под защитой криптотуннеля

ANDREY MATVEEV

Спецвыпуск: Хакер, номер #072, стр. 072-024-4

После того, как с помощью программы безопасного копирования scp(8) ключи /etc/ipsec/esp-enc-key и /etc/ipsec/esp-auth-key будут переданы клиенту, останется только запустить rc.vpn на каждом из хостов:

ЛИСТИНГ

institut# sh /etc/ipsec/rc.vpn

home# sh /etc/ipsec/rc.vpn

И при необходимости добавить его запуск в один из стартовых файлов. Например, так:

ЛИСТИНГ

[ -f /etc/ipsec/rc.vpn ] && sh /etc/ipsec/rc.vpn

[управление криптопотоками.]

Чтобы запросить у ядра операционной системы перечень действующих IPsec-туннелей и активных записей в базе SADB (Security Association Database — база данных защищенных соединений), можно воспользоваться штатной утилитой ipsecctl(8) (смотри листинг 4). Получить таблицу маршрутизации для инкапсулированных соединений можно с помощью netstat(1) (смотри листинг 5).

Для удаления всех IPsec-потоков выполни команду:

ЛИСТИНГ

# ipsecadm flush

[прослушиваем зашифрованные данные.]

Псевдоустройство enc(4) представляет собой специальный интерфейс обратной петли, позволяющий производить фильтрацию IPsec-трафика и просматривать прохождение входящих/исходящих пакетов (относится только к транспортному режиму) перед тем, как они попадут во власть ESP и AH протоколов. Конечно же, для выполнения этой операции необходимо обладать правами суперпользователя (смотри листинг 6). Несоответствие контрольных сумм вроде «bad cksum 0!» не должно тебя смущать, так как прослушивание - на псевдоинтерфейсе. А то, что мы увидим на внутреннем сетевом интерфейсе ral0, смотри в листинге 7.

[вместо постскриптума.]

Приведенная схема работы в сочетании с аутентификационным шлюзом и полупрозрачным мостом, выполняющим фильтрацию на основе IP- и MAC-адресов, сослужит тебе хорошую службу в решении задач обеспечения защиты сетевого трафика проводных и беспроводных WinXP-клиентов.

# vi /etc/isakmpd/isakmpd.conf (с комментариями к ключевым моментам)

# Секция общего назначения: количество повторов, продолжительность таймаутов,

# IP-адрес прослушиваемого интерфейса, абсолютный путь к файлу с IPsec-политиками

[General]

Retransmits= 5

Exchange-max-time= 120

Listen-on= 192.168.2.1

Policy-File= /etc/isakmpd/isakmpd.policy

# Перечисляем фазы соединений и создаем список IPsec-туннелей

[Phase 1]

Default=SECUREWLAN-1

[SECUREWLAN-1]

Phase= 1

Transport= udp

Configuration= Default-main-mode

Authentication= mypassword

[Default-main-mode]

DOI= IPSEC

EXCHANGE_TYPE= ID_PROT

Transforms= AES-SHA

[Phase 2]

Passive-connections= SECUREWLAN-2

[SECUREWLAN-2]

Phase= 2

ISAKMP-peer= SECUREWLAN-1

Configuration= Default-quick-mode

Local-ID= wlan-router

# Задаем маршрут для инкапсулированных соединений

[wlan-router]

ID-type= IPV4_ADDR_SUBNET

Network= 0.0.0.0

Netmask= 0.0.0.0

# Указываем предпочитаемые протоколы, шифры, устойчивые к коллизиям

# хэш-функции, а также использование режима Perfect Forward Secrecy

[Default-quick-mode]

DOI= IPSEC

EXCHANGE_TYPE= QUICK_MODE

Suites= QM-ESP-AES-SHA-PFS-SUITE

[AES-SHA]

ENCRYPTION_ALGORITHM= AES_CBC

KEY_LENGTH= 128,128:256

HASH_ALGORITHM= SHA

AUTHENTICATION_METHOD= PRE_SHARED

GROUP_DESCRIPTION= MODP_1024