LAN ट्रैफ़िक के लिए IPSec: मूल विचार?


13

यह मेरे सब कुछ एन्क्रिप्ट करने के लिए अनुवर्ती है ... सवाल।

महत्वपूर्ण : यह अधिक सामान्य IPSec सेटअप के बारे में नहीं है, जहां आप दो LAN के बीच ट्रैफ़िक एन्क्रिप्ट करना चाहते हैं।

मेरा मूल लक्ष्य एक छोटी कंपनी के LAN के भीतर सभी ट्रैफ़िक को एन्क्रिप्ट करना है । एक समाधान IPSec हो सकता है। मैंने अभी IPSec के बारे में सीखना शुरू किया है, और इससे पहले कि मैं इसका उपयोग करने का फैसला करूं और अधिक गहराई से गोता लगाऊं, मैं इस बात का अवलोकन करना चाहता हूं कि यह कैसे दिख सकता है।

  • क्या अच्छा क्रॉस-प्लेटफ़ॉर्म समर्थन है? यह लिनक्स, मैकओएस एक्स और विंडोज क्लाइंट, लिनक्स सर्वर पर काम करना चाहिए, और इसके लिए महंगे नेटवर्क हार्डवेयर की आवश्यकता नहीं होनी चाहिए।

  • क्या मैं पूरे मशीन के लिए IPSec को सक्षम कर सकता हूं (इसलिए कोई अन्य ट्रैफ़िक इनकमिंग / आउटगोइंग नहीं हो सकता है), या नेटवर्क इंटरफ़ेस के लिए, या क्या यह व्यक्तिगत पोर्ट्स के लिए फ़ायरवॉल सेटिंग्स द्वारा निर्धारित किया जाता है / ...?

  • क्या मैं आसानी से गैर-आईपीएससी आईपी पैकेट पर प्रतिबंध लगा सकता हूं? और यह भी "मैलोरी की बुराई" IPSec ट्रैफ़िक जो कुछ कुंजी द्वारा हस्ताक्षरित है , लेकिन हमारा नहीं? मेरी आदर्श अवधारणा यह है कि लैन पर ऐसे किसी भी आईपी ट्रैफ़िक को रखना असंभव है।

  • LAN- आंतरिक ट्रैफ़िक के लिए: मैं "ट्रांसपोर्ट मोड" में "ESP ऑथेंटिकेशन (कोई AH)", AES-256 चुनेंगे। क्या यह उचित निर्णय है?

  • LAN- इंटरनेट ट्रैफ़िक के लिए: यह इंटरनेट गेटवे के साथ कैसे काम करेगा? क्या मैं उपयोग करूंगा?

    • "सुरंग मोड" प्रत्येक मशीन से प्रवेश द्वार तक एक IPSec सुरंग बनाने के लिए? या मैं भी इस्तेमाल कर सकता हूं
    • प्रवेश द्वार के लिए "परिवहन मोड"? मेरे पूछने का कारण यह है कि, गेटवे को लैन से आने वाले पैकेज को डिक्रिप्ट करने में सक्षम होना होगा, इसलिए इसे करने के लिए चाबी की आवश्यकता होगी। क्या यह संभव है, यदि गंतव्य का पता गेटवे का पता नहीं है? या मुझे इस मामले में एक प्रॉक्सी का उपयोग करना होगा?
  • क्या कुछ और है जिस पर मुझे विचार करना चाहिए?

मुझे वास्तव में इन चीजों के त्वरित अवलोकन की आवश्यकता है, बहुत विस्तृत निर्देशों की नहीं।

जवाबों:


6
  • क्या अच्छा क्रॉस-प्लेटफ़ॉर्म समर्थन है? यह लिनक्स, मैकओएस एक्स और विंडोज क्लाइंट, लिनक्स सर्वर पर काम करना चाहिए, और इसके लिए महंगे नेटवर्क हार्डवेयर की आवश्यकता नहीं होनी चाहिए।

मुझे वास्तव में इसके साथ बहुत अनुभव नहीं है, क्योंकि मेरे पास मुख्य रूप से लिनक्स सिस्टम हैं, लेकिन मुझे यह ज्यादातर विंडोज 2000 मशीन पर काम करने में मिला (यह कुछ समय पहले था)। यह एक समस्या थी कि कुछ संख्या में बाइट्स स्थानांतरित होने के बाद IPsec एक नया सत्र कुंजी पुनः प्राप्त करने में विफल रहा (यह स्वचालित रूप से होने वाला है), इसलिए कनेक्शन थोड़ी देर बाद नीचे चला गया, और मैं इसे खोदने के लिए कभी भी परेशान नहीं हो सकता था आगे की। यह आजकल बहुत बेहतर काम करता है।

  • क्या मैं पूरे मशीन के लिए IPSec को सक्षम कर सकता हूं (इसलिए कोई अन्य ट्रैफ़िक इनकमिंग / आउटगोइंग नहीं हो सकता है), या नेटवर्क इंटरफ़ेस के लिए, या क्या यह व्यक्तिगत पोर्ट्स के लिए फ़ायरवॉल सेटिंग्स द्वारा निर्धारित किया जाता है / ...?

