我需要一些关于encryption在192.168.0.xnetworking上运行wi-fi和LANstream量的小型专用networking上的所有stream量的build议。 networking将包括通过以太网连接或无线连接到Wi-Fi路由器(192.168.0.254)的客户端笔记本电脑。 服务器的主要目的是让客户端笔记本电脑在端口80和433上与不同IP(192.168.0.200和192.168.0.201)上的两台服务器通信。
我主要关心的是使用数据包嗅探器以及无法访问数据的内容。
我现在看到的唯一方法是让VPN在networking上运行或使用IPSec策略来执行此操作。
任何其他方式家伙?
我现在看到的唯一方法是让VPN在networking上运行或使用IPSec策略来执行此操作。
IPSEC 是专为覆盖这种情况而devise的networking层encryption(等等)。
如果您不想因为复杂性而陷入困境,出于某种原因无法使用HTTPS,则可以考虑依靠您的networking设备的隔离function。 WPA2企业encryption客户端到AP的stream量,并且不容易受到所有用户在WPA-PSK中共享秘密的中间人攻击。 pipe理型交换机允许lockingMAC转发数据库或使用通过MAC地址locking的身份validation连接(802.1x),以便MAC欺骗攻击允许经过身份validation的用户嗅探其他用户的数据。 这不会保护您的用户不会直接攻击第1层(例如,在交换机端口和用户笔记本电脑以太网插口之间安装的集线器或窃听设备)。
VPN连接将是一个不错的select。 Tim Coker的答案是,使用UDP的任何东西都不会被encryption。 所以DNS请求仍然是可见的。 VPN / IPsec没有这个问题。
另外,如果您使用RADIUS,您的用户将在networking上进行身份validation。 唯一的嗅探者将是你自己在networking上允许的人,而且还是非常有限的。
如果udp不是一个问题,只需将所有内容强制转换为HTTPS即可。
如果您唯一的担心是保护networkingstream量,那么使用标准http(端口80)并通过https(端口443)强制所有内容通过Web服务器上的redirect来设置要简单得多。
我在传输模式下使用IPSec做了类似的安全系统日志消息。 IP头保持不变,但数据包有效负载已encryption。
我用浣熊与预共享密钥来做到这一点。