Ini adalah tindak lanjut dari Enkripsi saya sepenuhnya ... pertanyaan.
Penting : Ini bukan tentang pengaturan IPSec yang lebih umum, di mana Anda ingin mengenkripsi lalu lintas antara dua LAN.
Tujuan dasar saya adalah mengenkripsi semua lalu lintas di dalam LAN perusahaan kecil. Salah satu solusinya bisa IPSec. Saya baru saja mulai belajar tentang IPSec, dan sebelum saya memutuskan untuk menggunakannya dan menyelam lebih dalam, saya ingin mendapatkan gambaran tentang bagaimana ini bisa terlihat.
Apakah ada dukungan lintas platform yang baik? Ini harus bekerja pada Linux, MacOS X dan klien Windows, server Linux, dan seharusnya tidak memerlukan perangkat keras jaringan yang mahal.
Bisakah saya mengaktifkan IPSec untuk seluruh mesin (sehingga tidak ada lalu lintas masuk / keluar), atau untuk antarmuka jaringan, atau apakah ditentukan oleh pengaturan firewall untuk masing-masing port / ...?
Bisakah saya dengan mudah melarang paket IP non-IPSec? Dan juga lalu lintas IPSec "Mallory's evil" yang ditandatangani oleh beberapa kunci, tetapi bukan milik kita? Konsepsi ideal saya adalah membuat tidak mungkin untuk memiliki lalu lintas IP semacam itu di LAN.
Untuk lalu lintas internal LAN: Saya akan memilih "ESP dengan otentikasi (tanpa AH)", AES-256, dalam "Moda transportasi". Apakah ini keputusan yang masuk akal?
Untuk lalu lintas LAN-Internet: Bagaimana cara kerjanya dengan gateway internet? Apakah saya akan menggunakan
- "Mode terowongan" untuk membuat terowongan IPSec dari setiap mesin ke gateway? Atau bisa juga saya gunakan
- "Transport mode" ke gateway? Alasan saya bertanya adalah, bahwa gateway harus dapat mendekripsi paket yang berasal dari LAN, sehingga perlu kunci untuk melakukan itu. Apakah itu mungkin, jika alamat tujuan bukan alamat gateway? Atau haruskah saya menggunakan proxy dalam kasus ini?
Apakah ada hal lain yang harus saya pertimbangkan?
Saya benar-benar hanya perlu tinjauan singkat tentang hal-hal ini, bukan instruksi yang sangat rinci.