Criptazione di tutto il traffico di rete

Qualsiasi VPN decente assicurerà la crittografia, ma ovviamente dovrebbe essere configurata su ogni macchina . IPsec è una tecnologia VPN che ha il vantaggio di essere integrata a livello IP e già implementata nel tuo sistema operativo ( se non lo è, impara che è high time che aggiorni questi computer Windows 98).

Nota, tuttavia, i seguenti punti importanti:

• Qualsiasi utente malintenzionato può sovvertire una delle macchine sarà in grado di curiosare su ogni pacchetto che la macchina riceve ed è in grado di decifrare.
• Anche se si configura IPsec in modo che ogni due macchine negozi una chiave di crittografia condivisa tra esattamente queste due macchine (e nessuna altra), in modo che una macchina sovvertita possa vedere solo questi pacchetti che sono destinati ad essa, può accadere che questa macchina sovvertita, con l'invio di pacchetti maliziosamente predisposti, potrebbe reindirizzare il traffico verso di essa (ad es. avvelenando il DNS).

Questa è una limitazione di tutte queste impostazioni di crittografia: sono ottime per stabilire un strong isolamento tra le macchine di rete locali e il mondo esterno. Tuttavia, di solito non fanno nulla contro gli attaccanti locali , cioè gli attaccanti che potrebbero ottenere il controllo di una macchina "consentita" (al contrario degli attaccanti che si collegano semplicemente a una porta switch libera o si uniscono a un router WiFi). / p>

La sovversione della macchina è, sfortunatamente, un evento piuttosto comune. Di solito passa attraverso virus e-mail, malware dal Web, persino chiavi USB dannose ... (se un utente trova una chiave USB nella sua casella di posta, cosa farà? Bene, il 95% degli utenti lo collegherà alla propria macchina, per vedere cosa c'è sopra.

Un altro punto importante è che se riesci a prevenire lo sniffing dei pacchetti, allora, beh, lo sniffing dei pacchetti non è più possibile. In particolare lo sniffing dei pacchetti da parte degli strumenti di sysadmin che cercano malware e virus. La crittografia è un'arma multi-lama.

Controlla tcpcrypt link ma nota, non farà nulla per UDP. L'altro meccanismo sarebbe l'endpoint VPN tra tutte le connessioni che sarebbe un incubo di gestione

IPSEC o VPN crittografato lo fanno, ma renderebbe una configurazione complessa e costosa se si desidera avere una tale implementazione. Tuttavia non è impossibile.

molti demoni sono ssl / tls-aware (webserver, mail, dbs come pg o mysql), per tutto ciò che puoi usare stunnel - per crittografare questo servizio (ma avrai bisogno di un ssl / tls -un client consapevole OPPURE usare stunnel in clientmode su ogni client)

se hai più di 3 client dovresti usare uno strumento centralizzato di gestione delle configurazioni come burattino, altrimenti diventerà un incubatore di configurazione

penso che l'uso di stunnel sia un po ' più semplice dell'utilizzo di una VPN per accedere a tutti i server / servizi, poiché è necessario utilizzare IPSEC e identificazione tramite client-certs e generare e gestire un certificato per ogni client su ogni vpn-endpoint.

In Windows, è possibile configurare il Firewall integrato tramite i Criteri di gruppo per consentire solo il traffico crittografato verso l'esterno. Configurare tutte le applicazioni per crittografare il loro traffico è un'altra storia.

Se vuoi davvero quella crittografia, inserirò i codici hardware tra le connessioni che vuoi crittografare. Ma anche quelli devono essere configurati con la loro chiave di crittografia su entrambi i lati prima. E queste scatole devono essere fisicamente protette; non è possibile inserire una casella di decrypter davanti agli switch, perché gli attaccanti potrebbero semplicemente intercettare il traffico decrittografato lì (o rubare la casella decrypter). Questo in sostanza significa non utilizzare alcun Switch decentralizzato.