenn Sie Zugriff auf die Pakete (LAN) haben, können Sie den gesamten Server stehlen (in unserem Fall). Es macht also keinen Sinn, ein Vorhängeschloss an einem 3-Fuß-Zaun anzubringen.
Chris S
4
IPSec ist wahrscheinlich das, was er will, aber aus Gründen der Genauigkeit muss darauf hingewiesen werden, dass es im Kontext eines LAN nicht "absolut alles" verschlüsselt. Es werden nur IP-basierte Protokolle verschlüsselt. Es ist auch heute nicht ungewöhnlich, dass in LANs Nicht-IP-Protokolle angezeigt werden. ARP-, STP-, CDP-, 802.1X-, PPPoE-, AoE- und Legacy-Protokollstapel in einigen dunklen Ecken des Unternehmens (Novell IPX, AppleTalk, NetBEUI, DECnet usw.)
Spiff
1

Haben Sie ein Bedrohungsmodell, bei dem ein uneingeschränkter Zugriff auf Ihre LAN-Infrastruktur erwartet wird? Wenn ja, ist die Bereitstellung von IPSEC auf allen Endpunkten wahrscheinlich das, was Sie möchten.

In den meisten Bedrohungsmodellen gibt es jedoch genügend Perimetersicherheit, sodass Sie die LAN-Infrastruktur als kostengünstige Zugriffsmethode im Wesentlichen ignorieren können.

Das Bild ändert sich, wenn Sie WiFi installiert haben. Sie benötigen etwas zwischen den WiFi-Netzwerken und den kabelgebundenen Netzwerken, um sicherzustellen, dass auf dieser Route keine Informationen verloren gehen.

Vatine
quelle
@Vatine: Sie haben richtig geraten: WiFi-Zugang :-)
Chris Lercher
Nun, mit WLAN gibt es immer noch Dinge, die Sie tun können, um es innerhalb eines gesicherten Bereichs zu halten, aber ich denke, das Abdecken des Gebäudes mit leitfähiger Folie kann teurer sein als die Einführung von IPSEC.
Vatine
1

Auf der Windows-Seite suchen Sie nach Domänen- und Serverisolation . Mit diesem Labcast können Sie damit spielen

Mein Standard-Windows-Implementierungsplan für eine Neuinstallation enthält dies. In Windows ist es nicht schwer einzurichten und bietet viel zusätzliche Sicherheit (und es gibt wirklich keine "zusätzliche" Verwaltung, für die Sie möglicherweise ein paar weitere Sicherheitsgruppen benötigen).

NAP benötigt kein IPSec (oder sogar die PKI - das ist nur möglich, wenn Sie den einheitlichen Modus ausführen möchten). SCCM ist ein zusätzliches Produkt. Für die Domänen- und Serverisolation ist kein zusätzliches Produkt erforderlich. NAP wurde in erster Linie zum Senden von "Integritäts" -Informationen über einen Client entwickelt. Wenn dieser Client Ihre "Integritäts" -Prüfung nicht besteht, wird die Kommunikation nur mit einem oder mehreren Korrekturservern verschoben. Der Zustand wird als Patch-Anforderungen für AV-Einstellungen, Sicherheitseinstellungen usw. definiert. Sie können SPSM zwar zum Einrichten von IPSEC verwenden, dies ist jedoch keine Voraussetzung.

Mit der Domänen- und Serverisolation kann ich diese "Gesundheit" nicht überprüfen - und es geht auch nicht darum. Bei der Einrichtung verschlüssele ich den Datenverkehr und stelle sicher, dass die Server und Clients nur mit den für diese Geschäftsfunktion erforderlichen Servern und Clients kommunizieren dürfen (z. B. sind HR-Workstations die einzigen Workstations, die mit dem HR-Server kommunizieren dürfen ).

Jim B.
quelle
Danke - unterscheidet sich das von SCCM und NAP (von der Antwort von GAThrawn)? Ich benutze Windows nicht sehr oft ... Aber es scheint fast so, als ob das, was ich tun möchte, etwas ist, das in der Windows-Welt üblicher ist?
Chris Lercher
Siehe meine Änderungen oben
Jim B
0

Der Sicherheitsbegriff lautet "Schutz von Daten während der Übertragung". Ja, es gibt Gruppen, die dies tun, und ja, in gewisser Weise vereinfacht dies die LAN-Sicherheit. IPSEC und IPv6 können verwendet werden, um dies zu unterstützen.

Das ergänzende Konzept ist "Schutz von Daten in Ruhe", was bedeutet, dass Ihre Festplatten verschlüsselt werden.

mpez0
quelle
0

Sie wissen nicht, welche Systeme und Infrastrukturen Sie verwenden, aber der System Center Config Manager (SCCM) von Microsoft verfügt über eine NAP-Komponente ( Network Access Protection ), die genau das tut, wonach Sie suchen.

Die PKI verschlüsselt den gesamten Client-Server-Verkehr und fügt nicht authentifizierte Computer in eine DMZ ein, in der sie nicht mit Servern / Computern / Systemen kommunizieren können, die nicht speziell für diese DMZ eingerichtet wurden. Es kann auch die Patch-Level-, Antiviren-, Sicherheits- usw. Einstellungen der Computer vorab überprüfen, bevor sie in das Haupt-LAN ​​zugelassen werden (in diesem Fall befinden sich natürlich ein oder zwei Update-Server in der DMZ.

Eine Schritt-für-Schritt-Anleitung zu den Einstellungen für Demo / Test finden Sie hier.

GAThrawn
quelle
+1 Hört sich gut an. Ich bin hauptsächlich unter Linux, aber ich höre gerne alle Lösungen!
Chris Lercher