Назад | Перейти на главную страницу

Шифрование трафика LAN и Wi-Fi в небольшой частной сети

Мне нужен совет о шифровании всего трафика в небольшой частной сети, в которой работает Wi-Fi и трафик LAN в сети 192.168.0.x. Сеть будет состоять из клиентских ноутбуков, подключенных к Wi-Fi-маршрутизатору (192.168.0.254) через Ethernet-соединение или по беспроводной сети. Основное назначение сервера - клиентские портативные компьютеры взаимодействовать с двумя серверами на разных IP-адресах (192.168.0.200 и 192.168.0.201) на портах 80 и 433.

Меня больше всего беспокоит наличие снифферов пакетов и отсутствие доступа к данным.

Единственные способы, которые я вижу на данный момент, - это запустить VPN в сети или использовать для этого политику IPSec.

Есть другие способы, ребята?

Единственные способы, которые я вижу на данный момент, - это запустить VPN в сети или использовать для этого политику IPSec.

IPSEC является шифрование сетевого уровня, разработанное специально для этого случая (среди прочего).

Если вы не хотите связываться с ним из-за сложности и по какой-то причине не можете использовать HTTPS повсюду, вы можете подумать о том, чтобы полагаться на функции изоляции вашего сетевого оборудования. WPA2-enterprise шифрует трафик от клиента к точке доступа и не подвержен атакам типа «злоумышленник в середине» из-за секретности, используемой всеми пользователями, как и WPA-PSK. Управляемые коммутаторы позволяют либо заблокировать базу данных переадресации MAC-адресов, либо использовать аутентифицированные соединения (802.1x) с блокировкой MAC-адреса, поэтому атаки с подменой MAC-адресов, позволяющие аутентифицированным пользователям прослушивать данные других пользователей, будут смягчены. Это не защитит ваших пользователей от прямого доступа к уровню 1 (например, концентратор или устройство прослушки, установленное где-то между портом коммутатора и разъемом Ethernet для ноутбука пользователя).

VPN-подключения были бы хорошим вариантом. Проблема с ответом Тима Кокера будет в том, что все, что использует UDP, не будет зашифровано. Так что DNS-запросы все равно будут видны. У VPN / IPsec такой проблемы нет.

Кроме того, если вы используете RADIUS, ваши пользователи будут аутентифицированы в сети. Единственными снифферами могут быть люди, которых вы разрешаете себе в сети, и они все еще очень ограничены.

Если udp не является проблемой, чем просто принудительно использовать HTTPS.

Если ваша единственная забота - защита веб-трафика, гораздо проще настроить не использовать стандартный http (порт 80) и принудительно использовать все через https (порт 443) через перенаправление на веб-сервере.

Я сделал что-то похожее на безопасные сообщения системного журнала, используя IPSec в вид транспорта. Заголовок IP остается прежним, но полезная нагрузка пакета зашифрована.

я использовал енот с предварительно предоставленными ключами для этого.