Networking
絕對加密一切,即使在區域網路內
有沒有人嘗試過這種方法?我真的在考慮它:每個數據包都必須使用由我自己的 CA 頒發的證書啟動的加密,而不是依賴基於網路的 IDS 等。
- 每個客戶都會獲得唯一的客戶證書
- 每台伺服器都獲得一個唯一的伺服器證書
- 每項服務還需要登錄。
SSL 和 SSH 都可以。對網際網路的訪問將通過通往網關的 SSL 隧道完成。
可行嗎?它會產生實際問題嗎?怎麼做和執行?你怎麼看?
更多細節
我的目標是簡化LAN 的安全概念——我還不確定這是不是一個瘋狂的想法!但我覺得,保護 HTTPS 或 SSH 伺服器免受網際網路威脅(如果使用相互身份驗證)有時比監控 LAN 的狂野世界中可能發生的一切更容易。
在未加密的 LAN 上,我覺得很難領先於潛在的攻擊者,因為以下威脅:
- 低級攻擊,如 ARP 欺騙、埠竊取、…
- WLAN 訪問(例如,每個開發人員都可以從 (W)LAN 訪問 SVN 伺服器 - 我認為不會通過 VPN…)
=> 為簡單起見,假設區域網路中總是存在攻擊者不是更容易嗎?
=> 我是否可以通過將其視為 WAN 來簡化(小公司的)LAN 安全概念?還是我寧願把它複雜化?
IPSec 和替代方案
IPSec 聽起來很有希望,但我也對 IPSec 的替代品感興趣 - 每個服務單獨使用 SSL/SSH 並創建到網關的 Stunnel?也許使用 Kerberos?… IPSec 或其他的優點是什麼?
如果您可以幫助我更好地掌握 IPSec,請參閱我專門針對 IPSec 的後續問題。
我在這裡使用 IPsec 來處理所有事情。原因是大多數攻擊都是由內部人員發起的——壞的一面/好的一面的想法是有缺陷的。(如果有人使用伺服器,他們可以在嘗試破解全盤加密時獲得樂趣,所以那裡也沒有問題。)
毫無顧慮地使用 telnet、NIS、NFS 和 FTP 也很有趣——感覺就像過去的美好時光!:-)
IPSec 是這方面的標準。它有不同的形式,並且有很多詞彙。
我向您推薦本 IPSec 指南以幫助您入門。