Questo è un seguito alla mia crittografia assolutamente tutto ... domanda.
Importante : non si tratta della configurazione IPSec più normale, in cui si desidera crittografare il traffico tra due LAN.
Il mio obiettivo di base è crittografare tutto il traffico all'interno della LAN di una piccola azienda. Una soluzione potrebbe essere IPSec. Ho appena iniziato a conoscere IPSec e prima di decidere di usarlo e immergermi più profondamente, vorrei avere una panoramica di come potrebbe essere.
C'è un buon supporto multipiattaforma? Deve funzionare su client Linux, MacOS X e Windows, server Linux e non dovrebbe richiedere hardware di rete costoso.
Posso abilitare IPSec per un intero computer (quindi non può esserci altro traffico in entrata / in uscita) o per un'interfaccia di rete o è determinato dalle impostazioni del firewall per le singole porte / ...?
Posso facilmente vietare i pacchetti IP non IPSec? E anche il traffico IPSec di "Mallory's evil" che è firmato da una chiave, ma non dalla nostra? La mia idea ideale è rendere impossibile tale traffico IP sulla LAN.
Per il traffico interno alla LAN: sceglierei "ESP con autenticazione (no AH)", AES-256, in "Modalità trasporto". È una decisione ragionevole?
Per il traffico LAN-Internet: come funzionerebbe con il gateway Internet? Vorrei usare
- "Modalità tunnel" per creare un tunnel IPSec da ogni macchina al gateway? O potrei anche usare
- "Modalità di trasporto" al gateway? Il motivo per cui chiedo è che il gateway dovrebbe essere in grado di decrittografare i pacchetti provenienti dalla LAN, quindi avrà bisogno delle chiavi per farlo. È possibile, se l'indirizzo di destinazione non è l'indirizzo del gateway? O dovrei usare un proxy in questo caso?
C'è qualcos'altro che dovrei considerare?
Ho solo bisogno di una rapida panoramica di queste cose, non di istruzioni molto dettagliate.