Безопасность ipsec с помощью протокола esp и ah
Вы можете изменить их с помощью sed, используйте опцию -i
sed -i -e 's/old/new/g' file
См. man sed для detials
http://www.grymoire.com/Unix/Sed .html
2 ответа
Извините, но IPsec не работают на этом пути.
Нет двойного шифрования или ...
Очень, очень, очень короткое и простое объяснение того, как IPsec работа - это что-то вроде
IPsec сначала, когда IKE Police общается с дальним концом. Переговоры о Authorization algorithm, Encryption algorithm, Perfect Forward Secrecy и IKE version. После этого отправьте key aka passwordЕсли все нормально, перейдите к фазе 2
IPsec, сначала с IKE Police общайтесь с дальним концом Neogoitate о Encryption algorithm, Perfect Forward Secrecy, Transform ProtocolЕсли это хорошо, тогда сопоставьте routes aka access list aka interesting traffic
Если все в порядке, туннель идет вверх.
Примеры конфигурации из wiki
Отредактируйте файл /etc/ipsec-tools.conf. Этот файл должен иметь общий вид:
# Configuration for 192.168.1.100
# Flush the SAD and SPD
flush;
spdflush;
# Attention: Use this keys only for testing purposes!
# Generate your own keys!
# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;
# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
esp/transport//require
ah/transport//require;
Важно понять это, поэтому позвольте мне разбить его:
# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;
В этом разделе приведен список 128 bit ключи для подключения 192.168.2.100 и 192.168.1.100. Каждая пара IP имеет 2 клавиши - по одному для каждого направления (в и из). Каждая пара машин должна знать эту информацию. Таким образом, это означает, что для каждой пары IP-адресов вам нужно сгенерировать новый ключ (следовательно, это работает для небольших сетей, но что-то важное, вероятно, хочет, чтобы демона справлялась с этим. Возможно, если я буду чувствовать амбициозность, чтобы использовать его и обновить эту информацию).
Также обратите внимание на номер справа после ah для каждой из этих клавиш. Это число должно быть уникальным для каждого оператора add. Эти ключи генерируются следующим образом:
dd if=/dev/random count=16 bs=1| xxd -ps
Не забудьте добавить 0x перед ним.
Аналогично, этот раздел:
# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;
Это работает так же, как AH keys, за исключением того, что они длиннее. Опять же, число после esp должно быть уникальным. Эти ключи генерируются следующим образом:
dd if=/dev/random count=24 bs=1| xxd -ps
Опять же, не забудьте добавить 0x перед ним.
Итак, эти верхние два раздела должны отображать ключи для всех IP-адресов, о которых заботится машина. Эти разделы не меняются при перемещении файла между машинами по обе стороны соединения. Это приводит нас к следующему разделу:
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
esp/transport//require
ah/transport//require;
Это устанавливает политики для входящих и исходящих сообщений. Таким образом, приведенная выше версия будет работать для 192.168.1.100, поскольку вся исходящая связь с 192.168.2.100 и все входящие сообщения из 192.168.2.100 будут зашифрованы. Чтобы использовать это на другом компьютере (192.168.2.100), переверните директивы in и out следующим образом:
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P in ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P out ipsec
esp/transport//require
ah/transport//require;
Сделайте файл conf непонятным для мира:
sudo chmod 750 ipsec-tools.conf
Хорошо, обе стороны соединения имеют ipsec-tools.conf? Все установлены?
Он будет запущен при загрузке по умолчанию в системах, поэтому вам не нужно беспокоиться об этом.
Кроме того, запуск этого не будет (обязательно сделайте это с обеих сторон соединения, прежде чем пытаться поговорить друг с другом, вы также можете перезагрузить):
sudo /etc/init.d/setkey start
Извините, но IPsec не работают на этом пути.
Нет двойного шифрования или ...