यह कैसे काम करता है (या, बल्कि, मैं इसे कैसे काम करने में कामयाब रहा), आप परिभाषित करते हैं कि एक मशीन फू को केवल IPsec को मशीनों बार , बाज और यव का उपयोग करना चाहिएइन मशीनों से कोई भी यातायात अब सुरक्षित है और उन मशीनों के रूप में भरोसेमंद है। कोई भी अन्य ट्रैफ़िक IPsec नहीं है और सामान्य रूप से काम करता है।

  • क्या मैं आसानी से गैर-आईपीएससी आईपी पैकेट पर प्रतिबंध लगा सकता हूं? और "मैलोरी की बुराई" IPSec ट्रैफ़िक जो किसी कुंजी द्वारा हस्ताक्षरित है, लेकिन हमारा नहीं? मेरी आदर्श अवधारणा यह है कि लैन पर ऐसे किसी भी आईपी ट्रैफ़िक को रखना असंभव है।

IPsec यातायात केवल उन IPsec " नीतियों " के लिए अनुमत है जिन्हें आप परिभाषित करते हैं, इसलिए कोई भी यादृच्छिक मशीन IPsec पैकेट नहीं भेज सकती है - उन पैकेटों से मेल खाते हुए IPsec नीति मौजूद होनी चाहिए।

  • LAN- आंतरिक ट्रैफ़िक के लिए: मैं "ट्रांसपोर्ट मोड" में "ESP ऑथेंटिकेशन (कोई AH)", AES-256 चुनेंगे। क्या यह उचित निर्णय है?

हां। एएच को पूरी तरह से छोड़ने के बारे में चर्चा है क्योंकि यह बेमानी है - आप उसी प्रभाव के साथ एनएलपी एन्क्रिप्शन के साथ ईएसपी का उपयोग कर सकते हैं।

  • LAN- इंटरनेट ट्रैफ़िक के लिए: यह इंटरनेट गेटवे के साथ कैसे काम करेगा? क्या मैं उपयोग करूंगा?
    • "सुरंग मोड" प्रत्येक मशीन से प्रवेश द्वार तक एक IPSec सुरंग बनाने के लिए? या मैं भी इस्तेमाल कर सकता हूं

मैं इस विकल्प को चुनूंगा। जैसा कि मैंने स्वयं गेटवे को नियंत्रित नहीं किया है, और ट्रैफ़िक वैसे भी मेरे नेटवर्क के बाहर अनियंत्रित हो जाएगा, इसलिए मुझे वास्तव में दबाने की आवश्यकता नहीं है।

होस्ट करने के लिए IPsec का उपयोग नहीं करने वाले इंटरनेट ट्रैफ़िक को संभवतः इंटरसेप्ट होने के रूप में देखा जाना चाहिए - जब आपके ISP या ISP के ISP एक ही पैकेट को अनएन्क्रिप्टेड सुन सकते हैं, तो स्थानीय LAN पर एन्क्रिप्ट करने का कोई मतलब नहीं है।

  • प्रवेश द्वार के लिए "परिवहन मोड"? मेरे पूछने का कारण यह है कि, गेटवे को लैन से आने वाले पैकेज को डिक्रिप्ट करने में सक्षम होना होगा, इसलिए इसे करने के लिए चाबी की आवश्यकता होगी। क्या यह संभव है, यदि गंतव्य का पता गेटवे का पता नहीं है? या मुझे इस मामले में एक प्रॉक्सी का उपयोग करना होगा?

जैसा कि मैं इसे समझता हूं, यह काम नहीं करता है - आपको एक प्रॉक्सी की आवश्यकता होगी।

  • क्या कुछ और है जिस पर मुझे विचार करना चाहिए?

देखें कि क्या आप X.509 प्रमाणपत्रों के बजाय OpenPGP कुंजियों जैसे कुछ समझदार का उपयोग कर सकते हैं। मैं X.509 का उपयोग करता हूं क्योंकि यह एकमात्र ऐसी चीज थी जो IPsec कीइंग डेमॉन द्वारा समर्थित थी जिसका मैंने पहली बार उपयोग किया था, और मुझे यह सब फिर से देखने की ऊर्जा नहीं थी। लेकिन मैं किसी दिन, और मुझे करना चाहिए।

पीएस मी और एक सहयोगी ने 2007 में IPsec पर एक व्याख्यान आयोजित किया , यह कुछ अवधारणाओं को स्पष्ट करने में मदद कर सकता है।


@ टेडी: शानदार जवाब (+++ 1) मैंने आपके द्वारा लिंक किए गए पीडीएफ पर भी जल्दी से स्कैन किया है - यह बहुत ही अच्छा लगता है जैसे आपको क्या चाहिए!
क्रिस लेचर

0

यह ओवरकिल जैसा लगता है। मैं यह नहीं कह सकता कि मैंने कभी भी अपने लैन पर सभी ट्रैफ़िक को एनक्रिप्ट करने के बारे में सुना है। ऐसा करने के लिए आपकी ड्राइविंग प्रेरणा क्या है?


