Criptografar absolutamente tudo, mesmo dentro da LAN

7

Alguém já tentou essa abordagem? Estou realmente pensando nisso: em vez de confiar em IDS baseado em rede, etc., todo pacote deve usar criptografia que foi iniciada por um certificado emitido por minha própria autoridade de certificação.

  • Todo cliente recebe um certificado de cliente exclusivo
  • Cada servidor obtém um certificado de servidor exclusivo
  • Cada serviço também requer login.

Tanto o SSL quanto o SSH estariam ok. O acesso à internet seria feito através de um túnel SSL para o gateway.

É viável? Isso cria problemas práticos? Como isso poderia ser feito e aplicado? O que você acha?

Mais detalhes

Meu objetivo é simplificar o conceito de segurança da LAN - ainda não tenho certeza se é uma ideia maluca! Mas eu sinto, que proteger um servidor HTTPS ou SSH contra ameaças da Internet (se estiver usando autenticação mútua) é algumas vezes mais fácil do que monitorar tudo o que pode acontecer no mundo selvagem de uma LAN.

Em uma LAN não criptografada, sinto que é realmente difícil estar um bom passo à frente de um invasor em potencial, devido a ameaças como:

  • Ataques de baixo nível como spoofing ARP, roubo de portas, ...
  • acesso à WLAN (por exemplo, todos os desenvolvedores terão permissão para acessar o servidor SVN a partir da (W) LAN - não acho que seja por meio de uma VPN ...)

= > Por simplicidade, não é mais fácil supor que há sempre um invasor na LAN?

= > Eu poderia acabar simplificando um conceito de segurança de LAN (de pequena empresa) tratando-o como uma WAN? Ou eu preferiria complicar isso?

IPSec e alternativas

O IPSec soa muito promissor, mas eu também estaria interessado em alternativas ao IPSec - Usando SSL / SSH individualmente por serviço e criando um Stunnel para o Gateway? Usando o Kerberos talvez? ... Quais são as vantagens do IPSec ou dos outros?

Se você puder me ajudar a entender melhor o IPSec, consulte minhas seguir -up pergunta especificamente no IPSec .

    
por Chris Lercher 08.04.2010 / 01:10

6 respostas

6

Eu uso o IPsec aqui para tudo. O raciocínio é que os mais ataques são feitos por pessoas de dentro de qualquer maneira - o lado ruim / bom pensamento do lado é falho. (Se alguém sair com os servidores, eles podem se divertir tentando quebrar a criptografia do disco inteiro, então também não há problema.)

Também é divertido usar o telnet, o NIS, o NFS e o FTP sem quaisquer preocupações - parece-se com os bons e velhos tempos! : -)

    
por 08.04.2010 / 13:21
8

O IPSec é o padrão para isso. Ele vem em diferentes formas e há muito vocabulário para isso.

Eu recomendo este guia do IPSec para você começar.

    
por 08.04.2010 / 02:08
1

Você tem um modelo de ameaça em que o acesso irrestrito à sua infraestrutura de LAN é esperado? Em caso afirmativo, sim, implantar o IPSEC em todos os pontos de extremidade é provavelmente o que você deseja.

No entanto, na maioria dos modelos de ameaças, há segurança de perímetro suficiente para que você possa essencialmente ignorar a infraestrutura da LAN como um método de acesso barato.

A imagem muda se você tiver o Wi-Fi instalado, você precisaria de algo entre a (s) rede (s) WiFi e a (s) rede (s) com fio para garantir que você não tenha nenhum vazamento de informações.

    
por 08.04.2010 / 11:14
1

No lado do Windows, o que você está procurando é Isolamento de domínio e servidor . Você pode jogar com ele usando este labcast

Meu plano de implementação padrão do Windows para uma nova instalação inclui isso. No Windows não é difícil de configurar e oferece muita segurança extra (e não há realmente nenhuma administração "extra", você pode precisar de mais alguns grupos de segurança).

A NAP não requer IPsec (ou mesmo a PKI - somente se você quiser executar o modo nativo). O SCCM é um produto adicional - nada extra é necessário para o isolamento de domínio e servidor. A NAP é projetada principalmente para enviar informações de "integridade" sobre um cliente e, se esse cliente não passar na verificação de "integridade", será adiado para se comunicar apenas com um servidor de remediação. A saúde é definida como configurações de AV de requisitos de patch, configurações de segurança, etc. Você certamente pode usar o SCCM para configurar o IPSEC, mas não é um requisito.

Com o isolamento de domínio e servidor, não tenho a capacidade de verificar esses "problemas" - nem é o ponto. Quando está configurado, estou criptografando o tráfego e garantindo que os servidores e clientes só podem se comunicar com os servidores e clientes necessários para essa função de negócios (por exemplo, estações de trabalho de RH são as únicas estações de trabalho com permissão para se comunicar com o servidor de RH). ).

    
por 08.04.2010 / 19:51
0

O termo de segurança é "proteção de dados em trânsito". Sim, existem grupos que fazem isso e, de certa forma, simplificam a segurança da LAN. IPSEC e IPv6 podem ser usados para suportar isso.

O conceito complementar é "proteção de dados em repouso", o que significa criptografar seus discos.

    
por 08.04.2010 / 15:06
0

Não sabe quais sistemas e infra-estrutura você está usando, mas o System Center Config Manager da Microsoft (SCCM) tem um componente Proteção de acesso à rede (NAP) que faz exatamente o que você está procurando.

A PKI criptografa todo o tráfego cliente-servidor e coloca máquinas não autenticadas no que é efetivamente uma DMZ, onde não conseguem falar com nenhum servidor / máquina / sistema que não tenha sido configurado especificamente para acomodar essa DMZ. Além disso. Ele também pode permitir pré-verificar as configurações de nível de patch, antivírus, segurança, etc. antes de permiti-los na LAN principal (obviamente, neste caso, você teria um servidor de atualizações ou dois na DMZ.

Passo a passo guias para configurações para demonstração / teste estão aqui.

    
por 08.04.2010 / 17:36