在使用 VPN 的同时,是否可以使用 Microsoft 的“安全连接规则”来验证/加密连接?
需要哪些配置?
它看起来应该是这样的:
Client A <-- VPN --> VPN Gateway <-- LAN --> Client B
FTPd <------------- IPSec -------------> FTP
(我知道还有其他方法可以保护 FTP,我只是用它来测试)
谢谢
更新 1:
明确目标:
- LAN 中的流量应经过身份验证并具有完整性,但不应加密(因为存在 IDS)
- 通过互联网或其他陌生网络的流量应该具有保密性
答案1
是的,可以使用嵌套 VPN。在安全性较高的环境中,这种情况其实并不像你想象的那么罕见。
请参阅下文了解更高安全性环境中的更常见用途
1 Host A --------Router/FW ---IPSEC GRE -------------- Router/FW ------ Host B
2 Host A ----IPSEC in Tunnel Mode ------------------------------------- Host B
3 Host A -- Secure protocol, take your pick, ssh, etc ----------------- Host B
4 Host A -- Cleartext / Insecure protocol ----------------------------- Host B
第 3 层不会给您带来太多额外好处,但这是一种可能性!
在国防部,经常可以看到
1 Host A --------Router/FW1 ---IPSEC GRE----------------- Router/FW10 ------ Host B
1 Host A --------Router/FW2 ---IPSEC GRE----------------- Router/FW9 ------- Host B
1 Host A --------Router/FW3 ----IPSEC GRE---------------- Router/FW8 ------- Host B
2 Host A ----IPSEC in Tunnel Mode ------------------------------------------ Host B
3 Host A -- Secure protocol, take your pick, ssh, etc ---------------------- Host B
关于您的目标的说明:
1) 加密并不意味着 IDS 无法读取。使用预共享机密或证书将使 IDS 能够窃听,从而影响性能。2
) 您可以通过 802.1x 进行网络身份验证
3) 如果您无法共享机密/证书,则需要使用 AH 来让 IDS 看到
4) 使用 ESP 来确保机密性
5) 本地和远程主机上的基于主机的 IDS 可以减轻共享机密/证书的需要
6)NIST 800-77 IPSEC VPN 指南是一本关于这一主题的优秀免费出版物。
如果你真的关心信息的价值,也许你应该从 IPSEC 升级到更安全的方法,比如HAIPE,并开始研究 1 型加密器?:)
答案2
IPSec 策略是基于源/目标地址应用的,因此它们不应该关心流量实际流向何处;所以,是的,将它们应用于通过 VPN 进行通信的计算机应该工作。
但是,当你可以加密 VPN 本身时,为什么还需要这样的东西呢?
编辑:
为了使 IPSec 正常工作,一些流量需要在所涉及的机器之间流动:
- UDP 端口 500
- UDP 端口 88(如果您使用 Kerberos 身份验证)
- IP 协议 50 和 51
更多信息这里。
我不知道这是否可以通过 VPN 实现……低级 IP 协议看起来很像是这里的一个可能的问题。
答案3
可能的原因如下:您遵守 PCI 合规性,并且您的企业 LAN 内有持卡人数据环境。因此,当您从家中或路上提供支持时,您通过 VPN 连接到企业 LAN,但您无法允许轻松连接到 CDE 进行管理。您需要双因素身份验证,并且显然不希望未经授权的人员(即企业 LAN 中的几乎所有人)能够进入 CDE。