Cifrado de todo el tráfico de red

8

Para una red corporativa, ¿hay alguna manera de encriptar todo el tráfico de la red en la red local?

Me gustaría asegurarme de que no quede nada para la posibilidad de que se detecten paquetes. Ni siquiera los correos electrónicos o las comunicaciones de máquina a máquina con dispositivos de chat.

    
pregunta Travis Thompson 11.07.2013 - 20:19
fuente

5 respuestas

13

Cualquier VPN decente garantizará el cifrado, pero, por supuesto, tendrá que configurarse en todos y cada uno máquina . IPsec es una tecnología VPN que tiene la ventaja de estar integrada a nivel de IP y ya implementada en su sistema operativo ( si no lo está, entonces aprenda que es high time que actualiza estas máquinas con Windows 98).

Tenga en cuenta, sin embargo, los siguientes puntos importantes:

  • Cualquier atacante podría subvertir una de las máquinas, podrá fisgonear en cada paquete que la máquina reciba y pueda descifrar.
  • Incluso si configura IPsec para que cada dos máquinas negocien una clave de cifrado que se comparte exactamente entre estas dos máquinas (y ninguna otra), para que una máquina subvertida pueda ver solo estos paquetes que están destinados a ella, puede suceder que esta máquina subvertida, al enviar paquetes malintencionados, podría redirigir el tráfico hacia ella (por ejemplo, al envenenar el DNS).

Esa es una limitación de todas estas configuraciones de cifrado: son excelentes para establecer un aislamiento sólido entre las máquinas de la red local y el mundo exterior. Sin embargo, generalmente no hacen nada contra los atacantes locales , es decir, los atacantes que podrían obtener el control de una máquina "permitida" (a diferencia de los atacantes que simplemente se conectan a un puerto de conmutador libre o se unen a un enrutador WiFi). / p>

La subversión de la máquina es, desafortunadamente, una ocurrencia bastante común. Por lo general, pasa a través de virus de correo electrónico, malware de la Web, incluso llaves USB maliciosas ... (si un usuario encuentra una llave USB en su buzón, ¿qué hará? Bueno, el 95% de los usuarios lo conectarán a su máquina, para ver lo que hay en él).

Otro punto importante es que si logra prevenir la detección de paquetes, entonces, ya no es posible la detección de paquetes. En particular, la detección de paquetes por parte de las herramientas de administrador del sistema que buscan malware y virus. El cifrado es un arma de múltiples hojas.

    
respondido por el Tom Leek 11.07.2013 - 21:26
fuente
1

Revise tcpcrypt enlace pero tenga en cuenta que no hará nada por UDP. El otro mecanismo serían los puntos finales de VPN entre todas las conexiones, lo que sería una pesadilla para la administración

    
respondido por el munkeyoto 11.07.2013 - 20:48
fuente
1

IPSEC o VPN encriptado hacen esto, pero sería una configuración compleja y costosa si desea tener una implementación de este tipo. Sin embargo, no es imposible.

    
respondido por el Lucas Kauffman 11.07.2013 - 20:55
fuente
1

muchos demonios son ssl / tls - mind (servidores web, correo, dbs como pg o mysql), para todo lo que pueda usar stunnel : para cifrar este servicio (pero necesitará un ssl / tls -un cliente consciente O use stunnel en modo cliente en cada cliente)

Si tienes más de 3 clientes, debes usar una herramienta de gestión de configuración centralizada como Puppet, de lo contrario se convertirá en una pesadilla de configuración

creo que usar stunnel sería un poco más fácil que usar un vpn para acceder a todos los servidores / servicios, porque tiene que usar IPSEC e identificación a través de certificados de clientes y necesita generar y administrar un certificado para cada cliente en cada punto de vpn.

    
respondido por el that guy from over there 13.07.2013 - 09:47
fuente
0

En Windows, puede configurar el Firewall integrado a través de la Política de grupo para permitir solo el tráfico cifrado hacia afuera. Configurar todas las aplicaciones para cifrar su tráfico es otra historia.

Si realmente desea ese cifrado, pondría cifradores de hardware entre las conexiones que desea cifrar. Pero incluso aquellos deben configurarse con su clave de cifrado en ambos lados primero. Y estas cajas deben ser aseguradas físicamente; no puede poner una caja de descifrado delante de los interruptores, porque los atacantes podrían simplemente interceptar el tráfico descifrado allí (o robar la caja de descifrado). Básicamente, esto significa que no se utilizan conmutadores descentralizados.

    
respondido por el http 11.07.2013 - 21:29
fuente

Lea otras preguntas en las etiquetas