Criptografar tráfego de LAN e Wi-Fi em uma pequena rede privada

3

Preciso de alguns conselhos sobre como criptografar todo o tráfego em uma pequena rede privada que executa o tráfego de rede local e wi-fi na rede 192.168.0.x. A rede seria composta de laptops clientes conectando-se ao roteador wi-fi (192.168.0.254) via conexão ethernet ou wireless. O principal objetivo do servidor é que os laptops clientes falem com dois servidores em IPs diferentes (192.168.0.200 e 192.168.0.201) nas portas 80 e 433.

Minha principal preocupação é ter sniffers de pacotes e o que não é acessar os dados.

A única maneira que vejo no momento é ter a VPN em execução na rede ou usar as diretivas IPSec para fazer isso.

Alguma outra maneira, pessoal?

    
por Grimlockz 20.03.2012 / 10:46

4 respostas

3

The only ways I see at the moment is to have VPN running on the network or use IPSec policy's to do this.

IPSEC é a criptografia da camada de rede projetada especificamente para cobrir este caso (entre outros).

Se você não quiser mexer com ele devido à complexidade e não puder usar o HTTPS por algum motivo, considere contar com os recursos de isolamento de seu equipamento de rede. A empresa WPA2 criptografa o tráfego cliente-a-ponto e não é suscetível a ataques man-in-the-middle devido a um segredo compartilhado entre todos os usuários como seria o WPA-PSK. Os switches gerenciados permitem bloquear o banco de dados de encaminhamento MAC ou usar conexões autenticadas (802.1x) com um bloqueio de endereço MAC, de modo que os ataques de falsificação de MAC, permitindo que os usuários autenticados farejem os dados de outros usuários sejam atenuados. Isso não protegeria seus usuários de um toque direto na camada 1 (por exemplo, um hub ou um dispositivo de escuta instalado em algum lugar entre a porta do comutador e o conector Ethernet do usuário).

    
por 20.03.2012 / 11:10
2

Conexões VPN seria uma boa opção. O problema com a resposta de Tim Coker será que qualquer coisa que use UDP não será criptografada. Então, os pedidos de DNS ainda seriam visíveis. VPN / IPsec não tem esse problema.

Além disso, se você usar o RADIUS, seus usuários serão autenticados na rede. Os únicos sniffers seriam as pessoas que você permite na rede e ainda muito limitados.

Se o udp não for uma preocupação, basta forçar tudo em HTTPS.

    
por 20.03.2012 / 11:04
1

Se sua única preocupação é proteger o tráfego da web, é muito mais simples configurar o uso de http padrão (porta 80) e forçar tudo através de https (porta 443) por meio de um redirecionamento no servidor da web.

    
por 20.03.2012 / 10:56
0

Eu fiz algo semelhante para proteger as mensagens do syslog, usando o IPSec no modo de transporte . O cabeçalho IP permanece o mesmo, mas a carga do pacote é criptografada.

Eu usei o racoon com as chaves pré-compartilhadas para fazer isso .

    
por 20.03.2012 / 11:20