我需要一些关于在 192.168.0.x 网络上运行 wi-fi 和 LAN 流量的小型专用网络上加密所有流量的建议。该网络将由通过以太网连接或无线连接到 wi-fi 路由器 (192.168.0.254) 的客户端笔记本电脑组成。服务器的主要目的是让客户端笔记本电脑通过端口 80 和 433 与不同 IP 上的两台服务器 (192.168.0.200 和 192.168.0.201) 进行通信。
我主要担心的是数据包嗅探器无法访问数据。
目前我看到的唯一方法是在网络上运行 VPN 或使用 IPSec 策略来执行此操作。
还有其他方法吗,伙计们?
答案1
目前我看到的唯一方法是在网络上运行 VPN 或使用 IPSec 策略来执行此操作。
IP安全协议是专门为解决这种情况而设计的网络层加密(以及其他情况)。
如果您不想因为复杂性而弄乱它,并且由于某种原因无法始终使用 HTTPS,您可以考虑依赖网络设备的隔离功能。WPA2-enterprise 加密客户端到 AP 的流量,并且由于所有用户共享一个密钥,因此不易受到中间人攻击,而 WPA-PSK 则不然。托管交换机允许锁定 MAC 转发数据库或使用具有 MAC 地址锁定的经过身份验证的连接 (802.1x),因此允许经过身份验证的用户嗅探其他用户数据的 MAC 欺骗攻击将得到缓解。但这无法保护您的用户免受第 1 层的直接窃听(例如,在交换机端口和用户笔记本电脑以太网插孔之间的某处安装集线器或窃听设备)。
答案2
VPN 连接将是一个不错的选择。Tim Coker 的答案的问题是,任何使用 UDP 的东西都不会被加密。因此 DNS 请求仍然可见。VPN/IPsec 没有这个问题。
此外,如果您使用 RADIUS ,您的用户将在网络上进行身份验证。唯一的嗅探器将是您自己允许在网络上的人,而且仍然非常有限。
如果不担心 udp,那么就强制所有内容都使用 HTTPS。
答案3
如果您唯一关心的是保护网络流量,那么更简单的设置是不使用标准 http(端口 80),而是通过网络服务器上的重定向强制所有内容通过 https(端口 443)。