| Издательский дом ООО "Гейм Лэнд" | СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #72, НОЯБРЬ 2006 г. |
под защитой криптотуннеля
ANDREY MATVEEV
Спецвыпуск: Хакер, номер #072, стр. 072-024-5
[QM-ESP-AES-SHA-PFS-SUITE]
PROTOCOL_ID= IPSEC_ESP
Transforms= QM-ESP-AES-SHA-PFS-XF
[QM-ESP-AES-SHA-PFS-XF]
TRANSFORM_ID= AES
KEY_LENGTH= 128,128:256
ENCAPSULATION_MODE= TUNNEL
AUTHENTICATION_ALGORITHM=HMAC_SHA
GROUP_DESCRIPTION= MODP_1024
# vi /etc/pf.conf
# Объявляем макросы
enc_if = "enc0"
int_if = "ral0"
vpn_client = "192.168.2.2/32"
# Разрешаем и регистрируем доступ к isakmpd (500/udp)
pass in log quick on $int_if inet proto udp from $int_if:network \
to $int_if port isakmp keep state
# Разрешаем прохождение зашифрованного трафика
pass in on $int_if inet proto esp from $vpn_client to $int_if
pass out on $int_if inet proto esp from $int_if to $vpn_client
pass in on $enc_if inet proto ipencap all
pass in on $enc_if inet from $vpn_client to $int_if:network
pass out on $enc_if inet from $int_if:network to $vpn_client
institut# vi /etc/ipsec/rc.vpn
/* В отладочном режиме команды выводятся на экран без исполнения, комментируем */
#DEBUG=echo
/* IP-адреса локального и удаленного компьютеров */
GW_LOCAL=81.211.11.11
GW_REMOTE=81.211.22.22
/* Указываем CIDR-нотации наших подсетей */
LOCAL_NETWORKS="192.168.1.0/24"
REMOTE_NETWORKS="192.168.2.0/24"
/* Выбранные методы шифрования и аутентификации */
ENC=3des
AUTH=sha1
/* Специальные индексы параметров безопасности для создания туннеля */
SPI_OUT=1000
SPI_IN=1001
/* Абсолютные пути к файлам с ключами */
KEYFILE=/etc/ipsec/esp-enc-key
AUTHKEYFILE=/etc/ipsec/esp-auth-key
Запрос перечня действующих IPsec-туннелей и активных записей в SADB
# ipsecctl -s all
FLOWS:
flow esp in from 192.168.2.2 to 0.0.0.0/0 peer 192.168.2.2 srcid 192.168.2.1/32 dstid 192.168.2.2/32 type use
flow esp out from 0.0.0.0/0 to 192.168.2.2 peer 192.168.2.2 srcid 192.168.2.1/32 dstid 192.168.2.2/32 type require
SAD:
esp tunnel from 192.168.2.1 to 192.168.2.2 spi 0x0ebbadc6 auth hmac-sha1 enc aes \
authkey 0xfd16f0b81db91b0774925454d42d55976ecabc8a \
enckey 0xdff666aeb0427784cdf72603a1029fe7
esp tunnel from 192.168.2.2 to 192.168.2.1 spi 0xc7163b7e auth hmac-sha1 enc aes \
authkey 0x263e372620e0eb1b5c72f189e009c8896c90c9be \
enckey 0x6db690dc6b158e32e484705ee7db47ce
Таблица маршрутизации для инкапсулированных соединений
% netstat -nr -f encap
Routing tables
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
192.168.2.2/32 0 default 0 0 192.168.2.2/esp/use/in
default 0 192.168.2.2/32 0 0 192.168.2.2/esp/require/out
Прослушивание на псевдоинтерфейсе
# tcpdump -netttvvi enc0
tcpdump: WARNING: enc0: no IPv4 address assigned
tcpdump: listening on enc0, link-type ENC
Sep 20 22:49:51.844143 (authentic,confidential): SPI 0xc7163b7e: 192.168.2.2 > 192.168.2.1: 192.168.2.2.1452 > 192.
168.2.1.22: . [tcp sum ok] 1696328699:1696328699(0) ack 749361456 win 16560 (DF) (ttl 128, id 43693, len 40) (ttl 128,
id 43693, len 60)
Sep 20 22:49:51.862522 (authentic,confidential): SPI 0x0ebbadc6: 192.168.2.1 > 192.168.2.2: 192.168.2.1.22 > 192.168.2.2.
1452: P 1:85(84) ack 0 win 17640 [tos 0x10] (ttl 64, id 29061, len 124) [tos 0x10] (ttl 64, id 21941, len 144, bad cksum 0! differs by 9f51)