• 플랫폼 간 지원이 양호합니까? Linux, MacOS X 및 Windows 클라이언트, Linux 서버에서 작동해야하며 값 비싼 네트워크 하드웨어가 필요하지 않습니다.

나는 주로 리눅스 시스템을 가지고 정말이와 함께 많은 경험이 없어,하지만 난 그것을 얻었다 대부분 은 Windows 2000 시스템에서 작업 (시간이 좀 전). 바이트 수가 전송 된 후 IPsec이 새 세션 키를 재협상하지 못하는 문제 (이는 자동으로 발생해야 함)로 인해 연결이 잠시 후에 끊어 질 수 없었습니다. 더욱이. 아마 요즘 훨씬 더 잘 작동합니다.

• 전체 컴퓨터에 대해 IPSec을 활성화 할 수 있습니까 (따라서 다른 트래픽이 들어오고 나가지 않음) 또는 네트워크 인터페이스에 대해 또는 개별 포트 / …에 대한 방화벽 설정에 의해 결정됩니까?

어떻게 작동하는 (방법, 오히려, 또는이다 나는 , 당신이 기계되도록 정의가 작업 얻을 관리) 푸 한다 기계에만 IPsec을 사용하는 바 , 바즈 및 아뿔싸 . 이러한 컴퓨터를 오가는 모든 트래픽 은 이제 해당 컴퓨터만큼 안전하고 신뢰할 수 있습니다. 다른 트래픽은 IPsec이 아니며 정상적으로 작동합니다.

• IPSec 이외의 IP 패킷을 쉽게 차단할 수 있습니까? 또한 “Mallory ‘s evil”IPSec 트래픽은 일부 키에 의해 서명되었지만 우리의 키는 아닙니다. 이상적인 개념은 LAN에서 그러한 IP 트래픽을 가질 수 없도록하는 것입니다.

IPsec 트래픽은 사용자가 정의한 IPsec ” 정책 “에 대해서만 허용 되므로 임의의 시스템은 IPsec 패킷을 보낼 수 없습니다. 이러한 패킷과 일치하는 IPsec 정책이 있어야합니다.

• LAN 내부 트래픽의 경우 : “전송 모드”에서 “ESP 인증 (AH 없음)”, AES-256을 선택합니다. 이것이 합리적인 결정입니까?

네. 중복되므로 AH를 완전히 포기하는 것에 대한 이야기가 있습니다. 동일한 효과로 NULL 암호화와 함께 ESP를 사용할 수 있습니다.

• LAN- 인터넷 트래픽의 경우 : 인터넷 게이트웨이와 어떻게 작동합니까? 내가 사용 할까
  • 각 머신에서 게이트웨이로 IPSec 터널을 생성하는 “터널 모드”? 아니면 사용할 수도 있어요

이 옵션을 선택하겠습니다. 따라서 게이트웨이를 직접 제어하지 않으며 어쨌든 트래픽은 네트워크 외부에서 암호화되지 않으므로 실제로 긴급한 요구는 보이지 않습니다.

IPsec을 사용하지 않는 호스트에 대한 인터넷 트래픽은 가로 챌 가능성이있는 것으로 간주되어야합니다. ISP 나 ISP의 ISP가 암호화되지 않은 동일한 패킷을들을 수있을 때 로컬 LAN을 암호화하는 데 별다른 의미가 없습니다.

• 게이트웨이로의 “전송 모드”? 내가 묻는 이유는 게이트웨이가 LAN에서 오는 패키지를 해독 할 수 있어야하기 때문에 그렇게하려면 키가 필요하기 때문입니다. 대상 주소가 게이트웨이 주소가 아닌 경우 가능합니까? 아니면이 경우 프록시를 사용해야합니까?

내가 이해하는 것처럼 작동하지 않습니다-프록시가 필요합니다.

• 고려해야 할 다른 것이 있습니까?

X.509 인증서 대신 OpenPGP 키와 같은 적절한 것을 사용할 수 있는지 확인하십시오. X.509는 내가 처음 사용한 IPsec 키 데몬에서 지원하는 유일한 것이기 때문에 X.509를 사용하며, 모든 것을 다시 실행할 에너지가 없었습니다. 하지만 언젠가는해야 할 것입니다.

PS Me와 그 직원 은 2007 년 에 IPsec 에 대한 강의를 했는데, 몇 가지 개념을 명확히하는 데 도움이 될 수 있습니다.

답변