Modo de transporte IPSec de Linux con solo AH

Estoy planeando alojar mi infraestructura de aplicaciones web con un proveedor de VPS público. Como la red privada del host VPS es accesible para todos los VPS alojados con él y como muchos de los componentes de la infraestructura no tienen ningún tipo de control de acceso/autenticación, necesito aislar mis VPS de los de los demás y permitir que solo mis VPS se conecten entre sí. ellos mismos. También necesito que esto se haga de forma transparente con la menor sobrecarga posible. No necesito privacidad y encriptación.

Descubrí que IPsec con solo AH y secreto compartido puede hacer esto, pero quiero que esa configuración funcione con cualquier cantidad de Hosts/VPS. No quiero definir un secreto compartido para cada par posible en la red virtual y mi red virtual debe extenderse a todos los VPS/hosts que conocen el secreto compartido.

¿Se puede hacer esto con la implementación actual de IPSec en Linux Kernel?

¡Cualquier enlace a tutoriales / procedimientos en la web puede ser realmente útil!

preguntado el 03 de julio de 12 a las 23:07

Creo que IPSec con AH puede brindarle comunicación autenticada entre sus hosts, pero los otros hosts en la red pueden posible comunicate con los tuyos. Tal vez jugar con las rutas o las reglas de firewall en los sistemas sería un enfoque más fácil para evitar la comunicación con las otras máquinas). -

Pero a cada VPS se le asigna aleatoriamente una IP privada, por lo que no es posible configurar iptables en cada nodo para aceptar de los nodos VPS presentes y futuros. No conocemos las direcciones IP de los VPS que alquilaremos en un futuro próximo. Reconfigurar iptables en cada nodo cada vez que agregamos un nuevo VPS a nuestro clúster privado virtual es demasiado dolor de cabeza. -

1 Respuestas

Eche un vistazo a ESP en modo de transporte, ya que no se recomienda AH y es posible que las implementaciones modernas no lo admitan.

Puede usar ESP solo con autenticación y encriptación NULL, para que sea similar a AH.

Para establecer la configuración de IPSec, puede echar un vistazo a las herramientas de IPSec: http://ipsec-tools.sourceforge.net/ - usarás el comando "setkey" para jugar con SAD y SPD:

"-E null" (RFC 2410) le dará cifrado nulo. Con "-A por favor" configure la autenticación deseada. Puede especificar políticas de rango para cubrir todo el tráfico entrante y saliente.

Respondido el 25 de enero de 14 a las 19:01

¿Cuál es su fuente de que AH solo "puede no ser compatible con implementaciones modernas"? Hay casos en los que solo necesita autenticidad, no confidencialidad, y en esos casos solo AH es realmente útil. - SRobertJames

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.