IPSec für LAN-Verkehr: Grundlegende Überlegungen?

13

Dies ist ein Follow-up zu meiner Frage Verschlüsselung absolut alles ....

Wichtig : Hierbei handelt es sich nicht um das übliche IPSec-Setup, bei dem der Datenverkehr zwischen zwei LANs verschlüsselt werden soll.

Mein grundlegendes Ziel ist es, den gesamten Datenverkehr innerhalb des LAN eines kleinen Unternehmens zu verschlüsseln . Eine Lösung könnte IPSec sein. Ich habe gerade angefangen, mich mit IPSec vertraut zu machen, und bevor ich mich dazu entscheide, es zu verwenden und näher darauf einzugehen, möchte ich mir einen Überblick darüber verschaffen, wie dies aussehen könnte.

  • Gibt es eine gute plattformübergreifende Unterstützung? Es muss auf Linux-, MacOS X- und Windows-Clients sowie auf Linux-Servern funktionieren und sollte keine teure Netzwerkhardware erfordern.

  • Kann ich IPSec für einen gesamten Computer aktivieren (so dass kein anderer Datenverkehr ein- / ausgeht) oder für eine Netzwerkschnittstelle, oder wird dies durch die Firewall-Einstellungen für einzelne Ports bestimmt / ...?

  • Kann ich IP-Pakete, die nicht von IPSec stammen, einfach sperren? Und auch "Mallorys böser" IPSec-Verkehr, der mit einem Schlüssel signiert ist , aber nicht mit unserem? Mein ideales Konzept ist, es unmöglich zu machen, einen solchen IP-Verkehr im LAN zu haben.

  • Für LAN-internen Verkehr: Ich würde "ESP with authentication (no AH)", AES-256, im "Transport mode" wählen. Ist das eine vernünftige Entscheidung?

  • Für LAN-Internet-Verkehr: Wie würde es mit dem Internet-Gateway funktionieren? Würde ich benutzen

    • "Tunnel-Modus" zum Erstellen eines IPSec-Tunnels von jedem Computer zum Gateway? Oder könnte ich auch nutzen
    • "Transportmodus" zum Gateway? Der Grund, den ich frage, ist, dass das Gateway Pakete entschlüsseln muss, die aus dem LAN kommen, also werden die Schlüssel dafür benötigt. Ist das möglich, wenn die Zieladresse nicht die Adresse des Gateways ist? Oder müsste ich in diesem Fall einen Proxy verwenden?
  • Gibt es noch etwas, das ich beachten sollte?

Ich brauche wirklich nur einen schnellen Überblick über diese Dinge, nicht sehr detaillierte Anweisungen.

Chris Lercher
quelle

Antworten:

6
  • Gibt es eine gute plattformübergreifende Unterstützung? Es muss auf Linux-, MacOS X- und Windows-Clients sowie auf Linux-Servern funktionieren und sollte keine teure Netzwerkhardware erfordern.

Ich habe nicht wirklich viel Erfahrung damit, da ich hauptsächlich Linux-Systeme habe, aber ich habe es meistens auf einem Windows 2000-Computer zum Laufen gebracht (das war vor einiger Zeit). Es gab ein Problem, dass das IPSec einen neuen Sitzungsschlüssel nicht neu aushandeln konnte, nachdem eine bestimmte Anzahl von Bytes übertragen wurde (dies soll automatisch geschehen), sodass die Verbindung nach einer Weile unterbrochen wurde und ich mich nie die Mühe machte, mich damit zu befassen des Weiteren. Heutzutage funktioniert es wahrscheinlich viel besser.

  • Kann ich IPSec für einen gesamten Computer aktivieren (so dass kein anderer Datenverkehr ein- / ausgeht) oder für eine Netzwerkschnittstelle, oder wird dies durch die Firewall-Einstellungen für einzelne Ports bestimmt / ...?

Wie es funktioniert ist (oder, besser gesagt, wie ich es zum Laufen zu bringen verwaltet), legen Sie fest , dass eine Maschine foo muss nur IPsec Maschinen verwenden bar , baz und yow . Jeglicher Verkehr von und zu diesen Maschinen ist jetzt sicher und genauso vertrauenswürdig wie diese Maschinen. Jeder andere Datenverkehr ist nicht IPsec und funktioniert normal.

  • Kann ich IP-Pakete, die nicht von IPSec stammen, einfach sperren? Und auch "Mallorys böser" IPSec-Verkehr, der mit einem Schlüssel signiert ist, aber nicht mit unserem? Mein ideales Konzept ist, es unmöglich zu machen, einen solchen IP-Verkehr im LAN zu haben.

IPSec-Verkehr ist nur für die von Ihnen definierten IPSec- " Richtlinien " zulässig , sodass kein zufälliger Computer IPSec-Pakete senden kann. Es muss eine IPSec-Richtlinie vorhanden sein, die diesen Paketen entspricht.

  • Für LAN-internen Verkehr: Ich würde "ESP with authentication (no AH)", AES-256, im "Transport mode" wählen. Ist das eine vernünftige Entscheidung?

Ja. Es wird darüber gesprochen, AH komplett aufzugeben, da es redundant ist - Sie können ESP mit NULL-Verschlüsselung mit dem gleichen Effekt verwenden.

  • Für LAN-Internet-Verkehr: Wie würde es mit dem Internet-Gateway funktionieren? Würde ich benutzen
    • "Tunnel-Modus" zum Erstellen eines IPSec-Tunnels von jedem Computer zum Gateway? Oder könnte ich auch nutzen

Ich würde diese Option wählen. Da ich das Gateway nicht selbst kontrolliere und der Datenverkehr auch außerhalb meines Netzwerks unverschlüsselt bleibt, sehe ich keinen dringenden Bedarf.

