тайная канцелярия

КОНСТАНТИН ГАВРИЛЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-056-6

May 21 14:18:47 pingo racoon: INFO: IPsec-SA established: IPCOMP/Transport 192.168.55.111[0]->192.168.55.66[0] spi=20799(0x513f)

[конфигурация «хост в сеть» для динамических клиентов.]

Часто возникает ситуация, когда клиенту необходим доступ к ресурсам сети, но клиент использует динамический доступ к интернету посредством дозвона, беспроводного хот-спота и т.д. Заранее невозможно прописать его динамический ИП в политике безопасности для установки туннеля, поэтому для аутентификации таких хостов приходится применять другие методы.

Рассмотрим пример настройки ВЧС-шлюза для приема соединений таких клиентов, используя аутентификацию через x509 сертификаты, проверку их подлинности через центральный CA и использование поддержки режима работы через NAT- устройства.

[пример конфигурации сервера.]

Опустим детальное описание настройки x509 сертификатов, благо об этом существует достаточное количество информации как в Сети, так и в печaтных источниках. Вкратце, используя openssl, необходимо создать свой CA (центр сертификации), а затем - подписанные сертификаты для сервера и для каждого из клиентов. Для контроля годности сертификатов необходимо выпустить CRL (список аннулирования сертификатов). Теперь помести открытый сертификат CA, а также открытую и секретную части сертификата сервера и CRL в директорию, используемую Ракуном, или сделай символический линк к директoрии по умолчанию (/etc/racoon/certs/).

чтобы openssl мог найти CA и CRL, их надо переименовать или слинковать к их хэшу

arhontus certs # ln -s cacert.pem `openssl x509 -in cacert.pem -noout -hash`.0

arhontus certs # ln -s rootca.crl `openssl crl -in rootca.crl -noout -hash`.r0

директория с сертификатами на сервере

arhontus certs # ls -1

8bc54ff5.0 -> cacert.pem

8bc54ff5.r0 -> rootca.crl

cacert.pem -> /etc/ssl/cacert.pem

rootca.crl -> /etc/ssl/rootca.crl

stalin.arhont.com.crt

stalin.arhont.com.key

файл описания политик безопасности (ipsec.conf)

arhontus racoon # cat ipsec.conf

#!/usr/sbin/setkey -f

# Flush the SAD and SPD

flush;

spdflush;

файл настройки Ракуна

arhontus racoon # cat racoon.conf

path certificate "/etc/racoon/certs";

listen {

isakmp 192.168.55.111 [500];

isakmp_natt 192.168.55.111 [4500];

strict_address;

}

remote anonymous {

exchange_mode aggressive;

generate_policy on;

nat_traversal force;

ike_frag on;

esp_frag 552;

dpd_delay 60;

ca_type x509 "cacert.pem";

certificate_type x509 "stalin.arhont.com.crt" "stalin.arhont.com.key";

verify_cert on;

my_identifier asn1dn;

peers_identifier asn1dn;

verify_identifier off;

proposal {

lifetime time 120 min;

encryption_algorithm rijndael256;

hash_algorithm sha256;

authentication_method hybrid_rsa_server;

dh_group modp4096;

}

proposal_check claim;

}

mode_cfg {

network4 192.168.1.1;

pool_size 128;

auth_source system;

dns4 192.168.1.121;

banner "/etc/racoon/motd";

}

sainfo anonymous {

lifetime time 30 minutes;

encryption_algorithm rijndael;

authentication_algorithm hmac_sha1;

compression_algorithm deflate;

pfs_group modp2048;

}

Теперь более подробно рассмотрим используемые новые опции: