LANトラフィックのIPSec：基本的な考慮事項？

• 優れたクロスプラットフォームサポートはありますか？ Linux、MacOS XおよびWindowsクライアント、Linuxサーバーで動作する必要があり、高価なネットワークハードウェアを必要としません。

私は主にLinuxシステムを持っているので、これについてはあまり経験がありませんが、Windows 2000マシンで作業することはできましたmostly（これは少し前のことです）。いくつかのバイト数が転送された後（これは自動的に行われるはずです）、IPsecが新しいセッションキーの再ネゴシエーションに失敗するという問題があったため、しばらくして接続がダウンし、私はそれに悩むことができませんでしたさらに。今日はおそらくもっとうまく機能します。

• マシン全体（他のトラフィックが送受信されないようにするため）またはネットワークインターフェイスに対してIPSecを有効にできますか、それとも個々のポートのファイアウォール設定によって決定されますか？

それがどのように機能するか（または、むしろ[〜＃〜] i [〜＃〜]それを機能させるためにどのように管理されるか）、あなたはそのマシンをfoomustマシンにIPsecのみを使用bar、baz、およびyow。すべてのトラフィックこれらのマシンとの間は、これらのマシンと同様に安全で信頼できるようになりました。その他のトラフィックはIPsecではなく、正常に動作します。

• 非IPSec IPパケットを簡単に禁止できますか？また、「マロリーの邪悪な」IPSecトラフィックは、私たちのものではなく、いくつかのキーによって署名されていますか？私の理想的な概念は、LANにそのようなIPトラフィックが存在することを不可能にすることです。

IPsecトラフィックは、定義したIPsec "policies"に対してのみ許可されるため、ランダムマシンはIPsecパケットを送信できません。これらのパケットに一致するIPsecポリシーが存在する必要があります。

• LAN内部トラフィックの場合：「トランスポートモード」で「認証付きのESP（AHなし）」、AES-256を選択します。これは合理的な決定ですか？

うん。 AHは冗長であるため完全に破棄することについての話があります。同じ効果を持つNULL暗号化でESPを使用できます。

• LAN-インターネットトラフィックの場合：インターネットゲートウェイでどのように機能しますか？使用しますか？
  • 各マシンからゲートウェイへのIPSecトンネルを作成する「トンネルモード」？または私も使用できますか

このオプションを選択します。それは私がゲートウェイを自分で制御するわけではないので、とにかくトラフィックは私のネットワークの外で暗号化されないので、差し迫った必要性は実際にはないと思います。

IPsecを使用しないホストへのインターネットトラフィックは、傍受されている可能性があると見なす必要があります。ISPまたはISPのISPが暗号化されていない同じパケットをリッスンできる場合、ローカルLANでの暗号化にはほとんど意味がありません。

• ゲートウェイへの「トランスポートモード」？私が尋ねる理由は、ゲートウェイがLANからのパッケージを復号化できる必要があるため、それを行うにはキーが必要になるためです。宛先アドレスがゲートウェイのアドレスでない場合、それは可能ですか？または、この場合プロキシを使用する必要がありますか？

私が理解しているように、それは機能しません-プロキシが必要になります。

• 他に考慮すべきことはありますか？

X.509証明書の代わりにOpenPGP鍵などの実用的なものを使用できるかどうかを確認してください。私が最初に使用したIPsecキーイングデーモンでサポートされているのはX.509だけであり、X.509をすべて再利用するエネルギーがないためです。しかし、いつか私はすべきであり、そうするつもりです。

追伸私と仲間は2007年に IPsecの講義 を開催しましたが、いくつかの概念を明確にすることは助けになるかもしれません。