Шифрование всего сетевого трафика

Для корпоративной сети существует ли способ зашифровать весь сетевой трафик в локальной сети?

Я хотел бы убедиться, что нет ничего, что можно было бы ожидать, когда пакет будет обнюхать. Даже электронная почта или машина для обмена сообщениями с устройствами чата.

3 голоса | спросил Jason Pass 11 J000000Thursday13 2013, 22:18:29

4 ответа


4

Некоторые поставщики поддерживают IEEE 802.1ae /MACsec для второго уровня шифрования между коммутатором доступа и его конечные точки. Боюсь, я не могу больше помочь, поскольку у меня нет опыта с ним (и, откровенно говоря, это звучит как кошмар для управления).

ответил Jeremy Stretch 12 J000000Friday13 2013, 00:21:37
2

Существует определенно не один способ обеспечить сквозное шифрование, как вы просили, но обнюхивание пакетов, которое вы хотите защитить, действительно может выполняться только в нескольких местах в типичной корпоративной среде. 1 - отключение физических сетей между устройствами. 2 - порты /мониторы на устройствах 3 - атаки, которые заставляют трафик идти туда, где он не предназначен.

Для # 1 - как @Jeremy Stretch упоминается, что IEEE 802.1ae /MACsec можно использовать перехват между устройствами, поэтому крана будет видеть только зашифрованные данные. Хотя данные «ясны» в коммутаторах (см. № 2), это часто необходимо для применения желаемых QoS, безопасности и других элементов управления перед пересылкой на следующий скачок. Однако он довольно новый и требует совместимых конечных точек и коммутаторов.

За # 2 - ваша политика физической и сетевой безопасности должна ограничивать доступ к сетевым устройствам, чтобы предотвратить доступ злоумышленника. Использование VPN-клиента на каждом рабочем столе и концентраторы рядом с серверами могут обеспечить другой уровень защиты от третьих сторон в середине. Порт-пересылка /туннелирование через SSH между конечными точками - это еще один вариант, а IPSec везде, например, упоминаемый @fredpbaker, немного ближе, но его сложно реализовать.

Для # 3 - большинство корпоративных сетевых устройств имеют инструменты для смягчения атак MITM /ARP, серверов маршрутизатора rouge, атак, охватывающих дерево, и других, предназначенных для перенаправления трафика туда, куда может прослушиваться злоумышленник.

В конце вы можете использовать один или все эти методы для лучшей защиты данных в полете. Только комбинация этих и надежных политик безопасности для защиты данных в состоянии покоя, конечных точек, физической безопасности и большого количества времени и денег может действительно соответствовать намеченной цели!

ответил smoothbSE 12 J000000Friday13 2013, 07:19:21
0

Если вы полностью работаете в магазине Windows, вы можете запускать IPSEC между почти всеми компьютерами, это делается в групповой политике, но планирование сложное, потому что вы не можете использовать шифрование, если вы вошли в систему (DHCP не может быть зашифрован). Не для слабонервных, и никто на самом деле не Microsoft.

ответил fredpbaker 12 J000000Friday13 2013, 01:57:59
-1

Согласно Cisco на CLUS13, это можно сделать с помощью OnePK.

Вы должны разгрузить весь трафик на устройство шифрования (вашего собственного дизайна или стороннего), а затем ваше устройство шифрования отправит все обратно на ваше устройство и обработает трафик как обычно.

Об этом не было много, но, вероятно, это происходит только с трафиком L3, и, вероятно, это намного больше проблем, чем это стоит, если у вас нет очень неясных требований безопасности.

ответил Joey 11 J000000Thursday13 2013, 23:47:27

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132