Der Internetverkehr zu Hosts, die IPSec nicht verwenden, muss als möglicherweise abgefangen angesehen werden. Die Verschlüsselung im lokalen LAN hat wenig Sinn, wenn Ihr ISP oder der ISP Ihres ISP unverschlüsselt dieselben Pakete abhören kann.

  • "Transportmodus" zum Gateway? Der Grund, den ich frage, ist, dass das Gateway Pakete entschlüsseln muss, die aus dem LAN kommen, also werden die Schlüssel dafür benötigt. Ist das möglich, wenn die Zieladresse nicht die Adresse des Gateways ist? Oder müsste ich in diesem Fall einen Proxy verwenden?

Soweit ich weiß, funktioniert das nicht - Sie benötigen einen Proxy.

  • Gibt es noch etwas, das ich beachten sollte?

Überprüfen Sie, ob Sie anstelle von X.509-Zertifikaten auch OpenPGP-Schlüssel verwenden können. Ich verwende X.509, da dies das einzige ist, das von dem IPsec-Schlüsseldämon unterstützt wird, den ich zum ersten Mal verwendet habe, und ich habe nicht die Energie gehabt, alles zu wiederholen. Aber ich sollte und werde eines Tages.

PS Ich und ein Mitarbeiter hielten 2007 einen Vortrag über IPSec . Es kann hilfreich sein, einige Konzepte zu klären.

Teddy
quelle
@Teddy: Fantastische Antwort (+++ 1) Ich habe auch das PDF, mit dem Sie verlinkt haben, schnell gescannt - es sieht sehr nach dem aus, was ich brauche!
Chris Lercher
0

Das klingt ein bisschen nach Overkill. Ich kann nicht sagen, dass ich jemals von jemandem gehört habe, der den gesamten Datenverkehr in seinem LAN verschlüsselt. Was ist Ihre treibende Motivation dafür?

Joeqwerty
quelle
@joe: Ich bin mir noch nicht sicher, ob ich das wirklich machen will oder nicht. Es mag verrückt klingen, aber ich möchte das Sicherheitskonzept meines LAN wirklich vereinfachen. WLAN-Zugang wird erlaubt, daher muss ich etwas gegen Angriffe unternehmen. Entweder ist es ein aufwändiges IDS-Setup oder meine verrückte Idee, alles zu verschlüsseln. Bitte sehen Sie meine ursprüngliche Frage, wenn Sie alle Details hören möchten :-)
Chris Lercher
Es klingt verrückt. Ich bin kein IPSEC-Experte, daher habe ich keine Hilfe für Sie, aber ich werde diesem Beitrag folgen, da er mein Interesse geweckt hat.
Joeqwerty
5
Es ist überhaupt keine verrückte Idee. Alles zu verschlüsseln ist etwas, das viele Leute in Betracht gezogen haben, besonders in sicheren Umgebungen. AFAIK, dies ist einer der treibenden Gründe für die Aufnahme von IPsec in die IPv6-Spezifikation: So können alle Endpunkte den gesamten Datenverkehr verschlüsseln. @chris_l, ich wünsche dir viel Glück und hoffe, du entscheidest dich dafür. Bitte teilen Sie, wie es ausgeht.
Jed Daniels
1
Sie vertrauen also allen in Ihrem LAN? Auch wenn jemand mit einem Laptop oder in der Lage ist, Ihr WLAN zu knacken (oder ist es unverschlüsselt?), Kann er nach Belieben auf Ihr LAN zugreifen? Wenn Sie wirklich jedem in Ihrem LAN vertrauen, frage ich Sie vielleicht, warum Sie ein Passwort auf den Konsolen der angeschlossenen Computer haben - sind die Personen im Gebäude nicht vertrauenswürdig? Die Antwort lautet natürlich "NEIN". Daher sollte der LAN-Verkehr wie jeder andere Verkehr verschlüsselt werden.
Teddy
1
@Teddy: Ich habe nicht gesagt, dass ich jemandem oder etwas vertraue oder nicht vertraue. Ich habe nur gesagt, dass es für mich nach einer verrückten Idee klingt. Schliessen Sie nicht, was Sie denken, ich meine, es gibt nichts zwischen den Zeilen in meiner Antwort oder meinen Kommentaren, nur Neugier.
Joeqwerty
0

IPSec eignet sich hervorragend zum Herstellen einer Verbindung zu nicht vertrauenswürdigen Netzwerken (z. B. Web-DMZs usw.) sowie zu Netzwerken, die von Firewalls getrennt sind. Apps, die RPC-Protokolle verwenden (z. B. Microsoft AD usw.), verwenden gerne kurzlebige Portbereiche, die nicht mit den Firewalls mithalten. Innerhalb des LAN hängen Ihre Vorteile von einer Reihe von Faktoren ab.

Dies ist keine Wunderwaffe und wird die Netzwerksicherheit nicht unbedingt vereinfachen. Sie können damit Dienste im Internet oder in anderen nicht vertrauenswürdigen Netzwerken betreiben, ohne große Investitionen in Netzwerkgeräte zu tätigen.

Wenn Sie dies als Übung oder Lernerfahrung machen, ist das in Ordnung, aber nichts, was Sie bis zu diesem Punkt gepostet haben, ist ein überzeugendes Argument, um das zu tun, wovon Sie sprechen.

duffbeer703
quelle