Защита воздуха

Антон Карпов

Спецвыпуск: Хакер, номер #059, стр. 059-028-3

- Вбиваем какое-нибудь название политики и жмем Next.

- Снимаем галочку Activate и еще раз Next.

- Снимаем выделение с Edit Properties. Finish.

Теперь у нас появилась новая политика. Аллилуйя! Но это еще не все.

* Жмем правую кнопку мыши на вкладке IP Security Policies окна Console Root и выбираем Manage IP filter lists and filter actions, затем жмем Add.

* Обзываем список фильтров out, затем снова Add.

* Выбираем My IP Address как Source, Any IP Address как destination address. Убираем галочку mirrored.

* Добавляем второй список, назовем его in, повторяем описанное, за исключением того, что фильтр с Any IP Address выбираем как Source, a My IP Address как destination adress.

Теперь нужно применить эти фильтры.

- Два раза щелкаем мышью на созданной политике.

- Нажимаем Add-> IP Security Rules.

- Выбираем The tunnel endpoint is specified и вводим адрес шлюза. Жмем Next.

- Выбираем Lan, жмем Next.

- Выбираем Use this string to protect the key exchange, вводим секретную фразу, после чего... (правильно!) Next.

- Выбираем созданный список фильтров out, клацаем по Next.

- Выбираем Require Security, не забывая давить англоязычный эквивалент нашего "Далее".

- Затем повторяем то же самое, только вводим адрес клиентского компьютера и список фильтров - in.

Прорвавшись сквозь дебри диалогов и мастеров, наконец можно убедиться, что ipsec работает и клиент с сервером установили ассоциации с помощью все той же setkey:

# setkey -DP

0.0.0.0/0[any] 192.168.1.3[any] any

in ipsec

esp/tunnel/192.168.1.1-192.168.1.3/require

ah/tunnel/192.168.1.1-192.168.1.3/use

created: Sep 15 03:30:21 2005 lastused: Sep 15 03:40:21 2005

lifetime: 0(s) validtime: 0(s)

spid=16390 seq=1 pid=5889

refcnt=2

192.168.1.3[any] 0.0.0.0/0[any] any

out ipsec

esp/tunnel/192.168.1.3-192.168.1.1/require

ah/tunnel/192.168.1.3-192.168.1.1/use

created: Sep 15 03:30:21 2005 lastused: Sep 15 03:40:22 2005

lifetime: 0(s) validtime: 0(s)

spid=16391 seq=0 pid=5889

refcnt=2

# setkey -D

192.168.1.3 192.168.1.1

ah mode=any spi=1235(0x000004d3) reqid=0(0x00000000)

A: hmac-md5 6974736e 69636574 6f736d6f 6b656d61

seq=0x00000304 replay=0 flags=0x00000040 state=mature

created: Sep 15 03:30:21 2005 current: Sep 15 03:40:21 2005

diff: 600(s) hard: 0(s) soft: 0(s)

last: Sep 15 03:39:20 2005 hard: 0(s) soft: 0(s)

current: 135688(bytes) hard: 0(bytes) soft: 0(bytes)

allocated: 772 hard: 0 soft: 0

sadb_seq=3 pid=5878 refcnt=2

192.168.1.1 192.168.1.3

ah mode=any spi=1234(0x000004d2) reqid=0(0x00000000)

A: hmac-md5 6974736e 69636574 6f736d6f 6b656d61

seq=0x00000350 replay=0 flags=0x00000040 state=mature

created: Sep 15 03:30:21 2005 current: Sep 15 03:40:21 2005

diff: 600(s) hard: 0(s) soft: 0(s)

last: Sep 15 03:39:25 2005 hard: 0(s) soft: 0(s)

current: 531216(bytes) hard: 0(bytes) soft: 0(bytes)