тайная канцелярия

КОНСТАНТИН ГАВРИЛЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-056-4

как правило, конфигурация политики безопасности заносится в файл ipsec.conf или setkey.conf (зависит от особенностей дистрибутива)

arhontus racoon # cat ipsec.conf

#!/usr/sbin/setkey -f

# Flush the SAD and SPD

flush;

spdflush;

spdadd 192.168.55.111/32 192.168.55.66/32 any -P out ipsec

ipcomp/transport//use

esp/transport//unique;

spdadd 192.168.55.66/32 192.168.55.111/32 any -P in ipsec

ipcomp/transport//use

esp/transport//unique;

В данном примере мы создали две политики, описывающие входящий и исходящий трафик, для двухсторонней коммуникации с соседним хостом. В зависимости от используемого режима протокола и алгоритма шифрования, конечный отправляемый пакет увеличивается в размере. Соответственно, для уменьшения количества передаваемых данных, а так же для того, чтобы избежать ненужной фрагментации пакетов, мы сначала сжимаем пакет и только потом его шифруем, что и отображено в файле конфигурации. Ты неограничен в выборе используемой комбинации протоколов (AH, ESP, IPCOMP) и, ради эксперимента, можешь попробовать провести даже двойное шифрование пакета :).

настройка конфигурационного файла IKE-демона, чем, собственно, и является Ракун

arhontus racoon # cat racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";

listen {

isakmp 192.168.55.111 [500];

isakmp_natt 192.168.55.111 [4500];

strict_address;

}

remote 192.168.55.66 {

exchange_mode main;

my_identifier address;

peers_identifier address;

verify_identifier on;

dpd_delay 60;

proposal {

lifetime time 120 min;

encryption_algorithm rijndael256;

hash_algorithm sha256;

authentication_method pre_shared_key;

dh_group modp4096;

}

proposal_check strict;

}

sainfo anonymous {

lifetime time 30 minutes;

encryption_algorithm rijndael;

authentication_algorithm hmac_sha1;

compression_algorithm deflate;

pfs_group modp2048;

}

Обычнaя конфигурация хранится в файле racoon.conf. В нем содержится описание особенностей всех туннелей, для которых необходима автоматическая генерация ключей.

Теперь более подробно рассмотрим используемые опции:

path pre_shared_key — местонахождение файла с ключами;

isakmp 192.168.55.111 [500] — адрес, на котором будет слушать демон IKE;

isakmp_natt 192.168.55.111 [4500] — адрес, на котором будет слушать демон IKE в режиме работы через NAT;

strict_address — указывает, что интерфейс должен присутствовать перед началом работы;

remote 192.168.55.6 — открывает секцию конфигурации отдельно взятого туннеля и указывает адрес соседа IPSec-туннеля;

exchange_mode main — определяет режим работы первой фазы;

my_identifier address — посылаемый идентификатор;

peers_identifier address — ожидаемый идентификатор соседа;

verify_identifier on — включение проверки идентификатора соседа;

dpd_delay 60 — определение интервала работы режима обнаружения неработающего хоста;

proposal — открывает секцию конфигурации параметров предложения первой фазы;