Це продовження мого шифрування абсолютно всього ... питання.
Важливо : мова йде не про звичайніші налаштування IPSec, де потрібно зашифрувати трафік між двома локальними мережами.
Моя основна мета - зашифрувати весь трафік в локальній мережі невеликої компанії. Одним з рішень може бути IPSec. Я щойно почав дізнаватися про IPSec, і перш ніж зважитися на його використання та зануритися глибше, я хотів би отримати огляд того, як це могло виглядати.
Чи є хороша міжплатформна підтримка? Він повинен працювати на Linux, MacOS X та клієнтах Windows, серверах Linux, і він не повинен вимагати дорогого мережевого обладнання.
Чи можу я ввімкнути IPSec для всієї машини (щоб не було іншого трафіку, що надходить / виходить), або для мережевого інтерфейсу, або це визначається настройками брандмауера для окремих портів / ...?
Чи можу я легко заборонити IP-пакети, які не є IPSec? А також IPSec трафіку "злого Маллорі", який підписується якимось ключем, але не нашим? Моя ідеальна концепція - унеможливити неможливість будь-якого подібного IP-трафіку в локальній мережі.
Для внутрішнього трафіку LAN: я вибрав би "ESP з аутентифікацією (без AH)", AES-256, в "Транспортному режимі". Це розумне рішення?
Для LAN-Інтернет-трафіку: як би це працювало з Інтернет-шлюзом? Чи б я користувався
- "Тунельний режим" для створення тунелю IPSec від кожної машини до шлюзу? Або я можу також використовувати
- "Транспортний режим" до шлюзу? Причина, яку я запитую, полягає в тому, що шлюз повинен був би мати можливість розшифровувати пакети, що надходять з локальної мережі, тому для цього знадобляться ключі. Це можливо, якщо адреса призначення не є адресою шлюзу? Або я мав би використовувати проксі в цьому випадку?
Чи є ще щось, що я повинен розглянути?
Мені дуже просто потрібен короткий огляд цих речей, не дуже детальні інструкції.