Кто-нибудь уже пробовал этот подход? Я действительно рассматриваю это: вместо того, чтобы полагаться на IDS на основе сети и т.д., каждый пакет должен использовать шифрование, которое было инициировано сертификатом, выпущенным моим собственным ЦС.
И SSL, и SSH подойдут. Доступ в Интернет будет осуществляться через SSL-туннель к шлюзу.
Насколько это возможно? Создает ли это практические проблемы? Как это можно было сделать и обеспечить соблюдение? Что вы думаете?
Моя цель - упрощать концепция безопасности локальной сети - я еще не уверен, если это безумная идея! Но я чувствую, что защита HTTPS- или SSH-сервера от интернет-угроз (при использовании взаимной аутентификации) иногда проще, чем мониторинг всего, что может происходить в диком мире локальной сети.
Мне кажется, что в незашифрованной локальной сети очень сложно опередить потенциального злоумышленника из-за таких угроз, как:
=> Не проще ли для простоты сделать предположение, что злоумышленник всегда есть в локальной сети?
=> Могу ли я упростить концепцию безопасности локальной сети (небольшой компании), рассматривая ее как глобальную сеть? Или мне лучше усложнить?
IPSec звучит многообещающе, но меня тоже интересовали бы альтернативы IPSec - использование SSL / SSH индивидуально для каждой службы и создание Stunnel для шлюза? Может быть, с использованием Kerberos? ... Каковы преимущества IPSec или других?
Если вы можете помочь мне лучше понять IPSec, см. Мой уточняющий вопрос конкретно по IPSec.
IPSec является стандартом для этого. Он бывает разных форм, и в нем много слов.
Я рекомендую это руководство по IPSec чтобы вы начали.
Я использую IPsec здесь для всего. Причина в том, что большинство нападения в любом случае сделаны инсайдерами - мышление с плохой / хорошей стороны ошибочно. (Если кто-то сбежит с серверами, он может повеселиться, пытаясь взломать полное шифрование диска, так что и здесь проблем нет.)
Также интересно использовать telnet, NIS, NFS и FTP без каких-либо проблем - похоже на старые добрые времена! :-)
Есть ли у вас модель угроз, в которой ожидается неограниченный доступ к инфраструктуре вашей локальной сети? Если да, то, вероятно, вы хотите развернуть IPSEC на всех конечных точках.
Однако в большинстве моделей угроз безопасности периметра достаточно, чтобы можно было игнорировать инфраструктуру LAN как дешевый метод доступа.
Картина изменится, если у вас установлен Wi-Fi, вам понадобится что-то между сетями Wi-Fi и проводными сетями, чтобы гарантировать, что у вас нет утечки информации по этому маршруту.
Со стороны окна вы ищете Изоляция домена и сервера. Вы можете поиграть с ним, используя этот лабораторный тест
В мой план внедрения Windows по умолчанию для новой установки это включено. В Windows его нетрудно настроить, и он предлагает много дополнительной безопасности (и на самом деле нет никакого «дополнительного» администрирования, вам может понадобиться еще несколько групп безопасности).
NAP не требует IPsec (или даже PKI - это только если вы хотите запустить собственный режим). SCCM - это дополнительный продукт, ничего лишнего для изоляции домена и сервера не требуется. NAP в первую очередь предназначен для отправки информации о «работоспособности» клиента, и если этот клиент не проходит вашу проверку «работоспособности», он откладывается для связи только с сервером (-ами) исправления. Работоспособность определяется как требования к исправлению, настройки AV, настройки безопасности и т. Д. Вы, конечно, можете использовать SCCM для настройки IPSEC, но это не обязательно.
С изоляцией домена и сервера у меня нет возможности проверить это «состояние» - и не в этом суть. Когда он настроен, я шифрую трафик и гарантирую, что и дополнительно гарантирую, что серверам и клиентам разрешено связываться только с серверами и клиентами, необходимыми для этой бизнес-функции (например, рабочие станции отдела кадров - единственные рабочие станции, которым разрешено связываться с сервером отдела кадров. ).
Термин безопасности - «защита данных при передаче». Да, есть группы, которые это делают, и да, в некотором смысле это упрощает безопасность локальной сети. Для этого можно использовать IPSEC и IPv6.
Дополнительной концепцией является «защита данных в состоянии покоя», что означает шифрование ваших дисков.
Не знаю, какие системы и инфраструктуру вы используете, но Диспетчер конфигурации Microsoft System Center (SCCM) имеет Защита доступа к сети (NAP) компонент, который делает именно то, что вам нужно.
PKI шифрует весь трафик клиент-сервер и помещает неаутентифицированные машины в то, что фактически является DMZ, где они не могут общаться с каким-либо сервером / машиной / системой, которая не была специально настроена для работы в этой DMZ. Он также может разрешить предварительную проверку уровня исправлений на машинах, настройки антивируса, безопасности и т. Д., Прежде чем разрешить им подключаться к основной локальной сети (очевидно, в этом случае у вас будет сервер обновлений или два, сидящие в DMZ.
Пошаговые инструкции чтобы настроить это для демонстрации / тестирования, здесь.