Очень, очень, очень короткое и простое объяснение того, как IPsec работа - это что-то вроде
IPsec сначала, когда IKE Police общается с дальним концом. Переговоры о Authorization algorithm, Encryption algorithm, Perfect Forward Secrecy и IKE version. После этого отправьте key aka passwordЕсли все нормально, перейдите к фазе 2
IPsec, сначала с IKE Police общайтесь с дальним концом Neogoitate о Encryption algorithm, Perfect Forward Secrecy, Transform ProtocolЕсли это хорошо, тогда сопоставьте routes aka access list aka interesting traffic
Если все в порядке, туннель идет вверх.
Примеры конфигурации из wiki
Отредактируйте файл /etc/ipsec-tools.conf. Этот файл должен иметь общий вид:
# Configuration for 192.168.1.100
# Flush the SAD and SPD
flush;
spdflush;
# Attention: Use this keys only for testing purposes!
# Generate your own keys!
# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;
# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
esp/transport//require
ah/transport//require;
Важно понять это, поэтому позвольте мне разбить его:
# AH SAs using 128 bit long keys
add 192.168.1.100 192.168.2.100 ah 0x200 -A hmac-md5
0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.2.100 192.168.1.100 ah 0x300 -A hmac-md5
0x96358c90783bbfa3d7b196ceabe0536b;
В этом разделе приведен список 128 bit ключи для подключения 192.168.2.100 и 192.168.1.100. Каждая пара IP имеет 2 клавиши - по одному для каждого направления (в и из). Каждая пара машин должна знать эту информацию. Таким образом, это означает, что для каждой пары IP-адресов вам нужно сгенерировать новый ключ (следовательно, это работает для небольших сетей, но что-то важное, вероятно, хочет, чтобы демона справлялась с этим. Возможно, если я буду чувствовать амбициозность, чтобы использовать его и обновить эту информацию).
Также обратите внимание на номер справа после ah для каждой из этих клавиш. Это число должно быть уникальным для каждого оператора add. Эти ключи генерируются следующим образом:
dd if=/dev/random count=16 bs=1| xxd -ps
Не забудьте добавить 0x перед ним.
Аналогично, этот раздел:
# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.100 192.168.2.100 esp 0x201 -E 3des-cbc
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;
add 192.168.2.100 192.168.1.100 esp 0x301 -E 3des-cbc
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;
Это работает так же, как AH keys, за исключением того, что они длиннее. Опять же, число после esp должно быть уникальным. Эти ключи генерируются следующим образом:
dd if=/dev/random count=24 bs=1| xxd -ps
Опять же, не забудьте добавить 0x перед ним.
Итак, эти верхние два раздела должны отображать ключи для всех IP-адресов, о которых заботится машина. Эти разделы не меняются при перемещении файла между машинами по обе стороны соединения. Это приводит нас к следующему разделу:
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P out ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P in ipsec
esp/transport//require
ah/transport//require;
Это устанавливает политики для входящих и исходящих сообщений. Таким образом, приведенная выше версия будет работать для 192.168.1.100, поскольку вся исходящая связь с 192.168.2.100 и все входящие сообщения из 192.168.2.100 будут зашифрованы. Чтобы использовать это на другом компьютере (192.168.2.100), переверните директивы in и out следующим образом:
# Security policies
spdadd 192.168.1.100 192.168.2.100 any -P in ipsec
esp/transport//require
ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P out ipsec
esp/transport//require
ah/transport//require;
Сделайте файл conf непонятным для мира:
sudo chmod 750 ipsec-tools.conf
Хорошо, обе стороны соединения имеют ipsec-tools.conf? Все установлены?
Он будет запущен при загрузке по умолчанию в системах, поэтому вам не нужно беспокоиться об этом.
Кроме того, запуск этого не будет (обязательно сделайте это с обеих сторон соединения, прежде чем пытаться поговорить друг с другом, вы также можете перезагрузить):
sudo /etc/init.d/setkey start