É possível usar o “Secure Connection Rules” (IPSec) da Microsoft com VPN?

Navegue suas respostas
2

É possível usar as "Regras de conexão segura" da Microsoft para autenticar / criptografar conexões ao usar a VPN ao mesmo tempo?
Quais são as configurações necessárias?

Deveria ser assim: 

Client A <-- VPN --> VPN Gateway <-- LAN --> Client B
  FTPd   <------------- IPSec ------------->   FTP

(Eu sei que existem outras maneiras de proteger o FTP, eu só uso para testes)

Obrigado

Atualização 1:

Para esclarecer os objetivos:

  1. O tráfego na LAN deve ser autenticado e ter integridade, mas não deve ser criptografado (por causa do IDS)
  2. O tráfego que passa pela internet ou por outras redes estranhas deve ter confidencialidade
por Tie-fighter 26.03.2010 / 10:33

3 respostas

0

Sim, é possível usar VPNs aninhadas. Na verdade, isso é menos incomum do que você pensa em ambientes de segurança mais altos.

Por favor, veja abaixo o uso mais comum em ambientes de segurança mais altos 

1 Host A --------Router/FW ---IPSEC GRE -------------- Router/FW ------ Host B
2 Host A ----IPSEC in Tunnel Mode ------------------------------------- Host B
3 Host A -- Secure protocol, take your pick, ssh, etc ----------------- Host B
4 Host A -- Cleartext / Insecure protocol ----------------------------- Host B

As camadas 3 não oferecem muito mais, mas é uma possibilidade!

No DoD, não é incomum ver 

1 Host A --------Router/FW1 ---IPSEC GRE----------------- Router/FW10 ------ Host B
1 Host A --------Router/FW2 ---IPSEC GRE----------------- Router/FW9 ------- Host B
1 Host A --------Router/FW3 ----IPSEC GRE---------------- Router/FW8 ------- Host B
2 Host A ----IPSEC in Tunnel Mode ------------------------------------------ Host B
3 Host A -- Secure protocol, take your pick, ssh, etc ---------------------- Host B

Notas sobre seus objetivos:
1) Criptografia não significa ilegível para um IDS. O uso de segredos pré-compartilhados ou de um certificado permitirá que o IDS bisbilhote um impacto no desempenho.
2) Você pode ter autenticação de rede via 802.1x
3) Você vai querer usar o AH para visibilidade de um IDS, se você não puder compartilhar segredos / certs
4) Use ESP para confidencialidade
5) IDS baseado em host em host local e distante pode aliviar a necessidade de compartilhar secerts / certs
6) NIST 800-77 Guia para VPNs IPSEC é uma boa publicação gratuita sobre este assunto.

Se você está tão preocupado com o valor da informação, talvez você deva passar do IPSEC para algo mais seguro como HAIPE, e começar a olhar para os criptógrafos tipo 1? :)

    
por 15.04.2010 / 01:32
1

As diretivas IPSec são aplicadas com base nos endereços de origem / destino, portanto, eles não devem se preocupar com onde o tráfego está realmente fluindo; então, sim, aplicando-os a computadores cujas comunicações acontecem por meio de uma VPN, deve funcionar.

Mas por que você precisaria disso, quando você pode criptografar a própria VPN?

Editar:

Para que o IPSec funcione, algum tráfego precisa fluir entre as máquinas envolvidas:

  • Porta UDP 500
  • Porta UDP 88 (se você estiver usando a autenticação Kerberos)
  • protocolos IP 50 e 51

Mais informações aqui .

Eu não sei se isso pode ser conseguido através de uma VPN ... os protocolos IP de baixo nível se parecem muito com um possível problema aqui.

    
por 08.04.2010 / 11:28
-1

Aqui está um possível motivo: você está sujeito à conformidade com a PCI e possui um ambiente de dados do portador do cartão na LAN da sua empresa. Portanto, ao dar suporte em casa ou na estrada, você VPN para a LAN comercial, mas não pode permitir a conexão fácil no CDE para administração. Você precisa de autenticação de dois fatores e, obviamente, não quer que pessoas não autorizadas (ou seja, quase todos na LAN da empresa) possam entrar no CDE.

    
por 30.01.2013 / 22:16

Tags

Roteando apenas alguns IPs locais através de VPN em dd-wrt SharePoint - força o usuário a aceitar o AUP quando fizer o login pela primeira vez, etc.