有人已经尝试过这种方法了吗?我正在认真考虑:每个数据包都必须使用由我自己的 CA 颁发的证书发起的加密,而不是依赖基于网络的 IDS 等。
- 每个客户端都会获得一个唯一的客户端证书
- 每台服务器都有唯一的服务器证书
- 每项服务都需要登录。
SSL 和 SSH 都可以。互联网访问将通过到网关的 SSL 隧道进行。
这可行吗?这会带来实际问题吗?如何实施和执行?您怎么看?
更多细节
我的目标是简化LAN 的安全概念 - 我还不确定,这是不是一个疯狂的想法!但我觉得,保护 HTTPS 或 SSH 服务器免受互联网威胁(如果使用相互身份验证)有时比监控 LAN 的野外世界中可能发生的一切更容易。
在非加密的局域网上,我觉得很难领先潜在攻击者一步,因为存在以下威胁:
- 低级攻击,如 ARP 欺骗、端口窃取等……
- WLAN 访问(例如,每个开发人员都可以从 (W)LAN 访问 SVN 服务器 - 我认为不需要通过 VPN...)
=> 为了简单起见,假设局域网中总是存在攻击者,不是更容易吗?
=> 我能否通过将 LAN 安全概念视为 WAN 来简化(小公司的)LAN 安全概念?还是我宁愿让它复杂化?
IPSec 及其替代方案
IPSec 听起来很有前途,但我对 IPSec 的替代品也很感兴趣 - 每个服务单独使用 SSL/SSH 并创建到网关的隧道?也许使用 Kerberos?... IPSec 或其他方案的优势是什么?
如果你能帮助我更好地掌握 IPSec,请参阅我的关于 IPSec 的后续问题。
答案1
我在这里使用 IPsec 来做所有事情。原因是最多攻击都是由内部人士制作的- 坏的一面/好的一面的思维是有缺陷的。(如果有人带着服务器逃走,他们可以试着破解全盘加密,所以这也没有问题。)
无忧无虑地使用 telnet、NIS、NFS 和 FTP 也很有趣 - 感觉就像美好的旧时光!:-)
答案2
IPSec 是这方面的标准。它有多种形式,并且包含大量词汇。
我建议本 IPSec 指南帮助您入门。
答案3
您是否有一个威胁模型,其中预期对您的 LAN 基础设施进行不受限制的访问?如果是,那么将 IPSEC 部署到所有端点可能正是您想要的。
然而,在大多数威胁模型中,都有足够的外围安全性,您基本上可以忽略 LAN 基础设施作为一种廉价的访问方法。
如果您安装了 WiFi,情况就会发生变化,您需要在 WiFi 网络和有线网络之间安装一些东西来确保不会通过该路由泄露任何信息。
答案4
安全术语是“保护传输中的数据”。是的,确实有一些组织在做这件事,而且确实,在某些方面它确实简化了 LAN 安全性。可以使用 IPSEC 和 IPv6 来支持这一点。
互补的概念是“静态数据保护”,也就是对磁盘进行加密。