@ जो: मुझे अभी तक यकीन नहीं है, अगर मैं वास्तव में ऐसा करना चाहता हूं या नहीं। यह पागल लग सकता है, लेकिन मैं वास्तव में अपने लैन की सुरक्षा अवधारणा को सरल बनाना चाहता हूं। WLAN की अनुमति दी जाएगी, इसलिए मुझे हमलों के खिलाफ कुछ करना होगा। या तो यह एक विस्तृत आईडीएस सेटअप होगा, या सब कुछ एन्क्रिप्ट करने का मेरा पागल विचार। कृपया मेरे मूल प्रश्न को देखें, यदि आप सभी विवरणों को सुनना चाहते हैं :-)
क्रिस लेचर

यह पागल ध्वनि करता है। मैं कोई IPSEC विशेषज्ञ नहीं हूं, इसलिए मुझे आपके लिए कोई मदद नहीं मिल रही है, लेकिन मैं इस पोस्ट का पालन करने जा रहा हूं क्योंकि यह मेरी रुचि है।
जोवेवर्टी 18

5
यह बिल्कुल भी एक पागल विचार नहीं है। सब कुछ एन्क्रिप्ट करना कुछ ऐसा है जिसे कई लोगों ने माना है, विशेष रूप से वे सुरक्षित वातावरण हैं। AFAIK, यह IPv6 युक्ति में IPsec को शामिल करने के पीछे ड्राइविंग कारणों में से एक है: इसलिए सभी समापन बिंदु सभी ट्रैफ़िक को एन्क्रिप्ट कर सकते हैं। @chris_l, मैं आपको शुभकामनाएं देता हूं और आशा करता हूं कि आप इसे करने का फैसला करेंगे। कृपया साझा करें कि यह कैसे निकला।
जेड डैनियल्स

1
तो क्या आप अपने LAN पर सभी पर भरोसा करते हैं? भले ही कोई भी लैपटॉप के साथ या आपके वायरलेस को क्रैक करने में सक्षम हो (या क्या यह अनएन्क्रिप्टेड है?) आपकी लैन पर अपनी इच्छा से पहुंच सकता है? यदि आप वास्तव में अपने लैन पर सभी पर भरोसा करते हैं, तो मैं पूछ सकता हूं कि आपके पास इससे जुड़ी मशीनों के कंसोल पर पासवर्ड क्यों है - क्या इमारत में लोग भरोसेमंद नहीं हैं? उत्तर, निश्चित रूप से, "NO" है, और यही कारण है कि LAN ट्रैफ़िक, किसी भी अन्य ट्रैफ़िक की तरह, एन्क्रिप्ट किया जाना चाहिए।
टैडी

1
@ टेडी: मैंने यह नहीं कहा कि मुझे भरोसा था या किसी पर भी भरोसा नहीं था। मैंने केवल इतना कहा कि यह मेरे लिए एक पागल विचार की तरह लगता है। यह मत समझो कि मेरा क्या मतलब है, मेरे उत्तर या टिप्पणियों में लाइनों के बीच कुछ भी नहीं है, केवल जिज्ञासा है।
जोवेवर्टी 20

0

IPSec अविश्वसनीय नेटवर्क (यानी वेब DMZ, आदि) और भीतर और उन नेटवर्क से जुड़ने के लिए बहुत अच्छा है जो फ़ायरवॉल से अलग होते हैं। ऐसे एप्स जो RPC प्रोटोकॉल (यानी Microsoft AD, आदि) का उपयोग करते हैं, वे उच्च एपेरल पोर्ट रेंज का उपयोग करना पसंद करते हैं, जो फायरवॉल के साथ जिव नहीं करता है। LAN के भीतर, आपके लाभ कई कारकों पर निर्भर करते हैं।

यह एक चांदी की गोली नहीं है, और यह नेटवर्क सुरक्षा को आसान बनाने के लिए जरूरी नहीं है। यह आपको नेटवर्क गियर में भारी निवेश किए बिना इंटरनेट या अन्य अविश्वसनीय नेटवर्क पर सेवाएं संचालित करने में मदद करेगा।

यदि आप इसे एक व्यायाम या सीखने के अनुभव के रूप में कर रहे हैं, तो यह ठीक है, लेकिन इस बिंदु तक आपने जो कुछ भी पोस्ट किया है, वह करने के लिए एक सम्मोहक तर्क देता है कि आप किस बारे में बात कर रहे हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.