тайная канцелярия

КОНСТАНТИН ГАВРИЛЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-056-5

lifetime time 120 min — время жизни ключа шифрования первой фазы;

encryption_algorithm rijndael256 — алгоритм шифрования, используемый во время первой фазы;

hash_algorithm sha256 — алгоритм хэширования, используемый во время первой фазы;

authentication_method pre_shared_key — используемый метод аутентификации;

dh_group modp4096 — параметры функции идеальной секретности перенаправления первой фазы;

proposal_check strict — определяет уровень соответствия двух предложений;

sainfo anonymous { — открывает секцию конфигурации параметров предложения второй фазы;

lifetime time 30 minutes — время жизни ключа шифрования;

encryption_algorithm rijndael — алгоритм шифрования, используемый во время второй фазы;

authentication_algorithm hmac_sha1 — алгоритм хэширования, используемый во время второй фазы;

compression_algorithm deflate — алгоритм сжатия, используемый во время второй фазы;

pfs_group modp2048 — параметры функции идеальной секретности перенаправления второй фазы.

Стоит отметить, что для второй фазы были выбраны менее мощные алгоритмы шифрования и хэширования, так как они используются непосредственно для шифрования отправляемого трафика, что, в свою очередь, сказывается на производительности системы. В зависимости от мощности и архитeктуры процессора, необходимой пропускной способности и желаемого уровня безопасности данных, различные алгоритмы будут более или менее приемлемы в каждой конкретной ситуации. Включение режима сжатия данных так же добавляет дополнительную нагрузку на центральный процессор, но при подходящем для компрессии типе данных, ты можешь обеспечить значительный прирост скорости передачи.

Не забудь, что файлы конфигурации должны, за исключением ИП-адресов, зеркально отображать себя на обоих хостах. Иначе возможны несостыковки в политиках безопасности, что приведет к невозможности согласования параметров туннеля.

для установки политик безопасности

arhontus racoon # setkey -f ./ipsec.conf

запуск демона Ракун

arhontus racoon # racoon -f ./racoon.conf -F -v

соединение может быть инициировано простым пингом

arhontus racoon # ping -c 1 192.168.55.66

May 21 14:18:44 pingo racoon: INFO: respond new phase 1 negotiation: 192.168.55.111[500]<=>192.168.55.66[500]

May 21 14:18:44 pingo racoon: INFO: begin Identity Protection mode.

May 21 14:18:44 pingo racoon: INFO: received Vendor ID: DPD

May 21 14:18:45 pingo racoon: INFO: ISAKMP-SA established 192.168.55.111[500]-192.168.55.66[500] spi:8dc4793f80eb71da:b0fd7a67799645da

May 21 14:18:47 pingo racoon: INFO: respond new phase 2 negotiation: 192.168.55.111[500]<=>192.168.55.66[500]

May 21 14:18:47 pingo racoon: INFO: IPsec-SA established: ESP/Transport 192.168.55.66[0]->192.168.55.111[0] spi=26208972(0x18feacc)

May 21 14:18:47 pingo racoon: INFO: IPsec-SA established: IPCOMP/Transport 192.168.55.66[0]->192.168.55.111[0] spi=11347(0x2c53)

May 21 14:18:47 pingo racoon: INFO: IPsec-SA established: ESP/Transport 192.168.55.111[0]->192.168.55.66[0] spi=64639354(0x3da517a)